debug 64bit dump of a 32bit process in windows 7 64bit

最新推荐文章于 2024-07-27 23:19:00 发布
转载 最新推荐文章于 2024-07-27 23:19:00 发布 · 230 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/xiaxi/p/3257004.html

本文详细介绍了如何使用64位任务管理器创建32位进程的崩溃转储文件,并通过加载WOW64扩展和切换到32位模式进行调试的方法。提供了转储文件解析示例,帮助理解异常堆栈调用过程,并通过对比64位和32位任务管理器的区别,指导用户正确地调试32位进程的64位转储文件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

In Windows 7 the TaskMgr provides one easy way to create dump for the applications. You can right click the Application from Applications tab or click the process from Processes tab and click the Create Dump File menu item. The dump files will be created under certain folder soon. Here assume that we created one dump file for one of MaxWell consoles. If you load the dump file into Windbg and type “k” command, you will have below wired output.

 

0:000> k

Child-SP          RetAddr           Call Site

00000000`0008e2e8 00000000`7458aea8 wow64win+0x3fe3a

*** ERROR: Symbol file could not be found.  Defaulted to export symbols for wow64.dll -

00000000`0008e2f0 00000000`745dcf87 wow64win+0x1aea8

*** ERROR: Symbol file could not be found.  Defaulted to export symbols for wow64cpu.dll -

00000000`0008e350 00000000`74562776 wow64!Wow64SystemServiceEx+0xd7

00000000`0008ec10 00000000`745dd07e wow64cpu!TurboDispatchJumpAddressEnd+0x2d

00000000`0008ecd0 00000000`745dc549 wow64!Wow64SystemServiceEx+0x1ce

00000000`0008ed20 00000000`76e94956 wow64!Wow64LdrpInitialize+0x429

00000000`0008f270 00000000`76e91a17 ntdll!RtlUniform+0x6e6

00000000`0008f760 00000000`76e7c32e ntdll!RtlCreateTagHeap+0xa7

00000000`0008f7d0 00000000`00000000 ntdll!LdrInitializeThunk+0xe

 

This callstack looks quite strange to us. What the hell wow64!Wow64LdrpInitialize is?

 The reason why we have this strange callstack with this dump file is because we used the 64bit TaskMgr to create one 64bit dump for a 32-bit process. If you use the 64bit application such as 64bit TaskMrg or 64bit WinDBG to create the dump for a 32bit process, you will get a 64bit dump of a 32bit process. But how can we debug this 64bit dump of a 32bit process?

 We can make use of WOW64 debugger extension. You can find more information from below link:

http://msdn.microsoft.com/en-us/library/windows/desktop/aa384163(v=vs.85).aspx

 

0:000> .load wow64exts

0:000> !sw

Switched to 32bit mode

0:000:x86> k

ChildEBP          RetAddr          

WARNING: Stack unwind information not available. Following frames may be wrong.

0031f280 6d5d88f7 user32!WaitMessage+0x15

0031f2d8 6d5d8741 System_Windows_Forms_ni+0x2088f7

0031f308 6d595911 System_Windows_Forms_ni+0x208741

0031f320 70f86739 System_Windows_Forms_ni+0x1c5911

0031f350 02341b4c NewConsole_ni+0x6739

0031f360 02358951 mscorwks+0x1b4c

0031f3e0 02375fbd mscorwks+0x18951

0031f518 02375ff0 mscorwks!CoUninitializeEE+0x11861

0031f534 0237600e mscorwks!CoUninitializeEE+0x11894

0031f54c 02414675 mscorwks!CoUninitializeEE+0x118b2

 

Windows also provides one 32bit TaskMgr which is C:\Windows\SysWOW64\taskmgr.exe. You can create a 32bit dump for 32bit process. With that 32bit dump we don’t need the WOW64 extension when we loaded it into WinDBG. 

转载于:https://www.cnblogs.com/xiaxi/p/3257004.html

【chromium】windows构建base库 3:gn + vs2022 args 设置及debug x86 构建
突围
02-07 733
x86 debug 构建 chromium
猿创征文|【Linux Debug】有了core-dump,Bug一举拿下!
Donge's Blog
11-09 872
`core-dump`文件,又称为**核心转储**,是操作系统在**进程收到某些信号终止运行**时,将此时**进程的地址空间、进程状态以及其他信息**写入到一个文件中,这个文件就是`core-dump`文件,其主要是为了方便开发人员调试,定位问题。
[问题记录.WinDbg]在64位系统上抓取32位进程的dump
:: Dotnet Fantasy ::
04-05 2374
【问题现象】 用DebugDiag分析dump,遇到如下错误: Type Description Recommendation   Error The process ZLBH.exe in ZLBH.DMP is a 32 bit application running on a 64 bit operating system. The dump file
64位系统FD无法debugger
05-09 544
由于没有安装32位JVM导致 安装32位的JVM. 在FlashDevelop.exe文件的目录下创建一个startFD.bat文件内容: set JAVA_HOME=C:\Program Files (x86)\Java\jre7 start FlashDevelop.exe 启动
64位系统由于找不到32位程序加载器而无法运行32位程序的分析过程
debugeeker的专栏
08-02 6551
在http://wiki.ok-labs.com/Microkernel 下载 arm-linux-gnueabi-4.2.4.tar.gz,sdk-xscale-3.0.tar.gz,Skyeye 1.2.1n和skyeye.conf,并按照tut-sdk-singlecell.pdf来操作, 并把 export PATH=$PATH:`pwd`/arm-unknown-linux-g
qt Please select a 64 bit Debugger in the kit settings for this kit.
aoxuestudy的专栏
03-16 3483
Please select a 64 bit Debugger in the kit settings for this kit
64 32 java 性能 suse_SUSE 64位编译32位程序出错
weixin_42355387的博客
02-22 134
These `-m’ switches are supported in addition to the above on AMD x86-64 processors in 64-bit environments.-m32-m64-mx32Generate code for a 32-bit or 64-bit environment.The -m32 option sets int, long ...
How to kill a user process in kernel
tugouxp的专栏
02-18 390
另外,从struct file结构体的释放流程角度,我们可以看到,struct file并没有和某个进程和线程做深度绑定,struct file本身虽然是在某个线程上下文下创建的,并通过创建线程和创建进程,甚至通过sendfile之类的API在整个系统间共享,但是它本身是不带有属主属性的,释放struct file的上下文不一定要和创建它的相同。fork后的子进程虽然会分配自己的struct file_struct对象,但是会共享父进程的struct file结构,增加struct file的引用计数。
【Qnx】Qnx coredump解析
林多
06-14 2143
Qnx官网说明链接:https://www.qnx.com/developers/docs/7.1/index.html#com.qnx.doc.neutrino.utilities/topic/g/gdb.html。这些信息,对了解程序崩溃的状态有些帮忙,但是对具体的问题解析,还是需要利用gdb工具。实际上,就是把coredump从Qnx系统中copy出来,然后放到本地有Qnx开发环境,以及相关二进制+库的PC上。解析coredump文件,可以帮忙加快分析程序崩溃的原因,比如了解崩溃的堆栈。
【C++软件调试技术】使用Windbg分析软件异常时的诸多细节与技巧总结
热门推荐
dvlinker的技术专栏
07-27 8万+
使用 Windbg 分析软件异常时的诸多细节与技巧总结
Qt 3264位 调试器问题汇总
u013283835的博客
08-31 1515
最近在研究Qt,由于公司电脑内网,不给联网,我用的是最新的Qt5.3.2(vs2013),出现Qt不能调试的问题,特此研究了一下,第一种就是去下载一个win系统的调试器,由于本人新手不知道怎么传文件,那个名字叫dbg_x86_6.11.1.404.msi但是那个只是32位系统的,我的电脑64位,安装了还是不能调试,究其原因是vs2013自身的调试器不会主动暴露给Qt,所以我们要下载一个新的sdk,
WinDebug 调试工具-0
iwilldoitx的博客
07-12 5912
Loading Dump File [F:\Debug分析调试工具\SysinternalsSuite\ProDebug.exe_180712_171559.dmp] User Mini Dump File with Full Memory: Only application data is available Comment: ' *** procdump64.exe  -ma -t 9872 ...
vs2013 wdk8.1 ERROR: Symbol file could not be found. Defaulted to export symbols for ntkrnlmp.exe
yupor5的博客
01-24 2791
ERROR: Symbol file could not be found.  Defaulted to export symbols for ntkrnlmp.exe 本在环境 win10 1803  vs2013 + wdk8.1 win764+ VMware 在环境变量设置 _NT_SYMBOL_PATH cache*C:\Symbols;C:\Symbols;SRV*C:\S...
Windows WOW64 nativeapi 逆向详解,32程序兼容剖析
qq_31314583的博客
11-19 1545
前言 windows有很多核心的原生api,其中包含sdk声明的和文档未声明的。主要由于ntdll.dll和win32u.dll(服务号0x1000-0x1FFF)导出。 WOW64 (Windows-on-Windows 64-bit)是一个Windows操作系统的子系统,用于模拟32位环境,使得32位执行程序在x64系统正常运行。 而64位系统字长变为64位,因此是无法直接执行32位的可执行代码的。因此x64引入了兼容32位执行程序的wow64 子系...
Symbol file could not be found. Defaulted to export symbols for ntkrnlpa.exe
qq_41490873的博客
04-05 3677
我的系统是win10的 1:设置系统环境变量 windbg符号文件路径搜索的两个位置:环境变量中的_NT_SYMBOL_PATH设置及windbg中的"symblos file path"; 2:SRV* E:\Windows\Symbols ...
利用WinDbg找出程序崩溃的代码行号
zqf_office的专栏
01-12 7564
之前碰到论坛里有几个好友,说程序不时的崩溃,什么xxoo不能read的!  如果光要是这个内存地址,估计你会疯掉~~ 所以分享一下基本的调试技巧,需要准备的工具有WinDbg + VC6.0, 下面是自己整理的一份自动生成DUMP文件的源代码,只需要添加到工程即可,源代码如下: MiniDump.h MiniDump.cpp 1、在CXXDlg::OnIni
关于windbg的symbol设置问题
流浪天空
02-26 3万+
首先参考该文:http://www.cnblogs.com/happyhippy/archive/2007/04/08/710933.html 下载具体的symbols文件,我用的是xpsp2的188M的那个文件,然后按照该文的设置进行,如果你进入windbg界面再命令行下输入 .sympath 没有什么错误提示,请不要大意,这时你再在windbg里面载入一个exe文件(比如我载入的是ecli
Windows WoW64浅析
u010551008的博客
03-08 1103
在默认情况下,32位组件访问32位视图,64位组件访问64位视图,这为32位和64位组件提供了一个安全的环境,并且将32位应用程序的状态与64位应用程序的状态隔开来。由于X64是X86扩展,从32位代码向64位代码切换并不是那么困难,代码段描述符告诉处理器将代码当作X86代码还是X64代码,32位寄存器其实就是64位寄存器忽略高一半内容,32位模式RAM的4GB的编址和64位模式低4GB一样,因此从X86代码调用到X64代码,所有需要做的就是调用一个X64段选择子即完成了切换。
09:16:18: Starting F:\software\ThirdPartyLibrary\GammaSpectrumUnfolding\test\GammaSpectrum_Gu\GammaSpectrum_Gu\build\Desktop_Qt_5_15_2_MSVC2019_64bit-Release\release\GammaSpectrum.exe... 09:16:20: F:\software\ThirdPartyLibrary\GammaSpectrumUnfolding\test\GammaSpectrum_Gu\GammaSpectrum_Gu\build\Desktop_Qt_5_15_2_MSVC2019_64bit-Release\release\GammaSpectrum.exe 崩溃。
最新发布
07-17
- 如果没有,可以设置Windows在程序崩溃时自动生成dump文件(通过注册表或任务管理器设置)。 设置方法: 1. 打开注册表编辑器(regedit)。 2. 导航到`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值