WindbgPreview 分析dmp 文件

最新推荐文章于 2024-06-07 09:53:26 发布
最新推荐文章于 2024-06-07 09:53:26 发布
阅读量8k 收藏 12
点赞数 4
文章标签: window
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43956962/article/details/105793644
版权

文章目录

实现一个可以生成dmp文件的代码

代码可直接复制、编译

#include <iostream>
#include <windows.h>
#include <dbghelp.h>
#pragma comment (lib, "dbghelp.lib")
#include <conio.h>
#include <tchar.h>
using namespace std;

/* 未捕获异常过滤函数 */
LONG WINAPI ExpFilter(struct _EXCEPTION_POINTERS* pExp) {

    HANDLE hFile = CreateFile(
        _T("C:\\Users\\win10\\Desktop\\test.dmp"),/* 自定义 生成dmp文件的路径 */
        GENERIC_WRITE,
        0,
        NULL,
        CREATE_ALWAYS,
        FILE_ATTRIBUTE_NORMAL,
        NULL);

    if (INVALID_HANDLE_VALUE != hFile) {

        MINIDUMP_EXCEPTION_INFORMATION einfo;
        einfo.ThreadId = GetCurrentThreadId();
        einfo.ExceptionPointers = pExp;
        einfo.ClientPointers = FALSE;

        MiniDumpWriteDump(	/* 需包含头文件#include <dbghelp.h> 与链接文件#pragma comment (lib, "dbghelp.lib") */
            GetCurrentProcess(),
            GetCurrentProcessId(),
            hFile,
            MiniDumpWithFullMemory,/* 获取所有内存dmp */
            &einfo,
            NULL,
            NULL);

        CloseHandle(hFile);
    }

    return EXCEPTION_EXECUTE_HANDLER;
}

/* 开启未捕获异常过滤函数 修改_XcptFilter硬编码,直接返回EXCEPTION_CONTINUE_SEARCH */
void StartUnhandledExceptionFilter() {

    /* 
        替换调用进程中所有已有线程和所有将来新创建线程的顶级异常过滤函数
        调用此函数后,如果在未调试的进程中发生异常,并且这些异常没有被捕获时,
        系统就会调用SetUnhandledExceptionFilter设置的函数
    */
    SetUnhandledExceptionFilter(ExpFilter);

    /*
        链接器在链接可执行文件时,选择正确的C/C++运行库运行函数
        在此运行库函数中调用的main函数
        查看调用堆栈 可以看到 此运行库函数为 mainCRTStartup
        调用main函数相关代码如下:

        try {
            ...
            调用main函数
            ...
        }
        __except ( _XcptFilter(GetExceptionCode(), GetExceptionInformation())) {
            _exit( GetExceptionCode() );
        }

        产生异常时,首先会调用_XcptFilter,之后才会被 ExpFilter 处理,堆栈可能会产生变动
        修改_XcptFilter,让其直接返回 EXCEPTION_CONTINUE_SEARCH(0),
        表示异常没有被识别到,异常继续往上层抛,直到SetUnhandledExceptionFilter设置的未捕获异常过滤函数
    */
    HMODULE hModule = LoadLibrary(_T("msvcrt.dll"));

    if (NULL != hModule) {
        void* _XcptFilter = (void*)GetProcAddress(hModule, "_XcptFilter");

        if (NULL != _XcptFilter) {
            DWORD dwOldProtect;
            VirtualProtect(_XcptFilter, 5, PAGE_EXECUTE_READWRITE, &dwOldProtect);
            VirtualProtect(_XcptFilter, 5, PAGE_EXECUTE_READWRITE, &dwOldProtect);
            *(char*)_XcptFilter = 0x33;
            *((char*)_XcptFilter + 1) = 0xc0;
            *((char*)_XcptFilter + 2) = 0xc2;
            *((char*)_XcptFilter + 3) = 0x00;
            *((char*)_XcptFilter + 4) = 0x00;
            VirtualProtect(_XcptFilter, 5, dwOldProtect, &dwOldProtect);
        } 
    }    
}


int main() {

    cout << "begin" << endl;

    StartUnhandledExceptionFilter();

    int i = 0;
    i = i / i;	/* 产生一个未处理的除零异常 */

    cout << "end" << endl;

    return 0;
}

在这里插入图片描述

WindbgPreview 分析dmp 文件

WindbgPreview —> 左上角 文件 —> Start debugging —> Open dump file —> 找到dmp文件 —> 打开
在这里插入图片描述

正常打开完毕,应该是这样的界面:
正常打开后,应该是这样的界面

设置pdb符号路径 与 源码路径
设置pdb符号路径 与 源码路径
这里需要注意到一个问题:
如果源代码并不是当初编译此程序的那份源代码,WindbgPreview展示的异常位置可能有误。

WindbgPreview的自动化分析

  1. 进入符号模糊匹配模式:!sym noisy on
  2. 加载pdb:.reload /i
  3. 自动化分析:!analyze -v
    在这里插入图片描述

排查问题

  1. 阅读附近代码,我们会发现 i = i / i 被除数为0,修改代码解决问题
  2. 用WindbgPreview继续排查
    1. 切换到异常线程:.ecxr
    2. 打印异常堆栈:kvn
      在这里插入图片描述
      进入到了刚才的问题现场,这时我们再输入 r 命令,接着输入u命令(目的是为了多打印一些崩溃点代码上下文),看崩溃现场详细信息:
      在这里插入图片描述
      在这里插入图片描述
      我们可以看到 idiv eax,dword ptr [ebp-8] 有符号除法,这里为 eax 除以 ebp - 8 位置的值
      可以看到 [ebp-8] ss:002b:0114f97c=00000000
      被除数为0,所以出错

参考

https://zhuanlan.kanxue.com/article-364.htm
https://blog.csdn.net/u010588861/article/details/41350647
随心动,随风行
关注
  • 4
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
WinDbg preview 1.2103.1004.0 版本,亲测可用
12-01
3. **崩溃转储分析**(WindowsDMP文件):当系统出现故障时,WinDbg可以分析由系统生成的.dmp文件,提供详细的故障信息,包括调用堆栈、线程信息、内存状态等,帮助开发者定位问题根源。 4. **图形化界面**:WinDbg...
WinDbg Preview简单使用
LiveviL的博客
08-16 1万+
WinDbg Preview简单使用CLR程序调试入门dump包的抓取WindowsLinux基本dump包分析SOS 调试扩展获取对应的clr.dll以及sos.dll加载基于sos的符号加载sos异常及处理方法 CLR程序调试入门 程序不光要能跑,还要能一直稳定的跑。前段时间线上接口时不时就会整体Down一下,性能非常不稳定,通过多方摸索,尝试才找到原因。不从细节直接入手,出现问题就会手忙脚乱,不能在短时间内解决。 dump包的抓取 Windows 直接在任务管理器里面,选中对应的进程,右键->创
使用WinDbg Preview解决Win10系统蓝屏问题
水向东流时间怎么偷
01-29 1万+
前段时间,新组装的台式机经常出现如下图所示的蓝屏现象,而且终止代码也很奇怪,每次一蓝屏都是这个界面,收集信息的进度一直为0%,刚开始以为系统或者是组装的有问题,于是重装了系统,并且拆开机箱重新检查了各个组件的连接线,然而蓝屏还是依旧,很无奈,想着新装的台式机怎么还没用就一直不稳定,经过了多次蓝屏之后下定决心一定把这个问题解决了。查找了各种方法来解决此问题,这里分享最终的解决方法。 蓝屏代码如下图所示: 终止代码为:WEHA_UNCONRRECTABLE_ERROR,意思就是不可修复??这下可犯难了,
探索现代调试艺术:WinDbg Preview 开源工作坊
最新发布
gitblog_00032的博客
06-07 279
探索现代调试艺术:WinDbg Preview 开源工作坊 在Windows开发者和黑客的世界里,工具的选择至关重要。然而,许多人依然坚持使用传统工具如OllyDbg和Immunity Debugger进行二进制分析。现在是时候打破旧习惯,拥抱全新的WinDbg Preview了。这个开源项目提供了DEFCON 27的实战工作坊材料,旨在提升你的Windows 10系统中二进制分析的技能水平。 项...
WinDbg安装入坑2(C#)
zxy13826134783的博客
06-11 1725
1 32位应用程序导出的Dump文件要用32位的WinDbg打开,想要没有那么多的问题,还得要求用32位的任务管理器导出Dump文件,32位的任务管理器的路径如下:C:\Windows\SysWOW64\taskmgr.exe。不管是使用.load C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SOS.dll还是使用。可能是我们导入的sos版本不对,由于我们的应用程序是.net framework 3.5 的,可以试试。没有报错,再次输入!
windbg preview下载及其历史版本下载
What If...
12-02 1621
windbg preview下载及其历史版本下载
windbg下载安装傻瓜式教程
m0_68641696的博客
01-11 3862
windbg分析windows上面分析程序的利器 ,Windbg是微软出品的强大调试器,是分析软件异常的利器,Windbg之于windows就像GDB之于linux。(好了,我也就不讲废话了,我想你也只想知道最简单的安装方式...)
WinDbg_preview_1.1910.3003.0.zip
10-10
6. **处理.dmp文件**:对于无法复现的故障,通过分析内存转储文件WinDbg可以在非崩溃环境中重现问题现场。 7. **使用扩展命令和脚本**:WinDbg有丰富的扩展命令集,并支持使用脚本语言(如Python)进行自动化调试...
windbg.zip
10-07
7. **崩溃转储分析**:当应用程序崩溃时,可以生成一个内存转储文件(.dmp),Windbg可以加载这个文件进行离线分析,重现崩溃现场,找出问题原因。 8. **图形化增强**:虽然Windbg主要是命令行工具,但它也可以与...
windbg经典中文教程
01-23
使用`kd`命令连接到DMP文件,然后通过`!analyze -v`命令进行详细分析。 8. **调试技巧** - 使用`lm`列出已加载模块及其版本信息,有助于识别问题来源。 - `!heap -s`显示堆概览,`!heap -flt s`筛选特定大小的...
Windbg使用详解(全面 实用)
04-17
9. **崩溃转储分析**:Windbg分析.dmp文件,`!analyze -v`命令可输出详细的崩溃原因。`!threads`查看崩溃时的线程状态,`lm`列出模块信息。 10. **符号文件与源码调试**:通过设置正确的符号路径,Windbg可以加载...
[系统安全] Windbg Preview调试记录
H4ppyD0g的博客
12-24 2337
本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些内容,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新。
windows程序使用Windbg分析dump
steem
04-23 5131
windows上Windbg分析dump文件
windbg 双机调试环境搭建(虚拟机)
跑不了的你的博客
07-17 2072
WinDbg 是一个调试器,可用于分析故障转储、调试实时用户模式和内核模式代码,以及检查 CPU 寄存器和内存。
使用Windbg分析dump文件的一般步骤及要点详解
热门推荐
dvlinker的技术专栏
05-25 4万+
通过一个问题实例详细讲解使用Windbg静态分析dump文件的完整过程。
【c#】使用WinDbg查看方法表
践行终生成长
07-12 1115
《C#从现象到本质》第四章提到了方法表,感觉是语言里很精华的部分,比光学语法规则有趣多了。书里直奔主题,被绊倒了好几天,怒写入门小文章。旧是旧了点,其实也能用。 参考 Download Debugging Tools for Windows - WinDbg - Windows drivers | Microsoft Docs 打开Microsoft Store,搜索windbg, 点击安装,用了全局代理才安装到,这里大家就八仙过海的下一句。创建项目-c#控制台应用(.Net Framework),名为Co
winDbg 分析dump
码农的专栏
06-29 1061
srv*D:\安装空间\symcache*http://msdl.microsoft.com/download/symbols。一、linux 部属.netcore生成dump。应用商店下载:WinDbg Preview。D:\安装空间\symcache。配置symbol path。二、下载WinDbg
windows系统利用vs 分析DMP文件、pdb文件定位异常崩溃
baidu_16370559的博客
11-02 9342
exe文件dmp文件和pdb文件必须保持一致!exe文件和pdb文件同时生成,dmp文件是由当前exe生成的。 设置生成 pdb 选择 项目 -> 工程名+属性,如下图所示。 之后选择 配置属性 -> 连接器 -> 调试,如下图所示。 上图中,“生成调试信息”为pdb文件生成与否的使能开关,“生成程序数据库文件”为该pdb文件的名字,默认即可。 DUMP文件 生成dump文件的办法 1.手动设置生成。在代码调试过程中,知道会出现bug的情况下,手动点击工具栏的调试..
windbg preview分析dmp文件
07-29
要使用WinDbg Preview分析dmp文件,你可以在Microsoft Store中下载并安装WinDbg Preview应用程序\[1\]。安装Windows SDK时,也可以选择只安装WinDbg这个组件\[2\]。以下是简单分析dmp文件的步骤: 1)打开WinDbg Preview应用程序。 2)通过菜单“File”->“Open Crash Dump”打开dmp文件。 3)文件打开后,WinDbg Preview会列出产生dump文件的设备的系统版本和运行时间等相关信息\[2\]。 请注意,使用WinDbg Preview分析dmp文件可能需要一些基本的调试知识和经验。如果你在使用过程中遇到问题,建议与你周围的同事交流并请教,因为不同版本的WinDbg界面可能略有差异\[3\]。 #### 引用[.reference_title] - *1* *3* [WinDbg:入门分析 dmp 文件『一』](https://blog.csdn.net/qq_33154343/article/details/123563647)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [使用WinDbg分析Windows dump文件方法](https://blog.csdn.net/jetliu05/article/details/122467974)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值