Windbg分析dump及调试程序

最新推荐文章于 2024-05-21 17:31:26 发布
最新推荐文章于 2024-05-21 17:31:26 发布
阅读量3.3k 收藏 7
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/listener51/article/details/79719871
版权

1. Windbg生成dump文件

  程序崩溃(crash)的时候, 为了以后能够调试分析问题, 可以使用WinDBG要把当时程序内存空间数据都保存下来,生成的文件称为dump 文件。 步骤:
  1) 打开WinDBG并将之Attach 到crash的程序进程
  2) 输入产生dump 文件的命令
  WinDBG产生dump 文件的命令是 .dump ,可以选择不同的参数来生成不同类型的dump文件。
   选项(1): /m
   命令行示例:.dump /m C:\dumps\myapp.dmp
   注解: 缺省选项,生成标准的minidump, 转储文件通常较小,便于在网络上通过邮件或其他方式传输。 这种文件的信息量较少,只包含系统信息、加载的模块(DLL)信息、 进程信息和线程信息。
   选项(2): /ma
   命令行示例:.dump /ma C:\dumps\myapp.dmp
   注解: 带有尽量多选项的minidump(包括完整的内存内容、句柄、未加载的模块,等等),文件很大,但如果条件允许(本机调试,局域网环境), 推荐使用这中dump。
   选项(3):/mFhutwd
   命令行示例:.dump /mFhutwd C:\dumps\myapp.dmp
   注解:带有数据段、非共享的读/写内存页和其他有用的信息的minidump。包含了通过minidump能够得到的最多的信息。是一种折中方案。
   选项(4): /f
命令行示例: .dump /f C:/dump.dmp
注解: 其中.dump是dump生成命令,/f是生成全信息dump

2. Windbg分析dump

2.1 查看线程相关

   (1)、 ~ 命令是用来切换目标线程
       ~ 可以显示线程的信息
       ~0s 把当前的线程切换到0号线程,也就是主线程,切换后提示符会变为0:000.

   (2) 、~* 命令列出当前进程中的所有线程的详细信息

   (3)、~*kb 命令列出所有线程的堆栈

2.2查看内容相关:

   (1)dd + address: 将内存地址中内容以四字节为单位显示出来

   (2)da : 将内存中内容,以ascii码的形式显示出来,主要用于观察字符串

   (3)du : 将内存中内容以unicode码形式显示出来,也用于显示字符串

   (4)dv: 不用加内存地址,显示当前栈上面的所有的变量

   (5)dt+ 格式 + (address): 把内存地址所在的内容,以制定的格式显示出来,这个格式一般是结构体等。

   (6)dds: 把制定地址开始的内容,列出来,如果能对应到代码符号,将符号显示出来。

参考网址:https://blog.csdn.net/talking12391239/article/details/40147631
参考网址:https://www.cnblogs.com/LoveOfPrince/p/6653341.html
参考网址:http://www.xuebuyuan.com/688977.html

3、 Windbg 调试程序

3.1 打开windbg客户端,设置环境

 1、设置Symbol File Path ......  ##符号路径,即PDB路径(windows下)。
 2、设置Source File Path ......  ##源码路径。
 3、File->Open Executable...... ##可执行文件(windows下),此步骤需要在同样的界面配置可执行文件的运行参数。

3.2 windbg客观端,使用命令启动调试

  1、客户端,命令行调试的界面。
 这里写图片描述
  2、windbg命令行处使用 bp main 在main函数处设置断点。
  3、windbg命令行处使用 g 开始运行程序,相当与VS下F5的效果。
  4、在3步骤后,程序会在main函数处停下(即已经停在相应的代码处),然后可以在代码中使用:

F9:设置断点,只要在光标定位的位置(上图中灰色条)按F9键即可,再按一次F9键则会删除断点。(相当于OllyDbg 中的 F2)

F10:单步步过。每按一次这个键执行一条反汇编窗口中的一条指令,遇到 CALL 等子程序不进入其代码。(相当于 OllyDbg中的 F8)

F8 or F11:单步步入。功能同单步步过(F10)类似,区别是遇到 CALL 等子程序时会进入其中,进入后首先会停留在子程序的第一条指令上。(相当于 OllyDbg 中的 F7)

F7:运行到选定位置。作用就是直接运行到光标所在位置处暂停。(相当于 OllyDbg 中的 F4)

Shift+F11:运行到跳出函数。

F5:运行。按下这个键如果没有设置相应断点的话,被调试的程序将直接开始运行。(相当于 OllyDbg 中的 F9)

3.3 windbg可发现程序的死循环

  1、用windbg调试的过程中,如果发现程序死循环了,需要选 break 掉程序(windbg的工具栏某个下拉选项中有),然后使用命令

  ~*kv    ##查看所在线程,即可看到程序死循环处

or

!runaway   ##查看各个线程的消耗程度

(1)使用 !runaway 后便可看到类似的结果:

 User Mode Time
  Thread       Time
   5:17c       0 days 0:02:47.373
   6:530       0 days 0:00:01.154
   4:188       0 days 0:00:01.123
   0:72c       0 days 0:00:00.031

(2)使用命令~5 s 切换到17c线程空间(5 以及17c指上面的示例)。

参考网址:
https://blog.csdn.net/wowolook/article/details/38920625
http://blog.sina.com.cn/s/blog_4e0987310101b99x.html
https://blog.csdn.net/cjf_iceking/article/details/51955540
https://www.pediy.com/kssd/pediy10/94457.html
https://www.cnblogs.com/Clingingboy/archive/2013/03/26/2983166.html

walkingMa
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windbg调试dump文件
bigger_belief的博客
04-28 5331
用Windows自带的windbg,在调试工具,使用dump文件查找崩溃的位置
WinDbg DUMP 调试
Iron 的博客
04-23 531
WinDbg DUMP调试 设置符号路径 可以在命令行中通过 .sympath 命令来设置符号路径,也可通过 菜单项 来设置。 符号路径有两种,一是本地路径,例如:D:\MySymbols;二是远程服务器路径,例如 SRV*CachePath(本地缓存)*RomotePath(远程服务器)。 多个符号路径通过 “;” 连接。 命令行 .sympath D:\MySymb...
windows收集dump文件并windbg分析
最新发布
minping9101的博客
05-21 514
在exe程序发生闪退crash时,脱离了ide时,不知道crash原因,本文介绍如何抓取dump文件并进行调用堆栈分析
使用WinDbg分析Windows dump文件方法
sway913的博客
06-16 4785
analyze -v"链接,或者在下面的命令窗口中输入“!analyze -v”命令,工具就对dump文件进行分析,然后输出导致系统崩溃的起因等相关信息。在安装Windows SDK的过程中,可以选择只安装WinDbg(Debugging Tools for Windows)这个组件。工具来分析windows系统产生的dump文件,此工具属于Windows SDK的一个组件,在微软官方网站可以下载(1)打开WinDbg工具,通过菜单“File”->“Open Crash Dump”打开dmp文件。
WinDbg快速分析异常情况Dump文件
君子居易
03-03 2402
生产环境偶尔会出现一些异常问题,WinDbg 或 GDB 就是解决此类问题的利器。调试工具 WinDbg 如同医生的听诊器,是系统生病时做问题诊断的逆向分析工具,Dump 文件类似于飞机的黑匣子,记录着生产环境程序运行的状态。 本文主要介绍了调试工具 WinDbg 和抓包工具 ProcDump 的使用。
Windbg核心调试dump分析
dyc13的专栏
04-27 2653
文章标题:Windbg核心调试dump分析调试环境:winxp sp2+windbg ver:6.6.0007.5+vmware 5.5.2附件:点击下载一.Dump文件的产生,意义和类型    当系统发生错误是,最常见的就是蓝屏(Blue screen),这时就会在系统目录下产生一个Dump文件,如MEMORY.DMP 。这个文件的主要意义在于分析系统错误发生的原因,以作出解决的方法。
windows程序使用Windbg分析dump
steem
04-23 4916
windows上Windbg分析dump文件
Windbg分析dump及Linux调试程序使用方案
10-23
windows windgb 与 linux gdb 、linux valgrind 的使用案例,pdf 手册 Windbg分析dump调试程序的使用例子
WinDbg调试工具,dump文件分析工具
07-07
WinDbg调试工具是微软开发的一款强大的调试器,主要用于对Windows操作系统进行系统级的调试,尤其是在分析和解决蓝屏(Blue Screen of Death, BSOD)问题时,它扮演着至关重要的角色。通过阅读和分析dump文件,...
调试技巧 —— 如何利用windbg + dump + map分析程序异常
09-04
"调试技巧——如何利用windbg + dump + map分析程序异常"这一主题,聚焦于使用Windbg这款强大的调试工具,配合dump文件和map文件来诊断并解决程序运行时的异常问题。以下将详细介绍这些关键概念和技术。 首先,...
windbg dump文件查看
04-06
Windbg是一款强大的Windows调试工具,尤其在分析系统崩溃、蓝屏(Blue Screen of Death, BSOD)和死机问题时非常有用。它可以帮助开发者和系统管理员深入理解内存转储(dump)文件,找出问题的根源。本文将详细介绍...
观察进程线程的数据结构
11-28
详细介绍了在Windows Server 2008下用windbg调试工具查看进程和线程结构体和其他跟进程线程相关的东西。
Windows 调试程序 (WinDbg)
01-14
**Windows调试程序(WinDbg)** WinDbg是一款强大的调试工具,由Microsoft提供,用于对Windows操作系统进行内核模式和用户模式的调试。这款工具是Windows开发和故障排除过程中的得力助手,尤其在处理崩溃、性能问题或...
Windbg 2进程线程结构分析
fei1160688828的专栏
12-29 831
目录任务进程资源进程空间EPROCESS结构PEB内核模式和用户模式线程ETHREADTEBWOW进程注册表重定向注册表反射文件系统重定向创建进程最小进程和Pico进程最小进程任务管理器 任务 一个进程或者一个线程叫任务 进程资源 虚拟地址空间 全局唯一的进程ID 可执行映像 一个或多个线程 一个位于内核空间的EPROCESS 一个位于内核空间的对象句柄表 一个用于描述内存目录表其实位置的基地址 一个位于用户空间的进程环境块 一个访问令牌 进程空间 用户空间 内核空间 EPROCESS结构 1.查看所有
Windbg内核调试之四: Dump文件分析
fangchao918628的专栏
12-23 1304
Dump 文件分析很大程度上就是分析蓝屏产生的原因。这种系统级的错误算是Windows提示错误中比较严重的一种(更严重的还有启动黑屏等硬件或软件兼容性错误等等)。说它是比较严重,是因为毕竟Windows还提供了dump文件给用户分析,至少能比较容易的找到错误的原因。一般蓝屏要么是内核程序中的异常或违规,要么是数据结构的损坏,也有boot或shutdown的时候内核出错。有时候蓝屏是一闪而过,紧接着
使用Windbg解析dump文件
热门推荐
沧海一粟的专栏
12-28 7万+
第一章 常用的Windbg指令 ①!analyze -v  ②kP                            可以看函数的入参 ③!for_each_frame dv /t         可以看函数中的局部变量 ④dc                            产看某一内存中的值    可以直接接变量名 不过可能需要回溯栈 ⑤!threads
生成程序崩溃的dump文件,使用windbg调试
comtoexe
09-22 547
1,目的   有时候程序在客户那里崩溃了,你程序也没有什么有效的log日志能记录到崩溃的细节,那这实在是一件很麻烦的事情。 你得向客户反复了解操作内容并希望能在自己这里重现,这个过程想想都很痛苦吧。。 使用下面的方法,能在程序崩溃时生成一个自己的dump文件,记录了崩溃时的一些有用的信息,一般能帮你容易地找到出错的地方。   2,原理   简单地说,就是windows程序崩溃时会...
WinDBG 技巧:如何生成Dump 文件(.dump 命令)
weixin_33979203的博客
02-22 475
程序崩溃(crash)的时候, 为了以后能够调试分析问题, 可以使用WinDBG要把当时程序内存空间数据都保存下来,生成的文件称为dump 文件。 步骤: 1) 打开WinDBG并将之Attach 到crash的程序进程 2) 输入产生dump 文件的命令 WinDBG产生dump 文件的命令是 .dump ,可以选择不同的参数来生成不同类型的dump文件。 选项(1): /m 命令行...
通过WinDbg生成dump文件
Fire_Lord的专栏
01-14 1967
在Windows开发环境下,通常使用Visual studio完成项目的开发以及调试,很少会用到WinDbgWinDbg提供了强大的调试功能,在一些情况下,Visual Studio附带的调试工具无法完成调试工作,只有通过WinDbg来完成,例如,对dump文件的分析。 1. dump 文件简介 dump 文件是指内存转储文件,是系统在程序崩溃时将当前相关内存状态存储到硬盘上的文件,用于对系
windbg调试dump
07-27
回答: 要使用Windbg调试dump文件,首先需要打开Windbg并将其附加到崩溃的程序进程。然后,可以使用.dump命令生成dump文件。.dump命令有不同的选项,可以生成不同类型的dump文件。例如,使用/m选项可以生成标准的minidump文件,该文件包含系统信息、加载的模块信息、进程信息和线程信息。使用/ma选项可以生成带有尽量多选项的minidump文件,包括完整的内存内容、句柄、未加载的模块等。使用/mFhutwd选项可以生成带有数据段、非共享的读/写内存页和其他有用信息的minidump文件。还可以使用/f选项生成全信息dump文件。\[1\] 在分析dump文件之前,需要设置Windbg的环境。可以设置符号路径(PDB路径)和源码路径。然后,可以使用File->Open Executable命令打开可执行文件,并配置可执行文件的运行参数。接下来,可以使用Windbg的命令启动调试。\[2\] 另外,要注意安装Windbg并设置符号路径。可以通过腾讯电脑管家下载Windbg,并设置符号路径为c:\symcachehttp://msdl.microsoft.com/download/symbols;c:\symcache。还需要加载SOS调试扩展,以便查看在公共语言运行时中运行的代码的相关信息。加载SOS的命令是.load,例如.load C:/WINDOWS/Microsoft.NET/Framework/v4.0.30319/sos.dll。需要确保加载的sos.dll版本与运行的程序版本对应。\[3\] #### 引用[.reference_title] - *1* *2* [Windbg分析dump调试程序](https://blog.csdn.net/listener51/article/details/79719871)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [Windbg分析Dump文件](https://blog.csdn.net/zjpdd1023/article/details/105008250)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值