dump文件分析笔记

最新推荐文章于 2024-06-15 13:43:22 发布
最新推荐文章于 2024-06-15 13:43:22 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: 驱动开发 windows 内核 软件调试 windbg
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyou519/article/details/90488574
版权
windows 同时被 3 个专栏收录
105 篇文章 15 订阅
订阅专栏
内核
85 篇文章 6 订阅
订阅专栏
驱动开发
83 篇文章 9 订阅
订阅专栏

首先蓝屏时候,会发生文件转储,先开启蓝屏文件转储。

 

一般内核开发,选核心内存转储即可,下面就是生成文件的位置,为了学习把自动重新启动点掉,不然蓝屏后系统会自动重启。

下面写个蓝屏驱动让其发生BAD_POOL_CALLER(如果造成蓝屏的驱动是随系统启动而启动,会反复重启,则可以通过安全模式进入系统去拿dump文件)

dump文件在之前设置的目录中,一般不修改位置就在window目录里。就是MEMORY.DMP,拖到开发机来,然后用windbg开始分析他,选择file里open crash dump开始分析它。首先加载符号。然后设置源文件的路径。

然后运行命令!analyze -v,然后产生了如下图的一个蓝屏分析报告

kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

BAD_POOL_CALLER (c2)
The current thread is making a bad pool request.  Typically this is at a bad IRQL level or double freeing the same allocation, etc.
Arguments:
Arg1: 00000099, Attempt to free pool with invalid address  (or corruption in pool header)
Arg2: 98acd700, Address being freed
Arg3: 00000000, 0
Arg4: 00000000, 0

Debugging Details:
------------------

SYMSRV:  BYINDEX: 0x5CF
         d:\symbols 7x86*http://msdl.microsoft.com/download/symbols
         ntkrpamp.exe
         4CE78A09412000
SYMSRV:  PATH: d:\symbols 7x86\ntkrpamp.exe\4CE78A09412000\ntkrpamp.exe
SYMSRV:  RESULT: 0x00000000
DBGHELP: d:\symbols 7x86\ntkrpamp.exe\4CE78A09412000\ntkrpamp.exe - OK
SYMSRV:  BYINDEX: 0x5D0
         d:\symbols 7x86*http://msdl.microsoft.com/download/symbols
         UcOperDrv.sys
         59ABCCDCc00
SYMSRV:  UNC: d:\symbols 7x86\UcOperDrv.sys\59ABCCDCc00\UcOperDrv.sys - path not found
SYMSRV:  UNC: d:\symbols 7x86\UcOperDrv.sys\59ABCCDCc00\UcOperDrv.sy_ - path not found
SYMSRV:  UNC: d:\symbols 7x86\UcOperDrv.sys\59ABCCDCc00\file.ptr - path not found
SYMSRV:  HTTPGET: /download/symbols/UcOperDrv.sys/59ABCCDCc00/UcOperDrv.sys
SYMSRV:  HttpQueryInfo: 80190194 - HTTP_STATUS_NOT_FOUND
SYMSRV:  HTTPGET: /download/symbols/UcOperDrv.sys/59ABCCDCc00/UcOperDrv.sy_
SYMSRV:  HttpQueryInfo: 80190194 - HTTP_STATUS_NOT_FOUND
SYMSRV:  HTTPGET: /download/symbols/UcOperDrv.sys/59ABCCDCc00/file.ptr
SYMSRV:  HttpQueryInfo: 80190194 - HTTP_STATUS_NOT_FOUND
SYMSRV:  RESULT: 0x80190194
DBGHELP: E:\MF\1firstl-Hello\dbgdemo\bsod\debug\i386\UcOperDrv.sys - OK

KEY_VALUES_STRING: 1


STACKHASH_ANALYSIS: 1

TIMELINE_ANALYSIS: 1


DUMP_CLASS: 1

DUMP_QUALIFIER: 401

BUILD_VERSION_STRING:  7601.17514.x86fre.win7sp1_rtm.101119-1850

SYSTEM_MANUFACTURER:  VMware, Inc.

VIRTUAL_MACHINE:  VMware

SYSTEM_PRODUCT_NAME:  VMware Virtual Platform

SYSTEM_VERSION:  None

BIOS_VENDOR:  Phoenix Technologies LTD

BIOS_VERSION:  6.00

BIOS_DATE:  05/19/2017

BASEBOARD_MANUFACTURER:  Intel Corporation

BASEBOARD_PRODUCT:  440BX Desktop Reference Platform

BASEBOARD_VERSION:  None

DUMP_TYPE:  1

BUGCHECK_P1: 99

BUGCHECK_P2: ffffffff98acd700

BUGCHECK_P3: 0

BUGCHECK_P4: 0

FAULTING_IP: 
UcOperDrv!OperUnicodeStr+2ab [d:\mallocfree_2017\windows\1firstl-hello\dbgdemo\bsod\main.c @ 70]
98acd6db 8be5            mov     esp,ebp

BUGCHECK_STR:  0xc2_99

CPU_COUNT: 1

CPU_MHZ: 9c5

CPU_VENDOR:  GenuineIntel

CPU_FAMILY: 6

CPU_MODEL: 3c

CPU_STEPPING: 3

CPU_MICROCODE: 6,3c,3,0 (F,M,S,R)  SIG: 25'00000000 (cache) 25'00000000 (init)

DEFAULT_BUCKET_ID:  WIN7_DRIVER_FAULT

PROCESS_NAME:  System

CURRENT_IRQL:  0

ANALYSIS_SESSION_HOST:  DESKTOP-4BL1C4H

ANALYSIS_SESSION_TIME:  05-23-2019 22:50:18.0491

ANALYSIS_VERSION: 10.0.17763.1 amd64fre

LAST_CONTROL_TRANSFER:  from 84173f03 to 83f1bf20

STACK_TEXT:  
807f18c4 84173f03 000000c2 00000099 98acd700 nt!KeBugCheckEx+0x1e
807f18e4 83f2d389 98acd700 98acd6f8 000001ff nt!VerifierBugCheckIfAppropriate+0x30
807f18f8 83f5eff9 98acd700 00000660 00000000 nt!VerifierFreeTrackedPool+0x24
807f1968 98acd6db 98acd700 00000000 0000000e nt!ExFreePoolWithTag+0x53e
807f19d0 98acd41a 807f1bbc 840012e6 86034190 UcOperDrv!OperUnicodeStr+0x2ab [d:\mallocfree_2017\windows\1firstl-hello\dbgdemo\bsod\main.c @ 70] 
807f19d8 840012e6 86034190 86036000 00000000 UcOperDrv!DriverEntry+0xa [d:\mallocfree_2017\windows\1firstl-hello\dbgdemo\bsod\main.c @ 11] 
807f1bbc 84004d98 00000001 00000000 807f1be4 nt!IopLoadDriver+0x7ed
807f1c00 83ebaaab 94f99bd0 00000000 85cdf798 nt!IopLoadUnloadDriver+0x70
807f1c50 84046f5e 00000001 a76e1e35 00000000 nt!ExpWorkerThread+0x10d
807f1c90 83eee219 83eba99e 00000001 00000000 nt!PspSystemThreadStartup+0x9e
00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x19


THREAD_SHA1_HASH_MOD_FUNC:  cb829f32645adac3007376ebdc069b62c0d10643

THREAD_SHA1_HASH_MOD_FUNC_OFFSET:  6973de209d28a1de8ac3d73dd48d1020a3075ae5

THREAD_SHA1_HASH_MOD:  589add185ebdeba4826121bc925fe3e22f690d15

FOLLOWUP_IP: 
UcOperDrv!OperUnicodeStr+2ab [d:\mallocfree_2017\windows\1firstl-hello\dbgdemo\bsod\main.c @ 70]
98acd6db 8be5            mov     esp,ebp

FAULT_INSTR_CODE:  c35de58b

FAULTING_SOURCE_LINE:  d:\mallocfree_2017\windows\1firstl-hello\dbgdemo\bsod\main.c

FAULTING_SOURCE_FILE:  d:\mallocfree_2017\windows\1firstl-hello\dbgdemo\bsod\main.c

FAULTING_SOURCE_LINE_NUMBER:  70

FAULTING_SOURCE_CODE:  
    66: 	DbgPrint("%wZ\n", &uStr4);
    67: 
    68: 	ExFreePool(uStr4.Buffer);
    69: 
>   70: }


SYMBOL_STACK_INDEX:  4

SYMBOL_NAME:  UcOperDrv!OperUnicodeStr+2ab

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: UcOperDrv

IMAGE_NAME:  UcOperDrv.sys

DEBUG_FLR_IMAGE_TIMESTAMP:  59abccdc

STACK_COMMAND:  .thread ; .cxr ; kb

FAILURE_BUCKET_ID:  0xc2_99_UcOperDrv!OperUnicodeStr+2ab

BUCKET_ID:  0xc2_99_UcOperDrv!OperUnicodeStr+2ab

PRIMARY_PROBLEM_CLASS:  0xc2_99_UcOperDrv!OperUnicodeStr+2ab

TARGET_TIME:  2019-05-23T13:35:36.000Z

OSBUILD:  7601

OSSERVICEPACK:  1000

SERVICEPACK_NUMBER: 0

OS_REVISION: 0

SUITE_MASK:  272

PRODUCT_TYPE:  1

OSPLATFORM_TYPE:  x86

OSNAME:  Windows 7

OSEDITION:  Windows 7 WinNt (Service Pack 1) TerminalServer SingleUserTS

OS_LOCALE:  

USER_LCID:  0

OSBUILD_TIMESTAMP:  2010-11-20 16:42:49

BUILDDATESTAMP_STR:  101119-1850

BUILDLAB_STR:  win7sp1_rtm

BUILDOSVER_STR:  6.1.7601.17514.x86fre.win7sp1_rtm.101119-1850

ANALYSIS_SESSION_ELAPSED_TIME:  c68

ANALYSIS_SOURCE:  KM

FAILURE_ID_HASH_STRING:  km:0xc2_99_ucoperdrv!operunicodestr+2ab

FAILURE_ID_HASH:  {6ef3c91d-9314-e8dd-6cc0-f9889f201760}

Followup:     MachineOwner
---------

然后通过报告去看引起错误的地方,这里可以通过.open -a UcOperDrv!OperUnicodeStr+0x2ab查看

#include <ntddk.h>

VOID OperUnicodeStr(VOID);

NTSTATUS DriverEntry(
		IN PDRIVER_OBJECT pDriverObject, 
		IN PUNICODE_STRING pRegPath)
{
	OperUnicodeStr();

	return STATUS_SUCCESS;
}

VOID OperUnicodeStr(VOID)
{

	UNICODE_STRING 		uStr1 = {0};
	UNICODE_STRING 		uStr2 = {0};
	UNICODE_STRING		uStr3 = {0};
	UNICODE_STRING		uStr4 = {0};

	ANSI_STRING         aStr1 = {0};
	

	RtlInitUnicodeString(&uStr1, L"hello");
	RtlInitUnicodeString(&uStr2, L"Goodbye");
	DbgPrint("uStr1=%wZ\n", uStr1);
	DbgPrint("uStr2=%wZ\n", uStr2);

	RtlInitAnsiString(&aStr1, "Ansi string");
	DbgPrint("aStr1=%Z\n", aStr1);

	RtlCopyUnicodeString(&uStr3, &uStr1);
	DbgPrint("uStr3=%wZ\n", uStr3);

	RtlAppendUnicodeToString(&uStr1, L"world");
	DbgPrint("uStr1=%wZ\n", uStr1);

	RtlAppendUnicodeStringToString(&uStr1, &uStr2);
	DbgPrint("uStr1=%wZ\n", uStr1);


	if (RtlCompareUnicodeString(&uStr1, &uStr2, TRUE) == 0)//TRUE:case sensible
	{
		DbgPrint("%wZ == %wZ\n", uStr1, uStr2);
	}
	else
	{
		DbgPrint("%wZ != %wZ\n", uStr1, uStr2);
	}

	RtlAnsiStringToUnicodeString(&uStr3, &aStr1, TRUE);//TRUE: memory allocation for uStr1 and should be freed by RtlFreeUnicodeString
	DbgPrint("%wZ\n", uStr3);
	RtlFreeUnicodeString(&uStr3);

	uStr4.Buffer = ExAllocatePoolWithTag(PagedPool, wcslen(L"Nice to meet u")+sizeof(WCHAR), 'POCU');
	if (uStr4.Buffer == NULL)
	{
		return;
	}
	RtlZeroMemory(uStr4.Buffer, wcslen(L"Nice to meet u")+sizeof(WCHAR));
	uStr4.Length = 0;
	uStr4.MaximumLength = wcslen(L"Nice to meet u")+sizeof(WCHAR);

	RtlInitUnicodeString(&uStr4, L"Nice to meet u");
	DbgPrint("%wZ\n", &uStr4);

	ExFreePool(uStr4.Buffer);

}

就可以分析,一般造成蓝屏原因比如

关闭了无效handle

在没有ObReferenceObject(pFileObject)下ObDereferenceObject(pFileObject)

引用NULL指针

内存访问越界 BAD POOL HEADER

高中断访问了缺页内存 DRIVER_IRQL_NOT_LESS_OR_EQUAL

另外可以参考微软文档

https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/bug-check-code-reference2

kernweak
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dump文件查看分析工具
10-27
用于分析dump文件,很好用的一款内存分析工具,可以用来分析OOM等问题
CISSP Exam dump 2023 Jun
09-18
文件提供的内容是2023年6月的CISSP考试复习资料,包含了一些可能出现在考试中的问题和答案,涉及多个信息安全的主题。以下是这些题目所涵盖的知识点的详细解释: **知识点一:数据中心的冗余与可靠性** 在问题1中...
dump分析方法
weixin_43431593的博客
02-06 7285
在计算机领域中,术语“dump”通常用来指代将某种数据以某种格式进行转储或导出的过程。内存转储(Memory Dump):在计算机系统崩溃或发生故障时,操作系统可能会将系统的内存内容转储到磁盘上,以便后续分析。这样的转储文件通常被称为“内存转储”或“核心转储”,它包含了在系统崩溃时内存中的数据和状态信息。数据转储(Data Dump):在软件开发或调试过程中,程序员可能会将某些数据以某种格式导出到文件中,以便进行分析或调试。
JVM 性能分析案列——使用 JProfiler 工具分析 dump.hprof 堆内存快照文件排查内存溢出问题
最新发布
longool的博客
06-15 1765
在 windows 环境下实现。
读懂DUMP文件
学习就是照镜子,当镜子里的人是你自己的时候,你就出师啦。
04-05 1万+
对于程序崩溃,最快的解决方式是生成dump文件,通过生成dump文件使用调试工具进行调试,还原程序崩溃时的状态,能够起到快速定位排查问题的作用。Dump文件是进程的内存镜像。可以把程序的执行状态通过调试器保存到dump文件中。Dump文件是用来给驱动程序编写人员调试驱动程序用的,这种文件必须用专用工具软件打开。
在线winows dump file分析提交
weixin_33805743的博客
09-21 68
http://www.osronline.com/
CVE-2014-1767
weixin_30852367的博客
02-24 201
[0x00].简介 CVE-2014-1767漏洞是由于Windows的afd.sys驱动在对系统内存的管理操作中,存在着悬垂指针的问题。在特定情况下攻击者可以通过该悬垂指针造成内存的double free漏洞。 测试环境: 推荐环境 备注 虚拟机环境 Win 7 32位 编译器 VC6.0 调试器 Windbg ...
app逆向学习相关笔记
12-13
笔记主要介绍了使用adb命令进行app逆向工程的基础操作,包括adb的配置、设备连接、app的安装与卸载、文件传输以及反编译和打包过程。 1. **adb命令使用** - adb全称为Android Debug Bridge,是连接Android设备与...
GDB使用笔记
02-28
一旦配置好core dump文件的生成机制,就可以利用GDB对core文件进行分析,找出导致程序崩溃的原因。 **加载core文件进行调试**: ```bash gdb program_name core_file ``` 这里`program_name`是程序的名字,`core_...
dump_fdw:Postgres 转储文件的外部数据包装器
06-15
此扩展为 PostgreSQL 实现了一个外部数据包装器,能够直接从 PostgreSQL 自定义转储格式的文件中查询数据。 这可用于恢复特定于行的数据。 笔记。 这仅在 PostgreSQL 9.1/9.2/9.3/9.4 上测试过,目前是原型。 不要...
Python数据的存储和读取 学习笔记
12-22
在提供的代码中,我们创建了一个列表`numbers = [2, 3, 4, 5]`,然后使用`json.dump()`将其写入名为`numbers.json`的文件。这里使用了`with open(filename, 'w')`语句,以写入模式打开文件,确保文件被正确关闭,...
ThreadPoolExecutor详解
赶路人儿
08-15 11万+
一、ThreadPoolExecutor类讲解 1、线程池状态: 五种状态: 线程池的状态 说明 RUNNING 允许提交并处理任务 SHUTDOWN 不允许提交新的任务,但是会处理完已提交的任务 STOP 不允许提交新的任务,也不会处理阻塞队列中未执行的任务, 并设置正在执行的线程的中断标志位 TIDYING .
win10突然出现蓝屏,终止代码:BAD_POOL_CALLER
热门推荐
问知青云路的博客
10-30 12万+
最近win10系统更新过后,出现了系统蓝屏的情况,开始只是偶尔蓝屏一下,后来开始有规律的隔个一个多小时就蓝屏。不管你是在查资料还是在听音乐,coding,突然就"滋滋…",这谁顶得住啊,不行,必须的折腾一下,给它修好。 百度,Google翻了很多的资料和blog,试遍了网上的方法,结果还是不行。 下面总结下解决的过程: 首先尝试的是在安全模式下,禁用显卡驱动,网上有这个图文教程,这个方案怎么...
WinDbg快速分析异常情况Dump文件
君子居易
03-03 2457
生产环境偶尔会出现一些异常问题,WinDbg 或 GDB 就是解决此类问题的利器。调试工具 WinDbg 如同医生的听诊器,是系统生病时做问题诊断的逆向分析工具,Dump 文件类似于飞机的黑匣子,记录着生产环境程序运行的状态。 本文主要介绍了调试工具 WinDbg 和抓包工具 ProcDump 的使用。
Dump文件分析
shadon178 博客
03-13 2万+
本文主要介绍Dump文件结构,理解Dump文件对于分析线程高占用、死锁、内存溢出等高级问题有非常重要的指导意义。 什么是Dump文件 Dump文件是进程的内存镜像。可以把程序的执行状态通过调试器保存到dump文件中。 Dump文件是用来给程序编写人员调试程序用的,这种文件必须用专用工具软件打开。 如何生成Dump文件 使用命令:jstack pid 可以查看到当前运行的java进程...
【Windows】bad_pool_caller蓝屏故障解决方案
算法与编程之美
06-19 4万+
欢迎点击「算法与编程之美」↑关注我们!本文首发于微信公众号:"算法与编程之美",欢迎关注,及时了解更多此系列文章。问题描述电脑故障往往整的人措不及防,这不,我就遇上了蓝屏...
Windows下的Dump文件
xiaoluo91的专栏
08-04 9312
一、    生成Dump文件方式 1.1任务管理器 在程序崩溃后,先不关闭程序,在任务管理器中找到该程序对应的进程。右键—>创建转储文件。 此时会在默认的目录下创建出一个dump文件。 可以看出,此种方法只使用与程序崩溃但没有立即自行退出的情况。倘若程序故障或自行退出,则此方法就难以应用。不过,我们可以在注册表中添加如下信息已确保系统在程序崩溃后自行保存一个dump文件
mysql数据库备份恢复命令速查 mysql dump , source的用法
走在搬砖的路上!
07-10 995
还原一个数据库:mysql -h localhost -u root -p123456 www 备份一个数据库:mysqldump -h localhost -u root -p123456 www > d:/www2008-2-26.sql //以下是在程序中进行测试//$command = "mysqldump --opt -h $dbhost -u $dbuser -p $dbpass $dbname | gzip > $backupFile";$command="mysql..
【华为云技术分享】干货分享丨jvm系列:dump文件深度分析
华为云官方博客
07-09 3691
摘要:java内存dump是jvm运行时内存的一份快照,利用它可以分析是否存在内存浪费,可以检查内存管理是否合理,当发生OOM的时候,可以找出问题的原因。那么dump文件的内容是什么样的呢? JVM dump java内存dump是jvm运行时内存的一份快照,利用它可以分析是否存在内存浪费,可以检查内存管理是否合理,当发生OOM的时候,可以找出问题的原因。那么dump文件的内容是什么样的呢?我们一步一步来 获取JVM dump文件 获取dump文件的方式分为主动和被动i.主动方式..
全面解析:Linux视频教程笔记
- 第5讲列出了大量常用命令,如文件查找、系统信息查询等,并深入解析了find、which、whereis、locate等搜索工具,以及last命令的用法。 - 还详细介绍了wc命令,用于统计文本文件的字符、单词和行数。 6. **文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值