使用Windbg分析dump文件的一般步骤详解

已于 2024-11-18 21:31:05 修改
阅读量2.5w 收藏 33
点赞数 20
CC 4.0 BY-SA版权
分类专栏: 分析C++软件问题的实用软件与高效工具实战案例集锦 文章标签: Windbg dump文件 分析dump 一般步骤 汇编指令 函数调用堆栈 IDA
于 2024-01-09 16:51:45 首次发布
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.youkuaiyun.com/chenlycly/article/details/135484682
本文详细介绍了使用Windbg静态分析dump文件的步骤,包括查看异常类型、切换线程上下文、查看函数调用堆栈、加载pdb文件。通过实例展示了如何分析异常汇编指令,利用kn/kv/kp命令,以及如何借助pdb文件和源码定位问题。文章还提及了使用IDA辅助分析的可能性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

1、概述

2、静态分析dump文件的一般步骤

2.1、查看异常类型

2.2、使用.ecxr命令切换到发生异常的线程上下文,查看发生异常的那条汇编指令

2.3、使用kn/kv/kp命令查看异常发生时的函数调用堆栈

2.4、使用lm命令查看模块的时间戳,找到对应的pdb文件,设置到Windbg中

3、问题分析实例说明

4、使用Windbg详细分析dump文件,展现完整分析过程

4.1、查看异常类型和发生崩溃的汇编指令,初步分析

4.2、使用kn/kv/kp命令查看函数调用堆栈

4.3、找到pdb文件,设置到windbg中,查看完整的函数调用堆栈

4.4、可以将C++源代码路径设置到Windbg中,Windbg会自动跳转到源代码行号上

4.5、有时需要查看函数调用堆栈中函数的局部变量或C++类对象中变量的值

4.6、有时可能需要使用IDA去查看二进制文件的汇编代码上下文去辅助分析

C++软件异常排查从入门到精通系列教程(专栏文章列表,欢迎订阅,持续更新...)icon-default.png?t=O83Ahttps://blog.youkuaiyun.com/chenlycly/article/details/125529931C/C++基础与进阶(专栏文章,持续更新中...)

了解本专栏 订阅专栏 解锁全文 超级会员免费看
【C++软件实战问题排查经验分享系列 ④】pdb符号文件 | dump文件分类与生成方法 | Windbg分析dump文件 | Windbg动态调试 | Windbg常用命令 总结
dvlinker的技术专栏
05-20 3万+
在开发调试C++软件的过程中,时常会使用Windbg分析排查软件运行过程中遇到的各种异常问题。本文对使用Windbg涉及到的pdb符号文件dump文件分类与生成方法、Windbg分析dump文件Windbg动态调试目标进程、Windbg常用命令等诸多相关内容进行详细的总结,并给出相关的实战分析实例,供大家借鉴或参考。
使用Windbg分析dump文件一般步骤及要点详解
dvlinker的技术专栏
05-25 4万+
通过一个问题实例详细讲解使用Windbg静态分析dump文件的完整过程。
Windbg抓取分析DMP文件
03-22
Windbg抓取分析DMP文件,方便新手熟练使用Windbg抓取分析常见崩溃问题
[调试]_[初级]_[Windbg使用教程]
小白
11-28 1万+
windbg使用教程
C++调试(肆):WinDBG分析Dump文件汇总
最新发布
weixin_67035108的博客
06-07 881
本文介绍了使用WinDBG工具分析Dump文件的基本流程和常用指令。主要内容包括:常用调试指令如.excr、kn、kv、kp等用于查看线程上下文和堆栈信息;分析异常时的关键步骤,如检查异常类型、堆栈信息、模块引用情况等;以及作者总结的实用心得,如使用完全转储文件、反汇编分析等。文章旨在帮助读者掌握WinDBG调试Dump文件的基本方法,建议通过实践来构建完整的调试框架。
windbg分析dump文件
experientialism
03-03 535
以V4.1项目为例,简单说明,以后会深入探讨. 说明,pdb和exe均放在文件夹C:\Users\bankpan\Desktop\Debug中。 一:设置Symbol File Path SRV*F:\localsymbols*http://msdl.microsoft.com/download/symbols;C:\Users\bankpan\Desktop\Debug (F:\loca
使用Windbg解析dump文件
hnzwx888的专栏
06-05 1476
转载自:https://www.cnblogs.com/pjl1119/p/7701165.html WinDbg OllyDbg SoftICE (已经停止更新) 虽说WinDbg在无源码调试方面确实比较困难,但在调试内核方面却真的有独到之处。 https://www.pediy.com/kssd/pediy10/94457.html 使用Windbg解析dump文件 ...
windows程序使用Windbg分析dump
steem
04-23 8404
windows上Windbg分析dump文件
windbg分析dump操作流程
fzzjoy的专栏
06-18 1万+
1、加载pdb: .reload /i /f 2、查看pdb是否加载成功: lm 3、自动分析指令(通常分析出的是主线程的堆栈) !analyze -v 此时通过分析出的堆栈去找有无kernel32!UnhandledExceptionFilter信息 如果有,则此堆栈(主线程堆栈)为异常堆栈; 如果没有,则需查看所有线程堆栈: 4、查看所有线程堆栈: ~*
使用 WinDbg 分析dump文件
dongbi0665的博客
08-21 477
步骤一:   生成dump文件。 #include <Windows.h> #include <iostream> #include <DbgHelp.h> #include <tchar.h> using namespace std; #pragma comment(lib, "dbghelp.lib") ...
使用WinDbg分析Windows dump文件方法
sway913的博客
06-16 5840
analyze -v"链接,或者在下面的命令窗口中输入“!analyze -v”命令,工具就对dump文件进行分析,然后输出导致系统崩溃的起因等相关信息。在安装Windows SDK的过程中,可以选择只安装WinDbg(Debugging Tools for Windows)这个组件。工具来分析windows系统产生的dump文件,此工具属于Windows SDK的一个组件,在微软官方网站可以下载(1)打开WinDbg工具,通过菜单“File”->“Open Crash Dump”打开dmp文件
使用windbg调试dmp文件
09-27
使用windbg调试windows crash 产生的dmp文件
使用Windbg分析dump文件定位软件异常的方法与操作步骤
热门推荐
dvlinker的技术专栏
03-04 4万+
本文详细讲述了使用Windbg分析dump文件一般步骤与诸多细节,并给出了一个实战分析实例,有一定的实战参考价值。
使用Windbg分析dump文件排查C++软件异常的一般步骤与要点分享
dvlinker的技术专栏
10-16 3万+
本文详细总结了使用Windbg静态分析dump文件去排查C++软件异常的一般步骤与方法,供大家借鉴或参考。
WinDbg抓取dmp文件
dnwm92175的博客
01-16 284
应用程序发生异常时抓取dmp: adplus.vbs -crash -pn w3wp.exe -y srv*c:\symbols*http://msdl.microsoft.com/download/symbols 关于w3wp进程抓取不到dump文件,可参考: http://blogs.msdn.com/b/stuartleeks/archive/2009/07/22/adplu...
使用windbg分析dmp文件定位程序bug
cool_pine的专栏
03-30 894
本文编写了一个简单能产生除数为0异常的程序,让其运行,产生崩溃,通过drwtsn产生dmp文件,然后通过windbg分析dmp文件,定位程序bug。 目的:学习windbg基本功能使用。 程序源代码:void Crash(void) {          int i = 1;          int j = 0;          i /= j;   
WinDbg分析DMP文件方法完全攻略
syflyhua的专栏
04-15 1602
前言:在C++实际开发过程中,开发出来的程序,一般情况下由开发人员进行单元测试,然后移交给测试人员进行测试。在开发人员测试出现的bug,我们可以直接在本地进行调试。如果测试人员测试出崩溃级别的bug,如果我们需要调试往往借助于vs提供的Remote Debugger工具进行远程调试(关于vs2010远程调试的方法,请参考http://blog.sina.com.cn/s/blog_a459dc
如何使用WinDbg分析dmp文件
03-08
<think>嗯,用户想了解如何使用WinDbg分析dmp文件。首先,我需要回忆一下WinDbg的基本用法和步骤。可能用户遇到了蓝屏或者程序崩溃的问题,需要分析生成的dump文件来找出原因。我应该分步骤说明,从安装到具体分析过程。 首先,用户可能需要安装WinDbg。我应该提到如何通过Microsoft Store或者Windows SDK来安装,特别是新版本的WinDbg可能和以前不同。然后,设置符号路径很重要,否则分析结果可能不准确。符号文件在哪里下载呢?应该是微软的符号服务器,使用.sympath命令设置。 接下来是打开dmp文件的具体步骤,用WinDbg的File -> Open Crash Dump选项。分析的时候,常用命令如!analyze -v是关键,这个命令会自动分析崩溃原因,显示可能的错误代码和模块。用户可能需要知道这些信息,比如FAULTING_MODULE或EXCEPTION_CODE。 还有可能需要检查堆栈跟踪,用kn或k命令。如果分析结果不够详细,可能需要手动加载符号,或者检查是否有第三方驱动的问题。我应该提醒用户注意STACK_TEXT部分,以及MODULE_NAME和IMAGE_NAME,这些能指出问题所在的驱动或程序。 另外,用户可能不知道如何配置符号路径,所以需要详细说明.symfix和.sympath的用法。可能还需要提到一些调试扩展命令,比如!irp、!devstack等,用于更深入的分析。不过对于初学者来说,先掌握基本命令比较重要。 还要注意,不同的dump类型(完全内存dump、内核dump等)可能有不同的信息量,用户可能需要确认生成的dump类型是否正确。如果用户的问题涉及特定错误代码,可能需要进一步分析内存地址或调用堆栈。 最后,我应该总结一下关键步骤,确保用户能按部就班地操作,同时提醒常见问题和注意事项,比如符号文件下载慢,或者需要管理员权限运行WinDbg。可能还需要建议用户查阅官方文档或社区支持,以防遇到更复杂的情况。</think>以下是使用WinDbg分析dmp文件步骤详解: $\textcolor{blue}{一、环境准备}$ 1. 安装WinDbg - 从Microsoft Store安装$\textcolor{green}{"WinDbg Preview"}$(新版) - 或通过Windows SDK安装经典版 - 建议版本:$\textcolor{red}{Windows 11 SDK}$及以上 2. 配置符号路径 ```powershell .sympath SRV*C:\Symbols*https://msdl.microsoft.com/download/symbols .reload ``` $\textcolor{blue}{二、核心操作流程}$ $$ \text{文件载入} \rightarrow \text{符号加载} \rightarrow \text{自动分析} \rightarrow \text{结果解读} $$ 1. 打开dmp文件 ```cmd File -> Open Crash Dump (Ctrl+D) ``` 2. 执行自动分析 ```windbg !analyze -v // 详细分析模式 ``` $\textcolor{blue}{三、关键输出解析}$ 当执行$\textcolor{orange}{!analyze -v}$后重点关注: ``` FAULTING_IP: EXCEPTION_CODE: (具体错误代码) FAULTING_MODULE: 出问题的驱动/模块 PROCESS_NAME: 相关进程 STACK_TEXT: // 堆栈回溯信息 // 重点观察最近调用的函数 MODULE_NAME: 问题模块名 IMAGE_NAME: 相关映像文件 ``` $\textcolor{blue}{四、进阶调试技巧}$ 1. 堆栈分析 ```windbg kn // 显示带帧号的调用堆栈 .frame /i 0xFrameNumber // 定位具体堆栈帧 ``` 2. 内存分析 ```windbg !pool // 检查内存池使用 !pte // 页表项分析 ``` 3. 驱动调试 ```windbg !drivers // 列出加载的驱动 !devstack // 设备堆栈分析 ``` $\textcolor{blue}{五、常见问题处理}$ 1. $\textcolor{red}{符号加载失败}$: ```windbg .symfix+ // 重置符号路径 .reload /f // 强制重新加载 ``` 2. $\textcolor{red}{分析结果模糊}$时: ```windbg !thread // 查看线程状态 !irp // 检查I/O请求包 lm v m <ModuleName> // 验证模块信息 ``` $\textcolor{blue}{六、典型应用场景}$ $$\begin{cases} BSOD分析 & \text{蓝屏错误检查代码解读} \\ 内存泄漏 & \text{使用!pool命令跟踪内存分配} \\ 死锁检测 & \text{通过!locks分析锁状态} \\ 驱动验证 & \text{检查IRQL级别和内存访问} \end{cases}$$ 建议配合使用$\textcolor{green}{"!analyze -show <BugCheckCode>"}$命令获取特定错误代码的详细解释。实际操作中注意保持符号文件与崩溃环境一致,建议在分析生产环境问题时使用相同OS版本的调试环境。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

dvlinker

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值