在调用栈中挖掘异常指针

最新推荐文章于 2024-05-04 12:55:04 发布
最新推荐文章于 2024-05-04 12:55:04 发布
阅读量3.2k 收藏
点赞数
分类专栏: 调试 文章标签: 异常 WinDbg

原文地址:http://blogs.msdn.com/b/oldnewthing/archive/2006/08/21/710754.aspx

大家也许经常盯着调用栈,寻找捕捉到的异常以及在哪里发生的异常。

ChildEBP RetAddr  Args to Child
030c21d0 76df3448 00000000 030c6138 76db6b0d ntdll!DbgBreakPoint
030c21dc 76db6b0d 030c2204 77b8d585 030c220c ole32!PeekMessageExceptionFilter+0x42
030c21e4 77b8d585 030c220c 00000000 030c220c ole32!CCliModalLoop::MyPeekMessage+0x41
030c220c 77f36992 030c25d0 030c6128 030c22e8 msvcrt!_except_handler3+0x61
030c2230 77f36964 030c25d0 030c6128 030c22e8 ntdll!ExecuteHandler2+0x26
030c22d8 77f36884 030c1000 030c22e8 00010007 ntdll!ExecuteHandler+0x24
030c25b8 77f6e0dd 030c25d0 00000000 00000000 ntdll!RtlRaiseException+0x3d
030c262c 77d3c239 77d4a4b6 77d3e2c5 030c3767 ntdll!RtlDeactivateActivationContextUnsafeFast+0x233
030c2630 77d4a4b6 77d3e2c5 030c3767 030c26a0 USER32!UserCallWinProcCheckWow+0x167
030c2634 77d3e2c5 030c3767 030c26a0 77d4a46f USER32!_NLG_Return2
030c265c 77d3e288 030c57b4 ffffffff 030c2688 USER32!__local_unwind2+0x70
030c2688 77f36992 030c26f8 030c57b4 030c27a4 USER32!_except_handler3+0xd5
030c26ac 77f36964 030c26f8 030c57b4 030c27a4 ntdll!ExecuteHandler2+0x26
030c2a74 77b8d36d 030c6128 77b8d36d 00000000 ntdll!ExecuteHandler+0x24
030c2a9c 77b8d59d 030c6128 030c2ac0 00000000 msvcrt!__global_unwind2+0x18
030c2ac0 77f36992 030c2ba4 030c6128 030c2bc0 msvcrt!_except_handler3+0x75
030c2ae4 77f36964 030c2ba4 030c6128 030c2bc0 ntdll!ExecuteHandler2+0x26
030c2b8c 77f36796 030c1000 030c2bc0 030c2ba4 ntdll!ExecuteHandler+0x24
030c2b8c 77b7aa54 030c1000 030c2bc0 030c2ba4 ntdll!KiUserExceptionDispatcher+0xe
030c3300 77b7b4dc 030c3324 7715b1b4 00000000 msvcrt!_woutput_l+0x18

(大家可以从符号服务器上获取到需要的调试符号,如果你的磁盘空间上G的话,也可以一次下载全部的符号信息。不过即便你打包下载了符号信息,你还是得需要符号服务器。因为调试信息会随着系统文件的更新而相应更新。)

这里可以看到,PeekMessageExceptionFilter函数捕捉到了一个异常。那是什么异常?首先,异常过滤函数会被传入一个EXCEPTION_POINTERS结果作为参数。

typedef struct _EXCEPTION_POINTERS {
    PEXCEPTION_RECORD ExceptionRecord;
    PCONTEXT ContextRecord;
} EXCEPTION_POINTERS, *PEXCEPTION_POINTERS;

现在,我们看一下PeekMessageExceptionFilter的参数:

030c21dc 76db6b0d 030c2204 77b8d585 030c220c ole32!PeekMessageExceptionFilter+0x42

0:0000> dd 030c2204 l2
030c2204 030c25d0 030c22e8
         -------- --------
         .exr     .cxr

第一个值是ExceptionRecord的指针,第二个值是ContextRecord的指针。你可以通过输入命令.exr 030c25d0查看异常信息,还可以通过.cxr 030c22e8查看异常的上下文内容(比如,异常发生时在执行什么指令)。这两个值也作为ExecuteHandler2函数的第一和第三个参数出现。

(译注:.cxr实际上会执行切换上下文的操作。)


现在就用.exr 030c25d0看一下异常信息,异常代码是c015000f,正好是STATUS_SXS_EARLY_DEACTIVATION。切换到发生异常的上下文,调用栈显示如下:

ChildEBP RetAddr
030c262c 77d3c239 77d4a4b6 77d3e2c5 030c3767 ntdll!RtlDeactivateActivationContextUnsafeFast+0x233
030c2630 77d4a4b6 77d3e2c5 030c3767 030c26a0 USER32!UserCallWinProcCheckWow+0x167
030c2634 77d3e2c5 030c3767 030c26a0 77d4a46f USER32!_NLG_Return2
030c265c 77d3e288 030c57b4 ffffffff 030c2688 USER32!__local_unwind2+0x70
030c2688 77f36992 030c26f8 030c57b4 030c27a4 USER32!_except_handler3+0xd5
030c26ac 77f36964 030c26f8 030c57b4 030c27a4 ntdll!ExecuteHandler2+0x26
030c2a74 77b8d36d 030c6128 77b8d36d 00000000 ntdll!ExecuteHandler+0x24
030c2a9c 77b8d59d 030c6128 030c2ac0 00000000 msvcrt!__global_unwind2+0x18
030c2ac0 77f36992 030c2ba4 030c6128 030c2bc0 msvcrt!_except_handler3+0x75
030c2ae4 77f36964 030c2ba4 030c6128 030c2bc0 ntdll!ExecuteHandler2+0x26
030c2b8c 77f36796 030c1000 030c2bc0 030c2ba4 ntdll!ExecuteHandler+0x24
030c2b8c 77b7aa54 030c1000 030c2bc0 030c2ba4 ntdll!KiUserExceptionDispatcher+0xe
030c3300 77b7b4dc 030c3324 7715b1b4 00000000 msvcrt!_woutput_l+0x18

哇,在处理一个异常的时候又发生了另外一个异常。(碰巧这次在原来的调用栈里一眼就能看出来,但是通常情况下,找到后面的异常可能没那么容易。)

拿这个异常重复一次上面的练习: 
0:000> .exr 030c2ba4
ExceptionAddress: 77b7aa54 (msvcrt!_woutput_l+0x00000018)
   ExceptionCode: c00000fd (Stack overflow)
  ExceptionFlags: 00000000
NumberParameters: 2
   Parameter[0]: 00000001
   Parameter[1]: 030c2e88


0:000> .cxr 030c2bc0
eax=030c33b0 ebx=00000000 ecx=0000005c edx=00000000 esi=030c33c4 edi=030c33c4
eip=77b7aa54 esp=030c2e8c ebp=030c3300 iopl=0         nv up ei pl nz na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00010202
msvcrt!_woutput_l+0x18:
001b:77b7aa54 53          push    ebx

哈哈,原来SXS异常是由堆栈溢出引起的。在这个上下文里,你可以使用“k”命令查看是如何引发这个结果的。

这个bug是由于错误的递归导致的栈溢出引发的。当时线程正在为调用一个COM对象,等待它返回。而这个时候又收到了一个新的请求。问题的细节在这里并不重要;本文的目的就是展示如何在调用栈上挖掘异常指针,从中了解引发问题的Win32异常的信息。

FireBurn
关注
专栏目录
异常最初是在此调用栈中引发的_C#规范整理异常与自定义异常
weixin_39985472的博客
01-25 2946
这里会列举在C#中处理CLR异常方面的规范,帮助大家构建和开发一个运行良好和可靠的应用系统。前言  迄今为止,CLR异常机制让人关注最多的一点就是“效率”问题。其实,这里存在认识上的误区,因为正常控制流程下的代码运行并不会出现问题,只有引发异常时才会带来效率问题。基于这一点,很多开发者已经达成共识:不应将异常机制用于正常控制流中。达成的另一个共识是:CLR异常机制带来的“效率”问题不足以...
C语言精华:指针有害健康?
01-18 706
黑暗的内存 很多人对 C 语言深恶痛绝,仅仅是因为 C 语言迫使他们在编程中必须手动分配与释放内存,然后通过指针去访问,稍有不慎可能就会导致程序运行运行时出现内存泄漏或内存越界访问。 C 程序的内存泄漏只会发生在程序所用的堆空间内,因为程序只能在堆空间内动态分配内存。NULL 指针、未初始化的指针以及引用的内存空间被释放了的指针,如果这些指针访问内存,很容易就让程序挂掉。 除了堆空间,程序还...
记录一个诡异的函数调用返回错误的指针bug
popvip44的博客
05-30 431
//main.c#include "test.h" void main(){ S* s = get_struct_s(); printf("%s\n",s->name); return 0; }//test.h typedef struct S_{ ... char name[8]; } S;S* s_array[10]; //test.c #inc...
异常最初是在此调用栈中引发的:_眼见为实——异常堆栈信息去哪儿了?...
weixin_39870150的博客
12-11 415
异常堆栈丢失今天登陆服务器进行例行的检查,发现异常日志文件里有很多nullPointException,只有简单的异常名称,却没有堆栈信息。没有异常堆栈,无法定位错误,也就不能修改了。到网上搜索信息,原来大家也遇到过这样的问题。正确的解决方法是增加一个VM Options:-XX:-OmitStackTraceInFastThrow。这个参数的好处如下:“JVM对一些特定的异常类型做了Fast T...
C# 基础知识系列- 15 异常处理篇
菜鸡成长日记
05-05 954
0. 前言 为什么我们需要异常处理?什么是异常? 在汉语中,异常指非正常的;不同于平常的。翻译到程序中,就是指会导致程序无法按照既定逻辑运行的意外,或者说是错误。可能会有小伙伴好奇了,我们的程序不是正常的吗,为什么还会出错呢? 我来举几个例子: 程序需要访问一个文件,但这个文件不存在,当程序尝试打开一个读该文件的流时就会出错 成绩管理系统中,成绩需要一个浮点型的数字,但是输入的人错误的输入了其他...
函数指针调用与Thumb代码的问题
wenshifang的专栏
03-06 556
在验证一个RAM中执行函数时,遇到了MCU进入Hardfault错误的问题。 代码载入内存地址0x20003000之后,使用函数指针的方式跳转: typedef int (*func_call)(int, char **); void call_ram_func(void) { uint32_t *fun_base; func_call func; int argc = 2; char *argv[] = {""}; fun_base = (uint32_
log4j中的异常堆栈信息输出与解析
# 1. 引言 ## 1.1 介绍log4j 在软件开发过程中,日志记录是一项重要的任务。...异常堆栈信息是指在程序运行过程中发生错误时,系统会生成一份详细的错误信息,包括错误的位置、调用栈、异常类型等。这
动态调试技术在二进制漏洞挖掘中的作用
# 第一章:动态调试技术概述 ## 1.1 动态调试技术的基本原理 动态调试技术是指在程序...- 收集调试信息:动态调试工具可以收集程序执行过程中的各种调试信息,如函数调用栈、变量值等。 ## 1.2 动态调试技术在漏洞
漏洞挖掘技术综述与人工智能应用探索:从静态分析到深度学习,跨项目挑战与未来机遇_机器学习与人工智能算法在超深基坑监测中的应用(1)
最新发布
2401_84254087的博客
05-04 987
在网络安全和软件工程领域中,将机器学习应用于源代码漏洞挖掘是一种先进的自动化方法。综上所述,机器学习在漏洞挖掘领域的应用是一个,旨在通过智能化手段自动发现并定位潜在的安全漏洞,从而降低人工审计的成本并提高软件安全性。
cppcheck 自定义规则_单测生成技术在召回异常问题中的应用实践
weixin_42354933的博客
01-12 420
二 问题分析带着上面的疑问,本文对业界内现有异常测试手段在高成本、低召回这两个问题维度上进行了对比分析,对比结果如下表2.1所示。表2.1 业界常用异常测试手段缺点对比分析整体上看,当前的召回手段存在滞后性或成本高的问题,像基于压力测试的异常召回手段资源消耗较高,基于功能测试的异常召回手段除开发成本较高外,还存在异常场景不易构造等滞后性问题。基于单元测试和静态检查来发现代码问题已是这些手段中缺点相...
全局监听路由堆栈变化
老孟Flutter
09-17 796
老孟导读:很多时候我们需要监听路由堆栈的变化,这样可以自定义路由堆栈、方便分析异常日志等。 监听路由堆栈的变化使用 RouteObserver ,首先在 MaterialApp 组件中添加 navigatorObservers: void main() { runApp(MyApp()); } RouteObserver<PageRoute> routeObserver = RouteObserver<PageRoute>(); class MyApp extends ..
异常最初是在此调用栈中引发的:_吃透Java基础八:Throwable异常
weixin_39787628的博客
12-02 350
一:关于异常JAVA异常是在java程序运行的时候遇到非正常的情况而创建的对,它封装了异常信息。java异常的根类为java.lang.Throwable,整个类有两个直接子类java.lang.Error和java.lang.Exception。Error是程序本身无法恢复的严重错误,一般是虚拟机或者系统运行出现错误,和程序无关。Exception则表示可以被程序捕获并处理的异常错误。JVM用方...
多线程锁详解之【WaitForSingleObject】
qq492927689的博客
06-04 3708
WaitForSingleObject
我的shellcode之旅
如鹿渴慕泉水的专栏
03-27 1765
c代码 // !!!注意:文件后缀名为.c全名TcpKali.c #include<windows.h> #include<stdio.h> #include<string.h> //192, 168, 0, 12, 0x41为IP地址,端口号\x1e\x6c=>7788 unsigned char shellcode[] = { 0xFC, 0x48...
Win7下过盛*大Hack*Shield的部分驱动保护
o6108的专栏
06-22 5940
在Win7下很多XP的驱动都不适用了!前几个月研究了一下盛*大游戏的泡泡*堂的Hack*Shield驱动保护发现Hook了十多个内核函数,Ring 3和 Ring 0的双重保护,同时加了Themida的壳。 现在暂时发现钩住了以下函数: hook NtReadVirtualMemory hook NtWriteVirtualMemory Hook NtClose Hook NtProte
0xC015000F: 正被停用的激活上下文不是最近激活的。
热门推荐
02-20 1万+
问题: 在Win7下编译的程序在XP上无法运行,或者在xp下编译的程序在vista、win7下无法运行。 错误异常  0xC015000F: 正被停用的激活上下文不是最近激活的。 0xC015000F: The activation context being deactivated is not the most recently activated one. 解决方法:
异常最初是在此调用栈中引发的_Java中的try-with-resources语句
weixin_33648352的博客
01-26 279
介绍try-with-resources是tryJava中的几条语句之一,旨在减轻开发人员释放try块中使用的资源的义务。它最初是在Java 7中引入的,其背后的全部想法是,开发人员无需担心仅在一个try-catch-finally块中使用的资源的资源管理。这是通过消除对finally块的需要而实现的,实际上,开发人员仅在关闭资源时才使用块。此外,使用try-with-resources的代码通常...
0xC015000F:正被停用的激活上下文不是最近激活的
u011635349的专栏
01-26 2506
问题: 在Win7下编译的程序在XP上无法运行,或者在xp下编译的程序在vista、win7下无法运行。 错误异常  0xC015000F: 正被停用的激活上下文不是最近激活的。 0xC015000F: The activation context being deactivated is not the most recently activated one. 解决方法:
0xC015000F 正在被停用的激活上下文不是最近激活的”错误解决方法
memeai的专栏
01-15 1415
转载:0xC015000F 正在被停用的激活上下文不是最近激活的”错误解决方法   程序在windowsXP和Windows7 32系统下运行的好好的,今天装了一个windows7 64位系统(说明,程序本身还是32位开发的),运行时出现“0xC015000F 正在被停用的激活上下文不是最近激活的”这个错误,找了好长时间才解决,下面总结如下: 网上提到较多的方法是在调用CWinApp::In...
run 方法中调用service空指针异常
07-14
在run方法中调用service时出现空指针异常可能有以下几种原因: 1. service对象未实例化:确保在调用service对象之前,已经对其进行了实例化。可以使用new关键字或者依赖注入的方式来创建service对象。 2. service对象未初始化:如果service是一个成员变量或者依赖注入的对象,确保在调用run方法之前,已经对service进行了正确的初始化。可以在构造函数或者其他初始化方法中对service进行赋值操作。 3. service对象被销毁:如果service是一个被管理的组件,例如使用Spring框架进行管理,确保在调用run方法之前,service对象没有被意外销毁。可以通过查看相关的生命周期管理代码来确认。 4. service对象的引用为空:检查调用run方法时传入的service参数是否为空。可以在调用run方法之前添加断点或者打印日志来确认传入的参数是否正确。 如果以上方法都没有解决问题,建议检查整个代码流程,确认是否存在其他导致空指针异常的原因。可以使用调试工具逐步跟踪代码执行过程,定位具体的问题所在。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值