windbg 调试崩溃实例

最新推荐文章于 2024-07-27 23:19:00 发布
原创 最新推荐文章于 2024-07-27 23:19:00 发布 · 1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#user #file #c #path #crash #module

本文介绍了一次程序崩溃的处理过程,包括错误R6034的含义及原因,如何使用Windbg提取和分析dump文件来定位问题,最终发现是错误调用了scom.dll。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 
1、崩溃发生过程

程序执行过程中,崩溃,弹出mssagebox,提示R6034错误。查看r6034错误:表示运行库的manifest设置不正确,

2、提取dump过程

1)查看任务管理器,崩溃的进程还在。判定可以用Windbg截获dump

2)打开windbg,file--attach to a process,选择崩溃进程如test.exe;

3)使用命令 .dump /mf d:\test.dmp

4)确认提取成功:查看在d盘根目录下是否有test.dmp文件。

3、分析崩溃原因

1) 打开windbg,file--open crash dump ,打开dump文件test.dmp

2) 查看崩溃文件版本:使用lm v m test* 获得崩溃进程文件test.exe文件信息

  1. 0:008> lm v m test*
  2. start end module name
  3. 00400000 00526000 test (deferred)
  4. Image path: C:\Program Files (x86)\test\test.exe
  5. Image name: test.exe
  6. Timestamp: Wed Dec 10 17:29:43 2008 (493F8C07)
  7. CheckSum: 0012ACC3
  8. ImageSize: 00126000
  9. File version: 2008.12.10.34
  10. Product version: 1.0.1126.34
  11. File flags: 0 (Mask 3F)
  12. File OS: 40004 NT Win32
  13. File type: 2.0 Dll
  14. File date: 00000000.00000000
  15. Translations: 0000.04b0
  16. InternalName: test
  17. ProductVersion: 1,0,1126,34
  18. FileVersion: 2008,12,10,34

3)加载对应符号pdb,根据Timestamp: Wed Dec 10 17:29:43 2008 (493F8C07),找到对应的pdb文件,选择file--symble file path 将pdb文件路径加入。

4)分析

  1. 0:008> ~*k 看所有线程的堆栈
  2. 0 Id: 990.c38 Suspend: 1 Teb: 7efdd000 Unfrozen
  3. ChildEBP RetAddr
  4. WARNING: Stack unwind information not available. Following frames may be wrong.
  5. 0017d878 75ae81c8 user32!WaitMessage+0x15
  6. 0017d8ac 75af478a user32!GetCursorFrameInfo+0x7c
  7. 0017d958 75af46f5 user32!SetMessageQueue+0x4e8
  8. 0017dab0 75b2d2c3 user32!SetMessageQueue+0x453
  9. 0017db0c 75b2d342 user32!MessageBoxTimeoutW+0x52
  10. 0017db40 75b2d390 user32!MessageBoxTimeoutA+0x76
  11. 0017db60 75b2d3d5 user32!MessageBoxExA+0x1b
  12. 0017db7c 718f986e user32!MessageBoxA+0x18
  13. 0017dbc0 718f1c2c msvcr80!__crtMessageBoxA+0x1b4
  14. 0017dbe4 718f2217 msvcr80!_NMSG_WRITE+0x162
  15. 0017dc20 718f2348 msvcr80!__p__winver+0x13c
  16. 0017dc30 776dfcc0 msvcr80!_CRTDLL_INIT+0x1d
  17. 0017dc50 776e9b28 ntdll!RtlReleasePebLock+0x28
  18. 0017dd48 776e95ae ntdll!LdrFindResourceDirectory_U+0x9bf
  19. 0017dfcc 777029db ntdll!LdrFindResourceDirectory_U+0x445
  20. 0017e250 765e4d50 ntdll!RtlDestroyQueryDebugBuffer+0x48d5
  21. 0017e2b4 765e4dca kernel32!LoadLibraryExW+0x112
  22. 0017e2c8 004265e9 kernel32!LoadLibraryW+0x11 此处为程序到系统程序的一个临界点。分析首先从这里分析起
  23. 0017e524 00426e43 test!KLoadDllUtility::AutoSearchLoadLibrary+0x5f [e:\kloaddllutility.h @ 32]
  24. 0017e554 00426877 test!KPopSupport::InitializeKPopSystem+0x29 [e:\popimport.cpp @ 1037]
  25. ……………………

分析线程堆栈,一般情况下,出现messagebox都是不正常的。由于此次崩溃系统有弹出messagebox,而刚好第一个线程堆栈有messagebox相关字眼,所以怀疑是第一个线程堆栈出现问题。

  1. 0:008> dd 0017e2c8 dd (dd表示以四个字节的方式查看ebp信息。)
  2. 0017e2c8 0017e524 004265e9 0017e314 004d3578 (0017e524表示上一个函数的ebp; 004265e9 表示函数返回地址 0017e314 表示函数的参数 查看msdn,loadlibary只有一个参数,并且参数是一个字符串,所以只有0017e314有效,并且表示一个地址。)
  3. 0017e2d8 02724fd8 00000000 00000000 00000000
  4. 0017e2e8 00000000 026fc1a8 00000000 00000000
  5. 0017e2f8 00000000 00000008 0000000f 00000000
  6. 0017e308 00000000 00000000 00000000 003a0063
  7. 0017e318 0050005c 006f0072 00720067 006d0061
  8. 0017e328 00460020 006c0069 00730065 00280020
  9. 0017e338 00380078 00290036 004b005c 006e0069
  10. 0:008> db 0017e314 (db以字节的方式查看参数内容)
  11. 0017e314 63 00 3a 00 5c 00 50 00-72 00 6f 00 67 00 72 00 c.:.\.P.r.o.g.r.
  12. 0017e324 61 00 6d 00 20 00 46 00-69 00 6c 00 65 00 73 00 a.m. .F.i.l.e.s.
  13. 0017e334 20 00 28 00 78 00 38 00-36 00 29 00 5c 00 4b 00 .(.x.8.6.).\.e.
  14. 0017e344 69 00 6e 00 67 00 73 00-6f 00 66 00 74 00 5c 00 i.r.g.s.o.f.t.\.
  15. 0017e354 4b 00 69 00 6e 00 67 00-73 00 6f 00 66 00 74 00 e.i.n.g.s.o.f.t.
  16. 0017e364 20 00 49 00 6e 00 74 00-65 00 72 00 6e 00 65 00 .I.n.t.e.r.n.e.
  17. 0017e374 74 00 20 00 53 00 65 00-63 00 75 00 72 00 69 00 t. .h.e.c.u.r.i.
  18. 0017e384 74 00 79 00 20 00 32 00-30 00 30 00 38 00 5c 00 t.y. .2.0.0.8.\.
  19. 0:008> db (db继续显示,使内容显示完全)
  20. 0017e394 53 00 43 00 4f 00 4d 00-2e 00 64 00 6c 00 6c 00 S.C.O.M...d.l.l.
  21. 0017e3a4 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
  22. 0017e3b4 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
  23. 0017e3c4 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
  24. 0017e3d4 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
  25. 0017e3e4 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
  26. 0017e3f4 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
  27. 0017e404 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ...............

4、分析结果总结

分析发现 :调用了scom.dll.根据对产品功能的了解,test不会调用该dll,说明调用出错,调错了文件,接下来需要做的是理清test调用流程,修改bug啦。

至于为啥错误id为r6034,是因为scom.dll需要运行库,而test进程内部未设定。

使用Windbg调试目标进程的一般步骤及要点详解
dvlinker的技术专栏
06-04 3万+
本文以一个具体的崩溃实例来详细讲述使用Windbg动态调试目标进程的一般步骤及相关要点。
使用Windbg调试目标程序去分析异常的两实战案例分享
dvlinker的技术专栏
02-22 2万+
使用Windbg动态调试目标程序去分析异常的两实战案例分享。
WinDbg 调试程序崩溃操作详解
11-10
作者有10多年编程,调试经验,详解关于Windows 平台下程序崩溃Windbg调试方法及技巧;附带工具介绍 适合于分析C++等语言, .Net 平台等快速入门及提高
windbg使用教程: 具体实例
weixin_33835103的博客
01-14 559
更改GlobaFlag标识, 调整Debug模式. 以下是针对Memory Dump的相关设置: 1. 打开开始菜单,右键点击My computer. 2. 选择Advanced页面,之后在performance中点击settings。 3. 选择Advanced页面,点击Virtual memory中的Change按钮。 4. 选择C:,之后配置选择Cus...
Windbg调试软件系统崩溃
u011014707的专栏
11-08 5143
一、Windbg简介 WinDBG是一个非常强大的调试器,它设计了极其丰富的功能来支持各种调试任务,包括用户态调试,内核态调试调试转储文件,远程调试等。WinDBG具有非常大的灵活性和可扩展性,用来满足各种各样的调试需求,比如用户可以自由定义调试事件的处理方式,编写调试扩展模块来定制和补充WinDBG调试功能。 尽管WinDBG是个典型的窗口程序,但是它的大多数调试功能还是以手工输入命令的
[转]两个经典的windbg调试案例,值得学习。
weixin_30868855的博客
03-01 284
1. 调试Bug的神兵利器:通过WinDbg条件断点收集Log 原文地址:http://blogs.msdn.com/yizhang/archive/2009/03/30/bug-windbg-log.aspx 调试Bug的神兵利器:通过WinDbg条件断点收集Log 前段时间花了几天一直在用WinDbg调试一个比较棘手的Bug。这个Bug是C# Team那边发现的,他们的Testcase...
Windbg调试工具详细介绍
dvlinker的技术专栏
06-28 1万+
本文详细介绍一下Windbg的相关内容。
使用Windbg分析从系统应用程序日志中找到的系统自动生成的dump文件去排查程序崩溃问题
热门推荐
dvlinker的技术专栏
07-31 5万+
当程序中安装的异常捕获模块捕获不到异常、没有生成dump文件时,可以尝试到系统应用程序日志中去找系统自动生成的dump文件,以排查当前的软件崩溃问题。本文以一个项目问题实例去详细讲述如何从系统应用程序日志中找到的系统自动生成的dump文件,然后使用Windbg打开dump文件进行静态分析去排查异常崩溃问题。
【C++软件调试技术】使用Windbg分析软件异常时的诸多细节与技巧总结
最新发布
dvlinker的技术专栏
07-27 8万+
使用 Windbg 分析软件异常时的诸多细节与技巧总结
如何利用WinDbg找出程序崩溃的位置
08-06
该文档讲解了如何利用WinDbg找出程序崩溃的位置,图文说明,对于使用windbg的朋友可以看看。
PyQt5基本控件之QMessageBox
12-22
QMessageBox QmessageBox是一种通用的弹出式对话框,用于显示消息,允许用户通过单击不同的标准按钮对消息进行反馈,每个标准按钮有一个预定义的文本,角色和十六进制数QMessageBox类提供了许多常用的弹出式对话框,如提示。警告,错误,询问等会话框,不同类型的QMessageBox对话框只是显示的图标不同,其它的功能是一样。 1.常用方法 方法 说明 information(QWdiget parent,title,text,buttons,defaultButton) 弹出消息对话框 question(QWidget parent,title,text,b
WinDbg的程序例子
chenshiyu9621的博客
09-28 243
Example 1這個例子是說明有一個 thread 拿了 critical section 後並沒有釋放掉,造成另一條 thread 想要拿這個 critical section 的使用拿不到,並且無限的等待。 #include <Windows.h>CRITICAL_SECT...
WinDbg+dump分析程序崩溃(ExceptionCode: c0020001)
ts16dmy的博客
07-15 385
WinDbg+dump分析程序崩溃 ExceptionCode: c0020001
WinDbg分析崩溃dump
yuanshenqiang的博客
04-30 2686
4.在输出信息中有“模块名!如果找不到pdb符号文件,excr 输出信息中可能会没有函数名,即"模块名+offset",这个offset为offset0+offset1,如果想看这个崩溃位置所在的函数,可以用kn 指令查看当前线程的函数调用栈,最上面那一行就是目标函数信息,这样也可以推算出offset0和offset1。在模块的反汇编文件中,基地址是.textbss的Imagebase后面的数字,可以根据第4步算出来的offset0和offset1,叠加上这个基地址,就可以定位到出错的指令位置。
使用windbg抓取崩溃文件和分析的过程
chenyijun的专栏
03-09 502
https://blog.youkuaiyun.com/breaksoftware/article/details/13989025 在软件编程中,崩溃的场景比较常见的。且说微软技术再牛X,也是会出现崩溃的场景。网上有一段Win98当着比尔盖茨蓝屏的视频非常有意思。(转载请指明出于breaksoftware的csdn博客) 我们身边的很多软件都引入了dump生成和收集机制。但是一般情况下,它...
windbg faied to attach kernal内核调试失败
resphina的博客
03-24 262
管理员权限打开cmd命令行依次输入。
windbg分析dump崩溃实例——必现的程序飞掉
Scarlett_OHara的博客
07-16 750
主要发生的现象是程序飞掉,就是整个进程退出。(不是程序无反应哦~) 基本准备工作操作还是和之前介绍的一样。 在winDbg->Debug->Event Filters中选择Exit thread设置Execution选项为Enabled; Continue选项为Handled. 同样,Exit process也这样设置。然后当程序飞掉的时候就可以结合源码,以及Local窗口等...
Windbg本机调试kernel
ccx_john的专栏
01-10 999
File-> kernel debug -> 弹出窗口上方,最右边那个选项卡Local ->点yes 即可 系统必须是:WIN XP或以上的操作系统,其他都不行 接下来就可以调试kernel了。Windbg命令很多,我将一点一点的学习,下面先学几个常用的命令。 1.version 获取本机windows的kernel信息,如下: lkd> version Windo
掌握Windbg调试器:32位与64位的区别和应用
以上知识点围绕着“Windbg调试器,32位和64位”主题,对Windbg调试器的功能、特点、工作方式、版本差异、安装过程、使用场景、命令行和图形用户界面、符号文件、实际应用以及高级调试技巧等进行了详细说明,并就可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值