如何判断转储文件是在 32 位系统还是 64 位系统下生成的?

原创 于 2024-07-01 06:34:59 发布 · 534 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

缘起

曾经在 2022 年分析过一个崩溃转储,文章在这里。在那个案例中,堆空间大小将近 4GB。根据上次的结论,这应该是一个运行在 64 位系统下的 32 位进程崩溃产生的转储文件。这让我有了一个疑问?怎么从进程转储文件中得知进程是 32 位的还是 64 位的?如果是 32 位进程,怎么判断是运行在 32 位系统上还是运行在 64 位系统上呢?

说明: 64 位进程只能运行在 64 位系统下,不能运行在 32 位系统下。如果进程是 64 位的,那么系统一定是 64 位的。

判断进程位数

判断进程是 32 位进程还是 64 位进程比较简单。通过很多地方都可以判断。

  1. 根据寄存器进行判断。

    运行在 32 位系统上的进程,并没有用到 gs 寄存器,gs 的值一般为 0

    如果 gs 的值不是 0,说明是 32 位进程运行在 64 位系统上或者是 64 位进程运行在 64 位系统上。

    具体是 32 位进程还是 64 位进程,可以通过 r 命令查看寄存器进行判断,如果是 32 位寄存器(Exx),说明是 32 位进程。如果是 64 位寄存器(Rxx),说明是 64 位进程。

  2. 使用 !dh 命令查看模块的文件头信息,如果显示了 14C machine (i386) 或者 characteristic 下显示了 32 bit word machine 说明是 32 位进程。如果显示了 8664 machine (X64) 说明是 64 位进程。

    说明: !dh 的输出很长,可以用如下命令过滤 .shell -ci "!dh -f module_name" findstr "machine"

c11efd89c890270d0d035547e8bb12fb.png
compare-32-64-bit-process

  1. 使用 lm 命令查看模块,如果模块中有 wow64cpu, wow64win, wow64 中的一个,说明是 32 位进程运行在 64 位系统下。

    如果不包含,或者是 32 位进程运行在 32 位系统上,或者是 64 位进程运行在 64 位系统上。具体是哪种情况,可以通过查看寄存器位数进行判断。

说明: 如果是 32 位进程运行在 64 位系统上, 45 有可能不准确。

判断系统位数

如果进程是 64 位的,其运行的系统一定是 64 位的。如果进程是 32 位的,其运行的系统可能是 32 位的,也可能是 64 位的。如果进程是 32 位的,有可能运行在 32 位系统上,也有可能运行在 64 位系统上。接下来只关心 32 位进程是否运行在 64 位系统上的情况。

  1. 通过 !peb 命令查看环境变量进行判断

    如果环境变量名包含 PROCESSOR_ARCHITEW6432,说明是 32 位进程运行在 64 系统上。

    如果环境变量名以 W6432 结尾(例如, CommonProgramW6432PROCESSOR_ARCHITEW6432ProgramW6432 等)或者名字中包含 (x86)(例如, CommonProgramFiles(x86)ProgramFiles(x86) 等)说明是 64 位系统。

  2. 通过 lm 查看模块进行判断

    如果包含 wow64, wow64cpu, wow64win, wowcon, wow64base  中的一个模块,说明是 32 位进程运行在 64 系统上。

  3. 通过 gs 寄存器判断

    运行在 32 位系统上的进程,并没有用到 gs 寄存器,gs 的值一般为 0。如果 gs 的值不是 0,说明 64 位系统。

  4. 通过 wow64exts 进行判断

    使用 .load wow64exts 加载模块,然后执行 !info 命令进程查看。如果 Guest (WoW) PEB: 或者  Guest (WoW) TEB: 不是 0,说明是 32 位进程运行在 64 位系统上。

你还知道哪些判断方法呢?欢迎分享。

参考资料

https://stackoverflow.com/questions/8084538/determine-if-process-dump-was-generated-on-x64-or-x86-machine

https://stackoverflow.com/questions/43308814/is-there-a-windbg-command-to-find-out-if-a-process-is-a-32-bit-one-or-a-64-bit-o

https://www.tessferrandez.com/blog/2010/09/29/capturing-memory-dumps-for-32-bit-processes-on-an-x64-machine.html

C++程序发生闪退且没生成dump文件问题的排查经验总结与分享
dvlinker的技术专栏
10-14 2万+
本文详细讲述了C++程序发生闪退且没有生成dump这类问题的场景及排查方法,并给出了相关实战问题分析实例,有一定的实战参考价值。
Linux系统中,配置核心转储文件(Core Dump File)
聚焦于深度解析最新的编程语言特性、框架升级、架构设计、开发工具和最佳实践,涵盖Web前端(如Vue3, React, Angular等)、后端开发(如Node.js, Java, Python等)、移动端开发(iOS, Android原生及跨平台开发)
09-29 8549
通过以上步骤,你可以在Linux系统中配置核心转储文件,并限制其最大大小为8GB。这样可以确保在程序崩溃时生成核心转储文件,以便后续分析和调试。
cmd 判断系统32还是64 bat命令批处理判断32还是64系统的多种方法
kyyxxk的博客
04-28 2647
cmd 判断系统32还是64 bat命令批处理判断32还是64系统的多种方法
bat批处理判断系统3264以及操作系统类型
打杂人
07-09 1万+
方法一: systeminfo |find "x64"  方法二: 有时候需考虑wow的情况  IF PROCESSOR_ARCHITECTURE == amd64 or     PROCESSOR_ARCHITEW6432 == amd64 THEN     // OS is 64bit  ELSE     // OS is 32bit  END IF  Anot
Qt之操作系统环境
weixin_30786617的博客
10-08 304
来源:http://blog.sina.com.cn/s/blog_a6fb6cc90102uy9k.html Qt中操作系统环境,官方解释如下: QStringList QProcess::systemEnvironment() [static] Returns the environment of the calling process as a list of key=v...
[整理修改] DOS 批处理命令判断操作系统版本 执行各版本对应语句
业余编程
09-14 1万+
昨天在家里试用  netsh interface ip set address 这些命令更改上网IP、DNS、网关等,今天将那些代码拿来办公室一用发现尽报错,才想起来家里电脑是WIn7系统,办公室机器是XP系统,于是手工修改了一下 netsh 对应的一些参数,在XP下面终于能正常执行了。也就是说,在WIn7和WinXP下  netsh 命令对应的参数是不一样的,就比如 在XP下面的 netsh
Get program files folder in C#
alien1的博客
08-30 504
1. via Environment variables static string ProgramFilesx86() { if( 8 == IntPtr.Size || (!String.IsNullOrEmpty(Environment.GetEnvironmentVariable("PROCESSOR_ARCHITEW6432")))) {
Windows系统下的Qt处理崩溃异常的Dump库,生成Dump文件.zip
09-23
"Windows系统下的Qt处理崩溃异常的Dump库,生成Dump文件" 这个标题涉及到的是在Windows操作系统中使用Qt框架进行程序开发时,如何处理程序崩溃异常并生成内存转储(Dump)文件的技术。Dump文件是程序运行时内存状态...
Qt生成日志与以及报错dmp文件(mingw64,winDbg)
05-15
其次,生成的dmp文件是一种调试文件,它是程序崩溃后由Windows操作系统自动生成的内存转储文件。这个文件包含了程序运行时的内存快照,包括了代码、内存、寄存器等重要信息。通过使用winDbg工具,开发者可以打开并...
转储文件是什么?愣着干嘛!不懂当然得学了
Xyuan丶的博客
04-04 2万+
之前做数据库相关题目的时候,被一道有关转储文件的题给难住了,这转储文件到底是什么啊!不行,我得把它弄懂!愣着干嘛!这种求知若渴的精神不值得点赞吗? 文章目录一、概念二、转储文件的作用三、抓取转储文件 一、概念 转储文件,又叫dump文件。简单来说,转储文件是进程某一时刻的快照。 微软官方对转储文件的定义是这样的:转储文件是应用程序在进行转储那一时刻的快照。它显示了正在执行的进程以及已加载的模块。如...
32/64 bit 系统的区分
henry_zhang000的专栏
05-17 1920
方法一、通过指针来判断。在32操作系统上指针长是4个字节,而在64系统上指针为8个字节。 方法二、通过环境变量识别。微软在设计64Windows XP时,能否很好地兼容32程序是它们考虑的重中之重,安装64Windows XP后,我们能看到系统盘根目录下有一个特殊的文件夹——Program Files(x86),在系统环境变量中也会出现这个设置。具体的就是用GetEn
在bat脚本中区分操作系统版本
fengkuangfj的专栏
01-14 1万+
@echo off set OsVersion=0 set OsProcessor=0 echo 操作系统版本: ver|findstr /r /i " [版本 5.1.*]" > NUL && goto WindowsXP ver|findstr /r /i " [版本 6.1.*]" > NUL && goto Windows7 goto UnknownVersion :WindowsX
Windows平台判断系统64还是32
记录日常开发的小问题备忘
06-17 885
开发某应用软件时,需要获取当前系统架构是x64还是x32。程序为32应用程序,运行在Win10 64系统下,但是通过api函数GetSystemInfo获取的cpu架构为x86(32),这显然是不正确的因为Win32程序在Win64上运行需要借助WOW64,它是一个32的仿真器,微软利用它,来让一个32程序无缝的运行在64系统上,在进程创建时,WOW64会为我们的32进程设置环境变量如下:表格内容摘自MSDN,由此可见我们的进程环境变量中的PROCESSOR_ARCHITECTURE被设置为x8
fluent加载第三方(C++,Fortan等)动态链接库
fdqw_sph的博客
03-01 5333
这里我介绍一种比较简单的方法,首先我们从ANSYS Fluent UDF Manual上随便找一段正确的UDF,下面这段UDF取自ANSYS 18的ANSYS Fluent UDF Manual,于2.3.23.3. Example 1 - Pressure Profile/ ************************************************************...
判断当前Windows XP操作系统32还是64的方法
热门推荐
大白(奋斗)的专栏
07-18 2万+
昨天在调查怎样区分Windows XP3264的问题,在网上找了一下,大家常用的有两种方法。方法一、通过指针来判断。在32操作系统上指针长是4个字节,而在64系统上指针为8个字节。 方法二、通过环境变量识别。微软在设计64Windows XP时,能否很好地兼容32程序是它们考虑的重中之重,安装64Windows XP后,我们能看到系统盘根目录下有一个特殊的文件
【直流微电网】径向直流微电网的状态空间建模与线性化:一种耦合DC-DC变换器状态空间平均模型的方法 (Matlab代码实现)
最新发布
12-05
【直流微电网】径向直流微电网的状态空间建模与线性化:一种耦合DC-DC变换器状态空间平均模型的方法 (Matlab代码实现)内容概要:本文介绍了径向直流微电网的状态空间建模与线性化方法,重点提出了一种基于耦合DC-DC变换器状态空间平均模型的建模策略。该方法通过对系统中多个相互耦合的DC-DC变换器进行统一建模,构建出整个微电网的集中状态空间模型,并在此基础上实施线性化处理,便于后续的小信号分析与稳定性研究。文中详细阐述了建模过程中的关键步骤,包括电路拓扑分析、状态变量选取、平均化处理以及雅可比矩阵的推导,最终通过Matlab代码实现模型仿真验证,展示了该方法在动态响应分析和控制器设计中的有效性。; 适合人群:具备电力电子、自动控制理论基础,熟悉Matlab/Simulink仿真工具,从事微电网、新能源系统建模与控制研究的研究生、科研人员及工程技术人员。; 使用场景及目标:①掌握直流微电网中多变换器系统的统一建模方法;②理解状态空间平均法在非线性电力电子系统中的应用;③实现系统线性化并用于稳定性分析与控制器设计;④通过Matlab代码复现和扩展模型,服务于科研仿真与教学实践。; 阅读建议:建议读者结合Matlab代码逐步理解建模流程,重点关注状态变量的选择与平均化处理的数学推导,同时可尝试修改系统参数或拓扑结构以加深对模型通用性和适应性的理解。
jira从入门到精通.doc
12-05
jira从入门到精通.doc
CursorFreeVIP-1.11.03-windows辅助ai工具刷新机器码
12-05
和cursor辅助搭配,辅助理解代码
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值