windbg分析Load DLL

最新推荐文章于 2022-11-09 14:30:13 发布
翻译 最新推荐文章于 2022-11-09 14:30:13 发布 · 1.9k 阅读 · 0
文章标签:

#dll

本文介绍了如何使用Windbg调试工具为LoadLibraryExW函数设置断点,并通过修改ESP寄存器来查看加载的DLL文件名。这对于分析系统中DLL加载情况非常有用。

1. 使用windbg打开一个程序

2. 设定断点:bp kernel32!LoadLibraryExW "du poi(esp+4)", 按f5执行,在断点处会显示加载的DLL名称

 

 

 

Windbg分析高内存占用问题
xdpcxq的专栏
12-07 1956
反馈系统经常奔溃,导致收银系统无法正常收银,现场排队付款的顾客更是抱怨声声。为了缓解现场的情况, 客户都是手动回收IIS应用程序池才能解决.这样的后果是很严重的,接到反馈,第一时间想到的是加内存吧,这样最快。但是客户从8G-->16G-->32G,只是延长了每次奔溃的时间,但是并没有解决系统卡顿的问题。到这里,也基本猜测了问题所在了,肯定是什么东西一直在吃内存且得不到释放。这种问题,也就只能打Dump分析了远程客户应用服务器,32G内存占用已经消耗了78%,而现场已经反馈收银系统接近奔溃了,要求先强制回收内
使用WinDbg 分析Cpu、内存占用过高问题
qq_32109957的博客
04-09 2160
创建测试程序,有如下代码: class Program { static List<string> strList = new List<string>(); static void Main(string[] args) { Console.WriteLine("123"); //strList.Add("fake"); //strList.Add("张三"); //Console.Rea
IDA与windbg分析.dll库文件
weixin_45799954的博客
04-12 3090
windbg与IDA分析库文件IDA与windbg分析.dll库文件定位 IDA与windbg分析.dll库文件 IDA打开.dll库文件 用windbg attach到指定某一进程(File->attach to a process),打开进程后会可在(Debug->modules)看到该进程用了那些.dll库文件 IDA:修改基址让.dll库的地址与windbg保持同步(IDA:Edit->segments->Rebase program,Windbg:Debug->m
windbg-PE完整分析
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-16 1409
1.PE结构常用的结构体 [plain] view plain copy 0:001> dt ntdll!*IMAGE*             ntdll!_IMAGE_NT_HEADERS             ntdll!_IMAGE_FILE_HEADER             ntdll!_IMAGE_OPTIONAL_HEADE
WinDBG详解进程初始化dll是如何加载的
一线码农的专栏
11-09 841
INT 是 Windows 需要加载的函数名列表。IAT 是存放 GetProcAddress 返回函数地址的列表。
WinDbg基础(1)
zyx_hawk的专栏
08-23 746
加载符号 如果Symbol文件和对应的dll或exe在同一目录下,那么在调试的过程中,当dll或exe文件被加载的时候,对应的Symbol文件也会自动加载,所以一般情形下我们不需要设置Symbol路径。如果pdb文件和dll文件不再同一目录下,我们也可以手动的设置Symbol的路径。一般设置Symbol的方式有两种: 1. 通过菜单设置 注意:设置了Symbol路
WinDBG技巧:列出当前进程所有装载的模块(DLL/EXE)
weixin_33893473的博客
02-12 617
调试的时候想要知道当前进程装载了哪些模块,每个模块被装载的代码地址段是在哪个范围,可以使用lm命令。 拿notepad为例,输入lm命令可以发现: 0:001&gt; lmstart    end        module name00830000 00858000   notepad    (pdb symbols)          c:\debuggers\externalsymbols...
windbg问题:Failed to load data access DLL, 0x80004005
差池
07-19 1879
1.问题 在使用windbg分析dump文件时,有时候会遇到这个问题“Failed to load data access DLL, 0x80004005“,如下图所示: 2.问题分析 最根本原因是:SOS.dll调试器扩展未能找到匹配项mscordacwks.dll。 3.原因 1:没有设置symbol path,如下图所示: 2:设置了symbol path ,但是mscordacwks.dll版本不正确。 4.解决方案 4.1:没有设置symbol path 1:这个很简单,只要配置symbol p
Windbg调试32位.net程序产生的64位dump的扩展soswow64.dll
09-23
按照README中的说明,最好将soswow64.dll复制到windbg的winxp目录下,这样就可以直接使用.load soswow64来加载,而不用带上路径。  用windbg打开dump后,依次执行以下命令:.loadby sos clr\!wow64exts.sw\.load ...
Windbg分析CPU 100问题
一切皆可码
05-02 1044
dump文件的获取 在分析前首先需要确定待分析的应用是多少位的,分为X86和X64两种,他们在抓取dump文件的时候使用的方式也不一样,在这里我们使用任务管理器进行抓取 如果我们在发布应用程序的时候选择了优先32位,这个时候需要使用32位的任务管理器重新抓dump 32位任务管理器位于C:\Windows\SysWOW64\Taskmgr.exe下 dump文件分析 参照Asp.net IIS w3wp.exe占CPU100%的排查方案 - jackchain - 博客园 常见问题分析 1.
windbg 常用命令介绍(二)
点点灵犀
04-23 2163
b 断点命令 bp/bu/bm 软件断点 bp 设置一个普通断点 bu 设置一个未决的断点,如果该断点所在模块还没加载,使用该指令 bm 对多个符号下断点 0:000> bp kernel32!LoadlibraryA 0:000> bp kernel32!LoadlibraryA+5 0:000> bu kernel32!LoadlibraryW 0:000> ~2 bp kernel
Windbg使用指南(1)---常用命令
智慧的鱼
03-08 9649
 debug常用命令解析:1 !address eax查看对应内存页的属性2 vertarget 显示当前进程的大致信息3 !peb 显示process Environment Block4 lmvm 可以查看任意一个dll的详细信息 例如:0:026 lmvm msvcrt (deferred)表示察看msvcrt.dll的信息,但是没有加载symbol可以通过.re
WinDbg——拓展DLL开发入门
依然那霖哥
07-30 1384
WinDbg提供了接口实现第三方开发自定义功能的库。 废话少说,以下是最简单的一个Demo,只包含一个help指令。   实现   主要包含两个点: 1. 实现DebugExtensionInitialize 函数,这是实现WinDbg拓展DLL必须实现的;WinDbg在载入此DLL会调用。 2. 导出函数   创建一个简单的DLL工程。 源码如下: .h #includ...
WinDBG技巧:在加载/卸载一个DLL 的时候下断点
IE浏览器开发
02-06 9495
加载某个DLL 的时候下断点的WinDBG 命令:sxe ld:[dll name]卸载某个DLL 的时候下断点的WinDBG命令:sxe ud:[dll name]比如:sxe ld:wininet  (在wininet.dll 被装载的时候断点) 还可以通过直接在DllMain下断点来达到相同目的:bu wininet!DllMain 
windbg分析Kernel32.dll导出表
weixin_30566063的博客
04-10 584
写在前面的话: 继续上篇,在获得了Kernel32.dll基址的基础上,分析它的导出表结构; 对PE结构不太熟悉的同学,可以参考看雪论坛里的一篇帖子:https://bbs.pediy.com/thread-224265.htm 零、思路说明 分析之前,要明确我们的目的是,为了能在程序里获得某些API的地址; I) 遍历导出名称表(下面统称为ENT),匹配到需要的函数...
windbg分析dump操作流程
热门推荐
fzzjoy的专栏
06-18 1万+
1、加载pdb: .reload /i /f 2、查看pdb是否加载成功: lm 3、自动分析指令(通常分析出的是主线程的堆栈) !analyze -v 此时通过分析出的堆栈去找有无kernel32!UnhandledExceptionFilter信息 如果有,则此堆栈(主线程堆栈)为异常堆栈; 如果没有,则需查看所有线程堆栈: 4、查看所有线程堆栈: ~*
Windbg学习18(sx和ld)
weixin_30485379的博客
05-24 317
1.sx sx* 命令用来控制被调试的程序发生某个异常或特定事件时,调试器要采取的动作 sx 命令显示当前进程的异常列表和所有非异常的事件列表,并且显示调试器遇到每个异常和事件时的行为。 sxr 命令将所有异常和事件过滤器的状态重设为默认值。命令被清除、中断和继续选项被重设为默认值,等等。 sx这个命令的输出信息可以分为三个部分: 第一部分是事件处理与相应处理模式的交互,第二部分...
Windbg调试命令详解(3)
张佩的技术库
10-08 6673
3 进程与线程 既可以显示进程和线程列表,又可以显示指定进程或线程的详细信息。调试命令可以提供比taskmgr更详尽的进程资料,在调试过程中不可或缺。 3.1 进程命令 进程命令包括这些内容:显示进程列表、进程环境块、设置进程环境。 进程列表 多个命令可显示进程列表,但一般只能在特定情况下使用,它们是:|、.tlist、!process和!dml_proc。 竖线命令显示当前被调试进程列表的状态信息,这个命令在本章开头已作过介绍,命令格式如下: | [进程号] 请注意这里的定语:被调试进程列
windbg分析memory.dmp
最新发布
12-27
### 使用 WinDbg 分析 Windows 内存转储文件 为了有效利用 WinDbg 对 `memory.dmp` 文件进行分析,以下是具体方法: #### 设置符号路径 在启动 WinDbg 后,设置符号文件路径对于获取详细的调试信息至关重要。可以通过菜单栏中的 `File | Symbol File Path...` 来配置此路径[^3]。 ```plaintext .sympath SRV*c:\symbols*http://msdl.microsoft.com/download/symbols ``` 这行命令指定了本地缓存位置以及微软官方符号服务器的位置。 #### 加载扩展模块和支持库 针对不同版本的操作系统和应用程序框架,可能需要加载特定的支持库来增强诊断能力。例如,在处理 .NET 应用程序崩溃时可以加载 SOS 扩展[^4]: ```plaintext .loadby sos mscorwks ``` 注意这里的 `.loadby` 命令简化了路径指定过程;如果遇到问题也可以尝试显式提供完整路径给所需的 DLL 文件。 #### 初始化架构模式 当面对来自不同 CPU 架构(如 x86 或 AMD64)产生的 dump 文件时,应确保选择了正确的机器类型以便正确解析数据结构: ```plaintext .effmach x64 ; 如果是 64位系统 .effmach x86 ; 如果是 32位系统 ``` #### 开始基本检查 一旦完成上述准备工作,则可以从一些基础命令入手了解系统的状态。比如查看最后一次异常发生的原因码及其参数可以帮助定位故障源[^2]: ```plaintext !analyze -v ``` 该指令不仅显示错误代码还提供了关于触发 BugCheck 的上下文信息,包括但不限于涉及的驱动程序、硬件组件等细节。 通过以上步骤能够初步掌握内存转储文件所反映的问题所在,并为进一步深入调查打下良好基础。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值