windbg分析dump操作流程

最新推荐文章于 2024-05-21 17:31:26 发布
最新推荐文章于 2024-05-21 17:31:26 发布
阅读量2.8k 收藏 5
点赞数 1
分类专栏: Windbg调试 文章标签: Windbg

https://blog.csdn.net/u010275850/article/details/73435545

1、加载pdb:
.reload /i /f

2、查看pdb是否加载成功:
lm

3、自动分析指令(通常分析出的是主线程的堆栈)
!analyze -v

此时通过分析出的堆栈去找有无kernel32!UnhandledExceptionFilter信息
如果有,则此堆栈(主线程堆栈)为异常堆栈;
如果没有,则需查看所有线程堆栈:


4、查看所有线程堆栈:
~*kb

同理去找有无kernel32!UnhandledExceptionFilter信息堆栈

如果有,则此堆栈为异常堆栈;


图示异常出现在3号线程中

注:如果查看到的堆栈都是显示如下的信息:


则表明需要将windbg切换到32位模式,才能分析,指令如下:

    .load wow64exts
    !sw

5、找到异常堆栈分析,切换到异常堆栈的线程ID;
   查看该线程(3号线程)的堆栈:
eg:
0:000> ~3s


6、dd [Args to Child的第一个参数(该例子中是0329e7b0)] (指令是d, 第二个d表示是DWORD:双字,表示4字节数据格式)
   第一个参数指向了_EXCEPTION_POINTERS结构体

注:_EXCEPTION_POINTERS的定义如下:

    typedef struct _EXCEPTION_POINTERS {
        PEXCEPTION_RECORD ExceptionRecord;
        PCONTEXT ContextRecord;
    } EXCEPTION_POINTERS, *PEXCEPTION_POINTERS;

 

eg:
0:003> dd 0329e7b0
00000000`0329e7b0  0329f3f0 00000000 0329ef00 00000000
00000000`0329e7c0  76f60000 00000000 0329f3f0 00000000
00000000`0329e7d0  00000000 00000000 76f8c541 00000000
00000000`0329e7e0  0329a000 00000000 76f89d2d 00000000
00000000`0329e7f0  032a0000 00000000 0329f830 00000000
00000000`0329e800  0329f830 00000000 770a2dd0 00000000
00000000`0329e810  0329e8b0 00000000 76f791cf 00000000
00000000`0329e820  032a0000 00000000 76f4dda0 00000000


7、.cxr [dd结果的第二个参数,此例中为0329ef00]  -重建堆栈(查看结构体中的PCONTEXT成员)


可以看到他的错误堆栈信息和windows捕捉到的是一致的


8、.exr [dd结果的第一个参数,此例中为0329f3f0] (查看结构体中的 PEXCEPTION_RECORD成员)

 

 

9、kv 查看程序崩溃前调用的最后堆栈信息 【需执行完上述8步后】

 

如果在上述第四步后仍未发现没有任何异常错误堆栈信息,此时有可能是线程之间死锁了
可通过以下指令查看
5、!locks 【需加载相应的windows pdb文件】


6、然后通过死锁的线程id:7d8去 ~*kb里面寻找该线程的堆栈


除了上述的UnhandledExceptionFilter异常和死锁的现象,还有一种_except_handler异常的情况,其处理流程和UnhandledExceptionFilter类似,具体如下:

_except_handler函数的情况


1.有些情况下堆栈中没有UnhandledExceptionFilter,而只有_except_handler函数,这个是SEH异常处理函数。函数原型:EXCEPTION_DISPOSITION __cdecl _except_handler(
                         struct _EXCEPTION_RECORD *ExceptionRecord,
                         void * EstablisherFrame,
                         struct _CONTEXT *ContextRecord,
                         void * DispatcherContext);
这个函数的第一个参数是一个指向 EXCEPTION_RECORD 结构的指针。这个结构在WINNT.H中定义,如下所示:
typedef struct _EXCEPTION_RECORD {
   DWORD ExceptionCode;
   DWORD ExceptionFlags;
   struct _EXCEPTION_RECORD *ExceptionRecord;
   PVOID ExceptionAddress;
   DWORD NumberParameters;
   DWORD ExceptionInformation[EXCEPTION_MAXIMUM_PARAMETERS];
} EXCEPTION_RECORD;
_except_handler 函数的第二个参数是一个指向establisher帧结构的指针。
_except_handler 回调函数的第三个参数是一个指向 CONTEXT 结构的指针。
typedef struct _CONTEXT
{
    DWORD ContextFlags;
    DWORD Dr0;
    DWORD Dr1;
    DWORD Dr2;
    DWORD Dr3;
    DWORD Dr6;
    DWORD Dr7;
    FLOATING_SAVE_AREA FloatSave;
    DWORD SegGs;
    DWORD SegFs;
    DWORD SegEs;
    DWORD SegDs;
    DWORD Edi;
    DWORD Esi;
    DWORD Ebx;
    DWORD Edx;
    DWORD Ecx;
    DWORD Eax;
    DWORD Ebp;
    DWORD Eip;
    DWORD SegCs;
    DWORD EFlags;
    DWORD Esp;
    DWORD SegSs;
} CONTEXT;
_except_handler 回调函数的第四个参数被称为DispatcherContext。


2.分析dump文件时,在命令提示符处键入 ~*kb 要列出所有进程中线程。


3.标识进行函数调用的线程 Kernel32!_except_handler。 它看起来类似于以下内容:
   9  Id: 918.117c Suspend: 2 Teb: 7ffd8000 Unfrozen
ChildEBP RetAddr  Args to Child            
085df400 7c9232a8 085df4ec 085dffdc 085df50c kernel32!_except_handler3+0x61
085df424 7c92327a 085df4ec 085dffdc 085df50c ntdll!ExecuteHandler2+0x26
085df4d4 7c92e48a 00000000 085df50c 085df4ec ntdll!ExecuteHandler+0x24

4.切换到该线程 (在此示例中,线程是"~ 9s")。

5.Kernel32! !_except_handler第一个参数 dword 值表示异常记录。 若要获取有关异常的类型的信息,请在命令提示符处运行以下:
 .exr first DWORD from step 5
0:009> .exr 085df4ec
ExceptionAddress: 7c812afb (kernel32!RaiseException+0x00000053)  
ExceptionCode: e06d7363 (C++ EH exception)
ExceptionFlags: 00000001
NumberParameters: 3  
Parameter[0]: 19930520  
Parameter[1]: 085df874  
Parameter[2]: 006c010c

6.Kernel32! !_except_handler第三个参数 dword 值是上下文记录。 要获取的上下文信息,请在命令提示符处运行以下:
.cxr second DWORD from step 6
0:009> .cxr 085df50c
eax=085df7dc ebx=00005d34 ecx=00000000 edx=01240608 esi=085df864 edi=00100000eip=7c812afb esp=085df7d8 ebp=085df82c iopl=0         nv up ei pl nz na pe nccs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000206kernel32!RaiseException+0x53:7c812afb 5e              pop     esi

 7.运行 kv 命令以获得实际的异常的调用堆栈。 这可以帮助您识别可能不具有被正确处理过程中的实际问题
0:009> kv
ChildEBP RetAddr  Args to Child          
WARNING: Stack unwind information not available. Following frames may be wrong.
09a8fa2c 780119ab 09a8fad4 00000000 09a8faa8 MSVCRT!strnicmp+0x92
09a8fa40 7801197c 09a8fad4 00000000 6d7044fd MSVCRT!stricmp+0x3c
09a8fa80 6e5a6ef6 09a8fad4 2193d68d 00e5e298 MSVCRT!stricmp+0xd


参考博文:

WinDbg 查找问题异常堆栈,堆栈跟踪UnhandledExceptionFilter
17.windbg-!cs、~~[TID](经典死锁)

注:切换当前的线程:
~0s  切换到0号线程
~3s  切换到3号线程
---------------------
作者:fzzjoy
来源:CSDN
原文:https://blog.csdn.net/u010275850/article/details/73435545
版权声明:本文为博主原创文章,转载请附上博文链接!

 

 

 

班公湖里洗过脚
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Windbg分析dump文件的一般步骤及要点详解
dvlinker的技术专栏
05-25 4万+
通过一个问题实例详细讲解使用Windbg静态分析dump文件的完整过程。
调试技巧 —— 如何利用windbg + dump + map分析程序异常
09-04
调试技巧 —— 如何利用windbg + dump + map分析程序异常 http://blog.csdn.net/wangningyu/article/details/6748138
使用Windbg解析dump文件
hnzwx888的专栏
06-05 1295
转载自:https://www.cnblogs.com/pjl1119/p/7701165.html WinDbg OllyDbg SoftICE (已经停止更新) 虽说WinDbg在无源码调试方面确实比较困难,但在调试内核方面却真的有独到之处。 https://www.pediy.com/kssd/pediy10/94457.html 使用Windbg解析dump文件 ...
windows收集dump文件并windbg分析
最新发布
minping9101的博客
05-21 521
在exe程序发生闪退crash时,脱离了ide时,不知道crash原因,本文介绍如何抓取dump文件并进行调用堆栈分析
WindbgDump文件分析方法
mingjingtai2000的专栏
03-08 8698
1.WinDbg 1.1WinDbg介绍 WinDbg全称Debugging Tools for Windows,是windows平台下的调试工具。 获取Windbg的三种途径: (1)在Visual Studio安装时安装Windows Driver Kit(WDK)。WDK中包含WinDbg。 (2)安装Windows Software Development Kit (SDK)。SDK中包含WinDbg。下载地址 (3)如果只下载单独的WinDbg,先下载SDK,在安装过程中选择“Debu
WinDbg快速分析异常情况Dump文件
君子居易
03-03 2414
生产环境偶尔会出现一些异常问题,WinDbg 或 GDB 就是解决此类问题的利器。调试工具 WinDbg 如同医生的听诊器,是系统生病时做问题诊断的逆向分析工具,Dump 文件类似于飞机的黑匣子,记录着生产环境程序运行的状态。 本文主要介绍了调试工具 WinDbg 和抓包工具 ProcDump 的使用。
windbg分析dump
牛肉圆粉不加葱
04-05 1491
要使用windbg分析dump必须加载正确的符号,可以通过设置Symbols File Path为"D:/Symbols;SRV*D:/Symbols*http://msdl.microsoft.com/download/symbols",当windbg在D:/Symbols中找不到需要的符号时,会自行从http://msdl.microsoft.com/download/symbols下载。
WinDbg调试工具,dump文件分析工具
07-07
WinDbg调试工具是微软开发的一款强大的调试器,主要用于对Windows操作系统进行系统级的调试,尤其是在分析和解决蓝屏(Blue Screen of Death, BSOD)问题时,它扮演着至关重要的角色。通过阅读和分析dump文件,...
ha26,dump分析
07-07
具体的操作流程可能包括加载dump文件,解析关键信息,如堆内存状态、线程堆栈、类加载信息等,并通过工具提供的可视化界面或命令行输出来理解分析结果。为了充分利用这个工具,用户需要对Java虚拟机的工作原理、内存...
生成dump的工具 嵌入自己工程无须编程
09-09
本文将深入探讨如何使用特定的工具,特别是嵌入式环境,无需额外编程就能生成可由Windbg分析dump文件。Windbg是一款强大的调试器,由Microsoft提供,用于诊断操作系统和应用程序的内存问题、崩溃和其他异常情况。 ...
windbg安装包
12-20
它在IT行业中是开发者、系统管理员和安全专家的重要工具,尤其是在处理崩溃 dump 文件、分析内存泄漏、调试驱动程序及优化代码时。 在“windbg安装包”中,包含了适用于不同体系结构的版本,即x86(32位)和x64(64...
windbg_advanced.rar_windbg
09-19
Windbg能处理系统崩溃时生成的dump文件,通过`kdexts`扩展,可以分析内存、线程、堆栈等信息。`!analyze -v`命令可显示详细的崩溃分析报告。 4. **内核模式调试** Windbg不仅可以调试用户模式的应用程序,还能...
使用WinDbg分析Windows dump文件方法
sway913的博客
06-16 4817
analyze -v"链接,或者在下面的命令窗口中输入“!analyze -v”命令,工具就对dump文件进行分析,然后输出导致系统崩溃的起因等相关信息。在安装Windows SDK的过程中,可以选择只安装WinDbg(Debugging Tools for Windows)这个组件。工具来分析windows系统产生的dump文件,此工具属于Windows SDK的一个组件,在微软官方网站可以下载(1)打开WinDbg工具,通过菜单“File”->“Open Crash Dump”打开dmp文件。
windows程序使用Windbg分析dump
steem
04-23 4982
windows上Windbg分析dump文件
WinDbg分析dump文件
Think88666的博客
05-17 7174
调试能力可以说是最重要,尤其对于C/C++程序员而言,更是如此! 当我们从测试那里拿到dump文件后,需要将对应的二进制文件(exe、dll等放到和出了问题的那台电脑同样的路径下) 1、用WinDbg打开dump文件 2、设置符号路径(生成二进制文件时对应的PDB文件,版本要一致!多个二进制文件的pdb最好生在同一目录): 3、设置源码路径(项目的solution路径,多个项目可以加到一个solution里面): 4、执行命令: !analyze -v 此时WinD.
winDbg 分析dump
码农的专栏
06-29 1052
srv*D:\安装空间\symcache*http://msdl.microsoft.com/download/symbols。一、linux 部属.netcore生成dump。应用商店下载:WinDbg Preview。D:\安装空间\symcache。配置symbol path。二、下载WinDbg
Windbg调试dump文件
bigger_belief的博客
04-28 5393
用Windows自带的windbg,在调试工具,使用dump文件查找崩溃的位置
windbg 分析dump文件
11-11
Windbg是Windows平台上的一款强大的调试工具,可以用于分析dump文件。当一个程序崩溃或异常退出时,系统会生成一个dump文件,其中包含了程序在崩溃前的内存状态、寄存器的值以及调用栈等信息。通过分析dump文件,可以帮助我们确定程序崩溃的原因。 使用Windbg分析dump文件的步骤如下: 首先,打开Windbg并选择“File”菜单中的“Open Crash Dump”,然后选择要分析dump文件。打开dump文件后,Windbg会加载其中的调试信息,包括程序、模块、符号等。 在Windbg的命令窗口中,可以输入一系列的命令来分析dump文件。其中一些常用的命令如下: 1. "!analyze -v":分析dump文件并提供详细的分析报告,报告中包含了崩溃的原因和相关的线程堆栈信息。 2. "kb":显示当前线程的调用栈,可以根据调用栈信息来查找崩溃的位置。 3. "lm":显示加载的模块信息,可以查看程序中加载的模块和其对应的版本号。 4. ".exr -1":显示当前异常的记录,包括异常的类型和相关的寄存器的值。 5. ".reload /f":强制重新加载符号文件,以确保符号信息的准确性。 通过分析命令的执行结果,我们可以逐步追踪问题并找到程序崩溃的原因。在分析过程中,还可以使用其他的命令来查看内存的内容、寄存器的值以及线程的信息等。 总的来说,Windbg是一款功能强大的调试工具,通过分析dump文件可以帮助我们深入了解程序崩溃的原因,从而进行相应的调试和修复。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值