windbg找出指定驱动所在的内核调用栈

已于 2022-06-29 10:09:07 修改
阅读量550 收藏
点赞数
分类专栏: Windows 文章标签: windows
于 2022-06-14 11:19:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010607621/article/details/125274678
版权

背景

诸如Windows卡死或应用程序不明原因卡住等问题,如果我们怀疑是某个驱动导致,我们可以在dmp中查看此驱动所在的内核调用栈,看看是否此驱动调用了某些Windows同步函数而卡住。

方法

!stacks 2 [驱动名]
例如我怀疑是RegFilter.sys导致的Windows卡住,我可在系统dump中执行

0: kd> !stacks 2 RegFilter
Proc.Thread  .Thread  Ticks   ThreadState Blocker
                            [fffff80004246680 Idle]
                            [fffffa80c7b7b5c0 System]
   4.0001f4  fffffa80ca29f930 00075f1 Blocked    nt!KiSwapContext+0x7a
                                        nt!KiCommitThreadWait+0x1d2
                                        nt!KeWaitForSingleObject+0x1a3
                                        RegFilter+0x17d6d
                                        nt!PspSystemThreadStartup+0x194
                                        nt!KiStartSystemThread+0x16

                            [fffffa80ca530b00 smss.exe]

                            [fffffa80cb11bb00 csrss.exe]

                            [fffffa80cb50db00 wininit.exe]

                            [fffffa80cb35ab00 csrss.exe]

                            [fffffa80cb594b00 winlogon.exe]

                            [fffffa80cb59c060 services.exe]

                            [fffffa80cb5b1060 lsass.exe]

                            [fffffa80cb5b9530 lsm.exe]

                            [fffffa80cb53b060 svchost.exe]
 354.00034c  fffffa80cb62c060 002bca8 Blocked    nt!KiSwapContext+0x7a
                                        nt!KiCommitThreadWait+0x1d2
                                        nt!KeWaitForSingleObject+0x1a3
                                        nt!KiAcquireFastMutex+0x4e
                                        nt!ExAcquireFastMutex+0x45
                                        RegFilter+0x59cd
                                        RegFilter+0x8781
                                        RegFilter+0x9cec
                                        nt!CmpCallCallBacks+0x1c0
                                        nt! ?? ::NNGAKEGL::`string'+0x38bd0
                                        nt!KiSystemServiceCopyEnd+0x13
                                        +0x77069aca
……

留意此处的Blocked。线程fffffa80ca29f930fffffa80cb62c060 002bca8他们的调用栈就有RegFilter调用nt!ExAcquireFastMutex进而卡住。
下一步就联系RegFilter的开发者,反馈此类卡住在许多线程中存在是否正常。

sculida
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解决Windows右键鼠标一直转卡死机
11-17
解决Windows右键鼠标一直转圈卡死机
DRIVER_POWER_STATE_FAILURE蓝屏问题分析(一)
最新发布
xsinlink的博客
10-15 3038
综上,我们总结一下发起电源IRP的整个过程。创建一个IRP。设置好IRP对应的DPC定时器看门狗,如果看门狗超时,那么就会直接蓝屏。将IRP放入到队列中,提交给来处理。从队列中取出IRP,然后发送IRP到指定的设备。IRP正常完成,那么取消DPC的看门狗。如果IRP超时,那么DPC定时器相应,然后蓝屏。我们先来看一个问题,据反馈系统大致运行7分钟之后出现蓝屏,为什么会是这个时间呢?4: kd>?0000012c。
windows内核情景分析---进程线程
maomao171314的专栏
04-04 3260
本篇主要讲述进程的启动过程、线程的调度与切换、进程挂靠 进程的启动过程: BOOL CreateProcess (   LPCTSTR lpApplicationName,                 //   LPTSTR lpCommandLine,                      // command line string   LPSECURITY_ATTRIBU
windbg常用命令
lygl35的博客
12-23 980
1、!process 0 0 (查看所有进程) 2、dt _EPROCESS 8710da00 (查看当前进程的结构体) 2、dt _HANDLE_TABLE 0x8d7fc818 (查看内核对象句柄表) 3、dd 0x98609000 (当前进程句柄表,一个句柄对象是8个字节)内核对象句柄/4=内核句柄地址在句柄表的索引 ...
Windows内核分析之一 —— 内核入口函数
xjh_Love_paopao的专栏
07-21 1967
 前段时间和yuewang和一块三毛钱商量着写写Windows分析的文章,我来开个头吧,哈哈。既然是开头,所以就选择了内核入口点开始,我向来不怎么会写文章,也就当流水账记记吧,看能不能引出他们更好的分析出来J Ntoskrnl的入口点函数名是KiSystemStartup,这是bootloader执行了一些基本的初始化之后跳转到的内核入口函数,用汇编语言实现。一、KiSystemStart
windbg抓一个windows蓝屏分析
独行猫a 的沉淀、积累、总结。天天学习,好好向上...c/c++,嵌入式 linux,Android,HarmonyOS)
01-30 9334
设备一直以来挺稳定,但还是小概率事件意外出现某设备突然蓝屏了。查看windows事件查看器提示计算机已经从检测错误后重新启动。检测错误: 0x0000009f (0x0000000000000003, 0xffffad0f4edc7570, 0xfffff8046a09ec20, 0xffffad0f4ef318a0)。已将转储的数据保存在: C:\Windows\MEMORY.DMP。
windbg常用指令(工作经验总结)
sanganlei的博客
05-27 584
一、windbg双机联调之驱动源码调试 1、通过VirtualKD设置好双机联调环境 2、在驱动程序的入口点DriverEntry下断点,命令: bm ranet!driverentry 备注:一定要用bm延迟加载符号命令,不能用bp 1: kd> bm ranet!driverentry 1: fffff880`03c4bcdc @!"RaNet!DriverEntry" 1: kd> g 3、把驱动程序拷贝到虚拟机中,利用工具InstDrvx64 V1.03安装并启动.
Windows下获取Dump文件以及进程下各线程调用的方法总结
热门推荐
iihero@CSDN
12-07 1万+
1. Dump文件的用途Dump文件, 主要用于诊断一个进程的运行状态,尤其是碰到崩溃(Crash)或者挂起(hang)不响应时,需要分析它的工作状态.  除了平时常见的attach到这个进程, 分析Dump文件就成了一个重要的手段了.相信一些做软件维护和支持的工程师在这方面深有体会, 比如某天某时,客户说, 呀, 糟糕, 服务器进程挂掉了, 怎么回事? 然后,看看了日志文件,也没有什么可用的信息
win7 程序运行中突然重启,如何通过DUMP文件判断是程序BUG还是驱动问题
09-08 345
win7 32位系统运行TGL.EXE程序中突然黑屏重启,且此种情况一年内多次发生,目前只能看到引发DEBUG的进程是TGL.EXE,每次原因不尽相同,但是每个DUMP文件都会指向这个TGL.EXE进程,所以想请教大家是否代表TGL.EXE有兼容性或存在BUG问题,还是说与系统驱动程序有关从而导致重启?Loading Dump File [D:\故障\重启故障文件\重启故障文件\112722-7285-01.dmp]
利用IoDriverObjectType控制内核驱动加载
weixin_60043341的博客
08-17 408
在edr或者其他类型的安全软件我们通常要监测当前系统的内核驱动的加载通常使用的方法是PsSetLoadImageNotifyRoutine设置模块加载回调例程来监控ring3模块以及ring0模块的加载,回调函数 eLoadImageNotifyRoutine 的第二个参数判断,如果 PID是0 ,则表示加载驱动,如果PID非零,则表示加载DLL。缺点当然也就是函数太底层,第二就是方法太通用几乎做过进程、线程监控的搞安全内核开发的人基本都晓得,也很容易被发现而且也会被摘链,而失效。...
观察进程线程的数据结构
11-28
详细介绍了在Windows Server 2008下用windbg调试工具查看进程和线程结构体和其他跟进程线程相关的东西。
windbg 驱动调式内核调式
06-15
dbg_x86_6.11.1.404.msi windbg 驱动 内核 调式 windbg 驱动 内核 调式
win7 64bit下windbg本地内核调试方法
08-19
win7 64bitwindbg本地内核调试,网上提到的不能是实现的本地内核调试的解决方案,纯摸索得到方法。
使用WinDbg内核调试
05-05
本文介绍的是在windows系统下进行C代码开发时的一种借助于WinDbg 工具进行代码调试的工具。
windows 内核调试工具 Windbg
03-16
windows平台下,用户态和内核态调试工具 Windbg WIN7 64位系统可用,也可以用来分析dump数据,查内存泄漏
windows内核驱动读写文件
10-11
windows内核驱动条件下文件的创建、读、写等功能实现源码。适用于驱动调试和运行观察的日志打印输出,比Windbg和reaceview更方便。
Windbg介绍
u010607621的博客
06-15 1万+
1. 介绍 1.1. 相关网站 微软网站 社区网站 调试分享 1.2. 下载 对于Win10,推荐使用微软商店下载windbg preview版本。其它的os,可以下载windows sdk,在安装选项中选择windbg。 preview版本皆可调试32,64位进程和内核。传统版本分为32和64两个版本,但优势在小巧便携。 1.3. 符号配置 微软的动态库,exe等,微软一般会公开pdb文件的下载,windbg经过配置后,会自动下载,从而利于解析程序的数据结构。 简易的方法是配置环境变量_NT_SYMBOL
某些Win10无法进入安全模式的修复
u010607621的博客
01-13 6812
bcd编辑
Vmware的win7 32安装wireshark备忘
u010607621的博客
03-28 5068
Vmware WorkStation安装Win7 32位:cn_windows_7_professional_with_sp1_vl_build_x86_dvd_u_677939.iso Guest OS中安装vmware tool会失败,安装此补丁可解:windows6.1-kb4474419-v3-x86_0f687d50402790f340087c576886501b3223bec6 安装wireshark后,wireshark可能无法检索出本地网卡,卸载重装npcap可解: npcap ...
windbg 内核调试
07-13
内核调试是一种用于分析和调试操作系统内核的技术。Windbg是微软开发的一款强大的调试工具,可以用于内核调试、用户态调试以及应用程序调试。 要进行内核调试,首先需要设置目标计算机以便它能够与调试主机通信。这通常涉及到将目标计算机连接到调试主机,可以使用串行线缆、网络连接或者火线连接等方式。 一旦建立了连接,可以使用Windbg工具来控制和分析目标计算机的内核。通过Windbg,可以设置断点、查看寄存器和内存状态,跟踪执行流程,以及使用各种命令来诊断和修复问题。 为了进行内核调试,通常需要有一定的操作系统和调试经验。同时,了解目标系统的架构和内核结构也是必要的。在进行内核调试时,需要小心操作,避免对目标系统造成不可恢复的损害。 总之,Windbg是一款强大的内核调试工具,可以帮助开发人员分析和解决操作系统内核相关的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值