umdh windbg分析内存泄露

最新推荐文章于 2024-08-16 14:40:57 发布
最新推荐文章于 2024-08-16 14:40:57 发布
阅读量4.3k 收藏 9
点赞数 2

A.利用工具umdh(user-mode dump heap)分析

1设置gflags.exe标志

r

 

Gflags标志设置好后,开启cmd


键入要定位内存泄露的程序gflags.exe /i memroyleak.exe +ust

如图成功后,开启memoryleak.exe程序

2利用umdh创建heap快照


命令格式:umdh -pn:memoryleak.exe -f:snap1.log

程序运行一段时间后或者程序占用内存增加时,然后再次创建heap快照,命令行无差别,snap1.log改为snap2.log或者其他。

设置好程序的符号路径,如下图


设置好后可以开始分析heap前后两个快照的差异


分析差异命令:umdh -d snap1.log snap2.log -f:result.txt

生成的result.txt文件在 命令行同目录下 这里是 D:\WinDDK\7600.16385.0\Debuggers 



分析完成后查看结果result.txt

红色为umdh定位出来的泄露点,我们在查看源代码


这样我们就可以修改代码中内存泄露的地方了。


内存泄露实例分析:

两次快照差异文件实例大致如下:

// Debug library initialized ...
D0000-111FFF DBGHELP: Server - private symbols & lines 
        C:\FunctionServer\Release\Server.pdb
77E70000-77FEFFFF DBGHELP: ntdll - public symbols  
        c:\mysymbol\wntdll.pdb\B081677DFC724CC4AC53992627BEEA242\wntdll.pdb
。。。。
等等符号加载信息

紧接着是内存泄露信息格式说明 
//                                                                         
// Each log entry has the following syntax:                                 
//                                                                          
// + BYTES_DELTA (NEW_BYTES - OLD_BYTES) NEW_COUNT allocs BackTrace TRACEID 
// + COUNT_DELTA (NEW_COUNT - OLD_COUNT) BackTrace TRACEID allocations      
//     ... stack trace ...                                                  
//                                                                          
// where:                                                                   
//                                                                          
//     BYTES_DELTA - increase in bytes between before and after log         
//     NEW_BYTES - bytes in after log                                       
//     OLD_BYTES - bytes in before log                                      
//     COUNT_DELTA - increase in allocations between before and after log   
//     NEW_COUNT - number of allocations in after log                       
//     OLD_COUNT - number of allocations in before log                      
//     TRACEID - decimal index of the stack trace in the trace database     
//         (can be used to search for allocation instances in the original  
//         UMDH logs).                                                      
//                        

接着是具体的内存泄露信息

+    47e0 ( 237238 - 232a58)    1f9 allocs	BackTrace8E5CFAC
+       4 (   1f9 -   1f5)	BackTrace8E5CFAC	allocations


	ntdll!RtlAllocateHeap+274
	Server!malloc+49 (f:\dd\vctools\crt\crtw32\heap\malloc.c, 92)
	Server!operator new+1D (f:\dd\vctools\crt\crtw32\heap\new.cpp, 59)
	Server!CUi::AddItemText+129 (d:\projects\testtest\common\uilibf, 611)
	Server!CUi::AddItemInt+57 (d:\projects\testtest\common\uilibf, 709)
	Server!CMainWin::AddOneFunction+1FE (d:\projects\testtest\server\server\, 361)
	Server!CTest::FunctionPcInfo+3F9 (d:\projects\testtest\server\server\, 306)
	Server!CTest::FunctionReadDispatch+15D (d:\projects\testtest\server\server\, 105)
	Server!CTest::FunctionReadCallback+14 (d:\projects\testtest\server\server\, 76)
	Server!CWSAAsync::ReadProc+10F (d:\projects\testtest\common\wsaasyncselect, 1336)
	Server!CWSAAsync::ReadProcMiddle+12 (d:\projects\testtest\common\wsaasyncselect, 1296)
	Server!CWindowsPool::ReadThreadPoolCallback+25 (d:\projects\testtest\common\wsaasyncselect, 332)
	ntdll!TppWorkpExecuteCallback+10F
	ntdll!TppWorkerThread+572
	kernel32!BaseThreadInitThunk+E
	ntdll!__RtlUserThreadStart+70
	ntdll!_RtlUserThreadStart+1B

。。。。
等等其他内存泄露块信息


根据格式的说明可得到此泄露信息如下:

第一行:+    47e0 ( 237238 - 232a58)    1f9 allocs BackTrace8E5CFAC

BackTrace8E5CFAC是这个内存块的标记  237238是生成日志文件2时该内存块的大小 232a58是生成日志文件1该内存块的大小  差值47e0 是内存泄露的字节数   1f9是分配内存的次数 (其中47e0 个人理解为申请内存未释放的字节数,因为有可能是释放的时间未到就生成日志文件2 造成只有申请内存 没有释放的情况 所以被判定为内存泄露 关于这点只是个人意见 不一定正确) 。

第二行:+ 4 ( 1f9 - 1f5) BackTrace8E5CFAC allocations

BackTrace8E5CFAC是内存块标记和第一行一样,1f9是生成日志文件2时该内存分配的次数, 1f5是生成日志文件1时该内存分配的次数  差值4是这次该内存块分配的次数。

其他行:是函数调用堆栈,通过分析自己的程序发现,第三行的 Server!CUi::AddItemText+129 (d:\projects\testtest\common\uilibf, 611) 也是内存泄露所在,对应源代码是:pItemLabel = new CLabelUI; 这样基本上就定位到问题所在了

验证一下观点:每一次分配的大小是47e0 /4=4600(十进制),  程序中代码验证了sizeof(CLabelUI)也等于4600, 看来从日志1 到日志2 过程中这个地方new了4次 但是在日志2时 还未释放这些内存 所以造成内存比较时 会定位处该块内存的泄露,至于是否真泄露还是要看程序逻辑,但是既然已定位到该代码 还是要仔细分析一下 看看是逻辑问题 还是真忘了释放内存。




B.Windbg手动分析内存泄露

1全局标志设置,参照上边的设置

2.Windbg调试泄露

开启memoryleak.exe程序,windbg attach到该进程


命令:!heap –s查看当前进程运行的所有堆的情况

然后F5让程序运行一段时间或者内存有明显的增加时再次通过!heap –s查看当前堆的变化

如下图


通过对比前后两个堆的变化,发现0x012800000该地址的堆增加的很快而其他堆没什么变化

下面进一步定位


命令:!heap –stat –h 查看对应对的状态,发下该堆的内存基本被长度为0x424的块占用,接下来我们在堆中搜索该进程中哪些模块占用0x424长度内存,如下图


命令:!heap –flt s 424

通过搜索程序内存中的堆发现长度为424的堆被大量的占用,进一步查看时谁在使用这个地址


找到泄露点了,红色部分的,如果程序对应的符号对应我们可以查看内存泄露点在哪一行


内存泄露分析结束,如果你还有什么好的方法可以共享


whatday
关注
【愚公系列】2023年06月 内存分析WinDbg(IDA+WinDbg驱动调试)
时光隧道
06-14 4531
IDA和WinDbg是两款不同类型的调试工具,通常用于不同的场景。IDA(Interactive DisAssembler)是一款交互式反汇编器,主要用于静态分析和反汇编二进制程序。它可以将二进制程序反编译成汇编语言,并提供了许多分析工具,可以查看反汇编代码,图形化地展示代码结构,并且可以跟踪代码的执行流程。IDA的优点是易于使用、功能强大、反汇编效果好,但是它不能用于动态调试。
使用Windbg排查C++程序内存泄漏问题
热门推荐
dvlinker的技术专栏
11-12 1万+
详细讲述如何使用Windbg去定位Windows C++程序中的内存泄漏。
使用WINDBG检测内存泄漏
flyingleo1981的专栏
09-15 2710
使用WINDBG检测内存泄漏 一、使用命令!heap –s抓取快照   二、再次使用命令抓取快照 三、使用命令查看内存情况!heap –stat –h addr【!heap -stat -h 03570000】 四、使用命令分别查看较高的内存使用情况!heap –flt s 16c 五、使用命令查看调用堆栈即可以判断内存泄漏情况!heap –p –a 0bba8530
内存泄漏之如何通过WinDbg工具来跟踪内存泄漏?
最新发布
学无止尽,谨言慎行!
08-16 565
使用WinDbg来跟踪内存泄漏是一个强大且复杂的任务,因为它涉及到对Windows内存管理机制的深入理解,以及对WinDbg调试工具的熟练使用。
Windbg分析内存占用问题
weixin_33834137的博客
08-20 461
1. 问题简介 最近产品发布大版本补丁更新,一商超客户升级后,反馈系统经常奔溃,导致超市的收银系统无法正常收银,现场排队付款的顾客更是抱怨声声。为了缓解现场的情况, 客户都是手动回收IIS应用程序池才能解决。 这样的后果是很严重的,接到反馈,第一时间想到的是加内存吧,这样最快。但是客户从8G-->16G-->32G,只是延长了每次奔溃的时间,但是并没有解决系统卡顿的问题。到这里,也...
使用 Windbg 的 !heap 命令分析内存泄漏
dvlinker的技术专栏
11-25 3541
使用 Windbg 的 !heap 命令分析内存泄漏。
利用Windbg分析内存占用问题
微软技术栈
12-29 3168
大家好,我是本期的微软MVP实验室研究院--冯辉。本篇文章主要介绍如何利用WinDbg分析应用进程中的内存问题,从托管堆到非托管堆的探索以及到内存的分配,接下来我们一起来探索吧。 由于这近一年时间一直忙于写书和工作,一直没有水文,但是近期有几位朋友使用我们的Magicodes.IE反馈在导出过程中内存暴涨...好吧,不管怎样,不能苦了我们朋友,接下来我们通过windbg来看一下什么原因导致的。 接下来我们先通过address -summary来看一下当前应用内存占用量。 0:000> !a
[微软工具] 基于WinDbg内存泄漏分析 - 比较复杂情况下调试
08-13
本篇将详细探讨如何利用微软提供的工具,尤其是WinDbg,来分析和定位复杂的内存泄漏问题。 WinDbg是一款强大的调试工具,由微软开发,适用于Windows操作系统。它提供了丰富的命令集和可视化界面,使得开发者能够...
记一次使用Windbg分析内存“泄漏”的案例
qingyang0320的专栏
06-28 1646
WinDbg分析dump,总结下来,在这个case里下面几个命令比较相关和实用。
umdh分析内存泄露的方法
04-21
调试器如WinDbg可以帮助进一步分析内存泄漏。加载内存转储文件,然后使用`!heap`扩展命令进行深入分析。 2. **代码审查** 审查可能导致内存泄漏的代码段,如忘记释放动态分配的内存、循环引用等。 3. **使用内存...
windbg】利用umdh分析内存泄露
CSDN明星博主,认证博客专家,视频、Matlab领域优质创作者。
01-25 1230
转载自:http://blog.csdn.net/whatday/article/details/47301145 A.利用工具umdh(user-mode dump heap)分析 1设置gflags.exe标志 r   Gflags标志设置好后,开启cmd 键入要定位内存泄露的程序gflag
windbg内存泄漏问题
07-18
windbg内存泄漏问题windbg内存泄漏问题windbg内存泄漏问题windbg内存泄漏问题windbg内存泄漏问题windbg内存泄漏问题windbg内存泄漏问题windbg内存泄漏问题windbg内存泄漏问题
使用UMDH查找内存泄漏
痞子龙3D编程
11-24 2600
预览: 使用UMDH分析查找内存泄漏技术 上半年对内存泄漏查找作了一个总结,主要是使用crt的debug版本查找内存泄漏,但是存在的缺陷是只能定位到用户代码中自己分配的内存,对于使用其他库中分配的内存,应用程序没有释放的这种泄漏定位还是非常困难。本文介绍使用windbg工具中的UMDH分析查找内存泄漏可以方便的定位到内存分配的堆栈,即使是在第三方库中分配的内存没有释放,也可以追溯
使用UMDH检测内存泄漏
天道酬勤
11-28 448
设置gflag 找到Image File选项卡,输入要检测的进程名,按Tab,然后勾选Create user mode stack trace database 第一次转储 运行要检测的的程序,命令行下运行umdh -p:进程PID -f:输出文件名(例如first.txt)。 第二次转储 执行你觉得可能造成内存泄漏的操作,然后再次使用umdh转储 对比 命令行下运行Umdh -d first.t...
Windbg内存泄漏问题的定位
过好每一天的女胖子
11-16 1618
文章目录1、搭建环境1.1 测试程序1.2 设置pdb路径和源码路径2、定位2.1 运行程序2.2 分析2.2.1 查看一下堆栈分配情况 1、搭建环境 1.1 测试程序 这里的测试程序是很简单的那种,凑合着用吧 #include "stdafx.h" void LeakMem() { while (true) { char *pTest = new char[512]; } } int _tmain(int argc, _TCHAR* argv[]) { LeakMem(); sys
使用umdh.exe 内存泄露分析
asiwxy的博客
04-26 923
1,安装 在安装完windbg之后,就会在windbg的目录下发现gflag.exe和umdh.exe 。 2,配置环境: 在环境变量中添加安装windbg的目录 3,配置gflag 打开gflag.exe,按照图中配置 4,开始检测 (1),打开命令符:提示win + r (2),输入umdh,可以看看命令的意思 (3)写一个测试程序: char* cc3 = NULL; for (int i = 0; i < 10000; i++) { std:.
windbg分析内存泄露
weixin_41481284的博客
01-05 442
安装完毕后进入cmd,切换到windbg安装目录 执行指令 cd C:\Program Files (x86)\Debugging Tools for Windows (x86) 1、设置PDB路径 运行命令set _NT_SYMBOL_PATH=C:\Windows\symbols;F:\3D\KS37.00.00000.01\Pdb\Release; 2、设置要跟踪堆栈的进程。 运行gflags -i F:\3D\KS37.00.00000.01\Pdb\Release\SCADAView.ex
Windbg 分析内存上涨
weixin_30834783的博客
06-17 242
症状: 上次一站点发布后,发现服务器内存持续上涨。正常本地缓存占了4-5个G ,使用内存直接涨到20G后应用程序池重启。 检查代码后发现,没有什么内存泄漏的地方。最后还是找来DUMP文件排查原因。 !dumpheap –stat 查看当前所有托管类型的统计信息 System.Threading.ReaderWriterCount 占了七个G。这是个读写锁, 有一亿多个...
UMDH与GFLAGS:Windows内存泄露检测利器
Umdh是一款轻量级的内存泄露检测工具,它基于DebuggingToolsforWindows,通过对比进程的HeapStacktrace信息来定位内存泄露问题,特别适用于分析dll内存泄露、长时间才出现且难以确定来源的内存泄漏情况。 首先,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值