使用Windbg查看CrashDump

最新推荐文章于 2025-06-11 10:53:05 发布
原创 最新推荐文章于 2025-06-11 10:53:05 发布 · 4.9k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Windows #Windbg #dump

本文介绍如何使用Windbg工具加载并分析Windows系统的Crash Dump文件。通过执行特定命令可以获取到故障进程名称、异常代码等关键信息,帮助开发者快速定位问题原因。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文介绍如何使用Windbg简单查看Windows Crash Dump.

WWindbg symbol配置:

SRV*D:\Symbols*http://msdl.microsoft.com/download/symbols

 

载入CrashDumpdmp文件

Dump File Edit View Debug Window Help Open Source File... Close Current Window Open Executable... Attach to a Process... O en Crash Dum Connect to Remote Session... Connect to Remote Stub... Kernel Debug... Symbol File Path Ctrl+O Ctrl* F4 Ctrl+E d64fre Ctrl+D Ctrl+R Ctrl+K Ctrl+S Win[ 0633

 

载入后,执行!analyze-v

Command Probably caused by wininiü exe Followup MachineOwner I: \ analyze —v Bugcheck Analysis cri tical system process died Arguments: ÅrgI ffffe00004BedS40, Årg2 0000000000000000 Årg3 0000000000000000 Årg4 0000000000000000 Debugging Details: DUMP CLASS: 1 DUMP_QUÅLIFIER: 401 BUILD VERSION STRING SYSTEM MANUFACTURER Process object or thread object If this is O, a process dieff If this 160330-0600 a thread dieff 3600 IBSOS •md64fre winblue Microsoft Corporat ion Itsy VIRTUAL MACHINE HyperV SYSTEM PRODUCT NAME Virtual SYSTEM VERSION Machine BIOS BIOS BIOS VENDOR VERSION DATE American Mega trends Inc 030006 05/23/2012

 

相关的参数说明:

FAULTING_IP

发生错误时候的指令的指针

EXCEPTION_RECORD

崩溃时的异常记录,信息可以通过.exr命令显示出来

BUGCHECK_STR

异常代码(exception code)

DEFAULT_BUCKET_ID

本次错误属于哪种类型的错误

PROCESS_NAME

导致异常的进程名

LAST_CONTROL_TRANSFER

堆栈上的最新的调用

STACK_TEXT

显示错误时的堆栈跟踪

SYMBOL_NAME

对应的符号名称

MODULE_NAME

对应的模块名称

DEBUG_FLR_IMAGE_TIMESTAMP

对应的时间戳

STACK_COMMAND

打印堆栈的命令

BUCKER_ID

当前故障所属的种类


通过查看Windbg中汇编指令及内存中的值去定位软件崩溃问题
dvlinker的技术专栏
09-25 9706
通过查看Windbg中汇编指令及内存中的值去定位软件崩溃问题。
使用Windbg分析dump文件排查C++软件异常的一般步骤与要点分享
dvlinker的技术专栏
10-16 3万+
本文详细总结了使用Windbg静态分析dump文件去排查C++软件异常的一般步骤与方法,供大家借鉴或参考。
WinDbg分析崩溃dump
yuanshenqiang的博客
04-30 2727
4.在输出信息中有“模块名!如果找不到pdb符号文件,excr 输出信息中可能会没有函数名,即"模块名+offset",这个offset为offset0+offset1,如果想看这个崩溃位置所在的函数,可以用kn 指令查看当前线程的函数调用栈,最上面那一行就是目标函数信息,这样也可以推算出offset0和offset1。在模块的反汇编文件中,基地址是.textbss的Imagebase后面的数字,可以根据第4步算出来的offset0和offset1,叠加上这个基地址,就可以定位到出错的指令位置。
使用windbg查看程序崩溃处
huashuolin001的博客
09-22 2911
1. 打开windbg 2. 设置符号文件路径 打开File>Symbol File Path,输入pdb所在文件的目录,如图: 2. 打开dump文件,如图 4. 输入命令:!analyze -v 然后回车,就会出现分析结果,如图: ...
Windows蓝屏救星:手把手教你分析Minidump文件找出真凶
最新发布
wusandaofwy的博客
06-11 3416
你是否在玩游戏、办公或观看视频时突然遭遇蓝屏?那个显示着“😢 你的设备遇到问题”的蓝色屏幕后面隐藏着一个关键线索——中的神秘文件。本文教你化身数字侦探,揪出蓝屏幕后黑手!
Windbg调试dump文件
bigger_belief的博客
04-28 7761
Windows自带的windbg,在调试工具,使用dump文件查找崩溃的位置
windbg 定位分析释放堆崩溃的问题
过好每一天的女胖子
03-01 647
RtlFreeHeap释放堆异常
使用Windbg分析从系统应用程序日志中找到的系统自动生成的dump文件去排查程序崩溃问题
热门推荐
dvlinker的技术专栏
07-31 5万+
当程序中安装的异常捕获模块捕获不到异常、没有生成dump文件时,可以尝试到系统应用程序日志中去找系统自动生成的dump文件,以排查当前的软件崩溃问题。本文以一个项目问题实例去详细讲述如何从系统应用程序日志中找到的系统自动生成的dump文件,然后使用Windbg打开dump文件进行静态分析去排查异常崩溃问题。
使用Windbg生成dump文件
标题
11-20 724
MicrosoftInternetExplorer402DocumentNotSpecified7.8Normal0 http://blog.youkuaiyun.com/oeichenwei/article/details/4201590 使用Windbg生成dump文件 Windbg生成dump文件的方法: ...
使用Windbg分析dump文件定位软件异常的方法与操作步骤
s13596191285的博客
03-04 369
WinDbg 是一个强大的工具,可以帮助开发人员分析和调试 Windows 应用程序的崩溃问题。通过上述步骤,加载 dump 文件并结合符号文件,可以帮助你定位和分析异常。如果分析过程中遇到复杂的问题,可以参考 WinDbg 的官方文档,进一步学习更多的调试技巧。
通过windbg 得到我们要 hook 的api 地址的方法以及 hook NtOpenProcess 的例子。。。
xum2008的专栏
01-29 2948
今天,突然想对 hook 进行一些学习,因为对于一些底层的操作,都是在于ANTI-HOOK 。。。然后才能得到最后的使用权,为此,自己也要掌握这种很强大的编程手法,那么首先,我们应该知道的一些是,在 win2000 以后,对于 SSDT 的操作,系统都是写了保护的,那么我们首先应该做的是怎么样来解除掉它们,替换我们的执行地址,当然在这里,我们必须要知道这个结构:typedef stru
如何利用WinDbg找出程序崩溃的位置
08-06
该文档讲解了如何利用WinDbg找出程序崩溃的位置,图文说明,对于使用windbg的朋友可以看看。
你开发的软件不知道哪里跑飞闪退了?这个办法可以帮忙定位查看dump
百里杨的博客
05-10 677
QT生成dump、pdb文件,使用windbg打开分析查看堆栈,定位程序崩溃位置。 《你开发的软件不知道哪里跑飞闪退了?这个办法可以帮忙定位》: https://zhuanlan.zhihu.com/p/102103083
windows程序使用Windbg分析dump
steem
04-23 8472
windowsWindbg分析dump文件
Windows 利用DbgView 查看内核打印日志
tanqiuwei的专栏
12-10 3811
Windows中驱动编程过程中需要查看内核日志,本文介绍如何使用DbgView查看。 1.添加注册表 运行dbgviewadd.reg debviewadd.reg内容如下: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Debug...
Windows 内核之双机调试与windbg命令大全
玄道的网安博客
12-29 1143
在今后会有相当的实验环节,对于windows内核实验,调试环境是必不可少的,本章讲解双机调试的环境搭建与常见的WINDBG指令。 准备材料: VMware workstation : [https://www.vmware.com/go/downloadworkstation-cn] windows 7 x64 ISO (请使用种子下载工具进行下载): [ed2k://|file|cn_windows_7_ultimate_with_sp1_x64_dvd_u_677408.iso|34205573
Windbg调试内核 操作手册
IT男也疯狂
05-23 826
前提:    符号已经下载好了 (不知道怎么做的请度娘,关键字: Windbg 符号) 命令:   uf  地址         ------ 查看指定地址处的代码 LKD命令:  .reload  重载符号 dt _eprocess 显示Eprocess结构 dt _peb 显示PEB结构 lmf 列出当前进程中加载的所有dll文件和对应的路径 !proce
WinDBG实时打印Windows驱动或者内核信息的方法
wing的专栏
07-11 1万+
当我们用WinDBG调试Windows驱动或者内核时,总是需要查看相关Log信息,那么如何在WinDBG中实时打印Windows驱动或者内核信息呢? Windows驱动包提供了驱动或者内核打印接口:DbgPrintEx. 对于KMDF驱动,对应的打印接口是KdPrint或者KdPrintEx,其实这两个接口是DbgPrintEx的特殊类型或者特殊定义而已。 对于UMDF驱动,没有专门的打
WinDbg常用命令For Kernel Debug
weixin_33697898的博客
06-29 447
1.lm命令 lm m s* lm lmsm 2.看堆栈调用 kb 3.断点(有符号) bp HelloDDK!DriverEntry 4.断点(无符号) sxe ld HelloDDK 这样会断在nt!DebugService2+0x10的位置。 然后按三次Shift+F11,会跳到nt!IopLoadDriver+0x370 在IopL...
自动化生成程序崩溃dump文件并使用Windbg分析
在分析生成的dump文件时,开发者可以使用Windbg查看调用栈、变量值、CPU寄存器等信息,并且可以执行各种调试命令来进一步分析程序崩溃的原因。通过Windbg提供的命令行接口,开发者还可以进行代码反汇编,设置断点...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值