半路出家windbg(先搞清楚自己分析出来的参数都是什么意思)

最新推荐文章于 2024-06-07 09:53:26 发布
最新推荐文章于 2024-06-07 09:53:26 发布
阅读量3.4k 收藏 3
点赞数 1
分类专栏: windbg 文章标签: Windbg小试一波
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ma_Hong_Kai/article/details/83658522
版权

 

符号路径下载:(第一次 .reload 时间比较长)

SRV*C:\Symbols* http://msdl.microsoft.com/download/symbols

// 我改的是D盘

一、先试一下 

加载符号表后,输入!analyze  -v

————————————————————————————————————————

————————————————————————————————————————————————————————

 

点击红色框中的蓝色的(或者直接看下面的  读 00 00 00 a2  的 时候出错)

 

————————————————————————————————————————————————————————

————————————————————————————————————————————————————————

 

然后看到一大波参数,懵逼

 

二、各个参数的详解

FAULTING_IP : 错误的IP(IP就是EIP,即出错的指令地址,指出发生错误时所执行的指令)

EXCEPTION_RECORD:异常记录(很重要的信息,记录崩溃的信息。可以看到异常地址,异常代码以及具体的异常原因“尝试读取地址00000000”。)

ExceptionAdddress: 异常地址; 中断地址

ExceptionCode: 异常码

AccessViolation:非法访问

ExceptionFlag:异常标志(1,表示不可继续的异常  0,表示可继续的异常

DEFAULT_BUCKET_ID:指出错误的类型(比如NULL_POINTER_READ、DRIVER_FAULT、NULL_CLASS_PTR_DEREFERENCE   )

BUCKET_ID:当前故障属于的特定类型的故障

         读取地址 00 00 00 a2 (第二个参数)的时候出错。

二、STACK_TEXT(从后往前看)

栈文本信息:(STACK_TEXT: //反映了错误前堆栈中函数调用情况,)

最后一列容易理解,是模块+函数,那前面还有5列数字,表示什么呢?

第一列表示函数调用时的EBP,

第二列表示函数的返回地址,

后三列则是函数的参数

STACK_COMMAND:  ~2s; .ecxr ; kb (kb 显示调用前三项栈 .excer 结合当前例外显示例外环境记录(寄存器))

FOLLOWUP_IP: //反汇编了发生错误指令的代码
EstLog!_output_l+98f [f:\dd\vctools\crt_bld\self_x86\crt\src\output.c @ 1643]  /

/搜索了整个电脑,只有在安装VS的时候用,应该是写的戴拿调用所以output.c哪里出错了
0037ddb7 803800          cmp     byte ptr [eax],0]

 

SYMBOL_STACK_INDEX:  0

SYMBOL_NAME:  estlog!_output_l+98f

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: EstLog

IMAGE_NAME:  EstLog.exe

DEBUG_FLR_IMAGE_TIMESTAMP:  5bd9773b

FAILURE_BUCKET_ID:  NULL_CLASS_PTR_DEREFERENCE_c0000005_EstLog.exe!_output_l

BUCKET_ID:  APPLICATION_FAULT_NULL_CLASS_PTR_DEREFERENCE_INVALID_POINTER_READ_estlog!_output_l+98f

Ma_Hong_Kai
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
使用Windbg分析dump文件的一般步骤及要点详解
dvlinker的技术专栏
05-25 4万+
通过一个问题实例详细讲解使用Windbg静态分析dump文件的完整过程。
windbg-x64 dump分析工具
01-16
Windbg是在windows平台下,强大的用户态和内核态调试工具。相比较于Visual Studio,它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大。它的另外一个用途是可以用来...
使用WinDbg调试程序异常和死锁等问题
log103628的博客
08-14 151
一、在使用WinDbg调试之前,我们使用VS的调试功能   1、文件 -> 打开 -> 文件 -> 打开Dump文件      2、调试 -> 选项 -> 调试 -> 符号 -> 添加该应用的.pdb所在的文件夹   3、使用 仅限托管 进行调试   正常情况下会执行到抛出异常的位置,并且显示异常详情。 二、WinDbg 下载路径:htt...
探索现代调试艺术:WinDbg Preview 开源工作坊
最新发布
gitblog_00032的博客
06-07 267
探索现代调试艺术:WinDbg Preview 开源工作坊 在Windows开发者和黑客的世界里,工具的选择至关重要。然而,许多人依然坚持使用传统工具如OllyDbg和Immunity Debugger进行二进制分析。现在是时候打破旧习惯,拥抱全新的WinDbg Preview了。这个开源项目提供了DEFCON 27的实战工作坊材料,旨在提升你的Windows 10系统中二进制分析的技能水平。 项...
windbg抓一个windows蓝屏分析
热门推荐
独行猫a 的沉淀、积累、总结。天天学习,好好向上...c/c++,嵌入式 linux,Android,HarmonyOS)
01-30 1万+
设备一直以来挺稳定,但还是小概率事件意外出现某设备突然蓝屏了。查看windows事件查看器提示计算机已经从检测错误后重新启动。检测错误: 0x0000009f (0x0000000000000003, 0xffffad0f4edc7570, 0xfffff8046a09ec20, 0xffffad0f4ef318a0)。已将转储的数据保存在: C:\Windows\MEMORY.DMP。
windbg分析崩溃dmp
liaozhilong88的博客
06-06 4209
我们收集了程序崩溃的dump文件,然后将dump文件拖拽到windbug下,然后依次如下命令:1.设置符号路径:.sympath srv*C:\symbols*http://msdl.microsoft.com/download/symbols;C:\crash\pdb; 备注:C:\crash\pdb 是自己程序的pdb的符号路径。2.键入:.reload,             让win...
windbg入门教程之异常报告深入解读
Keep Moving~
09-19 4282
软件异常 异常,顾名思义是指不符合预期的时间发生,由应用程序和操作系统抛出的异常叫做软件异常。 当然我们均不希望发生这些软件异常,但在实际中却常常会遇到因为不良编码导致的异常,比如访问了空指针、访问非法地址、解析json字符串异常等等。 异常处理 为了应对异常,window系统提供了一些API用于获取异常、处理或者控制异常, 为了理解后续的异常信息,我们了解三个关于异常的API函数: GetE...
!analyze 扩展
风雨无阻 http://blog.csdn.net/ShineOrRain
02-23 1429
本文转自:http://hi.baidu.com/litomboy/item/1332cb96a8ac67f128164727   调试一个当机的目标计算机或应用程序,第一步是使用 !analyze 扩展命令。 该扩展执行大量的自动分析分析结果在调试器命令窗口中显示。 若要数据的全冗长模式显示,你应该使用 -v 选项。关于其他选项更多细节,详见 !analyze 参考页。
DUMP文件分析4:栈溢出
hustd10的博客
07-31 6259
前面说到过,栈溢出类型的异常通过编程的方式获取DUMP可能不成功,因为栈溢出会破坏SEH(结构化异常处理)框架。实际上,通过DUMP文件来调试栈溢出同样是困难的,因为栈溢出本身一般不会造成异常,异常往往发生在栈溢出破坏栈上的数据之后,同时,由于栈溢出破坏了栈上的数据,使得我们无法对函数调用进行回溯,从而难以定位问题的发生位置。 本节的示例是经dump1简单修改而来,在Crash Me!按钮的消息处
蓝屏总结(一) ——基本分析方法
VinWqx的博客
07-20 1万+
目录 一、蓝屏造成原因 二、通常的排查步骤 三、Debug步骤 四、使用Driver Verifier进行排查 五、Debug示例 1、分析示例 1 2、分析示例 2 一、蓝屏造成原因 关于停止错误(蓝屏或者错误检查)没有简单的解释,包含很多因素,目前大量研究表明停止错误通常不是由微软Windows组件导致的,而是厂商的硬件驱动或者三方软件的驱动,包括声卡、无线网卡、安全程序等等。 crash的根因一般都是由三方驱动代码引起的,另外一小部分是硬件问...
ServiceStack.Text-master 源码
07-27
ServiceStack.Text-master 源码ServiceStack.Text-master 源码
WinDbg蓝屏分析.docx
12-10
WinDbg蓝屏分析.docx
WinDbg调试工具,dump文件分析工具
07-07
WinDbg调试工具是微软开发的一款强大的调试器,主要用于对Windows操作系统进行系统级的调试,尤其是在分析和解决蓝屏(Blue Screen of Death, BSOD)问题时,它扮演着至关重要的角色。通过阅读和分析dump文件,...
Windbg抓取分析DMP文件
03-22
Windbg抓取分析DMP文件,方便新手熟练使用Windbg抓取分析常见崩溃问题
蓝屏dump分析教程 使用WinDbg分析工具.docx
09-27
蓝屏dump分析教程 使用WinDbg分析工具 WinDbg是一款功能强大的用户态和内核态调试工具,能够通过dmp文件轻松地定位到问题根源。使用WinDbg可以分析蓝屏、程序崩溃(IE崩溃)原因,是我们日常工作中必不可少的一个...
如何用WinDbg帮你诊断应用程序或系统故障
兼职猎人的专栏
08-10 7684
如何用WinDbg帮你诊断应用程序或系统故障     1 关于WinDbg.. 2 1.1 简介... 2 1.2 安装... 2 2使用基础.... 3 2.1 配置Symbols路径... 3 2.2 基础命令... 3 2.3 Attach方式——在线调试... 6 2.4 Dump 方式——离线分析... 7 2.5 双机联调... 9 3 典型案例..
windbg调试-----基本调试方法
windows 驱动 反汇编 逆向
03-25 2933
 基本语法:User-Mode !analyze [-v] [-f | -hang] [-D BucketID] !analyze -c [ -load KnownIssuesFile | -unload | -help ]-v 显示详细信息-hang        -show BugCheckCode  显示bugcheckid的相关信息 Kern
windbg分析dmp 时STACK_TEXT什么意思
06-03
Windbg中,当分析dmp文件时,STACK_TEXT是一个常用的命令,用于显示当前线程的函数调用堆栈。其中,STACK_TEXT命令会显示每个函数调用的返回地址、调用地址以及函数名等信息,以帮助我们了解程序崩溃时的执行流程。 STACK_TEXT命令会显示当前线程的函数调用堆栈,其中每一行显示了一个函数调用的信息。具体来说,每一行的格式如下: ``` ReturnAddress CallSite FunctionName+Offset ``` 其中,ReturnAddress表示该函数调用的返回地址,CallSite表示该函数被调用的地址,FunctionName表示该函数的名称,Offset表示该函数名称中的偏移量。 通过查看STACK_TEXT命令输出的信息,我们可以了解程序在崩溃前的执行流程,从而更好地理解程序的问题所在。例如,可以查看函数调用序列,查找代码中的错误。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ma_Hong_Kai

微信 2936729162

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值