在调用栈中挖掘异常指针

最新推荐文章于 2022-06-04 19:49:15 发布
最新推荐文章于 2022-06-04 19:49:15 发布
阅读量3.1k 收藏
点赞数
分类专栏: 调试 文章标签: 异常 WinDbg

原文地址:http://blogs.msdn.com/b/oldnewthing/archive/2006/08/21/710754.aspx

大家也许经常盯着调用栈,寻找捕捉到的异常以及在哪里发生的异常。

ChildEBP RetAddr  Args to Child
030c21d0 76df3448 00000000 030c6138 76db6b0d ntdll!DbgBreakPoint
030c21dc 76db6b0d 030c2204 77b8d585 030c220c ole32!PeekMessageExceptionFilter+0x42
030c21e4 77b8d585 030c220c 00000000 030c220c ole32!CCliModalLoop::MyPeekMessage+0x41
030c220c 77f36992 030c25d0 030c6128 030c22e8 msvcrt!_except_handler3+0x61
030c2230 77f36964 030c25d0 030c6128 030c22e8 ntdll!ExecuteHandler2+0x26
030c22d8 77f36884 030c1000 030c22e8 00010007 ntdll!ExecuteHandler+0x24
030c25b8 77f6e0dd 030c25d0 00000000 00000000 ntdll!RtlRaiseException+0x3d
030c262c 77d3c239 77d4a4b6 77d3e2c5 030c3767 ntdll!RtlDeactivateActivationContextUnsafeFast+0x233
030c2630 77d4a4b6 77d3e2c5 030c3767 030c26a0 USER32!UserCallWinProcCheckWow+0x167
030c2634 77d3e2c5 030c3767 030c26a0 77d4a46f USER32!_NLG_Return2
030c265c 77d3e288 030c57b4 ffffffff 030c2688 USER32!__local_unwind2+0x70
030c2688 77f36992 030c26f8 030c57b4 030c27a4 USER32!_except_handler3+0xd5
030c26ac 77f36964 030c26f8 030c57b4 030c27a4 ntdll!ExecuteHandler2+0x26
030c2a74 77b8d36d 030c6128 77b8d36d 00000000 ntdll!ExecuteHandler+0x24
030c2a9c 77b8d59d 030c6128 030c2ac0 00000000 msvcrt!__global_unwind2+0x18
030c2ac0 77f36992 030c2ba4 030c6128 030c2bc0 msvcrt!_except_handler3+0x75
030c2ae4 77f36964 030c2ba4 030c6128 030c2bc0 ntdll!ExecuteHandler2+0x26
030c2b8c 77f36796 030c1000 030c2bc0 030c2ba4 ntdll!ExecuteHandler+0x24
030c2b8c 77b7aa54 030c1000 030c2bc0 030c2ba4 ntdll!KiUserExceptionDispatcher+0xe
030c3300 77b7b4dc 030c3324 7715b1b4 00000000 msvcrt!_woutput_l+0x18

(大家可以从符号服务器上获取到需要的调试符号,如果你的磁盘空间上G的话,也可以一次下载全部的符号信息。不过即便你打包下载了符号信息,你还是得需要符号服务器。因为调试信息会随着系统文件的更新而相应更新。)

这里可以看到,PeekMessageExceptionFilter函数捕捉到了一个异常。那是什么异常?首先,异常过滤函数会被传入一个EXCEPTION_POINTERS结果作为参数。

typedef struct _EXCEPTION_POINTERS {
    PEXCEPTION_RECORD ExceptionRecord;
    PCONTEXT ContextRecord;
} EXCEPTION_POINTERS, *PEXCEPTION_POINTERS;

现在,我们看一下PeekMessageExceptionFilter的参数:

030c21dc 76db6b0d 030c2204 77b8d585 030c220c ole32!PeekMessageExceptionFilter+0x42

0:0000> dd 030c2204 l2
030c2204 030c25d0 030c22e8
         -------- --------
         .exr     .cxr

第一个值是ExceptionRecord的指针,第二个值是ContextRecord的指针。你可以通过输入命令.exr 030c25d0查看异常信息,还可以通过.cxr 030c22e8查看异常的上下文内容(比如,异常发生时在执行什么指令)。这两个值也作为ExecuteHandler2函数的第一和第三个参数出现。

(译注:.cxr实际上会执行切换上下文的操作。)


现在就用.exr 030c25d0看一下异常信息,异常代码是c015000f,正好是STATUS_SXS_EARLY_DEACTIVATION。切换到发生异常的上下文,调用栈显示如下:

ChildEBP RetAddr
030c262c 77d3c239 77d4a4b6 77d3e2c5 030c3767 ntdll!RtlDeactivateActivationContextUnsafeFast+0x233
030c2630 77d4a4b6 77d3e2c5 030c3767 030c26a0 USER32!UserCallWinProcCheckWow+0x167
030c2634 77d3e2c5 030c3767 030c26a0 77d4a46f USER32!_NLG_Return2
030c265c 77d3e288 030c57b4 ffffffff 030c2688 USER32!__local_unwind2+0x70
030c2688 77f36992 030c26f8 030c57b4 030c27a4 USER32!_except_handler3+0xd5
030c26ac 77f36964 030c26f8 030c57b4 030c27a4 ntdll!ExecuteHandler2+0x26
030c2a74 77b8d36d 030c6128 77b8d36d 00000000 ntdll!ExecuteHandler+0x24
030c2a9c 77b8d59d 030c6128 030c2ac0 00000000 msvcrt!__global_unwind2+0x18
030c2ac0 77f36992 030c2ba4 030c6128 030c2bc0 msvcrt!_except_handler3+0x75
030c2ae4 77f36964 030c2ba4 030c6128 030c2bc0 ntdll!ExecuteHandler2+0x26
030c2b8c 77f36796 030c1000 030c2bc0 030c2ba4 ntdll!ExecuteHandler+0x24
030c2b8c 77b7aa54 030c1000 030c2bc0 030c2ba4 ntdll!KiUserExceptionDispatcher+0xe
030c3300 77b7b4dc 030c3324 7715b1b4 00000000 msvcrt!_woutput_l+0x18

哇,在处理一个异常的时候又发生了另外一个异常。(碰巧这次在原来的调用栈里一眼就能看出来,但是通常情况下,找到后面的异常可能没那么容易。)

拿这个异常重复一次上面的练习: 
0:000> .exr 030c2ba4
ExceptionAddress: 77b7aa54 (msvcrt!_woutput_l+0x00000018)
   ExceptionCode: c00000fd (Stack overflow)
  ExceptionFlags: 00000000
NumberParameters: 2
   Parameter[0]: 00000001
   Parameter[1]: 030c2e88


0:000> .cxr 030c2bc0
eax=030c33b0 ebx=00000000 ecx=0000005c edx=00000000 esi=030c33c4 edi=030c33c4
eip=77b7aa54 esp=030c2e8c ebp=030c3300 iopl=0         nv up ei pl nz na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00010202
msvcrt!_woutput_l+0x18:
001b:77b7aa54 53          push    ebx

哈哈,原来SXS异常是由堆栈溢出引起的。在这个上下文里,你可以使用“k”命令查看是如何引发这个结果的。

这个bug是由于错误的递归导致的栈溢出引发的。当时线程正在为调用一个COM对象,等待它返回。而这个时候又收到了一个新的请求。问题的细节在这里并不重要;本文的目的就是展示如何在调用栈上挖掘异常指针,从中了解引发问题的Win32异常的信息。

FireBurn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
解析c#在未出现异常情况下查看当前调用的解决方法
12-31
C#查看堆通常是在异常处理,出现异常之后通过异常的堆可以很方便的得到出现这个错误的代码调用路径。这个很有用,是否可以在没有异常出现时使用这种方法排查一些非异常错误呢?答案是肯定的。起因:论坛发帖子有几个途径,有可能是新闻系统直接导入的帖子,也有可能是抓取的帖子,还有可能是用户通过正常途径发表。但是这两天出了一个问题,有些帖子的HasImage属性不对。通过几种方法做调试都不能重现问题,没有办法,只有在程序添加回复的地方添加日志程序来记录堆,从而追踪到是哪个途径发帖出现了问题。代码: 代码如下:[PostProviderExtension] public class HasImageE
基于C#调用c++Dll结构体数组指针的问题详解
08-28
下面小编就为大家分享一篇基于C#调用c++Dll结构体数组指针的问题详解,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
异常最初是在此调用引发的_.NET 异常最佳做法
weixin_42400383的博客
01-20 798
转自:初夏的阳光丶cnblogs.com/ancold/p/13447357.html异常信息原因异常是易于滥用的那些构造之一。这可能包括不应该在应有的情况下引发异常或在没有充分理由的情况下捕获异常。还有一个引发错误异常的问题,它不仅无助于我们,而且会使我们困惑。另一方面,存在正确处理异常的问题。如果使用不当,异常处理会变得更糟。所以,在本文,我将简单介绍一些有关引发和处理异常的最佳实...
DLL的绑定进程和解绑定进程引起的死锁
justin_bkdrong的专栏
08-31 4323
DLL的绑定和解绑定其实操作系统做了很多的工作,资源的分配和资源的释放,我们在使用的过程,一不小心就会招,这里说一下我遇到的一个死锁的问题。
【8】进大厂必须掌握的面试题-Java面试-异常和线程
Java架构师历程
10-16 147
Q1。错误和异常有什么区别? 错误是在运行时发生的不可恢复的情况。如OutOfMemory错误。这些JVM错误无法在运行时修复。尽管可以在catch块捕获错误,但是应用程序的执行将停止并且无法恢复。 而异常是由于输入错误或人为错误等原因而发生的情况。例如,如果指定的文件不存在,则将抛出FileNotFoundException。否则,如果尝试使用null引用,则会发生NullPointerException。在大多数情况下,有可能从异常恢复(可能是通过向用户提供输入正确值的反馈等)。 Q2。您如何处理J
Android JNI学习-异常处理
weixin_34194551的博客
02-14 147
异常我们已经很熟悉了,空指针、数组越界等等,在Java,当抛出一个异常,虚拟机会停止执行代码块并进入调用反向检查能处理特定异常异常处理程序代码块,虚拟机清除异常并将控制权交给异常处理程序。而JNI不同,JNI没有像Java一样有try…catch…final这样的异常处理机制,面且在本地代码调用某个JNI接口时如果发生了异常,后续的本地代码不会立即停止执行,而会继续往下执行后面的代码,这就...
总结易语言指针转换及调用方法
08-26
在本篇文章我们给大家分享了关于易语言指针转换及调用方法相关知识内容,有需要的朋友们可以学习下。
浅谈在linux kernel打印函数调用的堆的方法
09-15
下面小编就为大家带来一篇浅谈在linux kernel打印函数调用的堆的方法。小编觉得挺不错的。现在就分享给大家。也给大家做个参考。一起跟随小编过来看看吧
C# 基础知识系列- 15 异常处理篇
菜鸡成长日记
05-05 921
0. 前言 为什么我们需要异常处理?什么是异常? 在汉语异常指非正常的;不同于平常的。翻译到程序,就是指会导致程序无法按照既定逻辑运行的意外,或者说是错误。可能会有小伙伴好奇了,我们的程序不是正常的吗,为什么还会出错呢? 我来举几个例子: 程序需要访问一个文件,但这个文件不存在,当程序尝试打开一个读该文件的流时就会出错 成绩管理系统,成绩需要一个浮点型的数字,但是输入的人错误的输入了其他...
异常最初是在此调用引发的:_眼见为实——异常信息去哪儿了?...
weixin_39870150的博客
12-11 378
异常丢失今天登陆服务器进行例行的检查,发现异常日志文件里有很多nullPointException,只有简单的异常名称,却没有堆信息。没有异常,无法定位错误,也就不能修改了。到网上搜索信息,原来大家也遇到过这样的问题。正确的解决方法是增加一个VM Options:-XX:-OmitStackTraceInFastThrow。这个参数的好处如下:“JVM对一些特定的异常类型做了Fast T...
多线程锁详解之【WaitForSingleObject】
qq492927689的博客
06-04 2813
WaitForSingleObject
0xC015000F: 正被停用的激活上下文不是最近激活的。
热门推荐
02-20 1万+
问题: 在Win7下编译的程序在XP上无法运行,或者在xp下编译的程序在vista、win7下无法运行。 错误异常  0xC015000F: 正被停用的激活上下文不是最近激活的。 0xC015000F: The activation context being deactivated is not the most recently activated one. 解决方法:
异常最初是在此调用引发的:_吃透Java基础八:Throwable异常
weixin_39787628的博客
12-02 315
一:关于异常JAVA异常是在java程序运行的时候遇到非正常的情况而创建的对,它封装了异常信息。java异常的根类为java.lang.Throwable,整个类有两个直接子类java.lang.Error和java.lang.Exception。Error是程序本身无法恢复的严重错误,一般是虚拟机或者系统运行出现错误,和程序无关。Exception则表示可以被程序捕获并处理的异常错误。JVM用方...
Rtl系列函数
huanongying131的博客
11-19 2368
转:http://blog.sina.com.cn/s/blog_4a1acc7f0100cfuf.html        http://blog.sina.com.cn/s/blog_4a1acc7f0100cfui.html         375  170 000375D9 RtlAbortRXact         376  171 00029E38 RtlAbsoluteToSelf...
0xC015000F:正被停用的激活上下文不是最近激活的
u011635349的专栏
01-26 2370
问题: 在Win7下编译的程序在XP上无法运行,或者在xp下编译的程序在vista、win7下无法运行。 错误异常  0xC015000F: 正被停用的激活上下文不是最近激活的。 0xC015000F: The activation context being deactivated is not the most recently activated one. 解决方法:
异常最初是在此调用引发的_Python traceback模块与异常返回
weixin_35056701的博客
01-24 130
traceback模块作用:traceback模块被用来跟踪异常返回信息import traceback # 调用traceback模块try: if str(123) > 5: print('这是一个无法执行的错误')except Exception: traceback.print_exc() # 返回错误信息# 控制台输出结果:# Traceback (m...
异常最初是在此调用引发的_Java的try-with-resources语句
weixin_33648352的博客
01-26 237
介绍try-with-resources是tryJava的几条语句之一,旨在减轻开发人员释放try块使用的资源的义务。它最初是在Java 7引入的,其背后的全部想法是,开发人员无需担心仅在一个try-catch-finally块使用的资源的资源管理。这是通过消除对finally块的需要而实现的,实际上,开发人员仅在关闭资源时才使用块。此外,使用try-with-resources的代码通常...
Win7下过盛*大Hack*Shield的部分驱动保护
o6108的专栏
06-22 5605
在Win7下很多XP的驱动都不适用了!前几个月研究了一下盛*大游戏的泡泡*堂的Hack*Shield驱动保护发现Hook了十多个内核函数,Ring 3和 Ring 0的双重保护,同时加了Themida的壳。 现在暂时发现钩住了以下函数: hook NtReadVirtualMemory hook NtWriteVirtualMemory Hook NtClose Hook NtProte
run 方法调用service空指针异常
最新发布
07-14
在run方法调用service时出现空指针异常可能有以下几种原因: 1. service对象未实例化:确保在调用service对象之前,已经对其进行了实例化。可以使用new关键字或者依赖注入的方式来创建service对象。 2. service...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值