dump 定位分析

已于 2023-04-11 15:03:08 修改
阅读量602 收藏 1
点赞数
分类专栏: C++ 随笔 IDA windbg 文章标签: dump ida windbg 崩溃
于 2023-04-11 14:22:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CAir2/article/details/130081950
版权
C++ 随笔 同时被 3 个专栏收录
82 篇文章 0 订阅
订阅专栏
windbg
10 篇文章 1 订阅
订阅专栏
IDA
1 篇文章 0 订阅
订阅专栏
文章讲述了在没有pdb文件的情况下,如何使用windbg进行dump分析以定位程序崩溃的原因,以及如何借助ida的伪代码视图辅助分析,最终找到了崩溃发生在ScreenLock_mf模块的0x902e地址,并追踪到可能的问题函数OnUdpRspMsg。
摘要由CSDN通过智能技术生成

在缺少pdb的时候如何分析dump?

windbg+ida

Windbg定位崩溃位置

  1. 通过windbg打开dump,并且分析dump !analyze -v
    在这里插入图片描述

分析:

  • 分析dump: !analyze -v
  • 错误原因:读取空指针
  • 错误线程:00001e04,可通过命令~查看线程列表,~N切换线程,N表示线程序号
  • 查看崩溃堆栈:.ecxr;kbn,截图上的崩溃调用堆栈
  • 查看当前帧信息:.frame N,N为第几帧的序号,默认为0

结论:

  • 由于缺少pdb无法定位具体代码,但是可以知道崩溃位置位于:ScreenLock_mf+0x902e,崩溃第一帧。

IDA定位大概原因(新手)

  1. 通过IDA打开ScreenLock_mf.exe(不管是exe还是dll,都选择打开模式pe.dll)
    在这里插入图片描述
  2. 打开之后,切换到IDA View,并且切换至最顶部,查看镜像基址Imagebase : 400000
    在这里插入图片描述
  3. 通过windbg得到崩溃地址ScreenLock_mf+0x902e,即:Imagebase + 0x902e=40902E
  4. G键跳转到崩溃地址(输入的地址不含空格
    在这里插入图片描述
  5. 在定位地址按tab键,即可切换到伪代码view,确定崩溃函数。
    在这里插入图片描述
  6. 查看该函数的相关引用,按tab键切换到IDA View。往上翻直至分割线。
    在这里插入图片描述
  7. 双击引用的函数:OnUdpRspMsg,即可切换到调用崩溃函数isPackidValid的地方,并且查看伪代码,确定上下文的伪代码。
    在这里插入图片描述
  8. 打开源码,通过伪代码定位源码,检查崩溃原因。
CAir2
关注
专栏目录
Windows程序崩溃定位
qq_24946843的博客
04-28 1107
Windows程序crash定位,首先需要有dump文件,dump文件是C++程序发生异常时,保存当时程序运行状态的文件, 是调试异常程序重要的方法。windows系统默认不产生程序的dmp文件,需要手动设置才能生成dmp文件。
dump分析方法
weixin_43431593的博客
02-06 9498
在计算机领域中,术语“dump”通常用来指代将某种数据以某种格式进行转储或导出的过程。内存转储(Memory Dump):在计算机系统崩溃或发生故障时,操作系统可能会将系统的内存内容转储到磁盘上,以便后续分析。这样的转储文件通常被称为“内存转储”或“核心转储”,它包含了在系统崩溃时内存中的数据和状态信息。数据转储(Data Dump):在软件开发或调试过程中,程序员可能会将某些数据以某种格式导出到文件中,以便进行分析或调试。
aix core dump定位分析
qshpeng的专栏
12-17 510
124132
WinDbg DUMP数据分析 分析工具
xcntime的专栏
08-16 678
生产环境偶尔会出现一些异常问题,WinDbg 或 GDB 就是解决此类问题的利器。调试工具 WinDbg 如同医生的听诊器,是系统生病时做问题诊断的逆向分析工具,Dump 文件类似于飞机的黑匣子,记录着生产环境程序运行的状态。本文主要介绍了调试工具 WinDbg 和抓包工具 ProcDump 的使用,并分享一个真实的案例。N 年前不知谁写的代码,导致每一两个月偶尔出现 CPU 飙高的现象。
使用JVisualVM分析dump文件定位OOM
泡^泡
01-21 1万+
使用JVisualVM分析dump文件定位OOM
WinDbg分析dump定位源代码
明日清晨
06-27 272
二、利用windbg定位崩溃位置只需三个部分:编译exe时刻的那个源代码、dump文件、编译exe时刻的pdb文件。三、设置符号路径:这里的srv*从微软服务器拉取符号,前面路径用自己符号所在路径。一、编译好exe时要将此时生成的pdb文件和此时源代码一同提交SVN做版本管理。四、设置源代码路径:可以是顶级路径,也可以是子路径。
性能分析之使用 Jvisualvm dump 分析示例
最新发布
Mo小泽的技术博客
08-30 1347
通过简单一个案例让大家快速通过 Jvisualvm 工具定位到代码,在做性能测试过程中掌握几个常用工具能快速解决问题也是不错。
GDB定位coredump
mijichui2153的博客
12-24 1万+
这篇文章主要讲GDB和coredump两个方面。 一、coredump 1、coredump简介 (1)、 core,又称coredump文件,准确来讲是Unix/Linux的记录机制产生的一种保存程序崩溃时现场状态的记录性文件。 (2)、为何需要这种记录机制?原因很简单,程序在在正常执行的时候当然是皆大欢喜,但是如果程序出现致命性错误难道不要保存一些现场信息已被分析使用吗!!Unix/...
java dump分析工具_java线程dump分析工具
weixin_34900026的博客
02-12 1320
一、【内存dump】jmap –dump:live,format=b,file=heap.bin 二、【线程dump】jstack是java虚拟机自带的一种堆栈跟踪工具。基本介绍:jstack用于生成java虚拟机当前时刻的线程快照。线程快照是当前java虚拟机内每一条线程正在执行的方法堆栈的集合,生成线程快照的主要目的是定位线程出现长时间停顿的原因,如线程间死锁、死循环、请求外部资源导致的长时间...
linux coredump分析方法实例介绍
10-31
Linux Core Dump 分析方法实例介绍 本文将通过实例来介绍 Linux ...通过对 Core Dump 文件的分析,我们可以快速定位问题,解决系统崩溃的原因。同时,我们也可以了解到 GDB 调试器的使用方法和 Core Dump 分析的步骤。
Heap Dump的IBM分析工具.zip
10-09
"Heap Dump的IBM分析工具.zip" 提供了一个专门用于解析和分析heap dump的IBM工具,帮助我们更好地理解JVM内存的状态。 Heap dump文件是Java虚拟机(JVM)在特定时间点生成的一种文件,它包含了JVM堆内存中的所有...
IBM分析dump文件工具
04-09
3. **问题定位**:通过分析dump文件中的数据,查找可能导致问题的原因,比如内存泄漏、资源冲突、死锁等。 4. **制定解决方案**:根据问题的根源,制定相应的解决策略,这可能涉及到代码修改、配置调整或者系统优化...
IBM thread dump文件分析工具
03-19
在Java虚拟机(JVM)的运行过程中,有时会出现性能问题或者系统挂起的情况,这时候我们需要深入了解线程的运行状态,这就是"IBM thread dump文件分析工具"的作用所在。线程dump文件是JVM在特定时刻生成的一种快照,...
使用Windbg分析dump文件的一般步骤及要点详解
热门推荐
dvlinker的技术专栏
05-25 4万+
通过一个问题实例详细讲解使用Windbg静态分析dump文件的完整过程。
String Hex互相转换
CAir2的专栏
08-22 5574
String和Hex互相转换。 1.String转Hex,由于String元素本身就是数字,所以我们可以直接Format16进制。但是需要注意char是有符号的,所以我们需要转化为无符号的。whacr不需要转化 2.Hex转String。在转之前我们需要知道Hex是由wchar源转换的还是char转的。因为wchar占2个字节。而char一个字节。转换为对应的字符串的时候,wchar对应4个字符。...
Error 193:%1 不是合法的Win32 应用程序 &&查看程序是x86还是x64
CAir2的专栏
10-15 5041
ErrCode=193 %1 不是合法的Win32 应用程序 当64bit的应用程序exe加载32bit编译的动态库,提示报错 LoadLibrary ErrCode=193 %1 不是合法的Win32 应用程序,原因如下: exe是否是64bit的 dll是否是64bit编译 dll所依赖的库是不是相应位数的 怎么查看应用程序是否为32或者64位? 直接用记事本或者notepad++打开应用...
获取电脑硬件信息
CAir2的专栏
05-27 4509
获取设备硬件信息
VMMAP定位内存泄露
CAir2的专栏
03-28 4290
1.启动VMMAP,配置运行程序pdb位置:Options->Configure Symbols 2.通过VMMAP,启动应用程序:File->Select Process 3.分析应用程序堆数据 注意:如果内存泄露随着时间推移,肯定相同的内存会越来越多,此时我们可以通过调用堆栈分析,如下 4.如果通过堆栈还是比较难以定位,或者VMMAP崩溃了,那么只能结合VS...
亮度,对比度,灰度,色调,数字震动,系统音量设置
CAir2的专栏
01-08 3484
1.屏幕亮度,对比度获取和调节 bool set_screen_brightness(long val) { HWND hDesktopWnd = GetDesktopWindow(); HMONITOR hMonitor = MonitorFromWindow(hDesktopWnd, MONITOR_DEFAULTTOPRIMARY); DWORD cPhysicalMonitors =...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值