26、《Windows 调试：从 32 位到 64 位及事后调试全解析》-优快云博客

本文链接：https://blog.youkuaiyun.com/ipfs8storage/article/details/156044150

《Windows 调试：从 32 位到 64 位及事后调试全解析》

1. 32 位与 64 位系统交互及调试扩展

在 32 位与 64 位系统交互方面，当注册一个 32 位 DCOM 服务器应用程序后，其注册信息会自动显示在 64 位注册表视图中。64 位客户端可以实例化并使用运行在 WOW64 仿真环境中的 32 位服务器。由于进程外服务器与客户端是隔离的，它们可以以任何架构组合进行通信，例如 32 位客户端调用 64 位或 32 位服务器，以及 64 位客户端调用 32 位或 64 位服务器。

不过，客户端 - 服务器架构可能需要在其进程中加载代理 - 存根模块。这些模块必须与托管进程架构相匹配，因此系统必须同时包含 64 位和 32 位版本的模块，以促进跨架构通信。如果找不到正确架构的已注册代理 - 存根，通信将会失败。

在调试扩展方面，对于是否需要重新编译扩展以在 64 位调试器上工作，在大多数情况下，如使用实时内核目标进行调试或调试内存转储时，现有的扩展在 32 位调试器中可以完美工作。对于原生应用程序的实时用户模式调试，建议仅使用无法加载 32 位扩展的 64 位调试器。是否投入时间创建同一扩展的 64 位版本，取决于该扩展的潜在用途。

2. 事后调试概述

在软件开发过程中，尽管使用了许多强大的工具来查找问题代码，但无法保证应用程序在发布时没有错误。应用程序发布后，难免会出现问题，而且这些问题往往在客户使用时出现。当客户遇到问题时，请求远程访问客户计算机进行调试可能不可行，原因包括客户环境或政策不允许入站连接、远程调试会导致服务器停机以及涉及客户隐私等。

这时，事后调试就派上用场了。事后调试主要包括以下步骤：
1. 触发故障发生。
2. 对故障发生时（甚至根据故障类型在故障前后）的系统状态进行快照。
3. 将快照发送给工程师进行进一步分析。

3. 转储文件基础

转储文件是给定进程状态的带外表示，生成转储文件的主要目的是在无需实时调试访问出现故障的计算机的情况下分析应用程序故障。生成转储文件后，可以将其发送给工程师，工程师在自己的计算机上加载转储文件，利用调试器的事后调试功能分析故障。

转储文件分为两类：
- 完整转储 ：包含进程的整个内存空间，如可执行映像、句柄表和其他调试器使用的信息，且无法自定义收集的数据量，但可以使用调试器将其转换为迷你转储文件。
- 迷你转储 ：内容可变，可由转储文件生成器根据使用的生成器进行自定义。其包含的信息范围从特定线程的信息到被转储进程的详尽描述。最大的迷你转储文件实际上可能包含比完整转储文件更多的调试信息。

为了更好地说明转储文件的生成过程，我们使用一个简单的应用程序，其代码如下：

void __cdecl wmain ( )
{
    WCHAR* pszTitle=L”Advanced Windows Debugging”;
    wprintf(L”Press any key to start\n”);
    WCHAR* pBuffer=(WCHAR*) new WCHAR[wcslen(pszTitle)+1];
    if(pBuffer)
    {
        StringCchCopy(pBuffer, wcslen(pszTitle)+1, pszTitle);
        wprintf(L”Title: %s\n”, pBuffer);
        pBuffer=NULL;
        *pBuffer=’\0’;
    }
    else
    {
        wprintf(L”Failed to allocate memory\n”);
    }
    wprintf(L”Press any key to end\n”);
    __getch();
}

这个应用程序的崩溃原因很明显，在将字符串复制到新分配的堆缓冲区后，字符串指针被重置为 null，随后在对缓冲区进行空终止时使用该指针，导致崩溃。接下来我们将说明如何使用调试器生成转储文件。

4. 使用调试器生成转储文件

我们使用上述示例应用程序，其编译版本的位置如下：
- 源代码：C:\AWD\Chapter13
- 二进制文件：C:\AWDBIN\WinXP.x86.chk\awdscenario1.exe

在调试器下运行该应用程序，继续执行直到崩溃发生：

....
ModLoad: 5cb70000 5cb96000   C:\WINDOWS\system32\ShimEng.dll
Press any key to start
Title: Advanced Windows Debugging
(9d8.f0c): Access violation - code c0000005 (first chance)
First chance exceptions are reported before any exception handling.
This exception may be expected and handled.
eax=00000000 ebx=7ffd5000 ecx=77c418bf edx=77c61b78 esi=7c9118f1 edi=00011970
eip=0100127e esp=0007ff1c ebp=0007ff44 iopl=0         nv up ei pl nz na po nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00010202
awdscenario1!wmain+0xbe:
0100127e c60000          mov     byte ptr [eax],0           ds:0023:00000000=??
0:000> kb
ChildEBP RetAddr  Args to Child
0007ff44 01001495 00000001 00032bf0 00036890 awdscenario1!wmain+0xbe
0007ffc0 7c816fd7 00011970 7c9118f1 7ffd5000 awdscenario1!wmainCRTStartup+0x12f
0007fff0 00000000 01001366 00000000 78746341 kernel32!BaseProcessStart+0x23

不出所料，我们因为二次访问冲突而崩溃。此时，我们希望生成一个转储文件进行进一步的事后分析。生成转储文件时最大的问题是要包含多少信息。一般来说，转储文件中存储的状态越多，事后调试时可用的信息就越多，但转储文件的大小是最大的限制因素。

使用 .dump 命令生成转储文件， .dump /m 选项指示调试器生成迷你转储文件，此外， .dump /m 命令还可以使用其他一些选项，如下表所示：
| 选项 | 描述 |
| — | — |
| a | 生成包含所有选项的完整迷你转储，包括完整内存数据、句柄信息数据、模块信息、基本内存信息和线程信息，等同于使用 /mfFhut 。 |
| f | 生成包含所属进程所有可访问和已提交页面的迷你转储。 |
| F | 生成包含调试器重建整个虚拟内存地址空间所需的所有基本内存信息的迷你转储。 |
| h | 生成包含句柄信息的迷你转储。 |
| u | 生成包含未加载模块信息的迷你转储，此选项仅在 Windows Server 2003 上可用。 |
| t | 生成包含线程时间信息的迷你转储，线程时间信息包括创建时间以及用户模式和内核模式时间。 |
| i | 生成包含二级内存信息的迷你转储，二级内存是指由堆栈指针或后备存储引用的任何内存（及其周围的小区域）。 |
| p | 生成包含进程和线程环境块的迷你转储。 |
| w | 生成包含所有已提交的读写私有页面的迷你转储。 |
| d | 生成包含所有映像数据段的迷你转储。 |
| c | 生成包含所有映像代码段的迷你转储。 |
| r | 生成适用于需要考虑隐私的场景的迷你转储，此选项会擦除（用零替换）重新创建堆栈不需要的任何信息（包括局部变量）。 |
| R | 生成适用于需要考虑隐私的场景的迷你转储，此选项会从迷你转储中移除完整的模块路径，从而确保用户目录结构的隐私。 |

除了控制转储文件内容的各种选项外，还必须指定转储文件的名称。如果未指定完整路径，转储文件将默认生成在调试器启动的目录中。以下示例展示了如何使用完整路径生成包含完整内存信息的转储文件：

.dump /mf c:\dumpfile.dmp

在我们的崩溃应用程序上运行上述 .dump 命令：

0:000> .dump /mf dumpfile.dmp
Creating dumpfile.dmp - mini user dump
Dump successfully written

调试器完成生成转储文件后，你将得到一个大约 3MB 大小的文件。要使用该转储文件，在新的调试器实例中使用 /z 开关加载它，例如：

c:\>windbg –z dumpfile.dmp

调试器加载转储文件后，会显示以下调试输出：

…
…
Loading Dump File [C:\dumpfile.dmp]
User Mini Dump File with Full Memory: Only application data is available
Windows XP Version 2600 (Service Pack 2) UP Free x86 compatible
Product: WinNt, suite: SingleUserTS Personal
Debug session time: Thu Nov 16 17:59:25.000 2006 (GMT-8)
System Uptime: 0 days 8:45:08.239
Process Uptime: 0 days 0:01:35.000
…
This dump file has an exception of interest stored in it.
The stored exception information can be accessed via .ecxr.
(9d8.f0c): Access violation - code c0000005 (first/second chance not available)
eax=00000000 ebx=7ffd5000 ecx=77c418bf edx=77c61b78 esi=7c9118f1 edi=00011970
eip=0100127e esp=0007ff1c ebp=0007ff44 iopl=0         nv up ei pl nz na po nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00010202
awdscenario1!wmain+0xbe:
0100127e c60000          mov     byte ptr [eax],0           ds:0023:00000000=??

在调试输出的顶部附近，你会注意到调试器提供了有关正在加载的转储文件的一些基本信息，包括转储文件的位置、类型以及可用信息。调试器输出的末尾会显示故障原因（访问冲突）。有了这个转储文件，你就可以在任何计算机上调试这个故障，而无需物理访问出现故障的计算机。

执行上述命令行时，实际上是更改了 Windows 在检测到进程崩溃时会查看的一些注册表值。事后调试器设置使用的注册表路径为：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AeDebug

该注册表项包含两个对事后调试器设置至关重要的值：
- Auto ：该注册表值决定了在发生崩溃且设置了事后调试器时是否显示消息框。如果值设置为 0，则显示消息框；反之，设置为 1 则不显示。显示的消息框通常是“应用程序 X 遇到问题，需要关闭”，用户可以在该消息框中选择调试有故障的应用程序、发送错误报告或跳过发送错误报告。
- Debugger ：该注册表值决定了在进程发生故障时应调用哪个事后调试器。这个值可以手动编辑以指定事后调试工具，也可以在将任何调试器配置为事后调试器时由调试器自动填充。除了工具名称外，命令行的其余部分类似于： -p %ld -e %ld -g ，其中 -p %ld 部分指示调试器应附加到哪个进程， -e %ld 开关指定在附加进程完成时发出信号的事件， -g 开关指示调试器忽略附加到进程时始终会出现的默认第一个断点。

如果想指定额外的选项，ntsd 和 cdb 在使用 -iaec 开关运行时可以选择指定一个键字符串，该键字符串允许在使用调试器自己的事后注册过程时向 Debugger 注册表值添加额外的选项。例如，要设置 ntsd 进行源代码行调试，可以使用以下命令行：

ntsd -iaec -lines

检查 Debugger 注册表值，你会发现 -lines 开关已被添加：

ntsd.exe -p %ld -e %ld -g -lines

尽管调试器在生成转储文件时通常提供了足够的功能和灵活性，但还有一个额外的工具可以使用，即 ADPlus。

5. 使用 ADPlus 生成转储文件

ADPlus 是一个用于监控和自动为一个或多个有故障的进程生成转储文件的工具，并且在崩溃发生时能够通知用户或计算机。ADPlus 是一个命令行驱动的脚本，微软强烈建议在 cscript.exe 解释器下运行它。如果默认脚本解释器设置为其他程序，会出现一个对话框询问是否要将解释器更改为 cscript.exe。除了命令行选项外，ADPlus 还可以基于配置文件工作，配置文件允许对 ADPlus 的操作流程进行更精细的控制。

ADPlus 可以在以下两种模式下运行：
- 挂起模式 ：用于排查出现挂起症状（如无进展或 100% CPU 利用率）的进程。必须在要监控的进程已经挂起后启动 ADPlus。
- 崩溃模式 ：用于排查出现崩溃行为的进程。必须在进程崩溃之前启动 ADPlus。

我们以崩溃模式为例，说明如何使用 ADPlus 为 awdscenario1.exe 生成转储文件。首先运行 awdscenario1.exe 应用程序：

C:\AWDBIN\WinXP.x86.chk\awdscenario1.exe

在按任意键继续执行之前，运行以下命令行：

C:\>adplus.vbs -crash -pn awdscenario1.exe -y SRV*c:\Symbols*http://msdl.microsoft.com/download/symbols

-crash 开关将 ADPlus 置于崩溃模式， -pn 开关告诉 ADPlus 要监控的进程名称， -y 设置了 ADPlus 执行过程中要使用的符号路径。使用 -pn 开关的好处是它可以按名称监控任何给定进程名称的任意数量的实例。

执行完成后，ADPlus 会将生成的日志文件放在 Windows 调试工具的安装路径下的一个目录中，该目录的名称结构如下：

<运行类型>_模式__日期_<运行日期>__时间_<运行时间>

例如，当 ADPlus 执行完成后，创建了以下目录：

C:\Program Files\Debugging Tools for Windows\崩溃_模式__日期_10 - 21 - 2006__时间_10 - 31 - 17AM

注意，可以使用 -o 开关更改默认路径。

在上述目录中有几个文件，其中最重要的是 *.dmp 文件，它们包含了运行过程中的所有转储信息。可以看到，每次崩溃会收集多个转储文件。这是因为 ADPlus 会自动收集转储文件，并在执行过程中某些预设条件发生时生成转储文件。转储文件的名称可以提供生成该文件的原因线索。例如，在之前的运行中，ADPlus 生成了以下转储文件：

PID - 2728__AWDSCENARIO1.EXE__首次_访问冲突__迷你_0BA8_2006 - 10 - 21_10 - 31 - 30 - 671_0AA8.dmp
PID - 2728__AWDSCENARIO1.EXE__首次_进程关闭__完整_0BA8_2006 - 10 - 21_10 - 31 - 30 - 718_0AA8.dmp
PID - 2728__AWDSCENARIO1.EXE__二次_访问冲突__完整_0BA8_2006 - 10 - 21_10 - 31 - 30 - 687_0AA8.dmp

ADPlus 在首次访问冲突发生时生成了一个迷你转储文件，在二次访问冲突发生时生成了一个完整转储文件，最后在进程关闭时也生成了一个完整转储文件。对于我们的特定运行，可能不需要所有这些转储文件，在这种情况下，最有用的转储文件是二次访问冲突的那个。不过，在某些情况下，定期生成转储文件可能非常有用，因为它可以提供进程系统恶化的历史视角。

ADPlus 甚至为用户提供了一种强大的方式来配置信息收集的频率和条件，本质上是为调试器提供了一个脚本前端。可以在调试器文档中了解更多关于 ADPlus 脚本功能的信息。需要注意的是，ADPlus 的脚本引擎并没有什么“神奇”之处，它只是将用户友好的调试器指令转换为纯粹的自动化调试器命令。可以通过查看与转储文件位于同一目录中的 CDBScripts 目录来了解用户友好的配置是如何转换为调试器命令的。在我们的示例中，CDBScripts 目录包含一个名为 PID - 2728__AWDSCENARIO1.EXE.cfg 的文件，其中包含了该 ADPlus 会话中使用的所有调试器命令。

最后，关于 ADPlus，还可以通过四个命令行开关来控制在故障发生时生成的转储文件类型：
- -FullOnFirst ：此开关使 ADPlus 在首次异常发生时生成完整转储文件。
- -MiniOnSecond ：此开关使 ADPlus 在二次异常发生时生成迷你转储文件。
- -NoDumpOnFirst ：此开关告诉 ADPlus 在首次异常发生时不生成迷你转储文件，这在应用程序有时会生成可正常处理的首次异常时非常有用。
- -NoDumpOnSecond ：此开关告诉 ADPlus 在二次异常发生时不生成迷你转储文件。

ADPlus 是一个方便、强大且灵活的工具，用于监控和收集有故障进程的数据。除了创建用户模式转储文件，还可以创建内核模式转储文件，下面将介绍如何生成内核模式转储文件。

6. 创建内核转储文件

与用户模式调试器一样，可以将任何内核内存转储用作目标映像，这项功能主要由内核驱动程序开发人员用于事后调查驱动程序故障。有时，用户模式开发人员也可以从使用内核转储中受益，例如当系统是关键生产系统且不能停机时，或者当问题由客户报告且进程转储不足以解决问题时。

如前所述，崩溃转储文件是在严重系统异常发生时机器状态的转储。可以通过调试工具将其加载到调试器中进行分析，以获取有关机器状态的信息，并最终找出导致崩溃的原因。

在创建崩溃转储文件之前，必须启用并配置转储文件的创建。要配置这些设置，请按以下步骤操作：
1. 打开控制面板。
2. 点击“系统”图标。
3. 选择“高级”选项卡。
4. 转到“启动和恢复”区域，点击“设置”按钮，如图所示。

设置界面

然后，从“写入调试信息”列表中选择所需的转储文件大小。对于任何给定的崩溃，只能创建一个转储文件，不同转储文件的区别在于大小。完整内存转储最大且包含的信息最多，内核内存转储稍小，小内存转储仅为 64KB。这三种内核模式崩溃转储文件的内容如下：
- 完整内存转储 ：包含故障发生时机器的所有物理内存。该转储文件要求引导驱动器上的页面文件至少与主系统内存一样大，即应能够容纳一个大小等于整个 RAM 加 1MB 的文件。
- 内核内存转储 ：包含崩溃发生时内核使用的所有内存。这种转储文件比完整内存转储小得多，通常约为系统物理内存的三分之一。它不包括未分配的内存或分配给用户模式应用程序的任何内存，仅包括分配给 Windows 内核和硬件抽象层（HAL）的内存，以及分配给内核模式驱动程序和其他内核模式程序的内存。
- 小内存转储（迷你转储） ：比其他两种内核模式崩溃转储文件小得多，大小正好为 64KB，只需要引导驱动器上有 64KB 的页面文件空间。当空间非常有限时，这种转储文件可能很有用。然而，由于包含的信息量有限，对该文件的分析可能无法发现不是由崩溃时执行的线程直接导致的错误。

小内存转储文件包含以下信息：
- 错误检查消息和参数，以及其他蓝屏数据。
- 发生崩溃的处理器的处理器上下文（PRCB）。
- 发生崩溃的进程的进程信息和内核上下文（EPROCESS）。
- 发生崩溃的线程的线程信息和内核上下文（ETHREAD）。
- 发生崩溃的线程的内核模式调用堆栈，如果该堆栈长度超过 16KB，则只包含最上面的 16KB。
- 已加载驱动程序的列表。

在 Windows XP 和 Windows Server 2003 中，还包括以下项目：
- 已加载模块和未加载模块的列表。
- 调试器数据块，包含有关系统的基本调试信息。
- Windows 识别为对调试故障有用的任何额外内存页面，包括崩溃发生时寄存器指向的数据页面，以及故障组件特别请求的其他页面。
- （仅适用于 Itanium 处理器）后备存储。
- （仅适用于 Windows Server 2003）Windows 类型，例如“专业版”或“服务器版”。

在某些情况下，系统可能没有崩溃，因此不会创建崩溃转储文件。对于这些情况，手动创建崩溃转储文件可能会很有帮助。在大多数系统上，可以使用 PS2 键盘来完成此操作，但需要进行额外的配置以启用手动崩溃转储创建。除了设置转储文件的大小和位置外，还必须在注册表中启用键盘启动的崩溃。在注册表项 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\i8042prt\Parameters 中，创建一个名为 CrashOnCtrlScroll 的值，并将其设置为 REG_DWORD 0x1 （或任何非零值）。系统重启后，可以通过按住最右边的 CTRL 键并按两次 SCROLL LOCK 键来生成崩溃，这将导致系统调用 KeBugCheck() 并使用错误检查代码 0xE2 （手动启动的崩溃）。

在内核调试会话中常见的一个问题是，某些页面没有加载到物理内存中。由于任何换出的内存地址都不包含在转储中，因此通常更倾向于调试实时机器而不是使用内核转储。如果系统上启用了内核调试器，内核调试器会提示调查崩溃情况；如果未连接内核调试器，系统将冻结，等待内核调试器连接。

可以使用内置的转储命令 .dump [选项] <文件名> 来生成显式转储，如下所示：

kd> * .dump 不带参数会创建一个迷你内核转储文件
kd> .dump %temp%\mini.dmp
Creating c:\temp\mini.dmp - mini kernel dump

所有转储信息都会通过调试器和主机之间的通信管道传输，如果请求的转储对于内核调试器主机和内核调试器目标之间的通信通道来说太大，调试器会发出警告。例如，从具有 256MB 内存的系统中捕获完整内存转储需要通过通道传输所有这些数据，这在串行连接上可能需要数小时。在此期间，调试器目标系统将无法运行。

综上所述，无论是 32 位与 64 位系统的交互调试，还是用户模式和内核模式的事后调试，都有相应的工具和方法来帮助开发人员定位和解决问题。通过合理运用这些技术，可以提高软件开发的质量和稳定性。

《Windows 调试：从 32 位到 64 位及事后调试全解析》

7. 事后调试分析流程

在获取到转储文件后，就可以开始进行事后调试分析。以下是一个通用的事后调试分析流程：
1. 加载转储文件 ：使用调试器（如 WinDbg）的 /z 开关加载转储文件，例如 windbg –z dumpfile.dmp 。
2. 查看基本信息 ：调试器加载转储文件后，会显示一些基本信息，包括操作系统版本、系统运行时间、进程运行时间等。这些信息有助于了解系统和进程的状态。
3. 定位异常信息 ：通过 .ecxr 命令可以访问存储在转储文件中的异常信息，查看异常类型（如访问冲突）和错误代码。
4. 分析调用堆栈 ：使用 kb 命令查看调用堆栈，了解程序执行到异常发生时的函数调用顺序，这有助于定位问题发生的代码位置。
5. 检查寄存器值 ：查看寄存器的值，了解异常发生时程序的上下文信息，例如 eax 、 ebx 等寄存器的值。
6. 查看模块信息 ：使用 lm 命令查看加载的模块信息，确认是否有异常的模块加载。
7. 结合源代码调试 ：如果有源代码和符号文件，可以使用调试器的源代码调试功能，更直观地查看代码执行情况。

8. 常见问题及解决方法

9. 调试工具的选择和使用建议

10. 调试技巧和经验分享

设置断点 ：在调试过程中，可以使用调试器的断点功能，暂停程序的执行，方便查看程序的状态和变量的值。
使用条件断点 ：可以设置条件断点，只有当满足特定条件时才会触发断点，提高调试效率。
保存调试会话 ：在调试过程中，可以保存调试会话，方便后续继续调试。
多线程调试 ：对于多线程应用程序，要注意线程的同步和互斥问题，使用调试器的线程调试功能查看线程的状态和执行情况。

11. 总结与展望

通过本文的介绍，我们了解了 Windows 调试从 32 位到 64 位的交互问题，以及事后调试的相关知识和方法。无论是用户模式还是内核模式的调试，都有相应的工具和技术来帮助我们定位和解决问题。

在未来的软件开发中，随着系统的复杂性不断增加，调试工作将变得更加重要。我们需要不断学习和掌握新的调试技术和工具，提高调试效率和准确性。同时，也要注重代码的质量和稳定性，减少潜在的问题，从源头上降低调试的难度。

希望本文能够对大家在 Windows 调试方面有所帮助，让我们在软件开发的道路上更加顺利。

以下是一个简单的 mermaid 流程图，展示了事后调试的基本流程：

graph TD;
    A[获取转储文件] --> B[加载转储文件];
    B --> C[查看基本信息];
    C --> D[定位异常信息];
    D --> E[分析调用堆栈];
    E --> F[检查寄存器值];
    F --> G[查看模块信息];
    G --> H[结合源代码调试];
    H --> I[得出结论];

通过这个流程图，我们可以更清晰地看到事后调试的主要步骤，从获取转储文件开始，逐步深入分析，最终得出问题的结论。