WINDBG 查崩溃

Windbg教程:快速入门Windows系统崩溃分析
最新推荐文章于 2024-04-30 23:20:55 发布
原创 最新推荐文章于 2024-04-30 23:20:55 发布 · 627 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#系统安全 #功能测试

前言:windbg大家都很熟悉,它是做windows系统客户端测试的QA人员很应该掌握的定位程序崩溃原因的工具,

网上也有很多资料,但是真正适合QA阅读和实用的资料不多,我把我认为最重要最应该掌握的结合以前的使用经验分享一下:

基础篇

1、  打开windbg,打开dmp文件,File——〉open crash dump(其实有更方便的方法,后面会说)

2、  设置符号下载路径和加载路径,File——〉symbol file path,输入srv*d:\symbolslocal*http://msdl.microsoft.com/download/symbols,中间这个路径可以随意设置,如果有其他符号路径,比如产品的模块PDB,加分号分隔即可。

符号是可以定位到具体函数,甚至具体错在哪一行代码的。在分析过程中只要dmp中牵涉到相关的微软模块的pdb都会被下载和加载。网上也有“集合版”的pdb,可以自行搜索,但是符号对应模块的版本不一定适合。

3、  弹出一个workspace的对话框,选什么都无所谓,yes、no都一样,不需要关注

4、  打开dump以后可以看到命令行窗口,如下图打开一个IE的dump文件:

5、  上图最下方的输入窗口就是用来输入调试命令的

6、  第一条命令: !analyze –v,回车,这条命令是万金油,可以自动分析大概是谁导致的崩溃,那么它执行后要关注什么内容?看下图

7、  上图应该怎么看?从下往上看!这里面就是崩溃时内存里面的模块的执行过程。注意看“Following XXX”,字面意思是接下来的段可以错了,程序在这里崩溃了的意思,因为是从下往上走的,所以“Following XXX”上方的内容就是崩溃后的东西,而“Following XXX”下方的内容就是导致崩溃的“原因”,越接近“Following XXX”的越代表有可能是导致崩溃的直接模块,但是这不一定。如果抓到的dmp时机太迟,会出现堆栈破坏的情景,那么“Following XXX”得到的内容可能就是错误的了,那么这个dmp意义就不大,当然QA可以不关注这个,要关注的是如何让自己抓dmp的时机更及时。

8、  第二条命令:kb,回车,这条命令是上面的补充,用来显示当前线程call stack(调用栈)的内容,它可以查看更详细的内存信息,更好的定位崩溃原因,比如上图内容看不到360相关的东西,是不是说这个崩溃和360没关系呢?不一定!看kb的内容

9、  记住从下往上看!上图可以看到是IE调用了safemon.dll的函数后才开始创建dmp的,是不是有理由怀疑这个崩溃和网盾有关了?提BUG吧!

10、  可惜我们只看到和网盾有关,但是具体是网盾什么函数、什么参数导致的都看不到,如何看?这时就看出符号文件的重要性了!

Ps:还有一个命令是~*kb ,它用来显示dump中所有线程的call stack, 一般用到它说明这个dump已经比较难看了,可以从命令结果中搜索KiUserExceptionDispatcher等关键字,一般可以认为存在KiUserExceptionDispatcher的线程就是导致崩溃的线程。

高级篇 

1、  设置DMP类型文件关联用windbg打开

  a) cmd到windbg目录运行windbg –IA 

2、  手动抓DMP的方法:

  a) 如果程序崩溃后没有DMP文件生成可采取下面方法转存DUM。

  b) 当程序崩溃还没有退出的时候,开启WINDEBUGGER程序,在FILE——执行attach to a process——选择崩溃的进程。

  c) 再执行.dump /ma C:\testdump.dmp(如果没有/ma,dump大小比较小) 

3、自动抓DMP的方法:

  a) cmd到windbg目录运行 windbg -IS

  b) 进行导致崩溃的操作

  c) 即可抓到dmp,执行.dump /ma C:\testdump.dmp 

4、  使用windbg调起进程调试

  a) 开启WINDEBUGGER程序,在FILE——执行Open Executable——选择要进行调试的进程文件

  b) 当进程没有自保护或者没有反调试时,在input框输入g,回车,即可打开进程,此时如果进程发生崩溃,会被立即捕捉到。这种方法拿到的dmp比第二种更好。

5、  设置Global Flags,自动attach进程。Global Flags(简称gflags),设置它之后,目标进程启动时会立即被attach,主要用于调试一些系统进程,或“有依赖的”进程,这些进程不能直接由方法4打开,只能由其他进程调用,而调用用立即崩溃,所以也不能用方法2。这个方法同时可以设置很多检查项。

使用Windbg分析Dump文件:排模态框返回时的崩溃问题
DevPulse的博客
09-07 282
使用Windbg分析Dump文件:排模态框返回时的崩溃问题在软件开发过程中,经常会遇到应用程序在模态对话框返回时崩溃的问题。这种问题的排过程可能会比较复杂,但使用Windbg工具可以帮助我们快速定位并解决问题。本文将介绍如何使用Windbg分析Dump文件来排模态对话框返回崩溃的问题,并提供相应的源代码作为示例。
通过Windbg中汇编指令及内存中的值去定位软件崩溃问题
dvlinker的技术专栏
09-25 9788
通过Windbg中汇编指令及内存中的值去定位软件崩溃问题。
WinDbg 调试程序崩溃操作详解
11-10
作者有10多年编程,调试经验,详解关于Windows 平台下程序崩溃Windbg调试方法及技巧;附带工具介绍 适合于分析C++等语言, .Net 平台等快速入门及提高
如何利用WinDbg找出程序崩溃的位置
08-06
该文档讲解了如何利用WinDbg找出程序崩溃的位置,图文说明,对于使用windbg的朋友可以看看。
WinDbg分析崩溃dump
yuanshenqiang的博客
04-30 3071
4.在输出信息中有“模块名!如果找不到pdb符号文件,excr 输出信息中可能会没有函数名,即"模块名+offset",这个offset为offset0+offset1,如果想看这个崩溃位置所在的函数,可以用kn 指令看当前线程的函数调用栈,最上面那一行就是目标函数信息,这样也可以推算出offset0和offset1。在模块的反汇编文件中,基地址是.textbss的Imagebase后面的数字,可以根据第4步算出来的offset0和offset1,叠加上这个基地址,就可以定位到出错的指令位置。
使用windbg看程序崩溃
huashuolin001的博客
09-22 2963
1. 打开windbg 2. 设置符号文件路径 打开File>Symbol File Path,输入pdb所在文件的目录,如图: 2. 打开dump文件,如图 4. 输入命令:!analyze -v 然后回车,就会出现分析结果,如图: ...
利用windbg分析崩溃,句柄泄漏,死锁,CPU高,内存泄漏
生活需要深度
11-10 2032
Windbg的一些简单使用命令。
使用WinDbg分析软件突然崩溃的问题
故里2130
11-10 1625
t,也能看到异常,但是异常是BadImageFormatException,明显是不对的,但是点击进去的话,也可以看到是MessageBoxShow方法报错的。因此,我们写一个wpf程序,调用c++的dll,然后点击按钮,直接崩溃,生成dmp,然后分析dmp文件。出现这种错误类型的提示,因为生成的c++的dll,我采用了不同的方式生成的,所以同样的代码,报错的类型不一样,但是最终指定报错的地方是一样的。t,就已经能看到异常了,当然是因为程序比较简单,而且我也专门写的这个错误,空引用异常了,非常的准确。
windows系统中用windbg收集程序崩溃信息
邓校长的编程课堂专栏
09-07 2270
利用windbg工具抓取、收集程序异常崩溃信息,并导出为dmp文件供分析,分析dmp文件时一般需要pdb文件才能定位至具体的异常代码行
Qt+WinDbg分析程序崩溃原因
weixin_46424582的博客
08-11 2651
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、dmp文件如何生成?1.自定义异常捕获入口函数2.生成pdb文件3.测试程序二、利用winDbg进行分析1.打开工具并配置相关信息2.开始分析总结 前言 程序开发免不了产生错误,其中最头疼的当属程序莫名其妙的崩溃,而且你还不知道具体原因。若是在开发阶段还好,自己可以debug一步步调试,但是一旦发布了,就没那么容易定位了。那么这个时候,就需要看程序运行的log来询了,当然还有一种就是在程序崩溃前弹出一个窗口,生成对
C++程序崩溃时,使用Windbg静态分析dump文件
xiaofeizai1116的博客
11-06 1509
C++程序崩溃时,使用Windbg静态分析dump文件
windbg 看程序异常崩溃
csdn_5200的博客
09-06 3339
1.在实际过程中,可能会遇到未知的问题,导致程序崩溃 如: 2.到任务管理器找到进程右键dump出来 3.安装windbg,用windbg打开刚才创建的dmp文件 4.必须先加载sos.dll .load C:\Windows\Microsoft.NET\Framework64\v2.0.50727\sos.dll 然后输入:~* kb 或者 !eestack 列出所有...
windbg 调试崩溃
tuan8888888的博客
01-21 1888
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 windbg 是非常强大的调试工具,但是在使用windbg 进修调试时候,很多的命令不知道如何使用。文章简单介绍如何使用windbg进行调试 https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/debugger-download..
使用Windbg分析dump文件,排模态框返回时的崩溃问题
dvlinker的技术专栏
06-10 4792
使用windbg分析dump文件,排模态框返回时的崩溃问题。
windbg调试分析dump工具,使用windbg分析Qt崩溃原因
weixin_40355471的博客
11-05 2963
在非开发环境,windbg工具可以对.exe可执行文件进行调试,也可以分析dump文件,是release版本运行模式解决bug的神器,分析崩溃crash,windbg下载和安装,windbg调试exe可执行文件,windbg分析dump文件,生成.pdb符号文件,windbg常用命令.sympath srv*,.reload,x testDump!*,bm ,bl,g,k,dv /t,~,~0s,~*kv,qd,!analyze -v等。
使用Windbg分析从系统应用程序日志中找到的系统自动生成的dump文件去排程序崩溃问题
热门推荐
dvlinker的技术专栏
07-31 5万+
当程序中安装的异常捕获模块捕获不到异常、没有生成dump文件时,可以尝试到系统应用程序日志中去找系统自动生成的dump文件,以排当前的软件崩溃问题。本文以一个项目问题实例去详细讲述如何从系统应用程序日志中找到的系统自动生成的dump文件,然后使用Windbg打开dump文件进行静态分析去排异常崩溃问题。
Windows下的Dump文件
xiaoluo91的专栏
08-04 1万+
一、    生成Dump文件方式 1.1任务管理器 在程序崩溃后,先不关闭程序,在任务管理器中找到该程序对应的进程。右键—>创建转储文件。 此时会在默认的目录下创建出一个dump文件。 可以看出,此种方法只使用与程序崩溃但没有立即自行退出的情况。倘若程序故障或自行退出,则此方法就难以应用。不过,我们可以在注册表中添加如下信息已确保系统在程序崩溃后自行保存一个dump文件
【Qt】程序崩溃WinDbg方案
m0_46599313的博客
11-22 849
有了它,还加什么班
windbg 定位分析释放堆崩溃的问题
过好每一天的女胖子
03-01 692
RtlFreeHeap释放堆异常
windbg内存泄漏
最新发布
08-06
使用 WinDbg 工具找内存泄漏是一项涉及系统级调试和分析的任务,它要求对 Windows 内存管理机制和调试器命令有较深入的理解。以下是几种常用的方法和步骤,用于通过 WinDbg 检测和跟踪内存泄漏。 ### 1. 配置符号路径并附加到进程 首先,确保 WinDbg 能够访问正确的符号文件(PDB),这有助于准确地识别模块和函数。可以通过以下命令设置符号路径: ```shell .sympath SRV*C:\Symbols*https://msdl.microsoft.com/download/symbols ``` 然后,附加到目标进程: ```shell .attach <进程ID> ``` 或者,如果是从内存转储文件开始分析,则使用: ```shell .opendump <dump文件路径> ``` ### 2. 启用用户模式堆栈跟踪(UMDH) 为了更好地跟踪内存分配,可以启用用户模式堆栈跟踪(UMDH)。这需要在启动目标进程之前完成。可以使用以下命令来启用: ```shell !gflag +ust ``` 如果已经附加到进程,可以尝试重新启动进程以应用 UMDH 设置。 ### 3. 使用 `!heap` 命令分析堆内存 `!heap` 是 WinDbg 中用于分析堆内存的重要命令。它可以显示所有堆的信息,包括每个堆的大小、分配次数等。例如: ```shell !heap -s ``` 此命令会列出所有堆的摘要信息。如果发现某个堆的大小异常增长,可以进一步使用以下命令看该堆的详细信息: ```shell !heap -h <堆地址> ``` 这将显示堆的详细统计信息,包括分配块的数量和大小。 ### 4. 使用 `!dumpheap` 命令分析 .NET 托管内存 对于 .NET 应用程序,`!dumpheap` 是一个非常有用的命令,它可以列出堆中的所有对象。通过比较不同时间点的对象数量和大小,可以识别潜在的内存泄漏。例如: ```shell !dumpheap -stat ``` 此命令会按类型统计所有对象的数量和总大小。如果发现某个类型的实例数量异常增长,可以进一步使用以下命令看该类型的详细信息: ```shell !dumpheap -type <类型名称> ``` 这将列出该类型的所有实例及其地址。可以结合 `!gcroot` 命令来看这些对象的引用链,从而找到导致它们无法被垃圾回收的原因: ```shell !gcroot <对象地址> ``` ### 5. 使用 `!objsize` 命令分析特定对象的内存占用 在某些情况下,可能需要分析某个特定对象的内存占用情况。可以使用 `!objsize` 命令来获取对象的大小及其包含的字段信息。例如: ```shell !objsize <对象地址> ``` 这将显示该对象的大小及其各个字段的详细信息。结合 `!dumpobj` 命令可以看对象的具体内容: ```shell !dumpobj /d <对象地址> ``` ### 6. 使用 `!leak` 命令自动检测内存泄漏 WinDbg 提供了一个自动化检测内存泄漏的命令 `!leak`,它可以自动比较两个时间点的堆内存分配情况,识别出增长的对象类型。例如: ```shell !leak -p ``` 此命令会启动一个交互式会话,提示用户进行两次快照的对比。第一次运行时,系统会记录当前的堆内存状态;第二次运行时,系统会比较当前状态与第一次的状态,找出增长的对象类型。 ### 7. 使用 `!analyze -v` 进行全面分析 最后,可以使用 `!analyze -v` 命令进行一次全面的崩溃分析。虽然这个命令主要用于分析崩溃问题,但它也可以提供一些关于内存使用的有用信息,尤其是在分析内存不足导致的崩溃时: ```shell !analyze -v ``` ### 8. 使用 `!threadpool` 命令分析线程池 在某些情况下,内存泄漏可能是由线程池中的未释放资源引起的。可以使用 `!threadpool` 命令来看线程池的状态: ```shell !threadpool ``` 这将显示线程池的工作线程、I/O 完成端口线程等信息,帮助识别是否有线程池资源未被正确释放。 ### 9. 使用 `!clrstack` 和 `!u` 命令分析调用栈 对于 .NET 应用程序,可以使用 `!clrstack` 命令看当前线程的托管调用栈,帮助定位内存分配的具体位置: ```shell !clrstack ``` 结合 `!u` 命令可以反汇编当前的代码段,进一步分析内存分配的上下文: ```shell !u <方法地址> ``` ### 10. 使用 `!dumpmt` 和 `!dumpdomain` 命令分析类型和应用程序域 在 .NET 应用程序中,类型和应用程序域的管理也会影响内存使用。可以使用 `!dumpmt` 命令看类型元数据的信息: ```shell !dumpmt -md <方法表地址> ``` 结合 `!dumpdomain` 命令可以看应用程序域中的程序集和类型加载情况: ```shell !dumpdomain ``` 这些命令可以帮助识别是否有类型或程序集未被正确卸载,从而导致内存泄漏。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值