WinDbg调试dmp(查找问题的异常堆栈时出现的 UnhandledExceptionFilter 调用堆栈跟踪中和其他技巧)

最新推荐文章于 2024-05-30 11:46:42 发布
最新推荐文章于 2024-05-30 11:46:42 发布
阅读量6.3k 收藏 8
点赞数 1
分类专栏: 编程 文章标签: windbg dmp

1.使用windbg打开dump文件,同时设置symbols。

      如果之前下载过windows的symbols就直接设置symbols path: (windows和程序的pdb)

              例如:C:\Symbols;E:\work\技术分享\dump分析\1115服务器无响应dump\gsss\gssssvr

       如果之前没有下载过windows的symbos则设置

 

       C:\Symbols; SRV*e:\mylocalsymbols*http://msdl.microsoft.com/download/symbols;E:\work\技术分享\dump分析\1115服务器无响应dump\gsss\gssssvr

2.输入指令 ~*kv 输出所有的线程

 

3.找到异常的线程,例如下面的死锁(发现大部分函数都在等待临界区,死锁可能行非常大):

 

4.使用命令查看临界区信息: RtlEnterCriticalSection的第三个地址是045ab944(临界区地址), !cs Address 指定要显示的临界区地址。 : !cs 045ab944

 

 

5.切换到0x00004d0线程: ~~[0x00004d0

执行 ~56s 切换到56号线程

6.输入kv,查看线程堆栈

7.标识对函数调用的线程 Kernel32! UnhandledExceptionFilter 。 它类似于以下

8.在第一个参数的指定位置显示内存内容 Kernel32! UnhandledExceptionFilter 通过 添加 第一个参数 。 此指向 EXCEPTION_POINTERS 结构

9.第一个 DWORD 代表异常记录。 若要获取有关异常的类型信息,请请在命令提示符处运行以下:.exr first DWORD from step 6

10.第二个 DWORD 是上下文记录。 若要获取上下文的信息,请在命令提示符处运行以下:.cxr second DWORD from step 6

11.运行 kv 命令获得实际的异常的调用堆栈

可以看到是json出现了问题,抛出了异常,但锁没有释放。

 

其他:

1.查看函数入参变量值

想要看到崩溃堆栈需要切换到上下文当中,用:.ecxr命令,然后在kp一下(kp表示打印堆栈并附带参数信息):

0:002> .ecxr
eax=00000000 ebx=00000000 ecx=61476f67 edx=ffffffff esi=61476f67 edi=7ffffffe
eip=7438d951 esp=001cc89c ebp=001ccd30 iopl=0         nv up ei pl nz na po nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00010202
msvcr120!_woutput_s_l+0x978:
7438d951 663901          cmp     word ptr [ecx],ax        ds:0023:61476f67=????
0:002> kp
  *** Stack trace for last set context - .thread/.cxr resets it
ChildEBP RetAddr  
001ccd30 7438d6a6 msvcr120!_woutput_s_l(struct _iobuf * stream = 0x001ccd54, wchar_t * format = 0x01912224 "--- memory read error at address 0x01912224 ---", struct localeinfo_struct * plocinfo = 0x00000000, char * argptr = 0x001ccde8 "???")+0x978 [f:\dd\vctools\crt\crtw32\stdio\output.c @ 1629]
001ccd74 7438e0e7 msvcr120!_vswprintf_helper(<function> * woutfn = 0x7438d716, unsigned short * string = 0x003fe898, unsigned int count = 0x20c5, wchar_t * format = 0x019121e0 "--- memory read error at address 0x019121e0 ---", struct localeinfo_struct * plocinfo = 0x00000000, char * ap = 0x001ccdc8 "???")+0x8e [f:\dd\vctools\crt\crtw32\stdio\vswprint.c @ 157]
001ccd98 743a3600 msvcr120!_vswprintf_s_l(unsigned short * string = 0x003fe898, unsigned int sizeInWords = 0x20c5, wchar_t * format = 0x019121e0 "--- memory read error at address 0x019121e0 ---", struct localeinfo_struct * plocinfo = 0x00000000, char * ap = 0x001ccdc8 "???")+0x43 [f:\dd\vctools\crt\crtw32\stdio\vswprint.c @ 272]
001ccdb4 01219561 msvcr120!swprintf_s(unsigned short * string = 0x003fe898, unsigned int sizeInWords = 0x20c5, wchar_t * format = 0x019121e0 "--- memory read error at address 0x019121e0 ---")+0x17 [f:\dd\vctools\crt\crtw32\stdio\swprintf.c @ 243]
001cce2c 0120c7da wuxia!KSimpleLogger::writeLog(_LOG_LEVEL level = LOG_LEVEL_ERROR (0n2), wchar_t * log = 0x0040a008 "Muted failed, errorcode:255", int cch = 0n27)+0xd1 [d:\workspace\wuxiastreamer\libmisc\logger.cpp @ 321]
001ccf4c 7709abe6 wuxia!ksl_write_log(void * loggerObject = 0x0174599c, _LOG_LEVEL level = LOG_LEVEL_ERROR (0n2), wchar_t * format = 0x01745964 "--- memory read error at address 0x01745964 ---")+0x17a [d:\workspace\wuxiastreamer\libmisc\simple_logger.cpp @ 127]
001ccf64 5119097c user32!CallNextHookEx+0x48
WARNING: Stack unwind information not available. Following frames may be wrong.
001cd010 76f76aee Qt5Core+0x1b097c
001cd0f4 7709e171 ntdll!KiUserCallbackDispatcher+0x2e
001cd170 770ac560 user32!CallHookWithSEH+0x21
001cd204 770acc40 user32!UserCallWinProcCheckWow+0x5c
001cd214 51190613 user32!DispatchMessageW+0xf
001cd21c 7f8eee35 Qt5Core+0x1b0613
001cd244 00000000 0x7f8eee35

2.查看局部变量

我们可以转到这行堆栈,然后看看里面的细节:

先用kn  (表示第一列显示显示堆栈列号)

0:002> kn
  *** Stack trace for last set context - .thread/.cxr resets it
 # ChildEBP RetAddr  
00 001ccd30 7438d6a6 msvcr120!_woutput_s_l+0x978 [f:\dd\vctools\crt\crtw32\stdio\output.c @ 1629]
01 001ccd74 7438e0e7 msvcr120!_vswprintf_helper+0x8e [f:\dd\vctools\crt\crtw32\stdio\vswprint.c @ 157]
02 001ccd98 743a3600 msvcr120!_vswprintf_s_l+0x43 [f:\dd\vctools\crt\crtw32\stdio\vswprint.c @ 272]
03 001ccdb4 01219561 msvcr120!swprintf_s+0x17 [f:\dd\vctools\crt\crtw32\stdio\swprintf.c @ 243]
04 001cce2c 0120c7da wuxia!KSimpleLogger::writeLog+0xd1 [d:\workspace\wuxiastreamer\libmisc\logger.cpp @ 321]
05 001ccf4c 7709abe6 wuxia!ksl_write_log+0x17a [d:\workspace\wuxiastreamer\libmisc\simple_logger.cpp @ 127]
06 001ccf64 5119097c user32!CallNextHookEx+0x48
WARNING: Stack unwind information not available. Following frames may be wrong.
07 001cd010 76f76aee Qt5Core+0x1b097c
08 001cd0f4 7709e171 ntdll!KiUserCallbackDispatcher+0x2e
09 001cd170 770ac560 user32!CallHookWithSEH+0x21
0a 001cd204 770acc40 user32!UserCallWinProcCheckWow+0x5c

好,转到wuxia!KSimpleLogger::writeLog这行堆栈用:.frame 4 (如果想转到下一行用 :.frame 5)

0:002> .frame 4
04 001cce2c 0120c7da wuxia!KSimpleLogger::writeLog+0xd1 [d:\workspace\wuxiastreamer\libmisc\logger.cpp @ 321]

然后可以用:dv来打印临时变量信息:

0:002> dv
Unable to find processor type for C:\Program Files\wuxia\1.0.0.13\wuxia.exe, using default
           this = 0x61476f67
          level = LOG_LEVEL_ERROR (0n2)
            log = 0x0040a008 "Muted failed, errorcode:255"
            cch = 0n27
             st = struct _SYSTEMTIME
      dwWritten = 0x174599c

查看局部成员指针变量 : dt datatype ptraddr

 

查看CString类型的值  dc 变量名  + dt CString addr

 

参考:https://blog.csdn.net/liaozhilong88/article/details/80591792

白雲綠水
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
理解UnhandledExceptionFilter
Viper的专栏
02-24 9305
最初发表在QQ空间,全文参见 理解UnhandledExceptionFilter UnhandledExceptionFilter,在一个windows平台上的C/C++程序,主线程的SEH框架会有2层,最外层是BaseProcessStart,里面是mainCRTStart
异常崩溃码对照
weixin_30889885的博客
04-27 1180
硬件异常即由CPU引发的异常,Windows定义了以下的硬件异常代码:    异常 值 描述 EXCEPTION_ACCESS_VIOLATION 0xC0000005 程序企图读写一个不可访问的地址引发的异常。例如企图读取0地址处的内存。 EXCEPTION_ARRAY_BOUNDS_EXCEEDED 0xC000008C 数组访问越界引发的...
windbg 定位正确UnhandledExceptionFilter 调用堆栈
最新发布
qq_43179054的博客
05-30 182
某些情况下,当程序崩溃异常没有被程序捕获,就会出现UnhandledExceptionFilter这种情况,会弹出下图的系统错误弹窗遇到此错误,手动获取问题进程的dump文件,您可以按照本文来标识导致异常的 DLL 的步骤。
利用SetUnhandledExceptionFilter获取程序异常的DUMP文件
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-03 1805
利用SetUnhandledExceptionFilter实现程序异常获取DUMP文件来分析程序异常原因,现在很多的软件都是通过这样的方法来收集异常,只不过这里少了一步向服务器传输我们的程序产生的DUMP文件,这种DUMP文件产生后其实会通过网络向指定的服务器传输。这样方便开发都收集程序目前存在的BUG。 下面是一控制台程序,直接COPY代码,编译运行,我这里用了两种方法使程序异常崩溃,从而产
调用SetUnhandledExceptionFilter函数实现Dump文件的生成和使用
weixin_40075560的博客
07-03 677
调用SetUnhandledExceptionFilter函数实现Dump文件的生成和使用 // iMooc.cpp : 定义控制台应用程序的入口点。 // #include <windows.h> #include <Dbghelp.h> using namespace std; #pragma auto_inline (off) #pragma comment(lib...
聊聊如何进行代码混淆
kingwinstar的博客
01-26 7366
前言 什么是代码混淆 代码混淆,是指将计算机程序的代码,转换成一种功能上等价,但是难于阅读和理解的形式的行为。 代码混淆常见手段 1、名称混淆 将有意义的类,字段、方法名称更改为无意义的字符串。生成的新名称越短,字节代码越小。在名称混淆的字节代码,包,类,字段和方法名称已重命名,并且永远不能恢复原始名称。不幸的是,控制流程仍然清晰可见。故而需要流混淆 2、流混淆 用于if, switch, while,for等关键字,对字节码进行细微的修改,模糊控制流,而不改变代码在运行的行为。通常情况下,选择
如何根据程序崩溃DMP文件使用WinDbg查找调用堆栈
xiaoqiangvs007的专栏
09-24 9744
如何根据程序崩溃DMP文件使用WinDbg查找调用堆栈  HOW TO: 查找问题异常堆栈出现UnhandledExceptionFilter 调用堆栈跟踪http://support.microsoft.com/kb/313109/zh-cn察看本文应用于的产品 本页概要 使用 Windbg.exe 打
使用windbg调试dmp文件
09-27
使用windbg调试windows crash 产生的dmp文件
Windbg调试技巧.doc
07-29
介绍如何用Windbg进行windows下的软件调试windbg是一个强大的调试工具
WINDBG调试介绍 方式
08-16
WINDBG调试介绍 方式
dbg.rar_调试dmp
09-20
通过WinDbg,开发者可以查看堆栈跟踪、检查内存、读取注册表值、跟踪模块加载等,从而定位问题的根源。 标签“调试dmp”进一步确认了文件内容的重点,即如何利用DMP文件进行调试工作。调试DMP文件的过程通常包括...
windbg调试工具.zip
01-08
- **异常堆栈跟踪**:通过查看异常堆栈,开发者可以了解错误发生的具体位置,以及调用栈上的函数序列,这对于定位问题至关重要。 - **内存检查**:Windbg允许检查进程内存,查看变量值,查找内存泄漏,以及检查...
如何快速查看进程/子线程堆栈
木简熙的博客
11-28 5530
如何快速查看进程/子进程堆栈
WinDbg快速分析异常情况Dump文件
君子居易
03-03 2448
生产环境偶尔会出现一些异常问题WinDbg 或 GDB 就是解决此类问题的利器。调试工具 WinDbg 如同医生的听诊器,是系统生病问题诊断的逆向分析工具,Dump 文件类似于飞机的黑匣子,记录着生产环境程序运行的状态。 本文主要介绍了调试工具 WinDbg 和抓包工具 ProcDump 的使用。
WinDbg 查找问题异常堆栈堆栈跟踪UnhandledExceptionFilter
yuan
05-21 2350
UnhandledExceptionFilter 函数调用没有异常处理程序定义来处理引发的异常。 函数通常将异常传递达 Ntdll.dll 文件这将捕捉并试图处理它。 在该进程的内存快照存在某些情况下,您可以看到到一个线程持有锁点的线程调用的 UnhandledExceptionFilter 函数。 在这些情况您可以按照本文标识导致异常的 DLL 的步骤。Windbg.exe 打开转储文件下...
Windbg查看调用堆栈(k*)
08-23 802
无论是分析程序崩溃原因,还是解决程序hang问题,我们最常查看的就是程序调用堆栈。学会windbg调用堆栈命令,以及理解堆栈的各个参数的意义就显得至关重要。 上图就是一个典型的Windbg堆栈,如果不理解ChildEBP、RetAddr、Args to Child等参数意义,以及它们之间的来龙去脉,调试工作将很难进行下去。 1. 函数参数 函数...
windbg查看64位dump文件踩过的坑:没有二进制文件导致堆栈异常
最快的脚步不是跨越,而是继续;最慢的步伐不是缓慢,而是徘徊!
04-28 1110
windbg分析64位dump,堆栈地址异常的解决办法
代码混淆技术yguard、ProGuard、Allatori
lonelymanontheway的博客
02-29 7846
混淆定义、混淆技术、yguard、proguard、allatori、
windbg调试dmp
07-27
回答: Windbg是微软开发的免费源代码级的调试工具,可以用于Kernel模式调试和用户模式调试,还可以调试Dump文件。在使用Windbg调试dmp文件之前,需要安装Debugging Tools for Windows,并设置符号路径和源码路径。...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值