通过查看Windbg中汇编指令及内存中的值去定位软件崩溃问题

已于 2024-11-15 15:29:03 修改
阅读量9.7k 收藏 97
点赞数 122
CC 4.0 BY-SA版权
分类专栏: C++软件调试与异常排查从入门到精通系列教程 分析C++软件问题的实用软件与高效工具实战案例集锦 文章标签: C/C++ Windbg 异常分析 汇编指令 内存中的值
于 2022-09-25 08:30:29 首次发布
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.youkuaiyun.com/chenlycly/article/details/127033741
本文介绍了通过Windbg分析dump文件定位软件崩溃问题的步骤,包括查看异常类型、汇编指令、函数调用堆栈、内存中变量的值,以及可能需要借助IDA的情况。案例中,通过检查内存访问违例和函数调用堆栈,发现是由于for循环次数错误导致的内存越界问题。

目录

1、在Windbg中分析dump文件的一般步骤

1.1、查看异常的类型

1.2、查看崩溃的那条汇编指令及相关寄存器的值

1.3、查看函数调用堆栈

1.4、查看相关变量在内存中的值

1.5、有时可能需要使用IDA查看汇编代码上下文

2、Windbg打开dump文件,初步分析

3、查看内存中变量的值,定位问题的原因

4、最后

       最近因为一重要的紧急项目中从上层到底层在短时间内根据客户需求做了很多修改,因为时间紧急仓促,产生了一系列的崩溃问题。其中有个异常崩溃有一定的代表性,通过查看Windbg中崩溃的那条汇编指令以及内存中的值去大概推测出问题的点,在这里给大家分享一下这个案例,以供参考。

VC++常用功能开发汇总(专栏文章列表,欢迎订阅,持续更新...)icon-default.png?t=O83Ahttps://blog.youkuaiyun.com/chenlycly/article/details/124272585

了解本专栏 订阅专栏 解锁全文
通过查看Windbg中变量的,快速定位内存不足引发bad alloc异常C++ EH exception - code e06d7363)导致程序崩溃问题
dvlinker的技术专栏
03-06 2万+
本文详细讲述如何通过查看Windbg中变量的快速定位内存不足引发bad alloc异常C++ EH exception - code e06d7363)导致程序崩溃问题
通过查看Windbg中变量定位C++软件异常的又一典型案例分享
dvlinker的技术专栏
07-14 1万+
通过查看windbg中变量定位C++软件异常的又一典型案例分享。
windbg 定位崩溃问题
diaokua8472的博客
09-27 611
三板斧如下: 使用windbg打开dump文件,设置好对应进程的 pdb 文件(这个很关键。为了避免releas优化导致符号文件错乱,我发布的所有 release 版都是关闭代码优化的)。 在windbg的"edit"->"open/close log file" 设置log 路径 “d:\a.log” 输入命令...
Windbg调试二)Windows下c++程序崩溃问题定位
bajianxiaofendui的博客
12-27 1万+
Windows下c++程序崩溃问题定位一,WinDbg调试虚拟地址 = pe头文件大小 + 最佳装载地址 +相对虚拟地址1004ff19 = 10000000 + 最佳装载地址 + 0004ef19 -》最佳装载地址 = 0x1000二,地址偏移计算验证三,通过map文件定位程序崩溃代码行数      Windows下c++程序崩溃问题定位主要依赖...
PC软件崩溃定位方式-windbg
u012910342的博客
03-05 2503
本篇适用于WINDOWS的C/C++编译的程序分析,不适用于C#/java程序分析windbg是微软的工具,可以微软官方搜索下载。该工具可以调试exe,也可以导出收集dmp文件,用于后续分析。当前方式主要应用于启动的瞬间崩溃分析步骤:1. 启动windbg。2. 在windbg配置pdb符号文件路径。3. 通过windbg加载exe。4. 通过windbg运行exe。5. 用windbg命令分析崩溃代码。
使用WinDbg分析软件突然崩溃问题
故里2130
11-10 1625
t,也能看到异常,但是异常是BadImageFormatException,明显是不对的,但是点击进的话,也可以看到是MessageBoxShow方法报错的。因此,我们写一个wpf程序,调用c++的dll,然后点击按钮,直接崩溃,生成dmp,然后分析dmp文件。出现这种错误类型的提示,因为生成的c++的dll,我采用了不同的方式生成的,所以同样的代码,报错的类型不一样,但是最终指定报错的地方是一样的。t,就已经能看到异常了,当然是因为程序比较简单,而且我也专门写的这个错误,空引用异常了,非常的准确。
WinDBG 技巧: 显示函数的汇编代码(uf 命令)
weixin_34137799的博客
02-25 265
WinDBG的 uf 命令可以把二进制进行反汇编并显示汇编代码,帮助在没有源代码的情况下分析函数。 举个例子,已知Windows 下的扫雷程序(winmine.exe) 有个函数叫winmine!StartGame (通过 x winmine!*命令) ,可以使用uf winmine!StartGame 命令显示该函数的汇编码: 0:000> uf winmine!StartGamewin...
根据发生异常汇编指令以及函数调用堆栈,从内存的角度出发,估计出问题的可能原因,确定排查方向,快速定位C++软件问题
dvlinker的技术专栏
10-22 3万+
本文讲解一个实例,根据发生异常汇编指令以及函数调用堆栈,从内存的角度出发,估计出问题的原因,确定排查方向,快速定位问题
使用Windbg分析dump文件定位软件异常的方法与操作步骤
热门推荐
dvlinker的技术专栏
03-04 7万+
本文详细讲述了使用Windbg分析dump文件的一般步骤与诸多细节,并给出了一个实战分析实例,有一定的实战参考价
VS2010下使用WinDbg通过dmp和pdb文件定位崩溃位置
01-16
VS2010下使用WinDbg通过dmp和pdb文件定位崩溃位置的工程集,里面包含了含有崩溃代码的dll工程和测试工程,已测试,可以直接使用。
如何利用WinDbg找出程序崩溃的位置
08-06
该文档讲解了如何利用WinDbg找出程序崩溃的位置,图文说明,对于使用windbg的朋友可以看看。
WinDbg分析崩溃dump
yuanshenqiang的博客
04-30 3075
4.在输出信息中有“模块名!如果找不到pdb符号文件,excr 输出信息中可能会没有函数名,即"模块名+offset",这个offset为offset0+offset1,如果想看这个崩溃位置所在的函数,可以用kn 指令查看当前线程的函数调用栈,最上面那一行就是目标函数信息,这样也可以推算出offset0和offset1。在模块的反汇编文件中,基地址是.textbss的Imagebase后面的数字,可以根据第4步算出来的offset0和offset1,叠加上这个基地址,就可以定位到出错的指令位置。
windbg 定位分析释放堆崩溃问题
过好每一天的女胖子
03-01 694
RtlFreeHeap释放堆异常
通过windbg定位错过第一现场的崩溃
勇气凛凛
06-24 835
文章目录说明原因方法最后 说明 所谓的“错误第一现场”,是指当我们的windows程序出现崩溃时,会弹出一个错误框,这时候如果再使用windbg分析dump是无法快速找到异常点的。 原因 由于windows的KiDispatchException的异常分发机制,如果程序没有设置任何异常包含,最后程序会调用windows的默认异常处理函数—创建一个异常dialog。 这时候程序的异常现场会被默认异常处理给冲刷掉,所以当你使用".ecxr" 命令时是无法找到异常点的。 方法 方法其实也和很简单,就是通过变量所有
Windbg之"查看内存"命令
happylong123hehe的专栏
11-23 1212
查看局部变量 dv /i /V 查看this dv this dt this dt @@C++(this->m_value) // 都行   查看静态对象 1) x // 得到对象地址. 2) dt type 对象地址.
14.windbg-k、u、x(堆栈查看、汇编查看、函数查找)
hgy413的专栏
05-14 2万+
kk*命令显示给定线程的调用堆栈,以及其他相关信息~0 k表示打印0号线程的调用堆栈,直接用k表示打印当前线程的调用堆栈0:002> ~0k ChildEBP RetAddr 0007fddc 77d191be ntdll!KiFastSystemCallRet 0007fdfc 010021b0 USER32!NtUserGetMessage+0xc 0007ff1c 010125e9...
WinDBG查看内存的命令
weixin_33832340的博客
01-09 490
当我们在调试器中分析问题时, 经常需要查看不同内存块的内容以分析产生的原因, 并且在随后验证所做出的假设是否正确. 由于各个对象的状态都是保存在内存中的, 因此内存的内容也就相当于对象的状态.   d命令最常见的格式就是根据指定的类型信息来显示存储在某地址中的数据. 调试器并不会猜测这个地址上存储的是什么数据, 因为在大多数情况下猜测都是错误的. 所以需要用户显式地制定按照何种格式来解析数据....
windbg 用代理_使用WinDbg获得托管方法的汇编代码
weixin_42507981的博客
01-30 224
http://www.evget.com/article/2009/6/2/11085.html这是一个没有多大价的小实验,对于大家了解.NET编程等方面几乎没有任何好处,尽管老赵一直强调“基础”,例如扎实的算法和数据结构能力,并且对一些必要的支持,例如操作系统,计算机体系结构,计算机网络有足够的了解,拥有“常识”,在需要的时候有足够的能力深入了解便可;但是对于还有一些科目,例如“编译原理”,...
windbg中怎么看140608650这个地址的汇编指令
最新发布
07-27
WinDbg查看特定内存地址的汇编指令,可以使用 `u`(反汇编)命令。该命令允许用户查看指定地址处的机器码及其对应的汇编语言指令。 要查看地址 `140608650` 的汇编代码,可以在 WinDbg 的命令窗口中输入以下命令: ```shell u 140608650 ``` 该命令将从地址 `140608650` 开始反汇编,并显示该地址处的汇编指令。如果希望查看更多连续的指令,可以使用 `L` 参数指定要显示的指令数量,例如: ```shell u 140608650 L10 ``` 这将显示从 `140608650` 开始的 10 条汇编指令。 此外,WinDbg 支持符号解析,如果当前调试环境中加载了对应的符号文件(PDB),地址 `140608650` 可能会被解析为函数名或模块中的偏移地址,从而更便于理解代码上下文。这种方式在分析软件崩溃问题时非常有用,可以结合内存中的汇编指令定位问题根源[^2]。 ### 示例输出 假设地址 `140608650` 是某个函数的起始地址,WinDbg 的输出可能如下所示: ```shell 00007FF6`14060850 48895C2408 mov qword ptr [rsp+8], rbx 00007FF6`14060855 4889742410 mov qword ptr [rsp+10h], rsi 00007FF6`1406085A 57 push rdi 00007FF6`1406085B 4883EC20 sub rsp,20h 00007FF6`1406085F 488BFA mov rdi,rdx 00007FF6`14060862 488BF9 mov rdi,rcx 00007FF6`14060865 4885C9 test rcx,rcx 00007FF6`14060868 751A jne 00007FF6`14060884 ``` 上述输出展示了从 `14060850` 开始的一系列汇编指令,其中包含内存操作、寄存器赋、跳转等基本操作。 WinDbg 的反汇编功能在调试和逆向分析中非常实用,尤其适用于分析崩溃日志和内存异常问题。通过查看特定地址的汇编指令,可以更直观地理解程序执行流程和潜在问题点[^1]。
评论 96
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

dvlinker

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值