dump文件_dump调试案例1-未知跳转

最新推荐文章于 2022-04-30 21:20:40 发布
最新推荐文章于 2022-04-30 21:20:40 发布
阅读量95 收藏
点赞数
文章标签: duilib windbg EIP 病毒 崩溃堆栈

d5740407d6856807d5b9190079052037.png

背景

自己手里有一个用duilib开发的工具在某一个用户那边高频崩溃。只要一启动就崩溃,一天崩溃几十次,很奇怪。从用户那边抓取dump文件回来,调出windbg进行调试查找原因。

过程

1. 准备好pdb及源码文件,windbg加载dump起来。命令行输入.ecxr, 然后切换看堆栈如下:

60dbf4f9dd8554ebe30779d0aafdca8e.png

报错的代码在这里:

f34043093583b618b9210f2bde1531ac.png

这个工具是用duilib做的界面,handleMessage处理消息后跳转到CWebBrowserUI::AddRef中,但是我的代码里根本就没有用到CWebBrowserUI这个类,怎么会跳转到这个类中呢?奇怪。

2. 然后查看了local,thread等信息都没有找到有用的线索。

3. 怀疑堆栈不准, 但windbg加载pdb文件又能加载起来,对应的代码也能找到,理论上来看应该是准的。但是代码里根本就没有写,但是堆栈却跳转到这个类里了,莫名其妙。

4. 问了一下组内的另一大神,分析了一下,给出了一个思路:EIP寄存器。EIP寄存器,用来存储CPU要读取指令的地址,CPU通过EIP寄存器读取即将要执行的指令。查看EIP寄存器的值,看一下它下一步要执行的动作是什么?

5. 查看EIP的值

6b550243ce92bbc6330638ace4a5a893.png

可以看见EIP的内存地址,通过windbg memory窗口可以看到对应的值

0d5fbebc3dccf8f149404dc4877cac61.png

看memory的值,竟然看见了Trojan的字样。觉得这个工具可能是中了病毒或者木马。

6. 通过抓取的dump挨个分析,发现只要是出现崩溃堆栈是这样的,exe的名字都是同一个,基本上确认是同一个exe,被病毒或木马感染导致崩溃。因为没有办法联系到用户,所以还只是猜测。

weixin_39614276
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows调试(通过dump文件定位崩溃)
03-31
为处理windows程序崩溃问题,有必要引入异常捕获模块。本资源主要讲述如何配置产生dump文件的环境以及dump文件产生后的分析定位。
SLIC_Dump_ToolKit_V2.0-BIOS改写工具
02-25
可以察写BIOS的SLIC_Dump_ToolKit_V2.0-工具,可以反复察写
一个最简单的DUMP分析示例
狂奔之林的博客
09-29 1009
转自:https://blog.csdn.net/hustd10/article/details/52075324?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-3.nonecase&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-3.nonecase .
vs2008 dump文件调试
cwq水域 的专栏
01-22 2196
引自  南海之星  用vs2008分析dump文件 双击minidump文件(*.dmp)。默认会启动vs2008。菜单Tools/Options, Debugging/Symbols,增加PDB文件路径。注:如果minidump文件与pdb文件在同一目录,就不用设置这个了。若调试的程序需要微软基础库的PDB信息,可以增加一个路径为:http://msdl.microsoft.com/
如何利用dump文件定位问题
世间所有的相遇都是久别重逢
09-08 1250
Dump文件是进程的内存镜像。可以把程序的执行状态通过调试器保存到dump文件中。Dump文件是用来给驱动程序编写人员调试驱动程序用的,这种文件必须用专用工具软件打开,比如使用VS、WinDbg打开。 当我们的程序发布出去之后 , 在上位机上是无法跟踪自己代码的 BUG 的 ,, 所以 Dump 文件对于我们来说特别有用,最快的解决方式是生成dump文件,通过生成dump文件使用调试工具进行调试,还原程序崩溃时的状态,能够起到快速定位排查问题的作用 。 如何利用生成的.dmp文件找到...
dump调试
qq_34552942的博客
09-27 1269
dump调试记录
core_analyzer-2.18-src_Only_heap_src-only_analyzer_dump_
10-01
"core_analyzer-2.18-src_Only_heap_src-only_analyzer_dump_" 这个标题表明我们正在讨论一个专门用于分析内存堆(heap)的工具,名为 "core analyzer" 的源代码版本,具体是2.18版。"src only" 指出这个版本仅包含...
RE-Dump_Hold_hl-dump_memorydumpc_dumper_
09-30
Having got hold of that archive you have become the happy owner of memorydumper and algorithm data for emulation
HTTP_Request_Dump_For_QA-crx插件
04-03
1. **安装插件**:将HTTP_Request_Dump_For_QA.crx文件拖拽到打开的Chrome浏览器窗口,按照提示完成安装。 2. **启用插件**:安装后,用户需要在Chrome的扩展管理页面启用插件。 3. **抓取流量**:在浏览或测试...
PEDump.zip_ JIURL PEDUMP_ dump_R-Tree_coff_pedump
09-22
除了可导出PE可执行文件外,PEDUMP也能导出COFF格式的OBJ文件、COFF输入库(新的和旧的格式)、COFF符号表和DBG文件。 PEDUMP是一个命令行程序,不带任何选项对我刚刚描述的文件类型去运行,将会有一个包括许多...
Dump分析实例
火锅底料_大伯的博客
01-15 506
本实例基于VS开发,利用Windbg程通过序崩溃生成的dump文件进行简单的分析,借此了解dump分析的主要流程。 什么是dump文件? 即内存存储文件,一个进程或系统在某个给定时间的快照。也是内存镜像,保存了程序的执行状态。 通俗地理解,dump文件是程序发生异常甚至崩溃时,保存当时程序运行状态的文件,主要用来分析程序崩溃原因或蓝屏原因。 如何生成dump文件? 方法一:使用任务管理器 前提:程序运行崩溃后,没有自动退出的情况下。 任务管理器找到相应进程,右键选择“创建转储文件”,会在默认目录下生.
dump文件定位程序崩溃代码行
lizheng308的专栏
10-12 3968
1.dump文件 2.程序对应的pdb 步骤一:安装windbg 步骤二:通过windbg打开crash dump文件 步骤三:设置pdb文件路径,即符号表路径 步骤四:运行命令!analyze -v,这是windbg提供的一个自动分析命令,正常情况下,会显示出导致崩溃
dump调试方法
caicaptain
06-12 1361
一、Windbg dump后,如何用Windbg进行分析呢? https://blog.csdn.net/iwilldoitx/article/details/81048500 1.设置pdb路径,(系统pdb+镜像+工程pdb)https://www.cnblogs.com/nchxmoon/p/4390980.html 2.设置源文件路径 3.导入dmp文件 4.! analyze -v 二、vs 1.生成dump文件 #include "stdafx.h" #include <windows
DUMP文件分析2:一个最简单的DUMP分析示例
热门推荐
hustd10的博客
07-30 2万+
本节开始,我将在示例中给大家讲述基本的DUMP文件分析方法。读者应该对Windows系统比较了解,同时比较熟悉Windbg。 本节的示例非常简单,也非常经典,就是常常会遇到的访问空指针。Windows将进程内存空间的一段范围设置为NULL(64KB),这段空间禁止访问。一旦我们在程序中不小心访问了这段地址(通常是指针未初始化),就会引起访问越界异常,造成程序崩溃,例如本示例: 这是一个简单的
JVM内存分析案例:分析dump文件,发现内存中存在很多代码无关的int[]数组?
由入门到精通
04-30 873
分析dump文件,发现内存中存在很多代码无关的int[]数组。 点该dump 文件详情,查看相关的 int[] 数组,点该对象的“被引用对象”,发现所有的对象都是待回收的状态,即也没有被任何对象引用。 因为GC或者内存dump,都必须对内存做一个遍历,因此必须先暂停这些Java线程,防止在遍历内存里的对象的时候进行内存分配,为了能快速遍历对象,而不存在不连续的内存,于是JVM会做一个填充,填充的正好是int数组对象,将剩下的没被分配的内存填满,因此在系统运行过程中其实可能伴随着很多无用的对象产生。 可
通过gdb core dump方法查看程序异常时的堆栈信息
网络资源是无限的
07-24 1万+
在Linux下可通过core文件来获取当程序异常退出(如异常信号SIGSEGV, SIGABRT等)时的堆栈信息。core dump叫做核心转储,当程序运行过程中发生异常的那一刻的一个内存快照,操作系统在程序发生异常而异常在进程内部又没有被捕获的情况下,会把进程此刻内存、寄存器状态、运行堆栈等信息转储保存在一个core文件里,叫core dump。core文件是程序非法执行后core dump后产...
工业视觉智能-分割模型基础知识
08-18
根据《阿里云工业视觉智能高级工程师ACP认证免费课程》(https://edu.aliyun.com/course/3128115/lesson/342981389)创建的个人笔记
计算机毕业设计jsp高考志愿选择辅助系统idea论文
最新发布
08-18
计算机毕业设计jsp高考志愿选择辅助系统idea论文
分享一款特别好看特别美的樱花博客前端页面
08-18
分享一款特别好看特别美的樱花博客前端页面
pg_dump: unrecognized option '--if-exists* Try "pg_dump --help" for more information.
06-10
这是一个关于 pg_dump 命令的错误提示,提示你输入了一个未被识别的选项 "--if-exists* "。可能是你在执行 pg_dump 命令时,使用了一个错误的选项或者选项的语法有问题。建议你检查一下 pg_dump 命令的选项及其语法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值