Crash Dump分析笔记

最新推荐文章于 2023-11-21 21:55:45 发布
最新推荐文章于 2023-11-21 21:55:45 发布
阅读量1.8k 收藏
点赞数
分类专栏: windows底层核心編程 病毒汇编和调试逆向技术加脱壳 文章标签: crash c exception hook 测试 blog
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2915253
版权
本文详细记录了对Crash Dump的分析过程,涵盖了C语言异常处理、内存hook技术及其在测试中的应用。通过实例探讨如何从dump文件中提取关键信息,帮助定位和解决问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 
作 者: softworm
时 间: 2008-08-29,20:19
链 接: http://bbs.pediy.com/showthread.php?t=71643
Crash Dump分析笔记


我自己的隐藏OD插件,带驱动,在跑ExeCryptor时偶尔BSOD。驱动挂了2个中断,分别是Int0D,用来对抗rdtsc,从
deroko的fakerRdtsc改的,另外1个是Int0E,抄的OllyBonE。


1: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

UNEXPECTED_KERNEL_MODE_TRAP (7f)
This means a trap occurred in kernel mode, and it's a trap of a kind
that the kernel isn't allowed to have/catch (bound trap) or that
is always instant death (double fault).  The first number in the
bugcheck params is the number of the trap (8 = double fault, etc)
Consult an Intel x86 family manual to learn more about what these
traps are. Here is a *portion* of those codes:
If kv shows a taskGate
        use .tss on the part before the colon, then kv.
Else if kv shows a trapframe
        use .trap on that value
Else
        .trap on the appropriate frame will show where the trap was taken
        (on x86, this will be the ebp that goes with the procedure KiTrap)
Endif
kb will then show the corrected stack.
Arguments:
Arg1: 00000008, EXCEPTION_DOUBLE_FAULT
Arg2: f7737d70
最低0.47元/天 解锁文章
【系统稳定性】1.7 QNX Crash之Ramdump的生成
从0到1,突破自己
09-08 746
我们可以直译为“内存转储”,不过一般也很少这样去使用,就是直接使用ramudmp即可。它是一种在系统或子系统发生崩溃时,将系统内存中的数据保存下来的操作。你可以把它想象成在系统“去世”前,我们抓拍的一张“内存照片”。这张照片记录了当时系统运行的所有信息,包括程序代码、数据、寄存器值等。不同系统的 RAM Dump 格式可能不同,对于QCOM平台来说,它的系统往往包含多个子系统(如modem、应用处理器等),其RAM Dump的结构也更为复杂,包含更多的数据。
恒玄BES调试笔记-BES2500如何Dump Anc Audio数据
leezs的博客
08-25 1337
从YP的4M flash改HP3的2M flash只需要改: 原工程:target.mk的export FLASH_SIZE ?= 0x200000和common.mk里的KBUILD_CPPFLAGS += -DNEW_IMAGE_FLASH_OFFSET=0x100000 OTA工程:target.mk的NEW_IMAGE_FLASH_OFFSET ?= 0x100000和FLASH_SIZE ?= 0x200000 ...
Crash Dump与HPMC
5Love
11-03 1144
有时系统在运行的过程中挂起,有时会自动重起,我们需要对相关的情况进行分析Crash Dump主要是与软件相关,HPMC通常是硬件相关。将它们放在一起写主要是因为它们的表现有相似之处。Crash Dump是在系统出现故障时,将内存中的内容保存到硬盘上以进行进一步分析的过程。详细地描述如何做分析并不在本文的范围中,后面主要讲一下Crash Dump的种类及如何收集以及初步处理。 Crash Du
Crash dump进程信息
li123128的博客
03-03 743
  linux下 比较简单,这里不在说明,      windows下 相对复杂一点,用SetUnhandledExceptionFilter 来捕获 MiniDumpWriteDump 来写dmp文件,这种方法还不够完全,一些错误 一样无法捕获 比如 多次 delete ,可修改注册表 crash自动生成dmp 而不用代码去控制 结合代码控制 一起使用      #if _WIN32   ...
编写的windows程序,崩溃时产生crash dump文件的办法(转)
Allendale的专栏
01-26 2472
文章来源:http://blog.csdn.net/fhxpp_27/article/details/9701867 一、引言 dump文件是C++程序发生异常时,保存当时程序运行状态的文件,是调试异常程序重要的方法,所以程序崩溃时,除了日志文件,dump文件便成了我们查找错误的最后一根救命的稻草。windows程序产生dump文件和linux程序产生dump文件的方式不一
Crush The Crash--dump和异常
安柏霖的专栏
10-07 4279
这篇文章里聊一些crash dump相关的东西,dumpexception两者在查看dump的时候常常是相关出现的。 对两者有必要的了解,会让问题处理事半功倍。
crash调试linux dump信息
qq_42931917的博客
08-26 8740
当发生linux 内核crash时,内核依靠kexec机制在系统引导时已分配的内存的预保留部分中快速重新引导内核的新实例。这样可以使现有存储区域保持不变,以安全地将其内容复制到存储中,下文直接延时调试整个过程。 curits@curits-virtual-machine:~/Desktop/crash-master$ sudo apt install linux-crashdump [sudo] password for curits: Reading package lists... Done Buil
WinDbg分析蓝屏dump原因
Finder_Way
02-12 2万+
大多数人或许都经历过系统蓝屏问题,然而大多数人不清楚该怎么处理蓝屏问题,这里主要对系统蓝屏做一些解释,同时介绍下蓝屏问题分析工具WinDbg分析蓝屏问题的一般步骤。 微软官方对蓝屏的定义是,当系统遇到一些可能会威胁系统安全的情况时,系统会停止工作,这时的状态(即蓝屏)叫做Bugcheck, 即bug检查。 一般导致蓝屏的原因可能是:系统崩溃,系统内核出错,或者别的程序导致系统停止工作。 系统蓝屏其...
GCC Coverage代码分析-gcov-dump原理分析
学习,思考,记录,分享。
05-27 1万+
本博客(http://blog.csdn.net/livelylittlefish)贴出作者(阿波)相关研究、学习内容所做的笔记,欢迎广大朋友指正!Content1.序2. gcov-dump原理分析2.1 gcov-dump程序结构2.2 dump_file函数分析2.3处理各种tag的callback定义2.4基本读取函数gcov_read_words2.5分配空间函数gcov_allocat
crash工具解析_Android Crash 工具
weixin_39543655的博客
11-21 1044
本篇文章主要介绍Android开发中的部分知识点,通过阅读本篇文章,您将收获以下内容:一、Crash 简介当Linux系统内核发生崩溃的时候,可以通过 KEXEC+KDUMP 等方式收集内核崩溃之前的内存,生成一个转储文件vmcore。内核开发者通过分析该vmcore文件就可以诊断出内核崩溃的原因,从而进行操作系统的代码改进。那么Crash就是一个被广泛使用的内核崩溃转储文件分析工具.对调试来讲,...
cpthook:一个 git 钩子管理器
06-11
钩子 如果您使用中央存储库管理器,例如 gitolite 或 gitosis,您可能至少有几个使用自定义 git 挂钩的存储库。 CptHook 允许您从一个位置管理所有钩子。 配置示例 这是一个基本的 cpthook 配置,将单个钩子添加到单个存储库。 我在 /repos/cpthook-admin 下创建了一个 hook.cfg 文件,它是一个存储库,仅用于存储 cpthook 配置和我们希望管理的任何钩子脚本。 [cpthook] 脚本路径 = /repos/cpthook-admin/hooks.d repo-path = /repos [repos apu_repos] members = testrepo hooks = test_hooks [hooks test_hooks] post-commit = test-post-commit.sh 在 hooks.d
怎样分析crash dump(内存错误)
hnzwx888的专栏
06-23 5942
转载自:http://www.itdaan.com/blog/2014/09/15/b143a196377b.html Memory错误 在内核中,内存是以cache的形式组织的,每个对象类型对应一个cache,如(inod_cache,dentry_cache, buffer_head,vm_area_strutct等);每个cache包含多个slab(slab由一个或多个页组成,这些页物理...
电脑蓝屏怎么解决
weixin_48416160的博客
11-11 1811
对于大部分使用电脑的朋友而言碰到蓝屏的情况是很平常的,当电脑蓝屏时,如何解决,下面就为大家介绍一些解决方法 环境:个人电脑 方法: 1.重启计算机。如果蓝屏只是偶尔的出现蓝屏的话,只要重启计算机就可以了; 2.在关机过程中,间歇性的出现蓝屏现象,可以通过下载补丁的办法来解决,打开360安全卫士,选择漏洞修复,并勾选“自动修复蓝屏”即可 3.感染病毒。恶意程序的破坏导致电脑经常蓝屏;只需要经常打开360安全卫士来查杀...
使用Windbg查看CrashDump
kuangben2000的博客
04-09 552
使用Windbg查看CrashDump (122条消息) 使用Windbg查看CrashDump_远行的风的博客-CSDN博客_windbg查看dump 本文介绍如何使用Windbg简单查看Windows Crash Dump. WWindbg symbol配置: SRV*D:\Symbols*http://msdl.microsoft.com/download/symbols 载入CrashDump的dmp文件 载入后,执行!analyze-v: 相关的参数说明: FA..
ubuntu 20.04 搭建crash dump问题分析环境
天使之翼
11-21 4195
确保您拥有系统的 GPG 密钥。,其中 XXX 是内核版本。文件,添加下面的配置以支持。包含调试信息的文件名为。
关于一加手机出现 qualcomm crashdump mode 解决办法
热门推荐
qq_44948696的博客
04-06 4万+
一加手机只要是 出现 qualcomm crashdump mode那么恭喜你百分百是CPU虚焊 要拆机的, 处理器那部分拆出来再装回去, 原理很简单 CPU虚焊的解决教程 本人聊QQ突然黑屏重启直接 qualcomm crashdump mode 好家伙9008刷还是开不了机 诶FUCK一加,FUCK刘作虎,怪我有眼无珠 我朋友的 一加8 我的一加6都出现这个,这个不是巧合,这是通病 ...
一加6 避免 crashdump mode win11
nongcunqq的博客
02-14 4688
1.关闭电源选项快速启动 2.从不休眠硬盘 崩溃触发点集中在2个方向 一,win系统一些重要参数设置和上次启动发生改变 二,除了关机硬盘不能断电,比如进入休眠 所以避免以上两点就没有发生过崩溃 ...
我的一加六手机升级安卓10后重启突然开不了机了
qq_35418859的博客
03-12 1810
昨天我的手机刚刚升级到安卓10系统,本来想着太极也早就支持了有过了这么久,bug应该应该不会太明显了吧?但是,正当我准备安装一个叫xposed edge 的模块的时候出现了问题,硬是说没有安装xposed框架。我明明是从太极官网找的模块怎么会不行呢?重启之后发现已经开不了机了(能进fastboot跟recovery)我寻思可能是新装的模块的问题,本来想着用adb命令把他给卸载了,奈何我刚关了usb...
crash dump64
最新发布
03-08
<think>好的,我现在需要向用户介绍“crash dump64”。首先,我得确定用户指的是什么。通常,“crash dump”是系统崩溃时生成的内存转储文件,用于分析崩溃原因。而“64”可能指64位系统。所以用户可能是在问64位系统下的崩溃转储文件。 接下来,我要回忆一下Windows系统中的crash dump类型。记得有几种类型,比如完全内存转储、内核内存转储和小型内存转储。它们的区别在于保存的数据量不同,小型转储文件较小,只包含关键信息,而完全转储包含全部内存内容,文件很大。64位系统下,这些转储文件的后缀通常是.dmp,存放在系统目录的Minidump文件夹里。 然后,用户可能需要知道如何分析这些dump文件。我需要提到常用的工具,比如WinDbg和BlueScreenView。特别是WinDbg,是微软官方工具,功能强大但学习曲线陡峭。BlueScreenView则更简单,适合普通用户快速查看错误信息。 还要考虑用户的使用场景。可能他们遇到了系统崩溃的问题,想要自己分析原因,或者需要将转储文件提供给技术支持人员。这时候,解释如何配置转储文件设置也是有必要的,比如通过系统属性中的高级设置来调整转储类型。 另外,需要注意文件的位置和命名规则,比如%SystemRoot%\MEMORY.DMP是完整转储的位置,而Minidump文件夹中的文件是按日期命名的。这样用户在查找时不会混淆。 最后,要确保语言通俗易懂,避免使用过多技术术语,但也要准确。可能需要提醒用户处理dump文件时的注意事项,比如文件大小和隐私问题,因为转储可能包含敏感信息。 总结一下,回答的结构应该是先定义crash dump64,然后分点介绍类型、作用、分析工具、位置和配置方法。确保每个部分简洁明了,帮助用户全面了解如何处理系统崩溃的问题。</think>关于 **Crash Dump(64位系统崩溃转储文件)** 的详细介绍如下: --- ### 1. **基本概念** - **Crash Dump**(崩溃转储)是操作系统或应用程序发生严重错误(如蓝屏死机/BSoD)时自动生成的文件。 - **64位系统**(如64位Windows)生成的转储文件通常称为 **Crash Dump64**,记录了崩溃时的内存、进程、驱动状态等信息,用于后续调试。 --- ### 2. **主要类型** 在64位Windows系统中,常见的转储类型包括: 1. **完全内存转储(Complete Memory Dump)** - 保存崩溃时所有物理内存内容。 - 文件最大(与物理内存大小一致),路径:`%SystemRoot%\MEMORY.DMP`。 2. **内核内存转储(Kernel Memory Dump)** - 仅保存内核模式内存数据。 - 文件较小,默认选项,路径同上。 3. **小型内存转储(Minidump)** - 仅保存关键信息(如错误代码、堆栈、加载的驱动)。 - 文件最小(约256KB),路径:`%SystemRoot%\Minidump\*.dmp`。 --- ### 3. **核心作用** - **诊断崩溃原因**:通过分析转储文件,定位导致崩溃的驱动、硬件或软件。 - **调试支持**:开发者或技术支持人员可利用调试工具(如WinDbg)还原崩溃现场。 - **系统优化**:识别频繁崩溃的组件(如显卡驱动),帮助优化稳定性。 --- ### 4. **常用分析工具** 1. **WinDbg(Windows Debugger)** - 微软官方工具,支持深度分析内存转储。 - 使用命令:`!analyze -v` 自动分析错误原因。 2. **BlueScreenView(第三方工具)** - 直观显示崩溃时的错误代码、触发模块。 - 适合非技术人员快速查看关键信息。 3. **WhoCrashed** - 自动化分析工具,生成易读的报告。 --- ### 5. **文件位置与配置** - **手动配置转储类型**: ```markdown 1. 右键“此电脑” → 属性 → 高级系统设置 → 启动和故障恢复 → 设置。 2. 在“写入调试信息”中选择转储类型。 ``` - **默认存储路径**: - 完全/内核转储:`C:\Windows\MEMORY.DMP` - 小型转储:`C:\Windows\Minidump\*.dmp` --- ### 6. **注意事项** - **权限问题**:分析转储文件可能需要管理员权限。 - **隐私风险**:转储文件可能包含敏感数据(如密码片段),分享前需谨慎处理。 - **磁盘空间**:完全转储会占用大量空间,建议SSD用户优先选择小型转储。 如果需要进一步分析具体崩溃案例,可提供`.dmp`文件路径或错误代码! 🛠️
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值