使用windbg抓取崩溃文件和分析的过程

最新推荐文章于 2025-08-05 12:52:26 发布
最新推荐文章于 2025-08-05 12:52:26 发布
阅读量1.8w 收藏 18
点赞数 7
CC 4.0 BY-SA版权
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/breaksoftware/article/details/13989025
本文介绍了一个多线程访问共享变量导致程序崩溃的典型案例。通过构造特定代码演示并发问题,并利用Windbg生成完整内存转储文件进行故障定位。
        在软件编程中,崩溃的场景比较常见的。且说微软技术再牛X,也是会出现崩溃的场景。网上有一段Win98当着比尔盖茨蓝屏的视频非常有意思。 (转载请指明出于breaksoftware的csdn博客)
        我们身边的很多软件都引入了dump生成和收集机制。但是一般情况下,它们都是生成minidump。因为minidump文件相对来说很小,方面我们收集上来进行分析。但是Minidump保存了很少的信息,在一些场景下,可能不能协助我们准确快速定位问题。

        但是,如果我们在测试过程中,发生了必现崩溃,而minidump又不能让我们发现什么,那该怎么办呢?我这儿举一个例子。我们看一下代码

// Dump.cpp : 定义控制台应用程序的入口点。
//
//////////////////////////////////////////////////////////////////////////
// 这是一个多线程访问全局变量导致崩溃的例子
//////////////////////////////////////////////////////////////////////////

#include "stdafx.h"
#include <Windows.h>
#include <vector>

#define INTPTR int* 
typedef std::vector<INTPTR> VecINTPTR;
typedef VecINTPTR::iterator VecINTPTRIter;
typedef VecINTPTR::const_iterator VecINTPTRCIter;

VecINTPTR g_VecInt;

static DWORD WINAPI ReadRoutine(LPVOID)
{
    // 读取线程
    for ( VecINTPTRIter it = g_VecInt.begin(); it != g_VecInt.end(); it++ ) {
        // 故意将读取时间设置长,这样更大概率导致崩溃
        Sleep(10);
        printf("%d %d\n", **it);
    }
    return 0;
}

static DWORD WINAPI WriteRoutine(LPVOID)
{
    // 写入线程
    for ( VecINTPTRIter it = g_VecInt.begin(); it != g_VecInt.end();  ) {
        // 故意将修改时间设置短,这样更大概率导致奔溃
        delete *it;
       *it = NULL;
    }
    return 0;
}

int _tmain(int argc, _TCHAR* argv[])
{
    // 初始填充数据
    for ( int n = 0; n < 128; n++ ) {
        int* p = new int();
        *p = n;
        g_VecInt.push_back(p);
    }
    system("pause");
    HANDLE hRead = CreateThread( NULL, 0, (LPTHREAD_START_ROUTINE)ReadRoutine, NULL, 0, NULL);
    HANDLE hWrite = CreateThread( NULL, 0, (LPTHREAD_START_ROUTINE)WriteRoutine, NULL, 0, NULL);
    HANDLE hArray[] = {hRead, hWrite};
    WaitForMultipleObjects( ARRAYSIZE(hArray), hArray, TRUE, INFINITE);
    printf("Success");
         return 0;
}
        这个例子是典型的多线程访问共享变量,导致崩溃的问题。这个例子还是很清晰的,但是,如果这段逻辑揉入复杂的业务逻辑,问题的排查可能就没那么简单了。
        那我们看下如何分析这个问题。
  1. 运行程序(程序会暂停在system(“pause”))
  2. 安装windbg,使用“附加”功能
  3. 在windbg中输入g,让程序继续执行 
  4. 在dump.exe按任意键,重现崩溃路径
  5. 崩溃发生,windbg发现异常并中断
  6. 在windbg中输入.dump /f C:/dump.dmp,其中.dump是dump生成命令,/f是生成全信息dump,生成的dump文件会很大,C:/dump.dmp是路径
        至此,我们在客户机器上已经抓到了完整的dmp文件,现在我们回到我们自己的电脑上,配置windbg,并分析这个dump文件。在这个配置中,我们要涉及几块信息的填充。一般,我们发布的产品(release版)不是在我们开发者的机器上编译链接的,而是在某一个编译链接服务器上。在服务器上,我们工程的目录和我们本地的目录极有可能是不同的。一般情况下,最容易配置不正确的是下面的第3步。
  1. 将dump.exe符号文件拷贝到你希望的保存目录,我的目录是F:\TmpSymbol
  2. 用!analyze –v分析dump文件
  3. ctrl+P打开windbg代码目录(工程根目录)
  4. Ctrl+S打开windbg符号设置框,设置符号文件路径,并勾选reload
        这样windbg就准确定位到异常的位置

        这个流程非常适合于分析的场景是:

  1. 没有做通过异常方式做保护的程序(否则windbg挂载后会一直陷入中断,非常烦人。或者程序发现自己被调试,就直接退出了……)
  2. VS不便分析的dump
  3. 不破坏用户环境(windbg是个非常小巧独立的程序,试想如果我们给客户装个庞大的VS再去调试是非常难以接受的,且会破坏用户的环境)

使用Windbg分析dump文件的一般步骤及要点详解
dvlinker的技术专栏
05-25 4万+
通过一个问题实例详细讲解使用Windbg静态分析dump文件的完整过程
使用Windbg分析从系统应用程序日志中找到的系统自动生成的dump文件去排查程序崩溃问题
热门推荐
dvlinker的技术专栏
07-31 5万+
当程序中安装的异常捕获模块捕获不到异常、没有生成dump文件,可以尝试到系统应用程序日志中去找系统自动生成的dump文件,以排查当前的软件崩溃问题。本文以一个项目问题实例去详细讲述如何从系统应用程序日志中找到的系统自动生成的dump文件,然后使用Windbg打开dump文件进行静态分析去排查异常崩溃问题。
WinDbg分析崩溃dump
yuanshenqiang的博客
04-30 2804
4.在输出信息中有“模块名!如果找不到pdb符号文件,excr 输出信息中可能会没有函数名,即"模块名+offset",这个offset为offset0+offset1,如果想看这个崩溃位置所在的函数,可以用kn 指令查看当前线程的函数调用栈,最上面那一行就是目标函数信息,这样也可以推算出offset0offset1。在模块的反汇编文件中,基地址是.textbss的Imagebase后面的数字,可以根据第4步算出来的offset0offset1,叠加上这个基地址,就可以定位到出错的指令位置。
使用windbg分析exe崩溃的dmp文件
lisgsheng的博客
08-05 375
本文介绍了使用Windbg分析程序崩溃的dmp文件的方法。相比VS2022的大体积安装,Windbg更适合快速分析崩溃问题。操作步骤包括:打开Windbg后先设置符号文件路径,然后加载dmp文件进行分析分析完成后,Windbg会直接定位到导致崩溃的具体代码位置,帮助快速查明问题原因。整个过程简单直观,是分析程序崩溃日志的有效工具。
windebug教程
12-01
WINDEBUG是微软提供的一款程序测试软件功能强大 其中一项是使用WENDEBUG检测蓝屏的原因 很实用
如何利用WinDbg找出程序崩溃的位置
sunliangyuan的专栏
09-07 4786
之前碰到论坛里有几个好友,说程序不崩溃,什么xxoo不能read的! 如果光要是这个内存地址,估计你会疯掉~~ 所以分享一下基本的调试技巧,需要准备的工具有WinDbg + VC6.0, 下面是自己整理的一份自动生成DUMP文件的源代码,只需要添加到工程即可,源代码如下:
Windbg抓取分析DMP文件
03-22
### Windbg抓取分析DMP文件 #### 一、Windbg简介 Windbg是一款由微软提供的强大调试工具,主要用于Windows操作系统下的应用程序调试。它能够帮助开发者诊断解决各种软件问题,尤其是在应用程序出现崩溃或者异常...
Magnet DumpIt for Windows 可以快速生成完整的内存崩溃转储文件,并且与多个分析工具产品(如 WinDbg Comae 平台)兼容
08-13
该工具与多个分析工具产品兼容,例如 WinDbg,这是一个广泛使用的调试工具,由微软提供,可以用于分析 Windows 转储文件。此外,它还兼容 Comae 平台,后者提供了先进的故障诊断分析服务。兼容这些工具意味着...
自动抓取Dump文件关闭自动抓取Dump文件的.bat文件
01-16
这些文件包含了程序运行的内存状态,对于分析解决软件故障至关重要。本资源提供了一组.bat(批处理)文件,帮助用户自动进行Dump文件抓取关闭抓取操作。 自动抓取Dump文件的.bat脚本: 该脚本通常包含一...
Windbg分析Dump文件
早起吃虫的博客
10-27 2322
1、下载ProcDump 打开windows命令行cmd,进入到包含procdunmp文件的路径下,对于32位系统打开procdump.exe,64位系统则打开procdump64.exe,执行以下命令 #-ma 抓取full dump #-c 30代表cpu使用率应该在30%以上 #-s 1 这种情况持续1秒以上 #3 代表最多抓取3个dump文件 #9000代表线程id procdump64 -ma -c 30 -s 1 -n 3 10728 输出以下内容,不要关闭命令行工具,procDump工
WinDbg 调试程序崩溃操作详解
11-10
作者有10多年编程,调试经验,详解关于Windows 平台下程序崩溃Windbg调试方法及技巧;附带工具介绍 适合于分析C++等语言, .Net 平台等快速入门及提高
调试技巧 —— 如何利用windbg + dump + map分析程序异常
09-04
调试技巧 —— 如何利用windbg + dump + map分析程序异常 http://blog.youkuaiyun.com/wangningyu/article/details/6748138
使用WinDbg抓取程序报错的Dump文件,例如抓取IE崩溃的Dump
01-22 369
前几天分享了一个关于如何抓蓝屏Dump的帖子,今天再大家分享一个使用WinDbg抓取程序崩溃的Dump。不过还是先来段废话,为什么要学抓Dump?有啥用?因为有了Dump后,我们可以很迅速的解决问题,比如说IE崩溃,QQ崩溃,很多候我们是一点头绪都没有的,但是有了WinDbg后,这一切将变的简单!虽然WinDbg并不能帮你解决问题,但是他可以指导你解决问题的方向! ok,言归正传...
利用windbg分析程序崩溃生成的dmp文件
baidu_16370559的博客
11-04 6214
Windbg是一款功能十分强大的调试工具,它设计了极其丰富的功能来支持各种调试任务,包括用户态调试、内核态调试、调试转储文件、远程调试等等。 基本步骤: ●STEP 1:打开Windbg,在file中选择open crash Dump来打开所需要调试的Dump文件。 ●STEP 2:在file菜单中分别设置好Symbol file path Source file path。 其中Symbol file path是程序编译所生成的pdb文件,具体到某一个.pdb文件,如: ...
windows收集dump文件windbg分析
minping9101的博客
05-21 2042
在exe程序发生闪退crash,脱离了ide,不知道crash原因,本文介绍如何抓取dump文件并进行调用堆栈分析
windows程序使用Windbg分析dump
steem
04-23 8521
windows上Windbg分析dump文件
使用windbg分析dump文件定位当前异常的上下文信息
最新发布
09-03
<think> 首先,用户的问题是关于使用Windbg分析dump文件来定位当前异常上下文信息的具体方法。用户引用了三个站内引用,我需要参考这些引用来构建答案。 回顾用户提供的引用: - 引用[1]:提到Windbg加载dump文件符号文件,帮助定位异常,并建议参考官方文档。 - 引用[2]:强调使用CrashReport库捕获异常信息并生成dump文件,然后用Windbg分析。 - 引用[3]:讨论Windbg版本问题(6.0可能不兼容VS2017生成的pdb文件),并提到使用“.ecxr”命令切换到异常的上下文。 用户的核心问题是:“如何使用windbg分析dump文件并定位当前异常的上下文信息”。 关键点是从引用[3]中,提到“.ecxr”命令用于切换到异常的上下文。这似乎是用户需求的核心。 我的回答需要: - 使用中文回答。 - 结构清晰,帮助用户逐步解决问题。 - 保证回答真实可靠(基于提供的引用)。 - 在回答中引用的段落末尾自然地添加引用标识,例如:[^1]。 - 生成相关问题(在末尾添加“相关问题”部分)。 - 对于LaTeX:行内数学表达式用$...$,独立公式用$$...$$(但在这个主题可能不需要数学公式,除非涉及计算)。 - 回答基于系统指令用户提供的引用。 结构化回答: 1. **介绍Windbg的基本步骤**:基于引用[1][2],简要说明Windbg的作用加载dump文件的步骤。 2. **详细解释定位异常上下文的方法**:重点在“.ecxr”命令上,基于引用[3]。 3. **提供操作步骤**:一步步指导用户。 4. **注意事项**:如Windbg版本兼容性问题(从引用[3])。 5. **结尾**:鼓励参考官方文档。 6. **添加相关问题**:生成相关的问题在末尾。 确保回答真实可靠:我主要基于提供的引用,避免添加外部知识,除非必要。 添加引用标识: - 当提及引用中的内容,在段落末尾添加[^1]、[^2]或[^3]。 生成相关问题:在末尾添加“相关问题”部分,类似示例中的格式。 回答框架: - 开头:确认用户查询。 - 主体:分步解释。 - 结尾:总结建议。 - 相关问题列表。 具体步骤(基于引用): 1. 加载dump文件Windbg打开dump文件。 2. 加载符号文件:设置符号路径(.sympath)以访问pdb文件。 3. 分析异常:使用命令如“.ecxr”来切换到异常上下文。 4. 查看上下文:使用命令如“k”显示堆栈,或“dv”查看局部变量。 从引用[3]:“使用.ecxr命令切换到异常的上下文”。这是关键。 其他可能命令: - !analyze -v:自动分析异常。 - .exr:显示异常记录。 但用户专注于“定位当前异常的上下文信息”,所以我将集中于“.ecxr”。 最终回答结构: 1. 引言:简述过程。 2. 步骤: a. 打开dump文件。 b. 设置符号路径。 c. 使用.ecxr命令切换到异常上下文。 d. 检查上下文信息(如寄存器、堆栈)。 3. 注意事项:版本兼容性(从引用[3])。 4. 总结。 5. 相关问题。 添加引用: - 引用[1]用于Windbg基本用途。 - 引用[2]用于生成dump文件。 - 引用[3]用于.ecxr命令版本问题。 相关问题生成: - 如何设置Windbg的符号路径? - 如何处理Windbg版本不兼容pdb文件的问题? - 还有哪些命令用于分析dump文件? </think> ### 使用Windbg分析dump文件定位异常上下文信息的方法 Windbg是一个强大的调试工具,用于分析Windows应用程序崩溃生成的dump文件,帮助开发人员快速定位异常上下文(如寄存器状态、堆栈跟踪等)。以下步骤基于引用内容,并结合最佳实践,指导您如何操作。步骤清晰可靠,确保您能准确找到当前异常的上下文信息。 #### 步骤1: 准备dump文件符号文件 - **加载dump文件**:启动Windbg,通过菜单或命令行加载dump文件(例如,`.open -a D:\crash.dmp`)。这允许Windbg读取崩溃的内存快照。[^1] - **设置符号路径**:使用`.sympath`命令配置符号路径(例如,`.sympath srv*https://msdl.microsoft.com/download/symbols;D:\pdb`),确保Windbg能访问对应的pdb文件(符号文件),这对解析函数名变量至关重要。如果符号加载失败,检查pdb文件是否与编译环境兼容(如VS2017生成的pdb可能需要新版本Windbg)[^3]。 - **验证符号加载**:运行`.reload -f`强制刷新符号,并用`lm`命令检查模块是否加载成功。引用[2]中提到,使用CrashReport库生成dump文件,确保符号文件匹配编译版本,否则分析可能失败。[^2] #### 步骤2: 切换到异常上下文 - **核心命令:`.ecxr`**:加载dump文件后,输入`.ecxr`命令(Exception Context Record),这会自动切换到异常发生的上下文。此命令基于异常记录(Exception Record)恢复寄存器堆栈状态,是定位当前异常的关键。[^3] - **示例操作**: ``` WinDbg> .ecxr ``` 执行后,Windbg输出寄存器指令指针(eip/rip)信息,显示异常点(如访问违例的地址)。 #### 步骤3: 分析上下文信息 - **查看堆栈跟踪**:运行`k`命令(例如,`kb`或`kn`)显示调用堆栈,这会列出函数调用序列,帮助识别异常源头。结合`.ecxr`的输出,您可以定位到触发异常的具体函数位置。[^1] - **检查寄存器状态**:使用`r`命令查看寄存器值(如`eax`, `ebp`),识别异常的内存地址或参数。 - **查看局部变量**:运行`dv`命令显示当前函数的局部变量值,辅助分析数据异常原因。 - **自动分析**:可选运行`!analyze -v`命令,Windbg会尝试自动诊断异常类型(如`ACCESS_VIOLATION`)并提供建议,但`.ecxr`是手动切换到上下文的基础。[^3] #### 注意事项 - **Windbg版本兼容性**:如引用[3]所述,旧版Windbg(如6.0)可能无法加载VS2017+生成的pdb文件。推荐使用最新Windbg版本(可从Microsoft官网下载),或确保编译环境调试工具版本一致。[^3] - **符号文件问题**:如果符号无法加载,检查`.sympath`设置或使用`.symfix`自动连接Microsoft符号服务器。复杂问题可参考[Windbg官方文档](https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/debugging-using-windbg)。[^1] - **上下文验证**:`.ecxr`仅适用于异常上下文。如果dump文件不是由异常生成(如手动抓取),使用`.cxr`命令加载上下文记录。 通过上述步骤,您可以高效定位异常上下文信息,缩短调试间。引用[2]强调,在代码中集成CrashReport等库捕获dump文件,能大幅提升事后分析效率。[^2] 如遇更深层问题,建议结合日志代码回查。 ### 相关问题 1. 如何处理Windbg无法加载符号文件(pdb)的问题? 2. 除了`.ecxr`,Windbg中有哪些常用命令用于分析堆栈寄存器? 3. 如何配置应用程序自动生成dump文件?(例如,使用CrashReport库)
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

breaksoftware

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值