半路出家windbg(先搞清楚自己分析出来的参数都是什么意思)

最新推荐文章于 2024-06-07 09:53:26 发布
最新推荐文章于 2024-06-07 09:53:26 发布
阅读量3.4k 收藏 3
点赞数 1
分类专栏: windbg 文章标签: Windbg小试一波
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ma_Hong_Kai/article/details/83658522
版权

 

符号路径下载:(第一次 .reload 时间比较长)

SRV*C:\Symbols* http://msdl.microsoft.com/download/symbols

// 我改的是D盘

一、先试一下 

加载符号表后,输入!analyze  -v

————————————————————————————————————————

————————————————————————————————————————————————————————

 

点击红色框中的蓝色的(或者直接看下面的  读 00 00 00 a2  的 时候出错)

 

————————————————————————————————————————————————————————

————————————————————————————————————————————————————————

 

然后看到一大波参数,懵逼

 

二、各个参数的详解

FAULTING_IP : 错误的IP(IP就是EIP,即出错的指令地址,指出发生错误时所执行的指令)

EXCEPTION_RECORD:异常记录(很重要的信息,记录崩溃的信息。可以看到异常地址,异常代码以及具体的异常原因“尝试读取地址00000000”。)

ExceptionAdddress: 异常地址; 中断地址

ExceptionCode: 异常码

AccessViolation:非法访问

ExceptionFlag:异常标志(1,表示不可继续的异常  0,表示可继续的异常

DEFAULT_BUCKET_ID:指出错误的类型(比如NULL_POINTER_READ、DRIVER_FAULT、NULL_CLASS_PTR_DEREFERENCE   )

BUCKET_ID:当前故障属于的特定类型的故障

         读取地址 00 00 00 a2 (第二个参数)的时候出错。

二、STACK_TEXT(从后往前看)

栈文本信息:(STACK_TEXT: //反映了错误前堆栈中函数调用情况,)

最后一列容易理解,是模块+函数,那前面还有5列数字,表示什么呢?

第一列表示函数调用时的EBP,

第二列表示函数的返回地址,

后三列则是函数的参数

STACK_COMMAND:  ~2s; .ecxr ; kb (kb 显示调用前三项栈 .excer 结合当前例外显示例外环境记录(寄存器))

FOLLOWUP_IP: //反汇编了发生错误指令的代码
EstLog!_output_l+98f [f:\dd\vctools\crt_bld\self_x86\crt\src\output.c @ 1643]  /

/搜索了整个电脑,只有在安装VS的时候用,应该是写的戴拿调用所以output.c哪里出错了
0037ddb7 803800          cmp     byte ptr [eax],0]

 

SYMBOL_STACK_INDEX:  0

SYMBOL_NAME:  estlog!_output_l+98f

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: EstLog

IMAGE_NAME:  EstLog.exe

DEBUG_FLR_IMAGE_TIMESTAMP:  5bd9773b

FAILURE_BUCKET_ID:  NULL_CLASS_PTR_DEREFERENCE_c0000005_EstLog.exe!_output_l

BUCKET_ID:  APPLICATION_FAULT_NULL_CLASS_PTR_DEREFERENCE_INVALID_POINTER_READ_estlog!_output_l+98f

Ma_Hong_Kai
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
使用Windbg分析dump文件的一般步骤及要点详解
dvlinker的技术专栏
05-25 4万+
通过一个问题实例详细讲解使用Windbg静态分析dump文件的完整过程。
使用WinDbg调试程序异常和死锁等问题
log103628的博客
08-14 152
一、在使用WinDbg调试之前,我们使用VS的调试功能   1、文件 -> 打开 -> 文件 -> 打开Dump文件      2、调试 -> 选项 -> 调试 -> 符号 -> 添加该应用的.pdb所在的文件夹   3、使用 仅限托管 进行调试   正常情况下会执行到抛出异常的位置,并且显示异常详情。 二、WinDbg 下载路径:htt...
探索现代调试艺术:WinDbg Preview 开源工作坊
最新发布
gitblog_00032的博客
06-07 271
探索现代调试艺术:WinDbg Preview 开源工作坊 在Windows开发者和黑客的世界里,工具的选择至关重要。然而,许多人依然坚持使用传统工具如OllyDbg和Immunity Debugger进行二进制分析。现在是时候打破旧习惯,拥抱全新的WinDbg Preview了。这个开源项目提供了DEFCON 27的实战工作坊材料,旨在提升你的Windows 10系统中二进制分析的技能水平。 项...
windbg抓一个windows蓝屏分析
独行猫a 的沉淀、积累、总结。天天学习,好好向上...c/c++,嵌入式 linux,Android,HarmonyOS)
01-30 1万+
设备一直以来挺稳定,但还是小概率事件意外出现某设备突然蓝屏了。查看windows事件查看器提示计算机已经从检测错误后重新启动。检测错误: 0x0000009f (0x0000000000000003, 0xffffad0f4edc7570, 0xfffff8046a09ec20, 0xffffad0f4ef318a0)。已将转储的数据保存在: C:\Windows\MEMORY.DMP。
windbg分析崩溃dmp
liaozhilong88的博客
06-06 4210
我们收集了程序崩溃的dump文件,然后将dump文件拖拽到windbug下,然后依次如下命令:1.设置符号路径:.sympath srv*C:\symbols*http://msdl.microsoft.com/download/symbols;C:\crash\pdb; 备注:C:\crash\pdb 是自己程序的pdb的符号路径。2.键入:.reload,             让win...
windbg入门教程之异常报告深入解读
Keep Moving~
09-19 4285
软件异常 异常,顾名思义是指不符合预期的时间发生,由应用程序和操作系统抛出的异常叫做软件异常。 当然我们均不希望发生这些软件异常,但在实际中却常常会遇到因为不良编码导致的异常,比如访问了空指针、访问非法地址、解析json字符串异常等等。 异常处理 为了应对异常,window系统提供了一些API用于获取异常、处理或者控制异常, 为了理解后续的异常信息,我们了解三个关于异常的API函数: GetE...
!analyze 扩展
风雨无阻 http://blog.csdn.net/ShineOrRain
02-23 1429
本文转自:http://hi.baidu.com/litomboy/item/1332cb96a8ac67f128164727   调试一个当机的目标计算机或应用程序,第一步是使用 !analyze 扩展命令。 该扩展执行大量的自动分析分析结果在调试器命令窗口中显示。 若要数据的全冗长模式显示,你应该使用 -v 选项。关于其他选项更多细节,详见 !analyze 参考页。
蓝屏总结(一) ——基本分析方法
VinWqx的博客
07-20 1万+
目录 一、蓝屏造成原因 二、通常的排查步骤 三、Debug步骤 四、使用Driver Verifier进行排查 五、Debug示例 1、分析示例 1 2、分析示例 2 一、蓝屏造成原因 关于停止错误(蓝屏或者错误检查)没有简单的解释,包含很多因素,目前大量研究表明停止错误通常不是由微软Windows组件导致的,而是厂商的硬件驱动或者三方软件的驱动,包括声卡、无线网卡、安全程序等等。 crash的根因一般都是由三方驱动代码引起的,另外一小部分是硬件问...
使用Windbg解析dump文件
热门推荐
沧海一粟的专栏
12-28 7万+
第一章 常用的Windbg指令 ①!analyze -v  ②kP                            可以看函数的入参 ③!for_each_frame dv /t         可以看函数中的局部变量 ④dc                            产看某一内存中的值    可以直接接变量名 不过可能需要回溯栈 ⑤!threads
Windbg调试二)Windows下c++程序崩溃问题定位
bajianxiaofendui的博客
12-27 1万+
Windows下c++程序崩溃问题定位一,WinDbg调试虚拟地址 = pe头文件大小 + 最佳装载地址 +相对虚拟地址1004ff19 = 10000000 + 最佳装载地址 + 0004ef19 -》最佳装载地址 = 0x1000二,地址偏移计算验证三,通过map文件定位程序崩溃代码行数      Windows下c++程序崩溃问题定位主要依赖...
windbg-x64 dump分析工具
01-16
Windbg是在windows平台下,强大的用户态和内核态调试工具。相比较于Visual Studio,它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大。它的另外一个用途是可以用来...
WinDbg蓝屏分析.docx
12-10
WinDbg蓝屏分析.docx
WinDbg调试工具,dump文件分析工具
07-07
WinDbg调试工具是微软开发的一款强大的调试器,主要用于对Windows操作系统进行系统级的调试,尤其是在分析和解决蓝屏(Blue Screen of Death, BSOD)问题时,它扮演着至关重要的角色。通过阅读和分析dump文件,...
Windbg抓取分析DMP文件
03-22
Windbg抓取分析DMP文件,方便新手熟练使用Windbg抓取分析常见崩溃问题
蓝屏dump分析教程 使用WinDbg分析工具.docx
09-27
蓝屏dump分析教程 使用WinDbg分析工具 WinDbg是一款功能强大的用户态和内核态调试工具,能够通过dmp文件轻松地定位到问题根源。使用WinDbg可以分析蓝屏、程序崩溃(IE崩溃)原因,是我们日常工作中必不可少的一个...
windbg-> !analyze -v 信息详解
a3125504x的博客
09-13 1万+
当下面的命令行运行出现!analyze-v(常用的一个分析命令)蓝色命令时,点击它就将得到DMP文件详细的信息。从中找到蓝色字母部分就是什么软件引起的蓝屏了。【以上来自《电脑爱好者》24期】 下面是一段例子: Dump文件的分析     当按上面的方法运行后,windbg输出了以下内容: *** Fatal System Error: 0x000000d1
Windbg蓝屏故障排除
weixin_33682790的博客
01-15 1649
最近蓝屏的朋友不少,其解决方法无过于提供蓝屏代码、截屏或提供dump文件。其实蓝屏的关键问题在于找到引发蓝屏故障的文件,找到文件后按图索骥来排除故障。这里不推荐提供蓝屏代码的方法,因为不同原因会引起相同代码的蓝屏而且坦言之俺经常见到的代码一般不在所谓的代码大全里,搜索引擎一搜一大片但故障源五花八门,令人眼花缭乱。今天俺推荐大家使用微软出品的Windbg结合dump来进行蓝屏故...
解决NullPointerException的全面指南
奇妙的Bug之旅
12-04 546
总的来说,解决NullPointerException需要我们对代码进行仔细的审查,找出可能导致null值的地方,并采取适当的措施来防止这种情况的发生。同时,Java 8引入的Optional类也为处理可能为null的值提供了一种更优雅、更安全的方式。在上面的例子中,我们使用了Optional类来包装可能为null的字符串。然后,我们可以使用isPresent()方法来检查字符串是否存在,如果存在,我们可以使用get()方法来获取它。在上面的例子中,我们创建了一个null的字符串对象,然后尝试调用它的。
三次蓝屏对内核崩溃日志的分析记录
无情的搬砖人的Blog
10-30 8437
下面的所有内容都是WinDBG的输出内容 //后跟的所有内容都是针对下一行具体项的具体解释 Microsoft ® Windows Debugger Version 6.12.0002.633 AMD64 Copyright © Microsoft Corporation. All rights reserved. Loading Dump File [C:\Windows\Minidump\103021-8359-01.dmp] Mini Kernel Dump File: Only register
windbg分析dmp 时STACK_TEXT什么意思
06-03
Windbg中,当分析dmp文件时,STACK_TEXT是一个常用的命令,用于显示当前线程的函数调用堆栈。其中,STACK_TEXT命令会显示每个函数调用的返回地址、调用地址以及函数名等信息,以帮助我们了解程序崩溃时的执行流程。 STACK_TEXT命令会显示当前线程的函数调用堆栈,其中每一行显示了一个函数调用的信息。具体来说,每一行的格式如下: ``` ReturnAddress CallSite FunctionName+Offset ``` 其中,ReturnAddress表示该函数调用的返回地址,CallSite表示该函数被调用的地址,FunctionName表示该函数的名称,Offset表示该函数名称中的偏移量。 通过查看STACK_TEXT命令输出的信息,我们可以了解程序在崩溃前的执行流程,从而更好地理解程序的问题所在。例如,可以查看函数调用序列,查找代码中的错误。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ma_Hong_Kai

微信 2936729162

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值