windbg 定位正确UnhandledExceptionFilter 调用时堆栈

已于 2024-06-25 10:54:29 修改
阅读量248 收藏 4
点赞数 2
文章标签: c++ windows
于 2024-05-30 11:46:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43179054/article/details/139312717
版权

某些情况下,当程序崩溃时异常没有被程序捕获,就会出现UnhandledExceptionFilter这种情况,会弹出下图的系统错误弹窗
在这里插入图片描述
遇到此错误时,手动获取问题进程的dump文件,您可以按照本文来标识导致异常的 DLL 中的步骤

堆栈中有UnhandledExceptionFilter的情况

1.在 Windbg.exe,打开.dmp 文件的进程,并配置符号路径
2.在命令提示符下键入~ * kb列出所有进程中的线程
3.找到有函数调用的线程 Kernel32! UnhandledExceptionFilter,并切换到这个线程查看堆栈

 # ChildEBP RetAddr  Args to Child              
00 04abe580 76d84bf3 00000000 00000000 00000000 win32u!NtUserWaitMessage+0xc (FPO: [0,0,0])
WARNING: Stack unwind information not available. Following frames may be wrong.
01 04abe5c0 76d84ae4 00000000 00000000 00000000 user32+0x24bf3
02 04abe5f0 76de229b 00000000 76de0690 04abe830 user32+0x24ae4
03 04abe6bc 76de1031 04abe830 0a621d90 00000000 user32+0x8229b
04 04abe818 76de1af7 0a621d90 07f69368 00000000 user32+0x81031
05 04abe8a4 76de192e 00000000 0a621d90 07f69368 user32+0x81af7
06 04abe8d8 76de1645 00000000 00aade00 00a9b590 user32+0x8192e
07 04abe8f8 00a8f543 00000000 00aade00 00a9b590 user32+0x81645
08 04abe930 00a80b41 00aade00 00a9b590 00012010 xxx进程!__crtMessageBoxA+0x160 (FPO: [Non-Fpo]) (CONV: cdecl) [f:\dd\vctools\crt_bld\self_x86\crt\src\crtmbox.c @ 158] 
09 04abe958 00a7a9fc 0000000a 00000000 77615c10 xxx进程!_NMSG_WRITE+0x16f (FPO: [Non-Fpo]) (CONV: cdecl) [f:\dd\vctools\crt_bld\self_x86\crt\src\crt0msg.c @ 242] 
0a 04abec90 00a834e0 21876de5 00000000 00000000 xxx进程!abort+0x26 (FPO: [Non-Fpo]) (CONV: cdecl) [f:\dd\vctools\crt_bld\self_x86\crt\src\abort.c @ 59] 
0b 04abecc0 00a8432b 04abed64 75eb2432 04abed94 xxx进程!terminate+0x33 (FPO: [Non-Fpo]) (CONV: cdecl) [f:\dd\vctools\crt_bld\self_x86\crt\prebuild\eh\hooks.cpp @ 130] 
*** WARNING: Unable to verify timestamp for KERNELBASE.dll
0c 09a8f644 77ea7e7a 09a8f66c 77e861ae 09a8f674 KERNEL32!UnhandledExceptionFilter+0x2b5  (FPO: [Non-Fpo]) (CONV: stdcall) [f:\dd\vctools\crt_bld\self_x86\crt\prebuild\eh\unhandld.cpp @ 72] 
0d 04abed64 77594952 04abed94 77567222 04abf9c8 KERNELBASE+0x1e2432

4.在第一个参数的指定位置显示内存内容 Kernel32! UnhandledExceptionFilter 使用 dd 第一个参数。这指向EXCEPTION_POINTERS 结构

0:120> dd 09a8f66c 
09a8f66c  09a8f738 09a8f754 09a8f698 77f8f45c 
09a8f67c  09a8f738 09a8ffdc 09a8f754 09a8f710 
09a8f68c  09a8ffdc 77f8f5b5 09a8ffdc 09a8f720 
09a8f69c  77f8f3fa 09a8f738 09a8ffdc 09a8f754 
09a8f6ac  09a8f710 77e8615b 09a8fad4 00000000 
09a8f6bc  09a8f738 74a25336 09a8f6e0 09a8f910 
09a8f6cc  01dc8ad8 0d788918 00000001 018d1f28 
09a8f6dc  00000001 61746164 7073612e 09a8f71c

5.第一个 DWORD 表示异常记录

0:120> .exr 09a8f738 
ExceptionAddress: 78011f32 (MSVCRT!strnicmp+0x00000092)
   ExceptionCode: c0000005 
  ExceptionFlags: 00000000 
NumberParameters: 2 
   Parameter[0]: 00000000 
   Parameter[1]: 00000000 
Attempt to read from address 0000000

6.第二个 dword 值是上下文记录。

.cxrsecond DWORD from step 6
0:120> .cxr 09a8f754 
eax=027470ff ebx=7803cb28 ecx=00000000 edx=00000000 esi=00000000 edi=09a8fad4 
eip=78011f32 esp=09a8fa20 ebp=09a8fa2c iopl=0         nv up ei ng nz na po nc 
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00010286 
MSVCRT!strnicmp+92: 
78011f32 8a06             mov     al,[esi]

7.运行kv命令以获取实际的异常的调用堆栈

0:120> kv
ChildEBP RetAddr  Args to Child            
WARNING: Stack unwind information not available. Following frames may be wrong.
09a8fa2c 780119ab 09a8fad4 00000000 09a8faa8 MSVCRT!strnicmp+0x92
09a8fa40 7801197c 09a8fad4 00000000 6d7044fd MSVCRT!stricmp+0x3c
09a8fa80 6e5a6ef6 09a8fad4 2193d68d 00e5e298 MSVCRT!stricmp+0xd
09a8fa94 6d7043bf 09a8fad4 09a8faa8 0000001c IisRTL!CLKRHashTable::FindKey+0x59 (FPO: [2,0,1])
09a8faac 749fc22d 09a8fad4 01d553b0 0000001c ISATQ!CDirMonitor::FindEntry+0x1e 
(FPO: [Non-Fpo]) [D:\nt\private\inet\iis\svcs\infocomm\atq\dirmon.cpp @ 884]
09a8fac4 749fd1cb 09a8fad4 09a8fb10 525c3a46 asp!RegisterASPDirMonitorEntry+0x6e 
(FPO: [EBP 0x09a8fb08] [2,0,4]) [D:\nt\private\inet\iis\svcs\cmp\asp\aspdmon.cpp @ 534]
09a8fb08 749fcdd6 00000000 09a8fcbc 018d1f28 asp!CTemplateCacheManager::RegisterTemplateForChangeNotification+0x8a 
(FPO: [Non-Fpo]) [D:\nt\private\inet\iis\svcs\cmp\asp\cachemgr.cpp @ 621]
09a8fb3c 74a08bfe 00000000 000000fa 74a30958 asp!CTemplateCacheManager::Load+0x382 
(FPO: [Non-Fpo]) [D:\nt\private\inet\iis\svcs\cmp\asp\cachemgr.cpp @ 364]
09a8fc68 74a0d4c9 04c12518 018d1f28 09a8fcbc asp!LoadTemplate+0x42 
(FPO: [Non-Fpo]) [D:\nt\private\inet\iis\svcs\cmp\asp\exec.cpp @ 1037]
09a8fcc0 74a2c3e5 00000000 0637ee38 09a8fd58 asp!CHitObj::ViperAsyncCallback+0x3e8 
(FPO: [Non-Fpo]) [D:\nt\private\inet\iis\svcs\cmp\asp\hitobj.cpp @ 2414]
09a8fcd8 787c048a 00000000 77aa1b03 01e91ed8 asp!CViperAsyncRequest::OnCall+0x3f 
(FPO: [Non-Fpo]) [D:\nt\private\inet\iis\svcs\cmp\asp\viperint.cpp @ 194]
09a8fce0 77aa1b03 01e91ed8 77a536d8 00000000 COMSVCS!STAActivityWorkHelper+0xa 
(FPO: [1,0,0])
09a8fd24 77aa1927 000752f8 000864dc 787c0480 ole32!EnterForCallback+0x6a 
(FPO: [Non-Fpo]) [D:\nt\private\ole32\com\dcomrem\crossctx.cxx @ 1759]
09a8fe50 77aa17ea 000864dc 787c0480 01e91ed8 ole32!SwitchForCallback+0x12b 
(FPO: [Non-Fpo]) [D:\nt\private\ole32\com\dcomrem\crossctx.cxx @ 1644]
09a8fe78 77aa60c1 000864dc 787c0480 01e91ed8 ole32!PerformCallback+0x50
(FPO: [Non-Fpo]) [D:\nt\private\ole32\com\dcomrem\crossctx.cxx @ 1559]
09a8fed4 77aa5fa6 04f2b4c0 787c0480 01e91ed8 ole32!CObjectContext::InternalContextCallback+0xf5 
(FPO: [Non-Fpo]) [D:\nt\private\ole32\com\dcomrem\context.cxx @ 3866]
09a8fef4 787bd3c3 04f2b4c0 787c0480 01e91ed8 ole32!CObjectContext::DoCallback+0x1a 
(FPO: [Non-Fpo]) [D:\nt\private\ole32\com\dcomrem\context.cxx @ 3746]
09a8ff24 787bf373 0216fb3c 00000007 09a8ffec COMSVCS!STAActivityWork::DoWork+0x73 
(FPO: [0,4,2])
09a8ffb4 77e8758a 0216fe94 0216fb3c 00000007 COMSVCS!STAThread::STAThreadWorker+0x2bb 
(FPO: [EBP 0x09a8ffec] [1,31,4])
09a8ffec 00000000 787bf0b8 0216fe94 00000000 KERNEL32!BaseThreadStart+0x52 
(FPO: [Non-Fpo]) [D:\nt\private\windows\base\client\support.c @ 451]

堆栈中只有_except_handler函数的情况

有些情况下堆栈中没有UnhandledExceptionFilter,而只有_except_handler函数,这个是SEH异常处理函数。函数原型:EXCEPTION_DISPOSITION __cdecl _except_handler(
struct _EXCEPTION_RECORD *ExceptionRecord,
void * EstablisherFrame,
struct _CONTEXT *ContextRecord,
void * DispatcherContext);
这个函数的第一个参数是一个指向 EXCEPTION_RECORD 结构的指针。这个结构在WINNT.H中定义,如下所示:

typedef struct _EXCEPTION_RECORD {
   DWORD ExceptionCode;
   DWORD ExceptionFlags;
   struct _EXCEPTION_RECORD *ExceptionRecord;
   PVOID ExceptionAddress;
   DWORD NumberParameters;
   DWORD ExceptionInformation[EXCEPTION_MAXIMUM_PARAMETERS];
} EXCEPTION_RECORD;

_except_handler 函数的第二个参数是一个指向establisher帧结构的指针。
_except_handler 回调函数的第三个参数是一个指向 CONTEXT 结构的指针。

typedef struct _CONTEXT
{
    DWORD ContextFlags;
    DWORD Dr0;
    DWORD Dr1;
    DWORD Dr2;
    DWORD Dr3;
    DWORD Dr6;
    DWORD Dr7;
    FLOATING_SAVE_AREA FloatSave;
    DWORD SegGs;
    DWORD SegFs;
    DWORD SegEs;
    DWORD SegDs;
    DWORD Edi;
    DWORD Esi;
    DWORD Ebx;
    DWORD Edx;
    DWORD Ecx;
    DWORD Eax;
    DWORD Ebp;
    DWORD Eip;
    DWORD SegCs;
    DWORD EFlags;
    DWORD Esp;
    DWORD SegSs;
} CONTEXT;

_except_handler 回调函数的第四个参数被称为DispatcherContext。
分析dump文件时,在命令提示符处键入 ~*kb 要列出所有进程中线程。
标识进行函数调用的线程 Kernel32!_except_handler。 它看起来类似于以下内容:

   9  Id: 918.117c Suspend: 2 Teb: 7ffd8000 Unfrozen
ChildEBP RetAddr  Args to Child              
085df400 7c9232a8 085df4ec 085dffdc 085df50c kernel32!_except_handler3+0x61
085df424 7c92327a 085df4ec 085dffdc 085df50c ntdll!ExecuteHandler2+0x26
085df4d4 7c92e48a 00000000 085df50c 085df4ec ntdll!ExecuteHandler+0x24

切换到该线程 (在此示例中,线程是"~ 9s")。
Kernel32! !_except_handler第一个参数 dword 值表示异常记录。 若要获取有关异常的类型的信息,请在命令提示符处运行以下: .exr first DWORD from step 5

0:009> .exr 085df4ec
ExceptionAddress: 7c812afb (kernel32!RaiseException+0x00000053)
   ExceptionCode: e06d7363 (C++ EH exception)
  ExceptionFlags: 00000001
NumberParameters: 3
   Parameter[0]: 19930520
   Parameter[1]: 085df874
   Parameter[2]: 006c010c

Kernel32! !_except_handler第三个参数 dword 值是上下文记录。 要获取的上下文信息,请在命令提示符处运行以下:

0:009> .cxr 085df50c 
eax=085df7dc ebx=00005d34 ecx=00000000 edx=01240608 esi=085df864 edi=00100000
eip=7c812afb esp=085df7d8 ebp=085df82c iopl=0         nv up ei pl nz na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000206
kernel32!RaiseException+0x53:
7c812afb 5e              pop     esi

运行 kv 命令以获得实际的异常的调用堆栈。 这可以帮助您识别可能不具有被正确处理过程中的实际问题

0:009> kv
ChildEBP RetAddr  Args to Child            
WARNING: Stack unwind information not available. Following frames may be wrong.
09a8fa2c 780119ab 09a8fad4 00000000 09a8faa8 MSVCRT!strnicmp+0x92
09a8fa40 7801197c 09a8fad4 00000000 6d7044fd MSVCRT!stricmp+0x3c
09a8fa80 6e5a6ef6 09a8fad4 2193d68d 00e5e298 MSVCRT!stricmp+0xd
我在编程迷了路
关注
C++软件异常分析概述
dvlinker的技术专栏
04-06 3万+
本文将详细讲述Windows系统中软件异常的分类以及常用的排查方法,给大家提供一个借鉴与参考。
C++软件调试技术】dump文件类型与dump文件生成方法详解
热门推荐
dvlinker的技术专栏
11-22 2万+
dump文件类型与dump文件生成方法详解。
查看调用栈的命令kb内容分析
weixin_30813225的博客
01-07 237
#include "stdafx.h" int fun0(int i) { return i; }; int fun1(int i) { return fun0(i); } int _tmain(int argc, _TCHAR* argv[]) { fun1(10); return 0; } 代码如上 我们在test!fun1下个断点,g运行,断下来后: ...
WinDbg 查找问题异常堆栈堆栈跟踪UnhandledExceptionFilter
mergerly的专栏
04-23 1万+
UnhandledExceptionFilter 函数调用没有异常处理程序定义来处理引发的异常。 函数通常将异常传递达 Ntdll.dll 文件这将捕捉并试图处理它。 在该进程的内存快照存在某些情况下,您可以看到到一个线程持有锁点的线程调用的 UnhandledExceptionFilter 函数。 在这些情况中您可以按照本文标识导致异常的 DLL 中的步骤。Windbg.exe 打
windbg设置调用堆栈显示深度
xbgprogrammer的专栏
08-01 3179
使用windbg调试进程调用堆栈,有候会发现调用堆栈显示的不完全,这是因为windbg默认最多显示20帧调用堆栈,可以使用.kframe [StackCount]设置最大的堆栈显示深度。另外也可以使用k系列命令附加要显示的堆栈深度,k [FrameCount]设置要显示的栈帧数量。之前用的不太熟练,被逼的使用!for_each_frame ["CommandString"] 显示完整的堆
WinDbg调试dmp(查找问题的异常堆栈出现的 UnhandledExceptionFilter 调用堆栈跟踪中和其他技巧)
小磊的专栏
05-17 6442
1.使用windbg打开dump文件,同设置symbols。 如果之前下载过windows的symbols就直接设置symbols path: (windows和程序的pdb) 例如:C:\Symbols;E:\work\技术分享\dump分析\1115服务器无响应dump\gsss\gssssvr 如果之前没有下载过windows的s...
WinDbg查看没有正常显示的函数堆栈信息
spacegrass的专栏
11-29 4870
工作中难免需要查看dump,现在VC2015对dump的解析已经非常好了,自动化程度做的也很不错,只要设置了symbol路径,则绝大部分dump都可以自动解析。但有的dump,函数堆栈不够清晰,默认情况下windbg/cv2015都无法准确解析,这里就需要windbg来手动处理了。处理步骤如下: 1. 问题示例。 0:025> knb  # ChildEBP RetAddr   WARNI
使用Windbg调试系统弹出的内存不可读错误
swanabin的专栏
09-17 1768
步骤: 1. 使用Windbg挂钩到崩溃的进程上面 2. 使用~*k列出所有线程 3. 搜索UnhandledExceptionFilter所在的线程 4. 使用~ns切换到上面崩溃所在的线程,n为线程前面的序号 5.使用kv显示线程调用堆栈 6,可以看到02af7740 7c83ab50 02af7768 7c839b39 02af7770 kernel32!UnhandledE
利用WinDbg查看堆栈中方法入参的值4(C#)
最新发布
zxy13826134783的博客
06-11 1386
1 32位应用程序导出的Dump文件要用32位的WinDbg打开,想要没有那么多的问题,还得要求用32位的任务管理器导出Dump文件,32位的任务管理器的路径如下:C:\Windows\SysWOW64\taskmgr.exe。可以看到方法WindbgDemo.DownLoadBp.DownLoadOperation中的参数名称为url,对应的值的地址为:0x0000000003222bd8。本文目的,就是查看导出的dump文件中堆栈中的方法参数值,这样方便后续分析问题。threads查看线程。
73.windbg-调试UnhandleExceptionHandler
hgy413的专栏
06-04 1475
代码如下:LONG __stdcall _UnhandledExceptionFilter(_EXCEPTION_POINTERS* ExceptionInfo) { MessageBox(0,NULL,NULL,0); return EXCEPTION_EXECUTE_HANDLER; } int main() { SetUnhandledExceptionFilter(&_Un...
使用SetUnhandledExceptionFilter捕捉异常生成的dump文件定位到KERNELBASE.dll动态链接库的原因
11-21 534
为了不使程序发布在其他电脑上崩溃无法找到问题,所以使用SetUnhandledExceptionFilter来捕捉异常生成的dump文件。有候将dump文件拿到开发环境下(带有.pdb调试文件)会定位到KERNELBASE.dll动态链接库里。这种系统文件一般不会有问题的。经过查查原因,发现是基础类型数据操作有问题,比如我的是CString类的CompareNoCase操作崩溃了,因为...
WinDBG使用
darthas的专栏
02-01 885
1. 符号路径设置: Ctrl+S在弹出的窗口中输入你的符号路径,路径的格式只要符合Windows操作系统路径格式即可,路径可以多个,中间以分号间隔,c:\symbols\local; Windbg可以自动到Microsoft的服务器上下载符号表文件(.dbg或.pdb,有DLL和EXE也会下载),只要在符合表路径里做如下设置:srv*c:\symbols\server*http://msd
当出现UnhandledExceptionFilter,如何用windbg 定位正确堆栈
Xxin_W的专栏
07-16 4701
某些情况下,当程序崩溃异常没有被程序捕获,就会出现ntdll!KiUserExceptionDispatcher这种情况,这就需要通过其他方式获取产生异常正确堆栈 下面为KiUserExceptionDispatcher 函数和一些相关函数写的伪代码。这个函数在NTDLL.DLL中,它是异常处理执行的起点 KiUserExceptionDispatcher( PEXCEPT
Windbg查看调用堆栈(k*)
08-23 871
无论是分析程序崩溃原因,还是解决程序hang问题,我们最常查看的就是程序调用堆栈。学会windbg调用堆栈命令,以及理解堆栈中的各个参数的意义就显得至关重要。 上图就是一个典型的Windbg堆栈,如果不理解ChildEBP、RetAddr、Args to Child等参数意义,以及它们之间的来龙去脉,调试工作将很难进行下去。 1. 函数参数 函数...
如何根据程序崩溃的DMP文件使用WinDbg查找调用堆栈
xiaoqiangvs007的专栏
09-24 9837
如何根据程序崩溃的DMP文件使用WinDbg查找调用堆栈  HOW TO: 查找问题的异常堆栈出现的 UnhandledExceptionFilter 调用堆栈跟踪中http://support.microsoft.com/kb/313109/zh-cn察看本文应用于的产品 本页概要 使用 Windbg.exe 打
Windbg调试技巧:模块加载断点设置
"Windbg Tricks.pdf 提供了关于使用Windbg调试器的一些技巧,包括如何在加载特定模块触发断点以及利用gflags.exe工具设置调试标志。" 在IT行业中,WindbgWindows Debugger)是一款强大的调试工具,广泛用于系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值