获取和分析Dump的几种工具简介

最近在进一步学习support技能的时候，了解到分析Dump的重要性，经过学习，做一些笔记。

一、什么是Dump文件。
Dump文件时进程的内存镜像。可以把程序的执行状态保存到Dump文件中。Dump文件分为内核模式Dump和用户模式Dump。其中内核模式Dump是操作系统创建的崩溃转储，例如蓝屏Dump。而在我们调试或Troubleshooting过程中使用的Dump是用户模式Dump，又分为Full Dump和Mini Dump。Full Dump包含了某个进程完整的地址空间数据，以及许多用于调试的信息。而Mini Dump根据需要可以包含不同的信息，有的可能只包含某个县城和部分模块的信息。

二、创建Dump的方法和工具
1.任务管理器。
在Windows Server 2008以上版本的系统中，可以利用任务管理器直接创建Dump。方法是打开任务管理器->右键目标进程->Create Dump File，就可以创建出Dump文件了。这个方法不常用，据说因为会涉及到32位和64位环境对内存寻址的影响。

2.ProcDump.exe
ProcDump是一个可以用于诊断多种问题的命令行工具，它可以在没有任何异常发生的时候， 捕获Dump用于分析。它最大的特点是可以针对CPU使用率来筛选捕获Dump，这个功能在处理间歇性问题时有奇效。比如系统或App没有发生crash或hang，但是在某个阶段中CPU占用率超高，这个时候就可以用ProcDump来设置条件捕获Dump用于找出哪个进程是造成CPU占用率高的原因。

ProcDump的下载地址为ProcDump下载及介绍 ，在同一页中还有对于ProcDump的命令的详细说明。

如图是一个实际使用的例子，在cmd窗口，进入ProcDump.exe文件夹，输入命令procdump.exe -ma 6612， 就可以获取Process ID为6612的Full Dump文件。

再例如命令：
procdump -ma -c 50 -s 3 -n 2 5844(Process Name or PID)
-ma 生成full dump, 即包括进程的所有内存. 默认的dump格式包括线程和句柄信息.
-c 在CPU使用率到达这个阀值的时候, 生成dump文件.
-s CPU阀值必须持续多少秒才抓取dump文件.
-n 在该工具退出之前要抓取多少个dump文件.

对于ProcDump的进一步了解可以阅读下载页面上的介绍，也可以参照介绍一个好用的抓取dump的工具-ProcDump

3.DebugDiag 2 collection
这是Debug Diagnostics Tools 2中的收集Dump的工具，这个Tools里面还有DebugDiag 2 analysis可以用于Dump文件的分析，我们在后面会提到。

DebugDiag下载地址为DebugDiag 下载。它可以在App发生Crash或Hang时，自动转存Dump文件用于分析。DebugDiag collection的使用是通过设置rule来自动抓取Dump文件。也可以手动抓取Process的Dump文件。其具体操作可以参照DebugDiag简介

三、Dump文件分析工具
1.DebugDiag 2 analysis。这个就是上文中提到的Debug Diagnostics Tools 2 中的一部分，用于分析Dump。这个工具操作起来比较傻瓜式，不许要过多输入命令，只需要将Dump文件导入就会自动出现分析结果。

打开Debugdiag工具，在Tools->Options and Settings->Folders and Search Paths->Symbol Search Path For Analysis里填入：
SRVf:\localsymbolshttp://msdl.microsoft.com/download/symbols
其中f:\localsymbols可以用硬盘中的目录替代，http://msdl.microsoft.com/download/symbols是微软公用symbol的URL，不用改变。

在Advanced Analysis页中，选择Crash/Hang Analyzers，并点击Add Files…按钮选择生成出的dump文件（后缀名为.dmp）。Debugdiag会因此分析dump文件并产生报告。

2.WinDbg
WinDbg也是微软公司的用于软件开发调试的工具，在分析Dump文件领域受到广泛的使用。其下载地址为官方下载地址，其是一个SDK中的一个组成部分，也可以百度之进行单独下载。

WinDbg下载后应该是一个msi文件，在win7版本以上操作系统中可以直接双击安装。安装后在开始菜单中就可以选择WinDbg使用了。

在使用WinDbg时第一步需要做的就是设置符号文件的位置。符号路径设置：
[File]-[Symbol File Path]或直接快捷键Ctrl+S在弹出的窗口中输入你的符号路径，路径的格式只要符合Windows操作系统路径格式即可，路径可以多个，中间以分号间隔，d:\symbols\win2k3_en；
Windbg可以自动到Microsoft的服务器上下载符号表文件（.dbg或.pdb，有时DLL和EXE也会下载），只要在符合表路径里做如下设置：srvd:\symbolslocalhttp://msdl.microsoft.com/download/symbols，这样如果相关符号表在d:\symbolslocal目录没有找到的话，Windbg会自动在Microsoft的Symbol Servers上下载。

如果你是调试自己的应用程序的话，建议你将自己应用程序的*.pdb文件的路径放在前面这样对Windbg来说查找起来比较快。如：在windbg的file/symbol file path对话框里输入以下文字，以便自动加载和下载符号C:\WINDOWS\Symbols;d:\Program Files\Microsoft Visual Studio 8\SDK\v2.0\symbols;.sympath SRVd:\localsymbolshttp://msdl.microsoft.com/download/symbols

更多关于安装和配置WinDbg的symbol可以参考链接。

在命令行中配置好symbol之后，需要用到!sym noisy和.reload命令

然后就可以根据需求在菜单中选择需要进行的操作了

由于WinDbg相比于DebugDiag而言没有那么一键操作，因此还需要用到命令行来进行分析，主要的命令是!analyze -v用于自动分析指令。此外还有许多命令，需要在以后的学习中进一步掌握。可以参考的资料有windbg分析dump操作流程以及使用Windbg解析dump文件