半路出家windbg(先搞清楚自己分析出来的参数都是什么意思)

最新推荐文章于 2024-06-13 15:09:56 发布
最新推荐文章于 2024-06-13 15:09:56 发布
阅读量1.5k 收藏 3
点赞数
分类专栏: C/C++ windbg 文章标签: windbg dump
C/C++ 同时被 2 个专栏收录
97 篇文章 2 订阅
订阅专栏
windbg
13 篇文章 3 订阅
订阅专栏

转载自:http://www.pianshen.com/article/441457919/

资料:https://download.csdn.net/download/ma_hong_kai/10757143(资源链接)

大牛博客: http://www.dbgtech.net/blog/

参考文章:

DUMP文件分析2:一个最简单的DUMP分析示例 

https://blog.csdn.net/hustd10/article/details/52075324?_t_t_t=0.588712443805665

Windbg dump分析 学习总结  

https://blog.csdn.net/bcbobo21cn/article/details/60468969

百度网盘:链接: https://pan.baidu.com/s/1WpSD0oZ35uovEa7gSkW68g 

   windbg帮助文档

http://www.dbgtech.net/windbghelp/index.html

   https://blog.csdn.net/u010059658/article/details/51030054

当你空有资料,练习好多命令,苦于没法入门,就来看这个。上有资料

符号路径下载:(第一次 .reload 时间比较长)

SRV*C:\Symbols*http://msdl.microsoft.com/download/symbols

点击红色框中的蓝色的(或者直接看下面的  读 00 00 00 a2  的 时候出错)

FAULTING_IP : 错误的IP(IP就是EIP,即出错的指令地址,指出发生错误时所执行的指令)

EXCEPTION_RECORD:异常记录(很重要的信息,记录崩溃的信息。可以看到异常地址,异常代码以及具体的异常原因“尝试读取地址00000000”。)

ExceptionAdddress: 异常地址; 中断地址

ExceptionCode: 异常码

AccessViolation:非法访问

ExceptionFlag:异常标志(1,表示不可继续的异常  0,表示可继续的异常

DEFAULT_BUCKET_ID:指出错误的类型(比如NULL_POINTER_READ、DRIVER_FAULT、NULL_CLASS_PTR_DEREFERENCE   )

BUCKET_ID:当前故障属于的特定类型的故障

         读取地址 00 00 00 a2 (第二个参数)的时候出错。

二、STACK_TEXT(从后往前看)

栈文本信息:(STACK_TEXT: //反映了错误前堆栈中函数调用情况,)

最后一列容易理解,是模块+函数,那前面还有5列数字,表示什么呢?

第一列表示函数调用时的EBP,

第二列表示函数的返回地址,

后三列则是函数的参数

STACK_COMMAND:  ~2s; .ecxr ; kb (kb 显示调用前三项栈 .excer 结合当前例外显示例外环境记录(寄存器))

FOLLOWUP_IP: //反汇编了发生错误指令的代码
EstLog!_output_l+98f [f:\dd\vctools\crt_bld\self_x86\crt\src\output.c @ 1643]
0037ddb7 803800          cmp     byte ptr [eax],0]

 

SYMBOL_STACK_INDEX:  0

SYMBOL_NAME:  estlog!_output_l+98f

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: EstLog

IMAGE_NAME:  EstLog.exe

DEBUG_FLR_IMAGE_TIMESTAMP:  5bd9773b

FAILURE_BUCKET_ID:  NULL_CLASS_PTR_DEREFERENCE_c0000005_EstLog.exe!_output_l

BUCKET_ID:  APPLICATION_FAULT_NULL_CLASS_PTR_DEREFERENCE_INVALID_POINTER_READ_estlog!_output_l+98f

完整文章:

0:002> !analyze -v
*******************************************************************************
*                                                                             *
*                        Exception Analysis                                   *
*                                                                             *
*******************************************************************************

Failed calling InternetOpenUrl, GLE=12029

FAULTING_IP: 
EstLog!_output_l+98f [f:\dd\vctools\crt_bld\self_x86\crt\src\output.c @ 1643]
0037ddb7 803800          cmp     byte ptr [eax],0

EXCEPTION_RECORD:  ffffffff -- (.exr 0xffffffffffffffff)
ExceptionAddress: 0037ddb7 (EstLog!_output_l+0x0000098f)
ExceptionCode: c0000005 (Access violation)
ExceptionFlags: 00000000
NumberParameters: 2
                  Parameter[0]: 00000000
                  Parameter[1]: 000000a2
                  Attempt to read from address 000000a2

PROCESS_NAME:  EstLog.exe

ERROR_CODE: (NTSTATUS) 0xc0000005 - 0x%08lx

EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - 0x%08lx

EXCEPTION_PARAMETER1:  00000000

EXCEPTION_PARAMETER2:  000000a2

READ_ADDRESS:  000000a2 

FOLLOWUP_IP: 
EstLog!_output_l+98f [f:\dd\vctools\crt_bld\self_x86\crt\src\output.c @ 1643]
0037ddb7 803800          cmp     byte ptr [eax],0

MOD_LIST: <ANALYSIS/>

FAULTING_THREAD:  0000081c

BUGCHECK_STR:  APPLICATION_FAULT_NULL_CLASS_PTR_DEREFERENCE_INVALID_POINTER_READ

PRIMARY_PROBLEM_CLASS:  NULL_CLASS_PTR_DEREFERENCE

DEFAULT_BUCKET_ID:  NULL_CLASS_PTR_DEREFERENCE

LAST_CONTROL_TRANSFER:  from 0038276a to 0037ddb7

STACK_TEXT:  
0262ede4 0038276a 0262ee08 003ad2e4 00000000 EstLog!_output_l+0x98f [f:\dd\vctools\crt_bld\self_x86\crt\src\output.c @ 1643]
0262ee28 003827aa 0262ee68 00000800 003ad2e4 EstLog!_vsnprintf_l+0x8b [f:\dd\vctools\crt_bld\self_x86\crt\src\vsprintf.c @ 138]
0262ee44 002b3ef3 0262ee68 00000800 003ad2e4 EstLog!_vsnprintf+0x18 [f:\dd\vctools\crt_bld\self_x86\crt\src\vsprintf.c @ 190]
0262f6bc 002d989d 003ad2e4 000000a2 000000a2 EstLog!LogPrint::PrintLogA+0x73 [d:\Âíºì¿­\code\sipÏÖÍø\src\estlog_new\util\logprint.cpp @ 120]
0262f7d4 002d882f 020b5f78 020b1e98 020adc88 EstLog!LogData::RenameFile+0x12d [d:\Âíºì¿­\code\sipÏÖÍø\src\estlog_new\data\data.cpp @ 537]
0262f808 002d8c91 020b7260 8a0147f0 020b8fc8 EstLog!BaseData::RenameUFiles+0x13f [d:\Âíºì¿­\code\sipÏÖÍø\src\estlog_new\data\data.cpp @ 159]
0262f950 002d90ab 020b1e98 0262f994 003741f6 EstLog!BaseData::TryToUpLoad+0x131 [d:\Âíºì¿­\code\sipÏÖÍø\src\estlog_new\data\data.cpp @ 320]
0262f95c 003741f6 020b1e98 8a014734 00000000 EstLog!BaseData::TaskThread+0x1b [d:\Âíºì¿­\code\sipÏÖÍø\src\estlog_new\data\data.cpp @ 385]
0262f994 0037429e 00000000 0262f9ac 767433ca EstLog!_callthreadstartex+0x1b [f:\dd\vctools\crt_bld\self_x86\crt\src\threadex.c @ 348]
0262f9a0 767433ca 020b8fc8 0262f9ec 77599ed2 EstLog!_threadstartex+0x82 [f:\dd\vctools\crt_bld\self_x86\crt\src\threadex.c @ 326]
0262f9ac 77599ed2 020b8fc8 75067f38 00000000 kernel32!BaseThreadInitThunk+0xe
0262f9ec 77599ea5 0037421c 020b8fc8 00000000 ntdll!__RtlUserThreadStart+0x70
0262fa04 00000000 0037421c 020b8fc8 00000000 ntdll!_RtlUserThreadStart+0x1b


STACK_COMMAND:  ~2s; .ecxr ; kb

SYMBOL_STACK_INDEX:  0

SYMBOL_NAME:  estlog!_output_l+98f

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: EstLog

IMAGE_NAME:  EstLog.exe

DEBUG_FLR_IMAGE_TIMESTAMP:  5bd9773b

FAILURE_BUCKET_ID:  NULL_CLASS_PTR_DEREFERENCE_c0000005_EstLog.exe!_output_l

BUCKET_ID:  APPLICATION_FAULT_NULL_CLASS_PTR_DEREFERENCE_INVALID_POINTER_READ_estlog!_output_l+98f

WATSON_STAGEONE_URL:  http://watson.microsoft.com/StageOne/EstLog_exe/0_0_0_0/5bd9773b/EstLog_exe/0_0_0_0/5bd9773b/c0000005/000dddb7.htm?Retriage=1

Followup: MachineOwner
              ---------

相关文章

hnzwx888
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windbg-x64 dump分析工具
01-16
Windbg是在windows平台下,强大的用户态和内核态调试工具。相比较于Visual Studio,它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大。它的另外一个用途是可以用来...
Win10蓝屏dmp文件分析原因
happygrassncusc的博客
11-14 2万+
最近苦于蓝屏困扰,烦死了。按照网上贴子分析原因,把过程记录一下,以供同道人借鉴。 一、调试信息设置 二、如果蓝屏重启电脑后,相关原因可能从.dmp文件中查找。.dmp文件位于:C:\Windows\Minidump 目录下。 我电脑上的dmp文件如下所示。 三、电脑安装WinDbg工具。近按照微软官方要求来安装SDK,并扩展WinDbg(https://docs.microsoft.com/zh-...
驱动蓝屏后简单的分析dump文件
Tinna_zhang的专栏
01-09 1万+
1: kd> !analyze–v Debugging Details: ------------------   *** ERROR: Moduleload completed but symbols could not be loaded for ntnfapi.sys   EXCEPTION_CODE:(NTSTATUS) 0xc0000005 - 0x%08lx   FAU
windows10蓝屏原因自检记录
最新发布
Primary_student的博客
06-13 1444
虚拟地址描述符(VAD)根地址:ffffdf8c83e453f0,VAD数量:813,克隆数量:0,私有页面数量:22074,已修改页面数量:407573,被锁定页面数量:0。poolused、!很好,确定问题了,是因为爆内存了,svchost.exe读内存爆了,ntkrnlmp.exe具体执行内存读取任务,来背了这个锅。工作集大小(当前,最小,最大):(8651,50,345)页,(34604KB,200KB,1380KB)。跑训练的过程中电脑自动重启了,为了满足长期训练的需要,研究一下死机原因。
三次蓝屏对内核崩溃日志的分析记录
无情的搬砖人的Blog
10-30 8641
下面的所有内容都是WinDBG的输出内容 //后跟的所有内容都是针对下一行具体项的具体解释 Microsoft ® Windows Debugger Version 6.12.0002.633 AMD64 Copyright © Microsoft Corporation. All rights reserved. Loading Dump File [C:\Windows\Minidump\103021-8359-01.dmp] Mini Kernel Dump File: Only register
windbg分析崩溃dmp
liaozhilong88的博客
06-06 4252
我们收集了程序崩溃的dump文件,然后将dump文件拖拽到windbug下,然后依次如下命令:1.设置符号路径:.sympath srv*C:\symbols*http://msdl.microsoft.com/download/symbols;C:\crash\pdb; 备注:C:\crash\pdb 是自己程序的pdb的符号路径。2.键入:.reload,             让win...
使用WinDbg Preview解决Win10系统蓝屏问题
水向东流时间怎么偷
01-29 1万+
前段时间,新组装的台式机经常出现如下图所示的蓝屏现象,而且终止代码也很奇怪,每次一蓝屏都是这个界面,收集信息的进度一直为0%,刚开始以为系统或者是组装的有问题,于是重装了系统,并且拆开机箱重新检查了各个组件的连接线,然而蓝屏还是依旧,很无奈,想着新装的台式机怎么还没用就一直不稳定,经过了多次蓝屏之后下定决心一定把这个问题解决了。查找了各种方法来解决此问题,这里分享最终的解决方法。 蓝屏代码如下图所示: 终止代码为:WEHA_UNCONRRECTABLE_ERROR,意思就是不可修复??这下可犯难了,
windbg分析dmp蓝屏文件_莫名其妙的蓝屏分析
weixin_39835158的博客
11-25 727
大量设备升级Win10 后经常出现蓝屏重启。重装系统正常,安装软件后即随机蓝屏。使用windbg进行蓝屏原因分析。软件地址:Download Debugging Tools for Windows - WinDbg - Windows drivers​docs.microsoft.com安装后:打开File菜单,选择 Symbol Path.在 Symbol Search Path 写入如下代码...
Crash Dump自动化分析的尝试
0xC0000005
09-01 1825
其实另一个产品线的同事已经开发了自动分析的工具,但是非常不好用。同组的同事花了好几天也没能应用到目前的产品上来。 后来我接手了Crash Dump分析的工作,也了解了一下那个工具(称为A),它还需要调用另一个工具(称为B),过程繁琐,并且几乎无法维护和扩展。可以看出B也是尝试进行Crash Dump自动分析的结果,但需要人工干预和交互,算个半自动工具。一个C#的WinForm程序,仅通过wind
WinDbg调试工具,dump文件分析工具
07-07
WinDbg调试工具是微软开发的一款强大的调试器,主要用于对Windows操作系统进行系统级的调试,尤其是在分析和解决蓝屏(Blue Screen of Death, BSOD)问题时,它扮演着至关重要的角色。通过阅读和分析dump文件,...
Windbg抓取分析DMP文件
03-22
### Windbg抓取分析DMP文件 #### 一、Windbg简介 Windbg是一款由微软提供的强大调试工具,主要用于Windows操作系统下的应用程序调试。它能够帮助开发者诊断和解决各种软件问题,尤其是在应用程序出现崩溃或者异常...
蓝屏dump分析教程 使用WinDbg分析工具.docx
09-27
蓝屏dump分析教程 使用WinDbg分析工具 WinDbg是一款功能强大的用户态和内核态调试工具,能够通过dmp文件轻松地定位到问题根源。使用WinDbg可以分析蓝屏、程序崩溃(IE崩溃)原因,是我们日常工作中必不可少的一个...
windbg入门教程之异常报告深入解读
Keep Moving~
09-19 4399
软件异常 异常,顾名思义是指不符合预期的时间发生,由应用程序和操作系统抛出的异常叫做软件异常。 当然我们均不希望发生这些软件异常,但在实际中却常常会遇到因为不良编码导致的异常,比如访问了空指针、访问非法地址、解析json字符串异常等等。 异常处理 为了应对异常,window系统提供了一些API用于获取异常、处理或者控制异常, 为了理解后续的异常信息,我们了解三个关于异常的API函数: GetE...
WinDbg 蓝屏分析 Windows Dump 文件教程
热门推荐
eli的博客
12-06 3万+
修电脑最烦的不是别的,最烦的是 Random 蓝屏错误。因为你也不知道什么时候就蓝屏了。这种随机性还有无错误报告的问题最让人头疼。不过其实 Windows 每次蓝屏都会在系统目录下生成一个 Dump File 。也就是所谓分析报告。不过想要看懂这个报告,就需要一些技巧了。 一般来说,读取 Mini Dump 文件,只需要用 Nirsoft 的BlueScreenView即可轻松查看。不过这个软件只是轻量级的分析工具。只是给你提供崩溃时间,崩溃代码,引起崩溃的文件,崩溃内存地址等等。需要自己进行手动..
windows 蓝屏 DMP文件分析
第四类人
08-02 7590
windbg 更详细请看http://support.icafe8.com/technologynews/focus/932.html   在蓝屏瞬间,系统会形成一个存储器转储文件——死机瞬间的内存映像,通常是C:WINDOWSMinidmp 目录下的DMP文件,它就是我们要找的救星,分析它就能查找到问题所在。 “救星”帮忙,看清 DMP文件需要使用MS提供的WinDbg工具来分析:第一步
Windbg dump分析 学习总结
bcbobo21cn的专栏
03-05 2万+
Windbg核心调试之dump分析 http://www.pediy.com/kssd/pediy08/pediy8-428.htm 标 题: Windbg核心调试之dump分析 作 者:Lvg 时 间:2006-11-17 12:56  链 接:http://bbs.pediy.com/showthread.php?threadid=35044 调试环境:winxp sp2+wind
windbg分析dmp 时STACK_TEXT什么意思
06-03
Windbg中,当分析dmp文件时,STACK_TEXT是一个常用的命令,用于显示当前线程的函数调用堆栈。其中,STACK_TEXT命令会显示每个函数调用的返回地址、调用地址以及函数名等信息,以帮助我们了解程序崩溃时的执行流程。 STACK_TEXT命令会显示当前线程的函数调用堆栈,其中每一行显示了一个函数调用的信息。具体来说,每一行的格式如下: ``` ReturnAddress CallSite FunctionName+Offset ``` 其中,ReturnAddress表示该函数调用的返回地址,CallSite表示该函数被调用的地址,FunctionName表示该函数的名称,Offset表示该函数名称中的偏移量。 通过查看STACK_TEXT命令输出的信息,我们可以了解程序在崩溃前的执行流程,从而更好地理解程序的问题所在。例如,可以查看函数调用序列,查找代码中的错误。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值