Windbg及Dump文件分析方法

已于 2022-04-09 13:17:01 修改
阅读量8.7k 收藏 18
点赞数 1
文章标签: c++ windbg
于 2021-03-08 11:31:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mingjingtai2000/article/details/114526373
版权
本文详细介绍了WinDbg用户模式调试的步骤,包括无代码和有代码情况下的调试方法,以及如何设置和验证断点。此外,文章讨论了WinDbg中的符号文件及其重要性,强调了正确匹配符号文件对调试的重要性。最后,文章概述了用户模式Dump文件的类型,如完整用户模式Dump和Minidump,并解释了如何使用WinDbg分析Dump文件。
摘要由CSDN通过智能技术生成

1.WinDbg

1.1WinDbg介绍

WinDbg全称Debugging Tools for Windows,是windows平台下的调试工具。

获取Windbg的三种途径:

(1)在Visual Studio安装时安装Windows Driver Kit(WDK)。WDK中包含WinDbg。

(2)安装Windows Software Development Kit (SDK)。SDK中包含WinDbg。下载地址

(3)如果只下载单独的WinDbg,先下载SDK,在安装过程中选择“Debugging Tools for Windows”,同时勾掉其他选择框。

1.2用户模式的WinDbg

WinDbg有两种类型:内核模式调试器和用户模式调试器。内核模式用于调试Windows内核以及驱动程序。用户模式用于调试用户程序,本文主要介绍用户模式的调试器,内核模式调试器的使用方法可在微软官网查找。

1.2.1无代码情况下调试

(1)打开WinDbg.exe

(2)在File菜单中选择Open Executable, 在 Open Executable 对话框中选择notepad.exe(C:\Windows\System32),点击Open。

(3)在底部窗口中,输入命令:

.sympath srv*

窗口将输出以下内容:

Symbol search path is: srv*

Expanded Symbol search path is: cache*;SRV*https://msdl.microsoft.com/download/symbols

符号搜索路径指示WinDbg查找符号文件(PDB)的地方,通过符号文件调试器可以获取代码模块中的函数名称、变量名等信息。输入如下命令将通知WinDbg进行初始化搜索和加载符号文件动作:

.reload

(4)输入以下命令可查看Notepad.exe模块的符号

x notepad!*

如果看不到任何输出,在此输入.reload命令。

输入以下命令可查看Notepad.exe模块中包含main名称的符号

x notepad!*main*

窗口将输出以下内容:

00a31409          notepad!WinMain (<no parameter info>)

00a331c9          notepad!WinMainCRTStartup (<no parameter info>)

(5)输入以下命令可在notepad!WinMain上打断点:

bu notepad!WinMain

输入以下命令验证断点是否已经设置:

bl

窗口将输出以下内容:

     0 e Disable Clear  00a31409     0001 (0001)  0:**** notepad!WinMain

(6)输入以下命令运行Notepad:

g

Nopad将会运行到WinMain函数,并中断。输入以下命令可查看Notepad进程已加载模块列表:

lm

调试器窗口将输出以下内容:

start    end        module name

00a30000 00a60000   notepad    (pdb symbols)          C:\Program Files (x86)\Windows Kits\10\Debuggers\x86\sym\notepad.pdb\BAF2EA337470437B9DF28CCDFD3EDEB22\notepad.pdb

6dfa0000 6dff1000   WINSPOOL   (deferred)            

6e1b0000 6e34e000   COMCTL32   (deferred)            

73730000 73739000   VERSION    (deferred)            

74f10000 74f1c000   CRYPTBASE   (deferred)            

74f20000 74f80000   SspiCli    (deferred)            

74f80000 74ffb000   COMDLG32   (deferred)            

75100000 75191000   OLEAUT32   (deferred)            

75300000 75f4b000   SHELL32    (deferred)            

76130000 76220000   RPCRT4     (deferred)            

76220000 762c1000   ADVAPI32   (deferred)            

76510000 76610000   USER32     (deferred)            

76640000 76687000   KERNELBASE   (deferred)            

最低0.47元/天 解锁文章
小风兄弟
关注
WinDbg分析dump文件
Think88666的博客
05-17 7321
调试能力可以说是最重要,尤其对于C/C++程序员而言,更是如此! 当我们从测试那里拿到dump文件后,需要将对应的二进制文件(exe、dll等放到和出了问题的那台电脑同样的路径下) 1、用WinDbg打开dump文件 2、设置符号路径(生成二进制文件时对应的PDB文件,版本要一致!多个二进制文件的pdb最好生在同一目录): 3、设置源码路径(项目的solution路径,多个项目可以加到一个solution里面): 4、执行命令: !analyze -v 此时WinD.
使用Windbg分析dump文件的一般步骤及要点详解
dvlinker的技术专栏
05-25 4万+
通过一个问题实例详细讲解使用Windbg静态分析dump文件的完整过程。
windows收集dump文件windbg分析
minping9101的博客
05-21 943
在exe程序发生闪退crash时,脱离了ide时,不知道crash原因,本文介绍如何抓取dump文件并进行调用堆栈分析
WinDbg DUMP数据分析 分析工具
最新发布
xcntime的专栏
08-16 581
生产环境偶尔会出现一些异常问题,WinDbg 或 GDB 就是解决此类问题的利器。调试工具 WinDbg 如同医生的听诊器,是系统生病时做问题诊断的逆向分析工具,Dump 文件类似于飞机的黑匣子,记录着生产环境程序运行的状态。本文主要介绍了调试工具 WinDbg 和抓包工具 ProcDump 的使用,并分享一个真实的案例。N 年前不知谁写的代码,导致每一两个月偶尔出现 CPU 飙高的现象。
使用Windbg解析dump文件
热门推荐
沧海一粟的专栏
12-28 7万+
第一章 常用的Windbg指令 ①!analyze -v  ②kP                            可以看函数的入参 ③!for_each_frame dv /t         可以看函数中的局部变量 ④dc                            产看某一内存中的值    可以直接接变量名 不过可能需要回溯栈 ⑤!threads
使用 WinDbg 分析dump文件
dongbi0665的博客
08-21 363
步骤一:   生成dump文件。 #include <Windows.h> #include <iostream> #include <DbgHelp.h> #include <tchar.h> using namespace std; #pragma comment(lib, "dbghelp.lib") ...
利用windbg分析dump文件(一)安装与配置
stwstw0123的专栏
08-15 676
<br />ref : http://blog.sina.com.cn/s/blog_4b1ee333010005n7.html<br /> 利用windbg分析dump文件(一)安装与配置<br />windbg是windows下一个分析调试的工具,功能非常强大。这里主要记录利用windbg分析windows蓝屏时所产生的内存转储文件*.dmp。<br />1,下载:<br />http://www.microsoft.com/whdc/devtools/debugging/default.mspx<b
windbg分析dump文件
xiaoshahai的专栏
02-22 6万+
前言:WinDbg是微软开发的免费源代码级的调试工具。WinDbg可以用于Kernel模式调试和用户模式调试,还可以调试Dump文件。本文的讨论是在安装了Debugging Tools for Windows 的前提下进行的,下载地址可以参考我之前的文章。WinDbg对于dump文件的调试可以通过菜单设置Symbol File Path、Source File Path ,并可设置多个路径。 1
使用Windbg分析dump文件的一般步骤详解
dvlinker的技术专栏
01-09 2万+
详细讲解使用Windbg静态分析dump文件的一般步骤。
使用Windbg分析dump文件,排查模态框返回时的崩溃问题
dvlinker的技术专栏
06-10 4558
使用windbg分析dump文件,排查模态框返回时的崩溃问题。
WinDbg分析DUMP文件
qq_29067611的博客
12-29 290
转载自:https://www.cnblogs.com/nchxmoon/p/4390980.html 一、生成dump文件 1 #ifndef _DUMP_GENERATE_H_ 2 #define _DUMP_GENERATE_H_ 3 4 #include 5 #include 6 #pragma comment(lib, "DbgHelp.lib") 7
Windbg分析Dump文件
早起吃虫的博客
10-27 2145
1、下载ProcDump 打开windows命令行cmd,进入到包含procdunmp文件的路径下,对于32位系统打开procdump.exe,64位系统则打开procdump64.exe,执行以下命令 #-ma 抓取full dump #-c 30代表cpu使用率应该在30%以上 #-s 1 这种情况持续1秒以上 #3 代表最多抓取3个dump文件 #9000代表线程id procdump64 -ma -c 30 -s 1 -n 3 10728 输出以下内容,不要关闭命令行工具,procDump
Windbg内核调试之四: Dump文件分析
fangchao918628的专栏
12-23 1337
Dump 文件分析很大程度上就是分析蓝屏产生的原因。这种系统级的错误算是Windows提示错误中比较严重的一种(更严重的还有启动黑屏等硬件或软件兼容性错误等等)。说它是比较严重,是因为毕竟Windows还提供了dump文件给用户分析,至少能比较容易的找到错误的原因。一般蓝屏要么是内核程序中的异常或违规,要么是数据结构的损坏,也有boot或shutdown的时候内核出错。有时候蓝屏是一闪而过,紧接着
windbg分析dump操作流程
fzzjoy的专栏
06-18 1万+
1、加载pdb: .reload /i /f 2、查看pdb是否加载成功: lm 3、自动分析指令(通常分析出的是主线程的堆栈) !analyze -v 此时通过分析出的堆栈去找有无kernel32!UnhandledExceptionFilter信息 如果有,则此堆栈(主线程堆栈)为异常堆栈; 如果没有,则需查看所有线程堆栈: 4、查看所有线程堆栈: ~*
Windbg调试dump文件
bigger_belief的博客
04-28 6208
用Windows自带的windbg,在调试工具,使用dump文件查找崩溃的位置
利用 WinDbgdump文件分析
qq_39556138的博客
11-07 812
利用 WinDbgdump文件分析步骤: (1)设置符号文件地址,这里设置为微软符号服务器地址 + 测试程序的pdb文件地址(zhu) "File" - "Source File Path" http://msdl.microsoft.com/download/symbols;C:\Users\20254\Documents\Visual Studio 2015\Projects\testDump\x64\Debug [1] 注:下载符号文件需要kx上网; (2)打开dump文件:"File
Windbg dump分析 学习总结
bcbobo21cn的专栏
03-05 2万+
Windbg核心调试之dump分析 http://www.pediy.com/kssd/pediy08/pediy8-428.htm 标 题: Windbg核心调试之dump分析 作 者:Lvg 时 间:2006-11-17 12:56  链 接:http://bbs.pediy.com/showthread.php?threadid=35044 调试环境:winxp sp2+wind
windbg调试dump文件
07-25
你好!要使用Windbg调试dump文件,你可以按照以下步骤进行操作: 1. 首先,确保你已经安装了Windows SDK,其中包含了Windbg调试工具。如果没有安装,你可以从微软官网下载并安装。 2. 打开Windbg调试工具。你可以在开始菜单中搜索Windbg并打开它。 3. 在Windbg窗口的菜单栏中,选择"File"(文件) -> "Open Crash Dump"(打开崩溃转储文件)。 4. 导航到包含你的dump文件文件夹,并选择要调试的dump文件。 5. 一旦打开了dump文件Windbg将加载相关的符号文件,并显示一个命令提示符。 6. 在命令提示符下,你可以运行各种Windbg命令来分析和调试dump文件。例如,你可以使用"!analyze"命令来获取自动分析报告,或者使用"kb"命令来查看函数调用堆栈。 7. 如果你想深入了解Windbg的使用方法和命令,请参考相关的文档和教程,或者在网上搜索更多资源。 希望这些步骤能帮助到你!如果你有任何进一步的问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值