如何判断转储文件是在 32 位系统还是 64 位系统下生成的?

原创 于 2024-07-01 06:34:59 发布 · 534 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

缘起

曾经在 2022 年分析过一个崩溃转储,文章在这里。在那个案例中,堆空间大小将近 4GB。根据上次的结论,这应该是一个运行在 64 位系统下的 32 位进程崩溃产生的转储文件。这让我有了一个疑问?怎么从进程转储文件中得知进程是 32 位的还是 64 位的?如果是 32 位进程,怎么判断是运行在 32 位系统上还是运行在 64 位系统上呢?

说明: 64 位进程只能运行在 64 位系统下,不能运行在 32 位系统下。如果进程是 64 位的,那么系统一定是 64 位的。

判断进程位数

判断进程是 32 位进程还是 64 位进程比较简单。通过很多地方都可以判断。

  1. 根据寄存器进行判断。

    运行在 32 位系统上的进程,并没有用到 gs 寄存器,gs 的值一般为 0

    如果 gs 的值不是 0,说明是 32 位进程运行在 64 位系统上或者是 64 位进程运行在 64 位系统上。

    具体是 32 位进程还是 64 位进程,可以通过 r 命令查看寄存器进行判断,如果是 32 位寄存器(Exx),说明是 32 位进程。如果是 64 位寄存器(Rxx),说明是 64 位进程。

  2. 使用 !dh 命令查看模块的文件头信息,如果显示了 14C machine (i386) 或者 characteristic 下显示了 32 bit word machine 说明是 32 位进程。如果显示了 8664 machine (X64) 说明是 64 位进程。

    说明: !dh 的输出很长,可以用如下命令过滤 .shell -ci "!dh -f module_name" findstr "machine"

c11efd89c890270d0d035547e8bb12fb.png
compare-32-64-bit-process

  1. 使用 lm 命令查看模块,如果模块中有 wow64cpu, wow64win, wow64 中的一个,说明是 32 位进程运行在 64 位系统下。

    如果不包含,或者是 32 位进程运行在 32 位系统上,或者是 64 位进程运行在 64 位系统上。具体是哪种情况,可以通过查看寄存器位数进行判断。

说明: 如果是 32 位进程运行在 64 位系统上, 45 有可能不准确。

判断系统位数

如果进程是 64 位的,其运行的系统一定是 64 位的。如果进程是 32 位的,其运行的系统可能是 32 位的,也可能是 64 位的。如果进程是 32 位的,有可能运行在 32 位系统上,也有可能运行在 64 位系统上。接下来只关心 32 位进程是否运行在 64 位系统上的情况。

  1. 通过 !peb 命令查看环境变量进行判断

    如果环境变量名包含 PROCESSOR_ARCHITEW6432,说明是 32 位进程运行在 64 系统上。

    如果环境变量名以 W6432 结尾(例如, CommonProgramW6432PROCESSOR_ARCHITEW6432ProgramW6432 等)或者名字中包含 (x86)(例如, CommonProgramFiles(x86)ProgramFiles(x86) 等)说明是 64 位系统。

  2. 通过 lm 查看模块进行判断

    如果包含 wow64, wow64cpu, wow64win, wowcon, wow64base  中的一个模块,说明是 32 位进程运行在 64 系统上。

  3. 通过 gs 寄存器判断

    运行在 32 位系统上的进程,并没有用到 gs 寄存器,gs 的值一般为 0。如果 gs 的值不是 0,说明 64 位系统。

  4. 通过 wow64exts 进行判断

    使用 .load wow64exts 加载模块,然后执行 !info 命令进程查看。如果 Guest (WoW) PEB: 或者  Guest (WoW) TEB: 不是 0,说明是 32 位进程运行在 64 位系统上。

你还知道哪些判断方法呢?欢迎分享。

参考资料

https://stackoverflow.com/questions/8084538/determine-if-process-dump-was-generated-on-x64-or-x86-machine

https://stackoverflow.com/questions/43308814/is-there-a-windbg-command-to-find-out-if-a-process-is-a-32-bit-one-or-a-64-bit-o

https://www.tessferrandez.com/blog/2010/09/29/capturing-memory-dumps-for-32-bit-processes-on-an-x64-machine.html

C++程序发生闪退且没生成dump文件问题的排查经验总结与分享
dvlinker的技术专栏
10-14 2万+
本文详细讲述了C++程序发生闪退且没有生成dump这类问题的场景及排查方法,并给出了相关实战问题分析实例,有一定的实战参考价值。
Linux系统中,配置核心转储文件(Core Dump File)
聚焦于深度解析最新的编程语言特性、框架升级、架构设计、开发工具和最佳实践,涵盖Web前端(如Vue3, React, Angular等)、后端开发(如Node.js, Java, Python等)、移动端开发(iOS, Android原生及跨平台开发)
09-29 8549
通过以上步骤,你可以在Linux系统中配置核心转储文件,并限制其最大大小为8GB。这样可以确保在程序崩溃时生成核心转储文件,以便后续分析和调试。
cmd 判断系统32还是64 bat命令批处理判断32还是64系统的多种方法
kyyxxk的博客
04-28 2647
cmd 判断系统32还是64 bat命令批处理判断32还是64系统的多种方法
bat批处理判断系统3264以及操作系统类型
打杂人
07-09 1万+
方法一: systeminfo |find "x64"  方法二: 有时候需考虑wow的情况  IF PROCESSOR_ARCHITECTURE == amd64 or     PROCESSOR_ARCHITEW6432 == amd64 THEN     // OS is 64bit  ELSE     // OS is 32bit  END IF  Anot
Qt之操作系统环境
weixin_30786617的博客
10-08 304
来源:http://blog.sina.com.cn/s/blog_a6fb6cc90102uy9k.html Qt中操作系统环境,官方解释如下: QStringList QProcess::systemEnvironment() [static] Returns the environment of the calling process as a list of key=v...
fluent加载第三方(C++,Fortan等)动态链接库
fdqw_sph的博客
03-01 5333
这里我介绍一种比较简单的方法,首先我们从ANSYS Fluent UDF Manual上随便找一段正确的UDF,下面这段UDF取自ANSYS 18的ANSYS Fluent UDF Manual,于2.3.23.3. Example 1 - Pressure Profile/ ************************************************************...
32/64 bit 系统的区分
henry_zhang000的专栏
05-17 1920
方法一、通过指针来判断。在32操作系统上指针长是4个字节,而在64系统上指针为8个字节。 方法二、通过环境变量识别。微软在设计64Windows XP时,能否很好地兼容32程序是它们考虑的重中之重,安装64Windows XP后,我们能看到系统盘根目录下有一个特殊的文件夹——Program Files(x86),在系统环境变量中也会出现这个设置。具体的就是用GetEn
精选资源
Windows系统下的Qt处理崩溃异常的Dump库,生成Dump文件.zip
09-23
"Windows系统下的Qt处理崩溃异常的Dump库,生成Dump文件" 这个标题涉及到的是在Windows操作系统中使用Qt框架进行程序开发时,如何处理程序崩溃异常并生成内存转储(Dump)文件的技术。Dump文件是程序运行时内存状态...
精选资源
Qt生成日志与以及报错dmp文件(mingw64,winDbg)
05-15
其次,生成的dmp文件是一种调试文件,它是程序崩溃后由Windows操作系统自动生成的内存转储文件。这个文件包含了程序运行时的内存快照,包括了代码、内存、寄存器等重要信息。通过使用winDbg工具,开发者可以打开并...
转储文件是什么?愣着干嘛!不懂当然得学了
Xyuan丶的博客
04-04 2万+
之前做数据库相关题目的时候,被一道有关转储文件的题给难住了,这转储文件到底是什么啊!不行,我得把它弄懂!愣着干嘛!这种求知若渴的精神不值得点赞吗? 文章目录一、概念二、转储文件的作用三、抓取转储文件 一、概念 转储文件,又叫dump文件。简单来说,转储文件是进程某一时刻的快照。 微软官方对转储文件的定义是这样的:转储文件是应用程序在进行转储那一时刻的快照。它显示了正在执行的进程以及已加载的模块。如...
Get program files folder in C#
alien1的博客
08-30 504
1. via Environment variables static string ProgramFilesx86() { if( 8 == IntPtr.Size || (!String.IsNullOrEmpty(Environment.GetEnvironmentVariable("PROCESSOR_ARCHITEW6432")))) {
判断当前Windows XP操作系统32还是64的方法
热门推荐
大白(奋斗)的专栏
07-18 2万+
昨天在调查怎样区分Windows XP3264的问题,在网上找了一下,大家常用的有两种方法。方法一、通过指针来判断。在32操作系统上指针长是4个字节,而在64系统上指针为8个字节。 方法二、通过环境变量识别。微软在设计64Windows XP时,能否很好地兼容32程序是它们考虑的重中之重,安装64Windows XP后,我们能看到系统盘根目录下有一个特殊的文件
在bat脚本中区分操作系统版本
fengkuangfj的专栏
01-14 1万+
@echo off set OsVersion=0 set OsProcessor=0 echo 操作系统版本: ver|findstr /r /i " [版本 5.1.*]" > NUL && goto WindowsXP ver|findstr /r /i " [版本 6.1.*]" > NUL && goto Windows7 goto UnknownVersion :WindowsX
Windows平台判断系统64还是32
记录日常开发的小问题备忘
06-17 885
开发某应用软件时,需要获取当前系统架构是x64还是x32。程序为32应用程序,运行在Win10 64系统下,但是通过api函数GetSystemInfo获取的cpu架构为x86(32),这显然是不正确的因为Win32程序在Win64上运行需要借助WOW64,它是一个32的仿真器,微软利用它,来让一个32程序无缝的运行在64系统上,在进程创建时,WOW64会为我们的32进程设置环境变量如下:表格内容摘自MSDN,由此可见我们的进程环境变量中的PROCESSOR_ARCHITECTURE被设置为x8
[整理修改] DOS 批处理命令判断操作系统版本 执行各版本对应语句
业余编程
09-14 1万+
昨天在家里试用  netsh interface ip set address 这些命令更改上网IP、DNS、网关等,今天将那些代码拿来办公室一用发现尽报错,才想起来家里电脑是WIn7系统,办公室机器是XP系统,于是手工修改了一下 netsh 对应的一些参数,在XP下面终于能正常执行了。也就是说,在WIn7和WinXP下  netsh 命令对应的参数是不一样的,就比如 在XP下面的 netsh
细胞的数据集 一万七张 粗糙粗糙
最新发布
12-05
细胞的数据集 一万七张 粗糙粗糙
六自由度机械臂ANN人工神经网络设计:正向逆向运动学求解、正向动力学控制、拉格朗日-欧拉法推导逆向动力学方程(Matlab代码实现)
12-05
六自由度机械臂ANN人工神经网络设计:正向逆向运动学求解、正向动力学控制、拉格朗日-欧拉法推导逆向动力学方程(Matlab代码实现)内容概要:本文档围绕六自由度机械臂的ANN人工神经网络设计展开,详细介绍了正向与逆向运动学求解、正向动力学控制以及基于拉格朗日-欧拉法推导逆向动力学方程的理论与Matlab代码实现过程。文档还涵盖了PINN物理信息神经网络在微分方程求解、主动噪声控制、天线分析、电动汽车调度、储能优化等多个工程与科研领域的应用案例,并提供了丰富的Matlab/Simulink仿真资源和技术支持方向,体现了其在多学科交叉仿真与优化中的综合性价值。; 适合人群:具备一定Matlab编程基础,从事机器人控制、自动化、智能制造、电力系统或相关工程领域研究的科研人员、研究生及工程师。; 使用场景及目标:①掌握六自由度机械臂的运动学与动力学建模方法;②学习人工神经网络在复杂非线性系统控制中的应用;③借助Matlab实现动力学方程推导与仿真验证;④拓展至路径规划、优化调度、信号处理等相关课题的研究与复现。; 阅读建议:建议按目录顺序系统学习,重点关注机械臂建模与神经网络控制部分的代码实现,结合提供的网盘资源进行实践操作,并参考文中列举的优化算法与仿真方法拓展自身研究思路。
特定版本tomcat-8.0.28.zip.7z
12-05
特定版本tomcat-8.0.28.zip.7z
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值