Windbg一些输出信息的解释

最新推荐文章于 2022-11-13 01:07:34 发布
最新推荐文章于 2022-11-13 01:07:34 发布
阅读量4.3k 收藏 4
点赞数
分类专栏: 调试 文章标签: windows dll microsoft search exception c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Donjuan/article/details/3845703
版权

下面的信息是使用Windbg准备启动一个进程之前,Windbg输出的信息,下面我用红色字体来解释输出里面的重要信息。

Windbg信息

# Windbg的版本号,还有一个重要的信息是最后的x86字样,因为它告诉你他是一个32

# 的调试器,所以不能调试64位的程序。然而64位的Windbg可以调试32位和64位的用

# 户模式下面的进程

Microsoft (R) Windows Debugger Version 6.10.0003.233 X86

Copyright (c) Microsoft Corporation. All rights reserved.

# 显示命令行输入和参数,这里你可以验证你在使用Windbg的时候,被调试进程的参数是

# 否正确。

CommandLine: "C:/Documents and Settings/Administrator/桌面/我的征途/我的征途/MyLegend/Debug/MyLegend.exe"

# 显示当前Windbg的符号文件加载设置,下面的符号文件说明我们在采用微软的公开符号

# 文件服务器,两个星号之间的D:/symbols是本地符号文件缓存文件夹的路径。

Symbol search path is: SRV*D:/symbols*http://msdl.microsoft.com/download/symbols

# .exe.dll.sys后缀名的文件都叫做可执行文件(executable file),Executable search path

# 是指调试器在加载进程所需的可执行文件时候,用来查找这些文件的路径,一般的情况下

# 调试器知道如何找到进程所需的可执行文件,因此你不需要去设置这个变量。但是如果你

# 是在调试用户模式的minidump文件,由于这种dump文件没有保存程序的信息,例如进

# 程的程序指令,没有这些指令,你甚至连堆栈(call stack)都不能打印出来,因此你需要

# 指定这个路径,让Windbg在分析minidump可以找到可执行文件并且执行相关的操作。

 

# 你可以通过Windbg-i选项、或者.exepath命令,或者设置_NT_EXECUTABLE_IMAGE_PATH

# 来设置可执行文件搜索路径

Executable search path is:

# 列出进程MyLegend加载进内存中的依赖项,Windows操作系统采取延迟加载可执行文件

# 依赖项的方法,用来加快进程加载的速度。就是说Windows只在第一次用到该依赖项的

# 时候才加载相应的可执行文件到内存里面来。

 

# 另外,你可能会好奇,有些DLL是所有Windows程序都依赖的,例如ntdll.dllkernel32.dll

# 为什么Windows不只在内存里面保留一份这些通用dll的备份呢?实际上,Windows在加

# 载一个程序的时候,是会将通用的DLL加载进进程的地址空间里面去的。但是这样不是会

# 造成内存浪费了吗?

# 不会的

# 32Windows之后,所有的进程访问到的都是虚拟内存,从进程的角度来看,它可以访

# 问到所有4G的内存,即0x000000000xFFFFFFFF都可以访问到。别急,操作系统会在

# 程序访问每个虚拟地址的时候将该地址转换或者说映射到物理内存地址。因此操作系统完

# 全可以在物理内存中只加载一份DLL备份,然后将所有进程的加载该DLL 的地址(虚拟

# 内存地址)映射到那唯一一份DLL备份加载的物理内存地址上。

# 这是所有的故事吗?

# 当然不是

# 因为DLL除了包含可以被其他程序调用的代码以外,还定义了很多的全局变量,这些全局

# 变量如果只有一个备份的话,那么所有使用这个DLL的进程岂不是会乱套。这就是为什么

# 我们的Windows可执行文件是有固定的格式的,这个格式将可执行文件中的代码和数据

# 分离开了,比如说代码就放在一个.text的段(section)里面,而数据就放在其他段里面,

# 这样Windows可以通过虚拟地址映射功能将代码和数据做分别的处理。

# 为了简便可执行文件操作,每一个可执行文件都指定了它希望加载到内存中的位置不要

# 忘记我们的进程可以访问到整个4G的地址空间,这就是下面第二列数字的意思(可执行

# 文件加载进内存的起始地址),第三列就是可执行文件在内存中的结束地址。当然会有两

# 个不同的DLL指定相同的首地址,这种情况下Windows会做其他相应的处理这是我后

# 面将要讲到的技术。

ModLoad: 00400000 004a6000   MyLegend.exe

ModLoad: 7c930000 7ca00000   ntdll.dll

ModLoad: 7c800000 7c92b000   C:/WINDOWS/system32/kernel32.dll

ModLoad: 77e10000 77ea0000   C:/WINDOWS/system32/USER32.dll

ModLoad: 77bd0000 77c19000   C:/WINDOWS/system32/GDI32.dll

ModLoad: 77f30000 77fdb000   C:/WINDOWS/system32/ADVAPI32.dll

ModLoad: 77c20000 77cbf000   C:/WINDOWS/system32/RPCRT4.dll

ModLoad: 76eb0000 76ec3000   C:/WINDOWS/system32/Secur32.dll

# 这里Windbg列出了进程被中断执行的原因,下面说明了程序被中断的原因是因为碰到断

# 点了,断点的异常代码是80000003,这个代码和后面的first chance将会在后面的SHE

# 面讲到。

(b28.b2c): Break instruction exception - code 80000003 (first chance)

# 列出了当前CPU各个寄存器的值

eax=76f00000 ebx=7ffd5000 ecx=00000006 edx=00000040 esi=7c9b77f4 edi=0062d080

eip=7c94a3e1 esp=0012fb70 ebp=0012fcb4 iopl=0         nv up ei pl nz na po nc

cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000202

# 进程中断时,当前线程正在执行的函数名,感叹号前面是函数所在的可执行文件名称,后# 面就是函数名啦,这里我们可以看出,Windows使用DbgBreakPoint函数在进程里面设置

# 断点。

ntdll!DbgBreakPoint:

# 进程中断时,当前正在执行的程序指令,第一列是程序指令在内存中的地址,第二列是程

# 序指令的二进制表现形式,而后面的则是程序指令的反汇编。INT 3Intel兼容的CPU

# 断程序执行的特殊指令,实际上在Intel兼容的CPU上,所有的断点都是用下面这个指令

# 实现的。

7c94a3e1 cc              int     3

 

知平软件
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Windbg分析dump文件定位软件异常的方法!
肖邦的夜曲的专栏
09-26 6005
1、前言 Windbg是微软开发的在Windows平台下强大的用户态和内核态调试工具,是Windows系统排查软件异常的一大利器,使用Windbg能极大的提高我们排查问题的效率,Windbg可以快速分析出软件崩溃、死循环、死锁等多种异常。 很多时候,如果仅仅通过排查代码或者添加打印去排查软件的异常崩溃,效率会很低,特别是代码量比较大的大项目,查起来会更加费劲。并且有些软件异常不是必现的或很难复现的,更不利于问题的排查。我们可以在工程代码中引入谷歌的CrashReport库,给软件安装异常捕获机制,当
Windows下利用Windbg 分析dump
08-10 565
分析生成的dump文件需要如下: 编译程序时生成的PDB,如果是release版本:   需要禁用优化 - VS - Project Property - C/C++ Optimization - Release - Optimization - Disabled  启用生成调试信息 - VS - Project Property - Linker - Debugging - Gene
搬运! Windbg调试命令详解
TTdreamloong的博客
02-07 2804
转载注明>>【作者:张佩】【原文:http://www.yiiyee.cn/Blog】 1. 概述 用户成功安装微软Windows调试工具集后,能够在安装目录下发现四个调试器程序,分别是:cdb.exe、ntsd.exe、kd.exe和Windbg.exe。其中cdb.exe和ntsd.exe只能调试用户程序,Kd.exe主要用于内核调试,有时候也用于用户态调试,上述三者的一个共同特点是,都只有控制台界面,以命令行形式工作。 Windbg.exe在用户态、内核态下都能够发挥调试功能,尤其.
电脑蓝屏 求各位大佬帮助分析一下原因
m0_64931011的博客
11-13 2919
装了一块新硬盘 和罗技的驱动就开始蓝屏了 打游戏打一半就蓝屏 求求各位大佬帮帮孩子吧
windbg 命令输出到log文件
mergerly的专栏
08-06 4414
windbg的log功能,可以记录你在调试程序时输入的每一条命令以及其对应的输出。   用法如下: 第一步:开启日志记录 .logopen d:\dbglog.txt 第二步:用命令或通过菜单输入调试命令,观察输出结果 kb 第三步:关闭日志记录 .logclose 之后,就可以去查看log文件了,也可以用命令打开.logfile 。
利用windbg分析dump文件(一)安装与配置
stwstw0123的专栏
08-15 658
<br />ref : http://blog.sina.com.cn/s/blog_4b1ee333010005n7.html<br /> 利用windbg分析dump文件(一)安装与配置<br />windbgwindows下一个分析调试的工具,功能非常强大。这里主要记录利用windbg来分析windows蓝屏时所产生的内存转储文件*.dmp。<br />1,下载:<br />http://www.microsoft.com/whdc/devtools/debugging/default.mspx<b
windbg获取打印
weixin_30454481的博客
09-25 248
经常有QT MFC程序调用动态库无法查看内部打印 解决办法: 文件头部定义: #define UseDebugView #ifdef UseDebugView char g_Debug[256]; #endif 在需要打印的地方使用: #ifdef UseDebugView sprintf_s(g_Debug, 256, "啊啊啊啊啊啊啊啊啊啊啊啊啊啊\n"); Ou...
WinDBG实时打印Windows驱动或者内核信息的方法
wing的专栏
07-11 1万+
当我们用WinDBG调试Windows驱动或者内核时,总是需要查看相关Log信息,那么如何在WinDBG中实时打印Windows驱动或者内核信息呢? Windows驱动包提供了驱动或者内核打印接口:DbgPrintEx. 对于KMDF驱动,对应的打印接口是KdPrint或者KdPrintEx,其实这两个接口是DbgPrintEx的特殊类型或者特殊定义而已。 对于UMDF驱动,没有专门的打
WinDbg.rar_windbg版本
07-15
在“WinDbg.pdf”文档中,你将找到关于如何使用这些功能的详细指导,包括设置调试会话、使用基本和高级命令、理解和解释调试输出,以及如何结合其他工具和技巧来优化调试过程。对于开发人员、系统管理员和IT专业人员...
WinDbg 测试用例
03-08
同时,与内存转储文件(DMP)结合使用,WinDbg可以分析离线的崩溃信息,这对于远程服务器或无法实时调试的环境尤其有用。 在学习和使用WinDbg的过程中,05-WinDbgTest-master这个压缩包文件很可能是包含了一些示例...
WinDBG命令行大全
09-07
- `.echo`: 打印出指定的文字信息,用于调试时的信息输出。 - `.quit` 或 `q`: 退出WinDBG。 2. **内存操作** - `d` 或 `du`: 显示内存中的数据,`d`用于十六进制显示,`du`用于ASCII显示。 - `dd`: 读取并显示...
windbg+Dbgview.rar
10-16
5. **学习资源**:由于压缩包名为"windbg+Dbgview.rar",我们可以推断其中可能包含了一些练习文件、示例代码或更深入的教程材料,对于学习和掌握这两款工具非常有帮助。 总的来说,掌握Windbg和Dbgview的使用技巧是...
WinDBG命令行大全.zip
04-11
下面将详细介绍WinDBG的一些核心命令及其应用。 1. **kdexts**:这是WindDBG的一组扩展命令,用于提供对内核模式调试的支持。例如,`!process`用于显示进程信息,`!thread`用于查看线程状态,`!analyze -v`则用于...
服务器文件剪切后蓝屏,帮忙分析一下蓝屏文件已上传 - 综合技术讨论大区 - 死性不改BBS - 网维行业自由、中立的技术与信息交流平台 - Powered by Discuz!...
weixin_28829629的博客
08-04 844
Loading Dump File [C:\Users\Administrator\AppData\Local\Temp\HZ$D.585.4128\192.168.1.84_2016.5.16.23.27.20.dmp]Mini Kernel Dump File: Only registers and stack trace are availableSymbol search path is:...
75.windbg-.printf(打印字符串)
hgy413的专栏
06-05 2128
.printf(打印字符串)
Windbg使用详解
热门推荐
dvlinker的技术专栏
10-07 2万+
本文详细介绍了Windows调试工具Windbg的使用。
Dump文件有三种:完整内存转储,内核内存转储,小内存转储。System Properties中的高级选项中可以看到这些设置。
kuangben2000的博客
04-09 3727
Dump文件有三种:完整内存转储,内核内存转储,小内存转储。System Properties中的高级选项中可以看到这些设置。 Windbg内核调试之四:Dump文件分析-爱码网 (likecs.com) Dump 文件分析很大程度上就是分析蓝屏产生的原因。这种系统级的错误算是Windows提示错误中比较严重的一种(更严重的还有启动黑屏等硬件或软件兼容性错误等等)。说它是比较严重,是因为毕竟Windows还提供了dump文件给用户分析,至少能比较容易的找到错误的原因。一般蓝屏要么是内核程序中的异常或
调试中常见Bug分析 – 内存错误(使用未初始化内存)
Donjuan的专栏
01-31 1万+
上次在MSDN论坛上看见一个网友问ZeroMemory的用处,问题里面说他在内存上分配了一个变量,但是在使用它调用一个函数的时候,系统报告Access Violation异常,但是加上ZeroMemory以后,就运行正常了,因此他想知道ZeroMemory的用处。 // 使用未初始化变量.cpp : Defines the entry point for the con
windbg查看调试信息
最新发布
07-28
回答: Windbg是一款强大的调试工具,可以用于查看和分析调试信息。在Windbg中,可以使用调试器命令窗口来输入调试程序命令并查看命令输出。这是我们进行调试时主要打交道的窗口。\[2\]此外,如果需要深入研究问题,还可以使用IDA反汇编工具来查看二进制文件中的汇编代码的上下文,以最直观地了解软件崩溃的原因。\[1\]对于静态分析dump文件,可以按照一般的步骤进行分析,具体的步骤可以参考一篇详细的文章,如《使用Windbg静态分析dump文件的一般步骤详解》。\[3\]总之,Windbg是一个功能强大的调试工具,可以帮助我们查看和分析调试信息。 #### 引用[.reference_title] - *1* *3* [Windbg使用详解](https://blog.csdn.net/chenlycly/article/details/120631007)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [Windbg调试(使用方法)](https://blog.csdn.net/qq_34754747/article/details/105230294)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值