使用SetUnhandledExceptionFilter转储程序崩溃时内存DMP

最新推荐文章于 2020-07-12 14:48:45 发布
最新推荐文章于 2020-07-12 14:48:45 发布
阅读量426 收藏
点赞数
分类专栏: 程序异常退出 文章标签: 异常处理

关于程序崩溃时转储内存DMP,可以设置注册表,使程序崩溃时自动转储内存DMP,见程序崩溃时利用注册表自动转储内存DMP。本文要介绍的是使用SetUnhandledExceptionFilter函数在程序崩溃时取得程序内存DMP,并解决一些困扰人的问题。

  从名字上就可以看出SetUnhandledExceptionFilter的作用就是设置未捕获异常函数,程序崩溃就是因为有些异常我们没有捕获,而当这些异常我们没捕获时,系统就会调用SetUnhandledExceptionFilter设置的函数,在此函数中可以进行一些操作,比如弹出对话框、打印语句等。关于SetUnhandledExceptionFilter更详细的信息,参见MSDN,这里不作详细介绍。

  见代码:

[cpp]  view plain copy
  1. LONG WINAPI ExpFilter(struct _EXCEPTION_POINTERS *pExp)  
  2. {  
  3.     cout << "Unhandled Exception!!!" << endl;  
  4.   
  5.     return EXCEPTION_EXECUTE_HANDLER;  
  6. }  
  7.   
  8.   
  9. void StartUnhandledExceptionFilter()  
  10. {  
  11.     ::SetUnhandledExceptionFilter(ExpFilter);  
  12. }  
  13.   
  14. int main()  
  15. {     
  16.     cout << "begin !" << endl;  
  17.   
  18.     StartUnhandledExceptionFilter();  
  19.       
  20.     int i = 0;  
  21.     i = i / i;  
  22.   
  23.     cout << "end !" << endl;  
  24.   
  25.     getch();  
  26.   
  27.     return 0;  
  28. }  

  运行结果:


  main函数的第6行“i = i / i;”语句,产生一个除数为0的异常,这个异常我们没有捕获(使用try、catch或__try、__except等),因此系统调用::SetUnhandledExceptionFilter设置的函数ExpFilter,此函数输出一个语句,然后返回EXCEPTION_EXECUTE_HANDLER,表明异常处理完毕,程序可以退出。

  有了上面的经验,于是我们可以在ExpFilter函数中进行一些操作,保存程序的DMP,然后结合PDB,我们就可以分析程序崩溃的原因了。

[cpp]  view plain copy
  1. LONG WINAPI ExpFilter(struct _EXCEPTION_POINTERS *pExp)  
  2. {  
  3.     char szExec[256];  
  4.     sprintf(szExec, "ntsd -c \".dump /f c:\\123.dmp;q\" -p %d",   
  5.         ::GetCurrentProcessId());  
  6.   
  7.     WinExec(szExec, SW_SHOWNORMAL);  
  8.   
  9.     Sleep(1000);  
  10.   
  11.     return EXCEPTION_EXECUTE_HANDLER;  
  12. }  

  执行ntsd语句得到程序的DMP,保存在C盘根目录123.dmp,注意WinExec执行了ntsd语句后,要Sleep一段时间,因为WinExec是异步的,执行ntsd时可能主程序已经退出了,导致ntsd找不到指定的程序,无法生成DMP。

  以上是用ntsd得到程序的DMP,还可以利用Dbghelp.dll提供的MiniDumpWriteDump函数取得程序的DMP,代码如下:

[cpp]  view plain copy
  1. LONG WINAPI ExpFilter(struct _EXCEPTION_POINTERS *pExp)  
  2. {  
  3.     HANDLE hFile = ::CreateFile(  
  4.         "c:\\123.dmp",   
  5.         GENERIC_WRITE,   
  6.         0,   
  7.         NULL,   
  8.         CREATE_ALWAYS,   
  9.         FILE_ATTRIBUTE_NORMAL,   
  10.         NULL);  
  11.     if(INVALID_HANDLE_VALUE != hFile)  
  12.     {  
  13.         MINIDUMP_EXCEPTION_INFORMATION einfo;  
  14.         einfo.ThreadId          = ::GetCurrentThreadId();  
  15.         einfo.ExceptionPointers = pExp;  
  16.         einfo.ClientPointers    = FALSE;  
  17.           
  18.         ::MiniDumpWriteDump(  
  19.             ::GetCurrentProcess(),   
  20.             ::GetCurrentProcessId(),   
  21.             hFile,   
  22.             MiniDumpWithFullMemory,   
  23.             &einfo,   
  24.             NULL,   
  25.             NULL);  
  26.         ::CloseHandle(hFile);  
  27.      }  
  28.   
  29.     return EXCEPTION_EXECUTE_HANDLER;  
  30. }  

  使用MiniDumpWriteDump需要加头文件Dbghelp.h和链接文件Dbghelp.lib。MiniDumpWriteDump中第四个参数可以设置取得DMP的类型,例子中是取得所有内存DMP。

  现在来试下用windbg打开DMP,看看程序的堆栈,看是否能找到导致程序崩溃的地方,以下例子使用执行ntsd语句版本的ExpFilter:


  OK,成功打开DMP!仔细看看程序的堆栈,好像不对。main函数第6行产生异常,但堆栈中没有,却直接跳到了ExpFilter函数中执行ntsd的的地方。这是因为main函数并非程序最开始执行的函数,链接器在链接可执行文件时,选择了正确的C/C++运行库运行函数,在此运行库函数中才调用的main函数,查看堆栈,可以知道,此运行库函数为mainCRTStartup,此函数的相关代码(VC++6.0下为crtexe.c)如下:

[cpp]  view plain copy
  1. __try {  
  2.     ...  
  3. }  
  4. __except ( _XcptFilter(GetExceptionCode(), GetExceptionInformation()) )  
  5. {  
  6.     _exit( GetExceptionCode() );  
  7. }  

  省略号的地方就是调用main的地方,可以看到,调用main的地方被__try、__except包起来了,产生异常时,首先会调用_XcptFilter,之后的第二步才到我们设置的函数,堆栈自然也就变了。

  查找__try、__except的资料可知,__except后面跟一个表达式,表达式的值与SetUnhandledExceptionFilter设置的未捕获异常函数返回值的意义一样,如果设置为EXCEPTION_CONTINUE_SEARCH,表示异常没有被识别到,异常继续往上层抛,至到SetUnhandledExceptionFilter设置的未捕获异常函数。有了这些资料,我们就可以解决不能正确显示堆栈的问题了:

[cpp]  view plain copy
  1. int MyXcptFilter()  
  2. {  
  3.     return EXCEPTION_CONTINUE_SEARCH;  
  4. }  
  5.   
  6. void StartUnhandledExceptionFilter()  
  7. {  
  8.     ::SetUnhandledExceptionFilter(ExpFilter);  
  9.   
  10.     void *_XcptFilter = (void*)GetProcAddress(  
  11.         LoadLibrary("msvcrt.dll"), "_XcptFilter");  
  12.     DWORD dwOldProtect;   
  13.     VirtualProtect(_XcptFilter, 5, PAGE_EXECUTE_READWRITE, &dwOldProtect);   
  14.     *(char*)_XcptFilter = 0xe9;  
  15.     *(unsigned int*)((char*)_XcptFilter + 1) =   
  16.         (unsigned int)MyXcptFilter - ((unsigned int)_XcptFilter + 5);   
  17.     VirtualProtect(_XcptFilter, 5, dwOldProtect, &dwOldProtect);   
  18. }  

  修改msvcrt.dll中函数_XcpFilter,使调用_XcpFilter时直接跳转到我们自己的函数MyXcptFilter去执行,此函数返回EXCEPTION_CONTINUE_SEARCH,因此__except后面表达式就为EXCEPTION_CONTINUE_SEARCH,表示此异常未能被识别,进而调用ExpFilter,堆栈也被保存下来了,结果如下:


  这下就OK了,我们就可以知道哪里产生异常了,查看Locals,可以看到i的值为0。

  注意:如果此时显示的堆栈还不正确,可能是因为没有加载kernel32.dll等文件的pdb,需要从微软官网下载,将”srv*downstreamstore*http://msdl.microsoft.com/download/symbols“加入到Symbol File Path中,windbg即可自动从微软官网下载相应版本的pdb文件。

  我们还可以这样处理:

[cpp]  view plain copy
  1. void StartUnhandledExceptionFilter()  
  2. {  
  3.     ::SetUnhandledExceptionFilter(ExpFilter);  
  4.       
  5.     void *_XcptFilter = (void*)GetProcAddress(  
  6.         LoadLibrary("msvcrt.dll"), "_XcptFilter");  
  7.     DWORD dwOldProtect;   
  8.     VirtualProtect(_XcptFilter, 5, PAGE_EXECUTE_READWRITE, &dwOldProtect);   
  9.     VirtualProtect(_XcptFilter, 5, PAGE_EXECUTE_READWRITE, &dwOldProtect);   
  10.     *(char*)_XcptFilter       = 0x33;  
  11.     *((char*)_XcptFilter + 1) = 0xc0;  
  12.     *((char*)_XcptFilter + 2) = 0xc2;  
  13.     *((char*)_XcptFilter + 3) = 0x00;  
  14.     *((char*)_XcptFilter + 4) = 0x00;  
  15.     VirtualProtect(_XcptFilter, 5, dwOldProtect, &dwOldProtect);   
  16. }  

  同样修改_XcptFilter,不过不是让其跳转,而是让其直接返回EXCEPTION_CONTINUE_SEARCH的值0,也可以达到目的。

  如果不处理_XcptFilter,非主线程产生异常后的堆栈也不一样,比如用_beginthread创建线程的堆栈就不对,而用CreateThread创建线程的堆栈却是对的,至于原因,有兴趣的可以试试,在非主线程中产生异常,然后分析DMP,一看就明白了。

  以上测试例子在VC++6.0环境中编译,其他编译器略有不同,具体环境具体分析。

qq827240898
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用SetUnhandledExceptionFilter和DebugMiniDumpFilter来使程序崩溃生成dump文件
blackboy的技术博客
01-29 3568
/*  *  blackboy   psyc209@163.com  *  QQ群: 135202158  *  转载请注明作者及出处  */ 关于SetUnhandledExceptionFilter函数: http://msdn.microsoft.com/en-us/library/windows/desktop/ms680634(v=v
自动获取程序崩溃的dump文件类
04-26
dump文件记录了程序运行内存的快照,包含了程序崩溃的堆栈信息、线程状态以及内存变量等关键数据,对调试和修复bug至关重要。 "自动获取程序崩溃的dump文件类"是指一种专门设计的机制或工具,它能够在程序异常...
游戏异常处理(转)
08-31 474
如何定位导致Crash的代码位置 (转)VC调试入门 游戏异常处理(转)技术类   2009-05-31 18:10   阅读24   评论0   字号: 大大  中中  小小  1.      前言 几 乎每个游戏都或多或少地存在着缺陷,辛辛苦苦完成的游戏要是最终在玩家那里崩溃了,对开发人员来说可能是
dmp文件,SetUnhandledExceptionFilter异常处理函数挂了
bangju6522的博客
01-18 473
想在项目中使用dmp文件调试崩溃的问题,从网上找了份生成dmp文件的代码,VS2005新建一个对话框程序,写点异常代码release下运行exe,生成dmp文件,VS2005打开能显示源代码。把生成dmp的文件添加到项目里就有问题,用VS2005打开生成的dmp文件,显示的代码是SetUnhandledExceptionFilter异常处理函数的部分,求解。附上生成dmp的代码 #pragm
SetUnhandledExceptionFilter
weixin_33816300的博客
01-28 147
现在有好多壳用 SetUnhandledExceptionFilter 安装了最后异常处理例程来愚弄 Ollydbg, 一开始确实难倒了我等菜鸟, 幸好后来有位俄罗斯高人写了个插件, 解决了这个问题, 但一直想知道原因. 最近抽空把 Hume 大侠的 SEH 文章反反复复看了好几遍, 又看了插件的 README, 总算有点明白了. 把他写出来, 请各位大侠看看, 多多指点.(...
vc实现程序崩溃弹出个自定义的对话框.仿QQ崩溃了会出一个对话框提示程序错误bug上报
04-18
此外,为了收集更详细的调试信息,可以使用WinAPI函数MiniDumpWriteDump生成程序崩溃内存转储文件(.dmp文件),这包含了程序内存状态和堆栈跟踪,对后期分析错误原因非常有帮助。 总的来说,通过结合C++的...
crashdump:进程外崩溃转储的示例
04-27
演示如何使C进程(crasher.exe)崩溃进行堆栈跟踪和小型转储。 两者都由另一个进程(dumper.exe)完成,这对于使用可靠的堆栈跟踪进行转储至关重要。 崩溃使用SetUnhandledExceptionFilter注册异常处理程序。 ...
SetUnhandledExceptionFilter和C / C ++运行
04-08
描述中提到的"修复程序"可能是指一种技术,用于在异常发生收集调试信息,例如堆栈跟踪、内存状态或者应用程序的状态,然后将这些信息发送给开发者,以便于分析和解决问题。这样的修复程序通常包含以下步骤: 1. *...
VC 记录程序崩溃堆栈
07-04
4. **使用MiniDumpWriteDump**:`MiniDumpWriteDump`是Windows API中的一个函数,用于生成程序崩溃内存转储文件(.dmp文件),其中包含了堆栈信息和其他内存状态。你需要链接`dbghelp.lib`库,并包含相应的...
using SetUnhandledExceptionFilter for release
12-06
异常捕获函数的使用规则,上传上来供大家学习参考!
SetUnhandledExceptionFilter+Mini-dump smtp 发送邮件
04-14
调试Relese 程序崩溃的神器, 使用 SetUnhandledExceptionFilter 接口生成 Mini-dump文件, 再将生成的dmp文件发送给目标邮件, 分别使用C/C++两种方式解决问题, 邮件使用smtp协议, 支持代理功能, 用QQ邮箱测试正常.
SetUnhandledExceptionFilter程序优雅的崩溃(转)
ahoo110的博客
05-24 862
虽然是大公司的产品,QQ它还是会在我们的折腾下崩溃的,但是它总是崩溃的很优雅,还要弹出自己的对话框来结束。并且发送报告,去掉了系统默认的发送报告的对话框。所以一拍脑袋,想让自己的程序崩溃的体面一点。自己想了大概的思路,觉得可以用一个进程来监控目标程序。的确也可以拿到了目标程序崩溃的信息,知道它什么崩溃的,也可以做额外的操作,但是这样是没办法把默认的发送错误的对话框去掉的。然后又有人说是不是采用了
利用SetUnhandledExceptionFilter获取程序异常的DUMP文件
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-03 1807
利用SetUnhandledExceptionFilter实现程序异常获取DUMP文件来分析程序异常原因,现在很多的软件都是通过这样的方法来收集异常,只不过这里少了一步向服务器传输我们的程序产生的DUMP文件,这种DUMP文件产生后其实会通过网络向指定的服务器传输。这样方便开发都收集程序目前存在的BUG。 下面是一控制台程序,直接COPY代码,编译运行,我这里用了两种方法使程序异常崩溃,从而产
反调试 - SetUnhandledExceptionFilter
LYSM
07-12 5202
原理 SetUnhandledExceptionFilter 可以注册一个异常处理函数,当一个异常产生且我们的 try - catch(或 try - expect)没有处理处理这个异常,异常会转交给 SetUnhandledExceptionFilter ,这是我们的应用程序处理异常的最后机会。 我们可以自己触发一个异常,然后不在 try-catch 中处理它,如果存在调试器则调试器就会接管这个异常,那么这个异常就不会走到我们的 SetUnhandledExceptionFilter 注册的异常处理
SetUnhandledExceptionFilter function
当蝴蝶在南半球拍了两下翅膀,它就会稍微飞高一些。
02-10 1438
Enables an application to supersede the top-level exception handler of each thread of a process. After calling this function, if an exception occurs in a process that is not being debugged, and the e
异常 SetUnhandledExceptionFilter
weixin_30532369的博客
01-06 149
LPTOP_LEVEL_EXCEPTION_FILTER WINAPI SetUnhandledExceptionFilter( __in LPTOP_LEVEL_EXCEPTION_FILTER lpTopLevelExceptionFilter );  设置异常捕获函数.当异常没有处理的候,系统就会调用SetUnhandledExceptionFilter所设置异常处理...
使用SetUnhandledExceptionFilter()调试windows平台下的崩溃弹窗问题
小米的修行之路
02-27 2032
昨天看了同事的程序,发现解决崩溃弹窗问题的方法很不错,上网搜了一下,也基本都是这个方法,以前确实没怎么关注过这个问题,测试了一下,把出现问题的源代码准确的定位了出来。 1、同事对其进行了封装,封装类如下: #pragma once #include &lt;windows.h&gt; #include &lt;imagehlp.h&gt; #include &lt;stdlib.h&gt;...
64位的vs studio 中C++如何使用 SetUnhandledExceptionFilter 函数
最新发布
05-27
在 64 位的 Visual Studio 中,使用 SetUnhandledExceptionFilter 函数的方法与 32 位的 Visual Studio 中基本相同。你可以按照以下步骤进行操作: 1. 在代码中包含 Windows.h 头文件: ```c++ #include ``` 2. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值