调试实战 | 通过转储文件分析程序无响应之使用 windbg + IDA 逆向篇

最新推荐文章于 2024-07-27 23:19:00 发布
原创 最新推荐文章于 2024-07-27 23:19:00 发布 · 置顶 · 1.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#IDA #windbg #死锁 #调试 #debug

本文介绍了如何通过windbg和IDA分析远程机器上抓取的dump文件,解决一个由死锁导致的界面无响应问题。作者详细展示了分析主线程和工作线程调用栈的过程,以及如何定位和修复问题,强调了windbg的强大支持在整个分析过程中的作用。

 

缘起

最近,接连在项目中遇到了两个界面无响应的问题。都只发生在客户特定机器上,不方便直接调试,只能抓取 dump 进行事后分析了。

抓取 dump

远程连上可以重现问题的机器,使用 process explorer 初步观察卡死的进程,发现 CPU 占用率很低,经过一段时间的观察,基本确定是一个死锁问题。在卡死的进程上右键,保存完整转储,压缩,发回本地进行分析。

使用 windbg 进行分析

双击抓取的 dump 文件,因为之前已经执行过 windbg.exe -IA,所以默认会通过 windbg 打开 dump 文件。先使用 ~*kvn 粗略浏览一下每个线程的调用栈(因为比较长,这里就不截图了)。经过观察,很快锁定了两个值得进一步查看的线程:一个是主线程(界面线程),因为是界面无响应,肯定要关注界面线程。另外一个是 7 号工作线程。分别看一下这两个线程的调用栈。

主线程的调用栈如下图所示:

注意上图红色高亮部分,主线程通过 SleepConditionVariableCS() 进入等待。

看完主线程,再看 7 号工作线程的调用栈,如下图所示:

7 号线程对 SendMessage() 的调用非常值得怀疑。

猜测整个流程是这样的:主线程不知由于什么原因进入等待状态,而工作线程由于各种各样的原因也进入了等待状态。其中 7 号线程最明显,因为它正在发消息,而主线程此时是无论如何也不会响应这个消息的。

于是,典型的死锁再一次发生了。

加载 AssemblyDesign_Tools.dll 的符号后,查看对应的源码,消除对 SendMessage() 的调用,问题解决!so easy!

说明:工作线程中并没有直接调用 SendMessage(),而是调用了操作界面的相关 API,间接调用了 SendMessage()  给界面线程发消息。

死锁的问题解决了,但是为什么向主线程发个消息就死锁了呢?秉着打破砂锅问到底的原则,我又开始折腾了。下面的内容适合喜欢调试逆向的极客阅读。

深入调查

最开始的思路是:查看主线程在等待的条件变量,然后再调查哪个工作线程会唤醒这个条件变量。奈何 64 位下,前四个参数通过寄存器 RCX, RDX, r8, r9 进行传递,如果这些寄存器没有在栈上存储一份的话,很难查看具体的值。折腾一番后,确实没找到有用的信息,而且就算找到了,也很难找出是哪个线程会执行唤醒操作。

这个死锁问题不像关键段死锁解决起来那么

最低0.47元/天 解锁文章
WinDbg调试unity3d无响应实战
yxriyin的专栏
02-02 3690
今天终于让我碰上了,无响应了,毫无疑问,马上放下一切工作,Attach上去。     首先看下任务管理器,cpu 13% ,应该是死循环了。(注意 win7死循环是不会cpu 100%的)。     运行!runaway, 发现0号线程特别费时,也就是主线程。     然后切到0号线程,查看堆栈,妈蛋什么都没有。     这里我纠结了好久,然后g了一下,又打断点,堆栈突然出现了。
【愚公系列】2023年06月 内存分析之WinDbgIDA+WinDbg驱动调试
时光隧道
06-14 4868
IDAWinDbg是两款不同类型的调试工具,通常用于不同的场景。IDA(Interactive DisAssembler)是一款交互式反汇编器,主要用于静态分析反汇编二进制程序。它可以将二进制程序反编译成汇编语言,并提供了许多分析工具,可以查看反汇编代码,图形化地展示代码结构,并且可以跟踪代码的执行流程。IDA的优点是易于使用、功能强大、反汇编效果好,但是它不能用于动态调试
Windbg2ida让您转储Windbg中的每个步骤,然后在IDA中显示这些步骤-JavaScript开发
05-26
windbg2ida(新版本1.1.2-2019年8月31日)Windbg2ida让您转储Windbg中的每个步骤,然后在IDA中显示这些步骤。Windbg2ida-WindbgIDA插件在IDA中显示Windbg的每个步骤:)主页下载Sou windbg2ida(新版本1.1)。 2019年8月2日至31日)Windbg2ida让您转储Windbg中的每个步骤,然后在IDA中显示这些步骤Windbg2ida-WindbgIDA插件显示IDAWindbg的每个步骤:)然后使用Windbg中的(指令)为您提供一个转储文件,您以后可以在IDA使用它来在已运行以显示代码覆盖率的指令的每一行上加上颜色。 您可以使用Windbg2ida t
ida pro 查看简易 Android .so 文件伪代码
vistaup的博客
03-12 1680
当然,这个是最简单的so的结构,稍微复杂点的可能就搜索不到JAVA,后面再来填坑。注意,这只是我的简单记录,要学习详细使用,请参考其他大佬的。在函数窗口按 Ctrl + F 搜索 “JAVA” ,双击结果。点击 F5 ,借助F5 插件查看伪代码。直接把需要的文件拖到 IDA 中。让我们打开神器 IDA
IDA按F5不能出现伪代码
m0_63790435的博客
11-04 4753
解决方法:先右键点击“代码”,再右键点击“创建函数”,在按 F5 就可以查看伪代码了。
【C++软件调试技术】使用Windbg分析软件异常时的诸多细节与技巧总结
最新发布
dvlinker的技术专栏
07-27 8万+
使用 Windbg 分析软件异常时的诸多细节与技巧总结
【C++软件调试技术】使用 Windbg 分析软件异常时的诸多细节与技巧总结
dvlinker的技术专栏
01-11 1万+
使用 Windbg 分析软件异常时的诸多细节与技巧总结。
windbg调试驱动学习总结
bcbobo21cn的专栏
03-19 4780
简单驱动编写与windbg调试 http://trustsec.blog.51cto.com/305338/64694/ 一.驱动编写 随着对windows系统的深入研究,越来越多的内核方面的知识被挖掘出来了,今天我们讨论下如何写一个 简单的驱动,并使用现在比较新的windbg调试器进行调试。首先写驱动要对驱动有一个比较全面的认识 。 一个简单的驱动一般有以下几
idawindbg
08-17
idawindbg都是用于逆向工程调试的工具。 IDA(Interactive DisAssembler)是一个非常强大的逆向工程工具。它可以将可执行文件反编译成汇编代码,并可视化地显示整个程序的控制流数据流。IDA支持多个处理器...
IDA伪代码C语言复现调试(mqtt client)
qq_33163046的博客
12-10 6807
IDA伪代码分析 mqtt client在connect Broker成功后往往紧接着subscribe topics。 IDA反编译了一段mqtt client,找到subscribe部分的伪代码,力图复现代码里真实subscribe内容。 IDA 相关内容如下 粗略分析可以知道,这里要订阅 0x18(24)个topic。topic由8个“基本topic体”追加附上特定字符串构成。 从第258...
WinDbg 调试程序崩溃操作详解
11-10
作者有10多年编程,调试经验,详解关于Windows 平台下程序崩溃的Windbg调试方法及技巧;附带工具介绍 适合于分析C++等语言, .Net 平台等快速入门及提高
用ProcessExplorerWinDbg排查并解决“无响应
山不在高,有金则名
09-10 4322
问题:运行“手机助手”,连接上手机,多次点击“一键安装”,只需等一会,必定会出现“无响应”的现象。 打开“Process Explorer”找到无响应的进程,生成dump文件,然后,将该文件拖放到WinDbg窗口中去; 用命令“!analyze -v”进行分析,可得到有用的结果,根据它,能定位到问题,进而可解决。 用命令“k”或“kp“可以看到调用堆栈的情况。 用命令“!locks“可以看
【Qt】程序崩溃之WinDbg方案
m0_46599313的博客
11-22 847
有了它,还加什么班
线程与进程之间的共享资源
neuzhangno的博客
07-24 4445
线程进程的共享资源
IDA-F5查看伪代码报错:Decompilation failure: 40077D: cloud: no response
book_stand的博客
04-20 1068
今天在进行逆向的时候发现,F5查看伪代码给我报错了,之前都没出现过这种情况。右键在记事本中编辑,找到MAX_FUNCSIZE,将64改为1024。通常IDA反编译函数时会有大小限制,超过这个大小就会反编译失败。既然是响应出问题的话,先找到IDA的安装目录,再找到里面的。保存后再重新打开IDA,问题就解决了。cfg文件夹下的hexray.cfg。翻译后是:cloud:没有响应。
同一进程下的线程可以共享以下?
无尽星空--帝王铠
04-19 1万+
同一进程下的线程可以共享以下?(BD) A. stack B.data section C.register set D.file fd简单解析:线程共享的内容包括: 进程代码段 进程的公有数据(利用这些共享的数据,线程很容易的实现相互之间的通讯)、 进程打开的文件描述符、 信号的处理器、 进程的当前目录 进程用户ID与进程组ID 线程独有
进程与线程
nishuaiqidezhege的博客
08-03 423
线程(thread)是操作系统能够进行运算调度的最小单位。它被包含在进程之中,是进程中的实际运作单位。一条线程指的是进程中一个单一顺序的控制流,一个进程中可以并发多个线程,每条线程并行执行不同的任务。在Unix System V及SunOS中也被称为轻量进程(lightweight processes),但轻量进程更多指内核线程(kernel thread),而把用户线程(user thread)称为线程。 线程是独立调度分派的基本单位。线程可以为操作系统内核调度的内核线...
IDA使用教程 快速找到伪代码中变量所在的内存区域
m0_43406494的博客
10-16 6720
如要找到v4所在的数据区域,光标定位到一条引用了v4的代码,如上 LODWORD(v4) = 0;,Tab键跳到对应的IDA-view窗口 还可以右键打开新窗口
arm ida 伪代码 安卓 符号表_IDA调试界面介绍及快捷键
weixin_31940053的博客
01-08 958
点击蓝字默默关注首先,打开IDA工具,进入IDA调试界面。1IAD调式界面介绍1.IDA-view-PC:反汇编窗口,如图1.1所示。 (图1.1)2.Hex-View:十六进制编辑窗口,如图1.2所示。 (图1.2)3.Output windows(下方) :输出窗...
评论 4
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值