使用windbg抓取崩溃文件和分析的过程

最新推荐文章于 2025-05-25 11:19:21 发布
最新推荐文章于 2025-05-25 11:19:21 发布
阅读量1.8w 收藏 18
点赞数 7
CC 4.0 BY-SA版权
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/breaksoftware/article/details/13989025
本文介绍了一个多线程访问共享变量导致程序崩溃的典型案例。通过构造特定代码演示并发问题,并利用Windbg生成完整内存转储文件进行故障定位。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

        在软件编程中,崩溃的场景比较常见的。且说微软技术再牛X,也是会出现崩溃的场景。网上有一段Win98当着比尔盖茨蓝屏的视频非常有意思。 (转载请指明出于breaksoftware的csdn博客)
        我们身边的很多软件都引入了dump生成和收集机制。但是一般情况下,它们都是生成minidump。因为minidump文件相对来说很小,方面我们收集上来进行分析。但是Minidump保存了很少的信息,在一些场景下,可能不能协助我们准确快速定位问题。

        但是,如果我们在测试过程中,发生了必现崩溃,而minidump又不能让我们发现什么,那该怎么办呢?我这儿举一个例子。我们看一下代码

// Dump.cpp : 定义控制台应用程序的入口点。
//
//////////////////////////////////////////////////////////////////////////
// 这是一个多线程访问全局变量导致崩溃的例子
//////////////////////////////////////////////////////////////////////////

#include "stdafx.h"
#include <Windows.h>
#include <vector>

#define INTPTR int* 
typedef std::vector<INTPTR> VecINTPTR;
typedef VecINTPTR::iterator VecINTPTRIter;
typedef VecINTPTR::const_iterator VecINTPTRCIter;

VecINTPTR g_VecInt;

static DWORD WINAPI ReadRoutine(LPVOID)
{
    // 读取线程
    for ( VecINTPTRIter it = g_VecInt.begin(); it != g_VecInt.end(); it++ ) {
        // 故意将读取时间设置长,这样更大概率导致崩溃
        Sleep(10);
        printf("%d %d\n", **it);
    }
    return 0;
}

static DWORD WINAPI WriteRoutine(LPVOID)
{
    // 写入线程
    for ( VecINTPTRIter it = g_VecInt.begin(); it != g_VecInt.end();  ) {
        // 故意将修改时间设置短,这样更大概率导致奔溃
        delete *it;
       *it = NULL;
    }
    return 0;
}

int _tmain(int argc, _TCHAR* argv[])
{
    // 初始填充数据
    for ( int n = 0; n < 128; n++ ) {
        int* p = new int();
        *p = n;
        g_VecInt.push_back(p);
    }
    system("pause");
    HANDLE hRead = CreateThread( NULL, 0, (LPTHREAD_START_ROUTINE)ReadRoutine, NULL, 0, NULL);
    HANDLE hWrite = CreateThread( NULL, 0, (LPTHREAD_START_ROUTINE)WriteRoutine, NULL, 0, NULL);
    HANDLE hArray[] = {hRead, hWrite};
    WaitForMultipleObjects( ARRAYSIZE(hArray), hArray, TRUE, INFINITE);
    printf("Success");
         return 0;
}
        这个例子是典型的多线程访问共享变量,导致崩溃的问题。这个例子还是很清晰的,但是,如果这段逻辑揉入复杂的业务逻辑,问题的排查可能就没那么简单了。
        那我们看下如何分析这个问题。
  1. 运行程序(程序会暂停在system(“pause”))
  2. 安装windbg,使用“附加”功能
  3. 在windbg中输入g,让程序继续执行 
  4. 在dump.exe按任意键,重现崩溃路径
  5. 崩溃发生,windbg发现异常并中断
  6. 在windbg中输入.dump /f C:/dump.dmp,其中.dump是dump生成命令,/f是生成全信息dump,生成的dump文件会很大,C:/dump.dmp是路径
        至此,我们在客户机器上已经抓到了完整的dmp文件,现在我们回到我们自己的电脑上,配置windbg,并分析这个dump文件。在这个配置中,我们要涉及几块信息的填充。一般,我们发布的产品(release版)不是在我们开发者的机器上编译链接的,而是在某一个编译链接服务器上。在服务器上,我们工程的目录和我们本地的目录极有可能是不同的。一般情况下,最容易配置不正确的是下面的第3步。
  1. 将dump.exe符号文件拷贝到你希望的保存目录,我的目录是F:\TmpSymbol
  2. 用!analyze –v分析dump文件
  3. ctrl+P打开windbg代码目录(工程根目录)
  4. Ctrl+S打开windbg符号设置框,设置符号文件路径,并勾选reload
        这样windbg就准确定位到异常的位置

        这个流程非常适合于分析的场景是:

  1. 没有做通过异常方式做保护的程序(否则windbg挂载后会一直陷入中断,非常烦人。或者程序发现自己被调试,就直接退出了……)
  2. VS不便分析的dump
  3. 不破坏用户环境(windbg是个非常小巧独立的程序,试想如果我们给客户装个庞大的VS再去调试是非常难以接受的,且会破坏用户的环境)

使用Windbg分析dump文件的一般步骤及要点详解
dvlinker的技术专栏
05-25 4万+
通过一个问题实例详细讲解使用Windbg静态分析dump文件的完整过程
使用Windbg分析从系统应用程序日志中找到的系统自动生成的dump文件去排查程序崩溃问题
热门推荐
dvlinker的技术专栏
07-31 5万+
当程序中安装的异常捕获模块捕获不到异常、没有生成dump文件,可以尝试到系统应用程序日志中去找系统自动生成的dump文件,以排查当前的软件崩溃问题。本文以一个项目问题实例去详细讲述如何从系统应用程序日志中找到的系统自动生成的dump文件,然后使用Windbg打开dump文件进行静态分析去排查异常崩溃问题。
WinDebug查看C#程序运行内存中的数据库连接字符串
最新发布
weixin_40564837的博客
05-25 30
真巧,昨天刷到了大佬“一线码农”的视频,大概就是讲的有人找他破解一个混淆加密的数据库连接字符串,然后大佬也提供了方案就是用WinDebug查看内存中的数据。这其实本质上就是一个用WinDebug查看对象字符串字段具体内容的需求,为啥要取这个标题?当然是骗人点进来啦目录。
如何利用WinDbg找出程序崩溃的位置
sunliangyuan的专栏
09-07 4767
之前碰到论坛里有几个好友,说程序不崩溃,什么xxoo不能read的! 如果光要是这个内存地址,估计你会疯掉~~ 所以分享一下基本的调试技巧,需要准备的工具有WinDbg + VC6.0, 下面是自己整理的一份自动生成DUMP文件的源代码,只需要添加到工程即可,源代码如下:
Windbg分析Dump文件
早起吃虫的博客
10-27 2283
1、下载ProcDump 打开windows命令行cmd,进入到包含procdunmp文件的路径下,对于32位系统打开procdump.exe,64位系统则打开procdump64.exe,执行以下命令 #-ma 抓取full dump #-c 30代表cpu使用率应该在30%以上 #-s 1 这种情况持续1秒以上 #3 代表最多抓取3个dump文件 #9000代表线程id procdump64 -ma -c 30 -s 1 -n 3 10728 输出以下内容,不要关闭命令行工具,procDump工
使用WinDbg抓取程序报错的Dump文件,例如抓取IE崩溃的Dump
01-22 359
前几天分享了一个关于如何抓蓝屏Dump的帖子,今天再大家分享一个使用WinDbg抓取程序崩溃的Dump。不过还是先来段废话,为什么要学抓Dump?有啥用?因为有了Dump后,我们可以很迅速的解决问题,比如说IE崩溃,QQ崩溃,很多候我们是一点头绪都没有的,但是有了WinDbg后,这一切将变的简单!虽然WinDbg并不能帮你解决问题,但是他可以指导你解决问题的方向! ok,言归正传...
Windbg抓取分析DMP文件
03-22
### Windbg抓取分析DMP文件 #### 一、Windbg简介 Windbg是一款由微软提供的强大调试工具,主要用于Windows操作系统下的应用程序调试。它能够帮助开发者诊断解决各种软件问题,尤其是在应用程序出现崩溃或者异常...
WinDbg分析崩溃dump
yuanshenqiang的博客
04-30 2598
4.在输出信息中有“模块名!如果找不到pdb符号文件,excr 输出信息中可能会没有函数名,即"模块名+offset",这个offset为offset0+offset1,如果想看这个崩溃位置所在的函数,可以用kn 指令查看当前线程的函数调用栈,最上面那一行就是目标函数信息,这样也可以推算出offset0offset1。在模块的反汇编文件中,基地址是.textbss的Imagebase后面的数字,可以根据第4步算出来的offset0offset1,叠加上这个基地址,就可以定位到出错的指令位置。
使用Process Explorer/Process HackerWindbg初步定位软件高CPU占用问题
dvlinker的技术专栏
10-30 1万+
详细讲述如何使用Process Explorer/Process HackerWindbg排查软件高CPU占用问题。
WinDbg 调试程序崩溃操作详解
11-10
作者有10多年编程,调试经验,详解关于Windows 平台下程序崩溃Windbg调试方法及技巧;附带工具介绍 适合于分析C++等语言, .Net 平台等快速入门及提高
调试技巧 —— 如何利用windbg + dump + map分析程序异常
09-04
调试技巧 —— 如何利用windbg + dump + map分析程序异常 http://blog.youkuaiyun.com/wangningyu/article/details/6748138
Windows调试(通过dump文件定位崩溃
03-31
为处理windows程序崩溃问题,有必要引入异常捕获模块。本资源主要讲述如何配置产生dump文件的环境以及dump文件产生后的分析定位。
vc 程序崩溃的捕捉 vc 程序崩溃的捕捉
06-15
vc 程序崩溃的捕捉 vc 程序崩溃的捕捉 vc 程序崩溃的捕捉 vc 程序崩溃的捕捉
自动抓取Dump文件关闭自动抓取Dump文件的.bat文件
01-16
这些文件包含了程序运行的内存状态,对于分析解决软件故障至关重要。本资源提供了一组.bat(批处理)文件,帮助用户自动进行Dump文件抓取关闭抓取操作。 自动抓取Dump文件的.bat脚本: 该脚本通常包含一...
利用windbg分析程序崩溃生成的dmp文件
baidu_16370559的博客
11-04 6013
Windbg是一款功能十分强大的调试工具,它设计了极其丰富的功能来支持各种调试任务,包括用户态调试、内核态调试、调试转储文件、远程调试等等。 基本步骤: ●STEP 1:打开Windbg,在file中选择open crash Dump来打开所需要调试的Dump文件。 ●STEP 2:在file菜单中分别设置好Symbol file path Source file path。 其中Symbol file path是程序编译所生成的pdb文件,具体到某一个.pdb文件,如: ...
windows收集dump文件windbg分析
minping9101的博客
05-21 1968
在exe程序发生闪退crash,脱离了ide,不知道crash原因,本文介绍如何抓取dump文件并进行调用堆栈分析
windbg抓取dump
01-03
### 如何使用 WinDbg 创建捕获 Dump 文件 当需要诊断应用程序中的问题,创建 dump 文件是一个非常有用的工具。通过这些文件可以在不重现错误的情况下分析程序的状态。 #### 方法一:手动触发 Mini-Dump 或 Full-Dump 的生成 对于正在运行的应用程序,在 Windbg 中可以通过命令行来强制生成 dump 文件: ```plaintext .dump /ma c:\path\to\save\file.dmp ``` 这条指令将会保存一个完整的内存映像到指定路径下[^2]。 #### 方法二:配置 Windows 自动创建 Dump 文件 为了确保即使 Windbg 没有及捕捉到异常也能获得 dump 数据,可以设置操作系统自动为崩溃的应用程序生成 mini-dumps。这通常是在系统属性->高级系统设置->启动恢复选项里完成的。也可以利用注册表编辑器修改 `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Error Reporting` 下的相关键值[^3]。 #### 方法三:编写代码模拟特定条件下的 Crash 并生成 Dump 作为开发者还可以主动控制何生成 dump 文件。例如下面这段 C++ 测试代码展示了怎样故意制造一次访问冲突从而引发 crash,并最终由系统或调试器处理此事件并记录相应的 dump 信息: ```cpp void myfunc(){ printf("join to myfunc...\n"); // 故意造成空指针解引用导致crash char* p = NULL; memcpy(p, "hello word", strlen("hello word")); } ``` 一旦上述函数被执行,则会产生未处理的异常状况,进而促使操作环境按照预设策略响应——比如调用调试器或者写入 minidump 到磁盘上等待后续审查。 #### 方法四:使用 ADPlus 工具自动化收集 Debugging Information ADPlus 是一款附带于 Debugging Tools for Windows 套件内的实用程序,专门用来监控目标应用并在其遭遇严重错误自动生成详细的 debug 报告连同关联的日志与 dumps。执行 adplus.vbs 脚本即可开始监视选定的服务或进程实例[^4]。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

breaksoftware

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值