WinDbg定位内存泄露

最新推荐文章于 2022-06-28 17:10:25 发布
最新推荐文章于 2022-06-28 17:10:25 发布
阅读量4.9k 收藏 3
点赞数
分类专栏: 逆向调试

一般我用两种方法:

1. 用Debug Diagnostic Tool的Leak监测分析功能,注意配置好PDB文件。

   DebugDiag 会生成完整的Leak Report。看看帮助很方便。

2. 用WinDBG的!heap扩展命令。注意要为你的程序打开Normal PageHeap。

http://support.microsoft.com/kb/286470

   然后当内存出现明显泄漏时用 !heap -l 命令分析内存。-l 参数使用类似Java/C#的Garbage Collection算法,这样能找到大部分在程序中没有被引用的HeapBlock。

   这是一个示例输出:

0:011> !heap -l
Searching the memory for potential unreachable busy blocks.
......
Heap 017a0000
Scanning VM ...
Scanning references from 3586 busy blocks (0 MBytes) ...
Entry           User         Heap            Segment        Size  PrevSize  Unused    Flags
-----------------------------------------------------------------------------
00253198  002531a0  00250000  00250000        b8        78        14  busy extra
00253250  00253258  00250000  00250000        78        b8        13  busy extra
00286a38  00286a40  00250000  00250000       b8        b8        15  busy extra
00286af0  00286af8  00250000  00250000        b8        b8        15  busy extra
00286ba8  00286bb0  00250000  00250000        b8        b8        15  busy extra
00286c60  00286c68  00250000  00250000        b8        b8        15  busy extra
00286d18  00286d20  00250000  00250000        b8        b8        15  busy extra
00286dd0  00286dd8  00250000  00250000        b8        b8        15  busy extra

   找到最常出现的Size值(这里是b8),一般就是持续泄漏的内存块大小。随便选一行,记下Entry地址(比如00286a3)。

   dt _DPH_BLOCK_INFORMATION 00286a3 + 8   //8 是HeapEntry结构的大小,跟在其后的就是PageHeap meta data,结构名是_DPH_BLOCK_INFORMATION.

   0:011> dt _DPH_BLOCK_INFORMATION 00286a3+ 8
ntdll!_DPH_BLOCK_INFORMATION
   +0x000 StartStamp       : 0xabcdaaaa
   +0x004 Heap             : 0x80151000
   +0x008 RequestedSize    : 0x7b
   +0x00c ActualSize       : 0xa3
   +0x010 FreeQueue        : _LIST_ENTRY [ 0x2e - 0x0 ]
   +0x010 TraceIndex       : 0x2e
   +0x018 StackTrace       : 0x00357140
   +0x01c EndStamp         : 0xdcbaaaaa

   看到StackTrace那行,这是相应的user mode stack trace database的地址。

0:011> dds 0x00357140
00357140  abcdaaaa
......
00357160  7c949d18 ntdll!RtlAllocateHeapSlowly+0x44
00357164  7c91b298 ntdll!RtlAllocateHeap+0xe64
00357168  004017fe 06_DebugDiag_MemoryLeak!MyHeapAlloc+0x1e [g:\debugging101\projects\06_debugdiag_memoryleak\06_debugdiag_memoryleak\06_debugdiag_memoryleak.cpp @ 11]
0035716c  0040182b 06_DebugDiag_MemoryLeak!WorkerThread+0x1b [g:\debugging101\projects\06_debugdiag_memoryleak\06_debugdiag_memoryleak\06_debugdiag_memoryleak.cpp @ 27]
00357170  7c80b683 kernel32!BaseThreadStart+0x37

   这就是上次通过Heap Manager函数操作这个HeapBlock的StackTrace,一般也就是分配这个Block的地方。

   希望可以帮到你。

mergerly
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Debug Diagnostic Tool工具排查内存泄漏问题
dvlinker的技术专栏
05-03 4561
使用Debug Diagnostic Tool工具排查内存泄漏问题
windbg内存泄漏问题
07-18
windbg内存泄漏问题windbg内存泄漏问题windbg内存泄漏问题windbg内存泄漏问题windbg内存泄漏问题windbg内存泄漏问题windbg内存泄漏问题windbg内存泄漏问题windbg内存泄漏问题
Windbg常用命令
weixin_33985679的博客
05-19 180
.extpath 扩展模块搜索路径 .ecxr;kb !analyze -v~ - 列举出当前进程上下文中的所有线程~* - 列举出当前进程上下文中的所有线程的详细信息lm - 列举出所有加载的模块!sym noice/quiet - 代码提示开关.srcpath -设置源码路径k - 显示当前堆栈~*kb -显示出所有线程占用的堆栈dv - 显示出本地变量(使用ctrl + alt + v切...
使用Debug Diagnostic Tool排除内存泄漏故障
weixin_34248487的博客
06-21 433
使用Debug Diagnostic Tool排除内存泄漏故障翻译自:https://mssqlwiki.com/2012/12/06/debugging-memory-leaks-using-debug-diagnostic-tool/在我之前的博文中(SQL Server内存泄漏),我解释了如何使用“!heap”命令识别哪个模块泄漏了内存。有时我们使用“!d”命令来找到模型或者使用搜索内存命令...
windbg调试HEAP
flyingleo1981的专栏
09-26 4487
HEAP的概念 堆栈堆栈,在操作系统内存中有两种存储空间,一个是堆,一个是栈。堆主要用于存储用户动态分配的变量,而栈呢,则是存储我们程序过程中的临时变量。当然栈的作用远不止用作存储变量,但这不是我们这篇文章的讨论内容。 堆(HEAP)的分配,使用,回收都是通过微软的API来管理的,最常见的API是malloc和new。在往底层走一点呢,这两个函数都会调用HeapAlloc(RtlAllocat
[微软工具] 基于WinDbg的内存泄漏分析 - 比较复杂情况下调试
08-13
NULL 博文链接:https://jacky-dai.iteye.com/blog/2310877
windows 64位 内存泄漏抓包工具windbg
01-10
vs平台c++代码下64位内存泄漏抓包工具,本人因业务开发需要,经常使用,分享给大家,希望大家喜欢。
windbg-x64 附带内存泄露的调试脚本
12-21
windbg_x64 附带内存泄露的生成脚本,使用管理员权限执行命令1,2,3,4脚本,设置检测程序和输出路径、pdb符号路径
windows下检测内存泄漏的脚本,先安装windbg x64
09-20
windows下检测内存泄漏的脚本,先安装windbg x64
Windbg学习19(!heap)
weixin_30411239的博客
05-31 445
以下以windbg启动calc为调试结果: 1!heap !heap 扩展显示堆使用信息,控制堆管理器中的断点,检测泄露的堆块,搜索堆块或者显示页堆(page heap)信息。 !heap -h列出当前进程的所有堆: 0:000> !heap -h Index Address Name Debugging options enabled 1: 00...
记一次使用Windbg分析内存“泄漏”的案例
qingyang0320的专栏
06-28 1425
WinDbg分析dump,总结下来,在这个case里下面几个命令比较相关和实用。
利用Windbg分析高内存占用问题
微软技术栈
12-29 2797
大家好,我是本期的微软MVP实验室研究院--冯辉。本篇文章主要介绍如何利用WinDbg分析应用进程中的内存问题,从托管堆到非托管堆的探索以及到内存的分配,接下来我们一起来探索吧。 由于这近一年时间一直忙于写书和工作,一直没有水文,但是近期有几位朋友使用我们的Magicodes.IE反馈在导出过程中内存暴涨...好吧,不管怎样,不能苦了我们朋友,接下来我们通过windbg来看一下什么原因导致的。 接下来我们先通过address -summary来看一下当前应用内存占用量。 0:000> !a
windbg使用技巧
gogoytgo的博客
11-27 533
dt -v DMS_Server!DataRow 376c4b58+8 转存出数据结构 dt -s 4c -n DMS_Server!* 查找结构体大小 回答本文标题中的问题, 步骤如下: 第一步, 开启日志记录: .logopen d:\output.txt 第二步, 运行你想要输出到文本文件中的命令: address 第三步, 关闭日志记录: .logclo
windows 堆分析
合天网安学院
09-02 698
windows和linux堆管理机制虽然呈现给用户的效果是一样的,大体思路也是差不太多,但是底层实现逻辑大相径庭,很多地方和glibc的ptmalloc差别很大。网上资料零零散散,而且都是...
windbg 计算堆大小
yy405145590的专栏
06-09 576
Summary: heap entries are now encoded, the key is in the heap itself. Let's say I have a heap at 0x00d60000: 0:000> !heap -a 00d60000 Index Address Name Debugging options enabled 2: 00
windbg学习实例2:堆的手工分析(AWDDBG学习笔记)
weixin_30369041的博客
05-31 158
大多数(并不是所有)高层的内存管理器都使用了Windows堆管理器,而堆管理器又会使用虚拟内存管理器: 下图给出了在Windows中支持的内存管理器以及它们之间的关系: 当进程启动时,堆管理器将自动创建一个新堆,叫做默认的进程堆,但是new/delete运算符以及malloc/free等API仍使用CRT堆来满足它们的内存需求,有些进程还会创建一些额外的堆(通过HeapCreat...
使用windbg检测内存泄漏[有源码和截图]
flyingleo1981的专栏
03-28 1629
使用windbg检测内存泄漏[有源码和截图] 一、基本步骤 配置环境windbg: 配置symbol文件路径:“SRV*d:\symbols*http://msdl.microsoft.com/download/symbols”. 增加测试程序test.exe的pdb 文件到symbol文件路径 采用Gflags.exe,增加userstack trace到测试程序leak.exe中。...
windbg调试 内存泄漏
最新发布
12-20
这个命令会列出所有未释放的堆块,并提供堆块的地址、大小、堆的分配来源等信息,帮助我们定位内存泄漏的源头。 除了查看堆内存情况,我们还可以使用命令 "!poolused" 来查看内核内存池的使用情况,通过观察各个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值