windows程序使用Windbg分析dump

已于 2024-08-01 09:08:10 修改
阅读量8.1k 收藏 34
点赞数 5
分类专栏: window程序问题 文章标签: c++ 后端 汇编
于 2023-04-23 10:29:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_34161171/article/details/130314887
版权
本文介绍了在Windows环境下使用WinDbg工具对dump文件进行分析的步骤,包括前置准备如设置Symbolpath和Sourcepath,以及如何处理不同位数的dump。文章详细讲解了如何解析异常信息,如内存越界、非法访问、内存泄漏、死锁等问题,并给出了相应的调试命令。此外,还涉及了句柄泄漏的分析方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

    本文主要就windows下dump的分析做一个总结。

一、前置准备

     WinDbg程序下载,注意使用32位或者64位,一般网站都有哈,找不到的可以评论区留言。

     接下里这个配置非常关键:

     1)、确定机器位数

       a、 如果dump是64位的,可以选择打开32位的任务管理器,生成32位的dump。

              在C:\Windows\SysWOW64目录下找到taskmgr.exe双击打开(不要关闭之前已经打开过的任务管理器),这个时候打开的任务管理器就是32位的了。辨认方式很简单:看taskmgr.exe后面有没有 *32标记,有,那就是32位,没有就是64位。对于win8及以上的操作系统,还可以进行“选择列”操作新增“平台”项,更直观的看到运行的应用程序是32位的还是64位。

       b、或者使用windbg将64位dump转为32位再分析,命令如下:      .load wow64exts      !sw

     2)、设置必要的环境信息

打开WinDbg工具,我们首先需要配置Symbol path,Source path以及Image path

        a、Symbol path

这是pdb文件路径,包括当前dump调试对应的工程pdb文件,以及系统api对应的pdb文件。需要配置为:

SRV*D:\mysymbol*http://msdl.microsoft.com/download/symbols

其中D:\mysymbol为下载系统pdb文件存放在本机的路径。

同时需要加载map文件所在的路径,程序用到的所有的库所在的路径。(map和pdb文件的生成请参考对应的开发工具。特别注意:程序库、pdb、map、程序源文件都要保持是是dump完全一致的程序生成的,否则解析后会不准。)

在view-commond中输入 .reload命令,加载pdb符号

vc6.0产生map方法如下:需要勾选设置中的产生MAP文件勾选框

更详细的可参考:map文件生成

map文件生成2

        b、Source path

这是代码路径,此代码需要和pdb文件版本保持一致。

        c、Image path

            Exe程序路径,一般用于死循环时,在WinDbg中继续调试

二、开始解析

        如果第一步配置无误,直接选择File->Open Crash Dump 后输入 !analyze -v,等待解析就可以看到异常的位置和对应的源码位置。

       如果说必要的某个库没有导入成功,可以查看位置是否正确,重新执行第一步的配置符号信息。

   如果没有解析到对应的代码行数,则需要我们自己去计算地址了,这个后续再更新。本次先贴一下常用的一些命令

内存越界及非法访问:

!analyze -v:自动分析出异常的详细信息

~0s:切换到异常线程

.ecxr :定位当前异常的上下文信息

kb:显示栈回溯信息

.frame  0:将当前堆栈的局部上下文切换到指定栈帧

d命令和dv命令:分析变量值 

内存泄漏:

gflags.exe –i XXX.exe +ust:为可能存在内存泄漏的进程启用用户堆栈跟踪

!heap –s:查看当前进行所有堆的内存分配情况,选择堆内存最大一个堆继续分析

!heap -stat –h xxx:查看堆xxx上各个大小的内存块分分布情况

!heap –flt s xx:查看堆上所有大小为xx的内存块信息,随便选几个内存块进行分析

!heap -p –a xxx:查看指定地址的调用堆栈信息

lsa xxx:进入指定模块的代码

死锁:

分析等待链:分析程序是否处于死锁状态

!locks:查看所有线程占用的锁信息,包含拥有锁的线程,以及有多少个线程在等待这把锁

~*kv:查看所有线程的堆栈信息

!cs xxx:查看锁的具体信息

Dump文件无堆栈

!analyze -v:自动分析出异常的详细信息

~*kv:查看所有线程的堆栈

~56s:切换到崩溃线程,假设为56号线程

kb:显示当前线程的栈回溯信息,同时显示栈上的前三个参数

dd xxx:按四字节读取地址

.exr xxx:查看异常类型

.cxr xxx:解析改地址的上下文内容

kb:查看实际的异常的调用堆栈

.frame 1:将当前上下文切到指针栈帧再结合dv命令分析

句柄泄漏

句柄泄漏的分析和其他问题分析不一样,它是在程序运行中进行分析的,也就是不会生成dump文件,而是将该进程attach到windbg中 attach:将该进程attach到windbg中

!htrace –enable:开启句柄栈回溯跟踪,该命令同时默认产生第一次句柄信息的快照

!htrace –snapshot:查看初始的句柄信息快照

F5:让程序继续运行,当出现句柄泄露时,可以通过break中断进程

!htrace –diff:查看没有进行释放操作的句柄栈回溯信息

lsa xxx:进入指定模块的代码

        总之在解析dump文件时除了运用这些命令外,还得边结合现象、业务逻辑、代码综合分析。

使用Windbg分析dump文件定位软件异常的方法与操作步骤
s13596191285的博客
03-04 256
WinDbg 是一个强大的工具,可以帮助开发人员分析和调试 Windows 应用程序的崩溃问题。通过上述步骤,加载 dump 文件并结合符号文件,可以帮助你定位和分析异常。如果分析过程中遇到复杂的问题,可以参考 WinDbg 的官方文档,进一步学习更多的调试技巧。
使用Windbg分析dump文件的一般步骤及要点详解
dvlinker的技术专栏
05-25 4万+
通过一个问题实例详细讲解使用Windbg静态分析dump文件的完整过程。
使用Windbg解析dump文件
热门推荐
沧海一粟的专栏
12-28 7万+
第一章 常用的Windbg指令 ①!analyze -v  ②kP                            可以看函数的入参 ③!for_each_frame dv /t         可以看函数中的局部变量 ④dc                            产看某一内存中的值    可以直接接变量名 不过可能需要回溯栈 ⑤!threads
windbg远程调试
最新发布
u011658027的博客
03-25 1038
在下载的WDK的时候,勾选上:就会去下载windbg在这个install 文件夹下,有exe安装包当SDK安装完毕后,可以看到这个文件夹下面有两个 exe, 32 和64 的,都可以安装。
使用 WinDbg 分析dump文件
dongbi0665的博客
08-21 454
步骤一:   生成dump文件。 #include <Windows.h> #include <iostream> #include <DbgHelp.h> #include <tchar.h> using namespace std; #pragma comment(lib, "dbghelp.lib") ...
WINDBG分析DMP方法
痞子龙3D编程
08-10 9627
上次发了2100蓝屏抓DMP分析案例这个帖子后,好多人想学怎么分析DMP,那我也是刚刚学的,简单的说下。 http://bbs.icafe8.com/forum.php?mod=viewthread&tid=399075&fromuid=30123 1:先下载附件WinDbg,解压出来后,直接运行里面的windbg.exe。(或者可以自已去网上下的)  WinDbg.part11.rar (
windbg分析dump操作流程
fzzjoy的专栏
06-18 1万+
1、加载pdb: .reload /i /f 2、查看pdb是否加载成功: lm 3、自动分析指令(通常分析出的是主线程的堆栈) !analyze -v 此时通过分析出的堆栈去找有无kernel32!UnhandledExceptionFilter信息 如果有,则此堆栈(主线程堆栈)为异常堆栈; 如果没有,则需查看所有线程堆栈: 4、查看所有线程堆栈: ~*
windbg分析dump文件
xiaoshahai的专栏
02-22 6万+
前言:WinDbg是微软开发的免费源代码级的调试工具。WinDbg可以用于Kernel模式调试和用户模式调试,还可以调试Dump文件。本文的讨论是在安装了Debugging Tools for Windows 的前提下进行的,下载地址可以参考我之前的文章。WinDbg对于dump文件的调试可以通过菜单设置Symbol File Path、Source File Path ,并可设置多个路径。 1
Windbg核心调试之dump分析
dyc13的专栏
04-27 2720
文章标题:Windbg核心调试之dump分析调试环境:winxp sp2+windbg ver:6.6.0007.5+vmware 5.5.2附件:点击下载一.Dump文件的产生,意义和类型    当系统发生错误是,最常见的就是蓝屏(Blue screen),这时就会在系统目录下产生一个Dump文件,如MEMORY.DMP 。这个文件的主要意义在于分析系统错误发生的原因,以作出解决的方法。
使用Windbg分析dump文件的一般步骤详解
dvlinker的技术专栏
01-09 2万+
使用Windbg静态分析dump文件分析软件异常问题的常用方法,本文通过一个问题实例详细介绍使用Windbg静态分析dump文件的一般步骤及相关要点。
Windbg抓取分析DMP文件
03-22
Windbg抓取分析DMP文件,方便新手熟练使用Windbg抓取分析常见崩溃问题
使用Windbg分析dump文件排查C++软件异常的一般步骤与要点分享
dvlinker的技术专栏
10-16 3万+
本文详细总结了使用Windbg静态分析dump文件去排查C++软件异常的一般步骤与方法,供大家借鉴或参考。
使用Windbg分析从系统应用程序日志中找到的系统自动生成的dump文件去排查程序崩溃问题
dvlinker的技术专栏
07-31 5万+
程序中安装的异常捕获模块捕获不到异常、没有生成dump文件时,可以尝试到系统应用程序日志中去找系统自动生成的dump文件,以排查当前的软件崩溃问题。本文以一个项目问题实例去详细讲述如何从系统应用程序日志中找到的系统自动生成的dump文件,然后使用Windbg打开dump文件进行静态分析去排查异常崩溃问题。
WinDbg分析崩溃dump
yuanshenqiang的博客
04-30 2274
4.在输出信息中有“模块名!如果找不到pdb符号文件,excr 输出信息中可能会没有函数名,即"模块名+offset",这个offset为offset0+offset1,如果想看这个崩溃位置所在的函数,可以用kn 指令查看当前线程的函数调用栈,最上面那一行就是目标函数信息,这样也可以推算出offset0和offset1。在模块的反汇编文件中,基地址是.textbss的Imagebase后面的数字,可以根据第4步算出来的offset0和offset1,叠加上这个基地址,就可以定位到出错的指令位置。
windbg dump分析
大余里,大余的干货分享
04-05 1090
-- 准备工作 -- Windbg是一款功能十分强大的调试工具,它设计了极其丰富的功能来支持各种调试任务,包括用户态调试、内核态调试、调试转储文件、远程调试等等。 ●STEP 1:打开Windbg,在file中选择open crash Dump来打开所需要调试的Dump文件。 ●STEP 2:在file菜单中分别设置好Symbol file path 和 Source file pat...
WinDbg分析DUMP文件
qq_29067611的博客
12-29 335
转载自:https://www.cnblogs.com/nchxmoon/p/4390980.html 一、生成dump文件 1 #ifndef _DUMP_GENERATE_H_ 2 #define _DUMP_GENERATE_H_ 3 4 #include 5 #include 6 #pragma comment(lib, "DbgHelp.lib") 7
WinDbg快速分析异常情况Dump文件
君子居易
03-03 2792
生产环境偶尔会出现一些异常问题,WinDbg 或 GDB 就是解决此类问题的利器。调试工具 WinDbg 如同医生的听诊器,是系统生病时做问题诊断的逆向分析工具,Dump 文件类似于飞机的黑匣子,记录着生产环境程序运行的状态。 本文主要介绍了调试工具 WinDbg 和抓包工具 ProcDump使用
使用WinDbg分析蓝屏dump文件技巧
使用WinDbg之前,用户需要确定要分析dump文件类型。常见的操作包括: - 使用 "!analyze -v" 命令进行初步的错误分析。 - 查看系统崩溃时的线程堆栈信息,使用 "k" 或 "kv" 命令来查看堆栈回溯。 - 检查关键的...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值