如何判断转储文件是在 32 位系统还是 64 位系统下生成的?

原创 于 2024-07-01 06:34:59 发布 · 534 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

缘起

曾经在 2022 年分析过一个崩溃转储,文章在这里。在那个案例中,堆空间大小将近 4GB。根据上次的结论,这应该是一个运行在 64 位系统下的 32 位进程崩溃产生的转储文件。这让我有了一个疑问?怎么从进程转储文件中得知进程是 32 位的还是 64 位的?如果是 32 位进程,怎么判断是运行在 32 位系统上还是运行在 64 位系统上呢?

说明: 64 位进程只能运行在 64 位系统下,不能运行在 32 位系统下。如果进程是 64 位的,那么系统一定是 64 位的。

判断进程位数

判断进程是 32 位进程还是 64 位进程比较简单。通过很多地方都可以判断。

  1. 根据寄存器进行判断。

    运行在 32 位系统上的进程,并没有用到 gs 寄存器,gs 的值一般为 0

    如果 gs 的值不是 0,说明是 32 位进程运行在 64 位系统上或者是 64 位进程运行在 64 位系统上。

    具体是 32 位进程还是 64 位进程,可以通过 r 命令查看寄存器进行判断,如果是 32 位寄存器(Exx),说明是 32 位进程。如果是 64 位寄存器(Rxx),说明是 64 位进程。

  2. 使用 !dh 命令查看模块的文件头信息,如果显示了 14C machine (i386) 或者 characteristic 下显示了 32 bit word machine 说明是 32 位进程。如果显示了 8664 machine (X64) 说明是 64 位进程。

    说明: !dh 的输出很长,可以用如下命令过滤 .shell -ci "!dh -f module_name" findstr "machine"

c11efd89c890270d0d035547e8bb12fb.png
compare-32-64-bit-process

  1. 使用 lm 命令查看模块,如果模块中有 wow64cpu, wow64win, wow64 中的一个,说明是 32 位进程运行在 64 位系统下。

    如果不包含,或者是 32 位进程运行在 32 位系统上,或者是 64 位进程运行在 64 位系统上。具体是哪种情况,可以通过查看寄存器位数进行判断。

说明: 如果是 32 位进程运行在 64 位系统上, 45 有可能不准确。

判断系统位数

如果进程是 64 位的,其运行的系统一定是 64 位的。如果进程是 32 位的,其运行的系统可能是 32 位的,也可能是 64 位的。如果进程是 32 位的,有可能运行在 32 位系统上,也有可能运行在 64 位系统上。接下来只关心 32 位进程是否运行在 64 位系统上的情况。

  1. 通过 !peb 命令查看环境变量进行判断

    如果环境变量名包含 PROCESSOR_ARCHITEW6432,说明是 32 位进程运行在 64 系统上。

    如果环境变量名以 W6432 结尾(例如, CommonProgramW6432PROCESSOR_ARCHITEW6432ProgramW6432 等)或者名字中包含 (x86)(例如, CommonProgramFiles(x86)ProgramFiles(x86) 等)说明是 64 位系统。

  2. 通过 lm 查看模块进行判断

    如果包含 wow64, wow64cpu, wow64win, wowcon, wow64base  中的一个模块,说明是 32 位进程运行在 64 系统上。

  3. 通过 gs 寄存器判断

    运行在 32 位系统上的进程,并没有用到 gs 寄存器,gs 的值一般为 0。如果 gs 的值不是 0,说明 64 位系统。

  4. 通过 wow64exts 进行判断

    使用 .load wow64exts 加载模块,然后执行 !info 命令进程查看。如果 Guest (WoW) PEB: 或者  Guest (WoW) TEB: 不是 0,说明是 32 位进程运行在 64 位系统上。

你还知道哪些判断方法呢?欢迎分享。

参考资料

https://stackoverflow.com/questions/8084538/determine-if-process-dump-was-generated-on-x64-or-x86-machine

https://stackoverflow.com/questions/43308814/is-there-a-windbg-command-to-find-out-if-a-process-is-a-32-bit-one-or-a-64-bit-o

https://www.tessferrandez.com/blog/2010/09/29/capturing-memory-dumps-for-32-bit-processes-on-an-x64-machine.html

C++程序发生闪退且没生成dump文件问题的排查经验总结与分享
dvlinker的技术专栏
10-14 2万+
本文详细讲述了C++程序发生闪退且没有生成dump这类问题的场景及排查方法,并给出了相关实战问题分析实例,有一定的实战参考价值。
Linux系统中,配置核心转储文件(Core Dump File)
聚焦于深度解析最新的编程语言特性、框架升级、架构设计、开发工具和最佳实践,涵盖Web前端(如Vue3, React, Angular等)、后端开发(如Node.js, Java, Python等)、移动端开发(iOS, Android原生及跨平台开发)
09-29 8549
通过以上步骤,你可以在Linux系统中配置核心转储文件,并限制其最大大小为8GB。这样可以确保在程序崩溃时生成核心转储文件,以便后续分析和调试。
cmd 判断系统32还是64 bat命令批处理判断32还是64系统的多种方法
kyyxxk的博客
04-28 2647
cmd 判断系统32还是64 bat命令批处理判断32还是64系统的多种方法
bat批处理判断系统3264以及操作系统类型
打杂人
07-09 1万+
方法一: systeminfo |find "x64"  方法二: 有时候需考虑wow的情况  IF PROCESSOR_ARCHITECTURE == amd64 or     PROCESSOR_ARCHITEW6432 == amd64 THEN     // OS is 64bit  ELSE     // OS is 32bit  END IF  Anot
Qt之操作系统环境
weixin_30786617的博客
10-08 304
来源:http://blog.sina.com.cn/s/blog_a6fb6cc90102uy9k.html Qt中操作系统环境,官方解释如下: QStringList QProcess::systemEnvironment() [static] Returns the environment of the calling process as a list of key=v...
fluent加载第三方(C++,Fortan等)动态链接库
fdqw_sph的博客
03-01 5333
这里我介绍一种比较简单的方法,首先我们从ANSYS Fluent UDF Manual上随便找一段正确的UDF,下面这段UDF取自ANSYS 18的ANSYS Fluent UDF Manual,于2.3.23.3. Example 1 - Pressure Profile/ ************************************************************...
32/64 bit 系统的区分
henry_zhang000的专栏
05-17 1920
方法一、通过指针来判断。在32操作系统上指针长是4个字节,而在64系统上指针为8个字节。 方法二、通过环境变量识别。微软在设计64Windows XP时,能否很好地兼容32程序是它们考虑的重中之重,安装64Windows XP后,我们能看到系统盘根目录下有一个特殊的文件夹——Program Files(x86),在系统环境变量中也会出现这个设置。具体的就是用GetEn
精选资源
Windows系统下的Qt处理崩溃异常的Dump库,生成Dump文件.zip
09-23
"Windows系统下的Qt处理崩溃异常的Dump库,生成Dump文件" 这个标题涉及到的是在Windows操作系统中使用Qt框架进行程序开发时,如何处理程序崩溃异常并生成内存转储(Dump)文件的技术。Dump文件是程序运行时内存状态...
精选资源
Qt生成日志与以及报错dmp文件(mingw64,winDbg)
05-15
其次,生成的dmp文件是一种调试文件,它是程序崩溃后由Windows操作系统自动生成的内存转储文件。这个文件包含了程序运行时的内存快照,包括了代码、内存、寄存器等重要信息。通过使用winDbg工具,开发者可以打开并...
转储文件是什么?愣着干嘛!不懂当然得学了
Xyuan丶的博客
04-04 2万+
之前做数据库相关题目的时候,被一道有关转储文件的题给难住了,这转储文件到底是什么啊!不行,我得把它弄懂!愣着干嘛!这种求知若渴的精神不值得点赞吗? 文章目录一、概念二、转储文件的作用三、抓取转储文件 一、概念 转储文件,又叫dump文件。简单来说,转储文件是进程某一时刻的快照。 微软官方对转储文件的定义是这样的:转储文件是应用程序在进行转储那一时刻的快照。它显示了正在执行的进程以及已加载的模块。如...
Get program files folder in C#
alien1的博客
08-30 504
1. via Environment variables static string ProgramFilesx86() { if( 8 == IntPtr.Size || (!String.IsNullOrEmpty(Environment.GetEnvironmentVariable("PROCESSOR_ARCHITEW6432")))) {
判断当前Windows XP操作系统32还是64的方法
热门推荐
大白(奋斗)的专栏
07-18 2万+
昨天在调查怎样区分Windows XP3264的问题,在网上找了一下,大家常用的有两种方法。方法一、通过指针来判断。在32操作系统上指针长是4个字节,而在64系统上指针为8个字节。 方法二、通过环境变量识别。微软在设计64Windows XP时,能否很好地兼容32程序是它们考虑的重中之重,安装64Windows XP后,我们能看到系统盘根目录下有一个特殊的文件
在bat脚本中区分操作系统版本
fengkuangfj的专栏
01-14 1万+
@echo off set OsVersion=0 set OsProcessor=0 echo 操作系统版本: ver|findstr /r /i " [版本 5.1.*]" > NUL && goto WindowsXP ver|findstr /r /i " [版本 6.1.*]" > NUL && goto Windows7 goto UnknownVersion :WindowsX
Windows平台判断系统64还是32
记录日常开发的小问题备忘
06-17 884
开发某应用软件时,需要获取当前系统架构是x64还是x32。程序为32应用程序,运行在Win10 64系统下,但是通过api函数GetSystemInfo获取的cpu架构为x86(32),这显然是不正确的因为Win32程序在Win64上运行需要借助WOW64,它是一个32的仿真器,微软利用它,来让一个32程序无缝的运行在64系统上,在进程创建时,WOW64会为我们的32进程设置环境变量如下:表格内容摘自MSDN,由此可见我们的进程环境变量中的PROCESSOR_ARCHITECTURE被设置为x8
[整理修改] DOS 批处理命令判断操作系统版本 执行各版本对应语句
业余编程
09-14 1万+
昨天在家里试用  netsh interface ip set address 这些命令更改上网IP、DNS、网关等,今天将那些代码拿来办公室一用发现尽报错,才想起来家里电脑是WIn7系统,办公室机器是XP系统,于是手工修改了一下 netsh 对应的一些参数,在XP下面终于能正常执行了。也就是说,在WIn7和WinXP下  netsh 命令对应的参数是不一样的,就比如 在XP下面的 netsh
基于最优剪枝深度优先搜索算法实现二维空间障碍物规避与最短路径规划的可视化系统_三维空间路径规划竞赛项目二维化实现障碍物智能规避路径折弯夹角约束满足起点至终点最短路径计算算法.zip
最新发布
12-05
基于最优剪枝深度优先搜索算法实现二维空间障碍物规避与最短路径规划的可视化系统_三维空间路径规划竞赛项目二维化实现障碍物智能规避路径折弯夹角约束满足起点至终点最短路径计算算法.zip
软件工具Notepad系列文本编辑器安装配置指南:Windows系统记事本与Notepad++下载使用全流程解析
12-05
内容概要:本文详细介绍了Windows自带记事本(Notepad)和功能增强型文本编辑器Notepad++的下载、安装、配置及使用方法。重点讲解了Notepad++的官方下载渠道、安装步骤(包括安装版与便携版)、首次使用时的语言与编码设置、插件安装、主题优化以及特色功能如多标签编辑、语法高亮、搜索替换和宏录制等。同时提供了常见问题解决方案,并对比了Notepad++与其他主流编辑器(如VS Code、Sublime Text等)的功能差异,给出了不同使用场景下的选择建议。; 适合人群:需要进行简单文本编辑或代码编写的初学者、程序员及IT技术人员,尤其适合希望提升编辑效率的办公人员和开发者;; 使用场景及目标:①快速安装并配置Notepad++用于编程和文本处理;②解决中文乱码、右键菜单缺失、插件安装失败等问题;③根据实际需求选择合适的文本编辑工具;④实现便携式编辑环境搭建; 阅读建议:建议按照文档顺序逐步操作,优先从官网下载软件以确保安全,安装过程中注意选项勾选,首次使用时应完成基本配置以优化体验,同时可结合插件扩展功能,提升工作效率。
AI 代码审查Review工具(附部署方式指南和源代码)
12-05
AI 代码审查Review工具 是一个旨在自动化代码审查流程的工具。它通过集成版本控制系统(如 GitHub 和 GitLab)的 Webhook,利用大型语言模型(LLM)对代码变更进行分析,并将审查意见反馈到相应的 Pull Request 或 Merge Request 中。此外,它还支持将审查结果通知到企业微信等通讯工具。 一个基于 LLM 的自动化代码审查助手。通过 GitHub/GitLab Webhook 监听 PR/MR 变更,调用 AI 分析代码,并将审查意见自动评论到 PR/MR,同时支持多种通知渠道。 主要功能 多平台支持: 集成 GitHub 和 GitLab Webhook,监听 Pull Request / Merge Request 事件。 智能审查模式: 详细审查 (/github_webhook, /gitlab_webhook): AI 对每个变更文件进行分析,旨在找出具体问题。审查意见会以结构化的形式(例如,定到特定代码行、问题分类、严重程度、分析和建议)逐条评论到 PR/MR。AI 模型会输出 JSON 格式的分析结果,系统再将其转换为多条独立的评论。 通用审查 (/github_webhook_general, /gitlab_webhook_general): AI 对每个变更文件进行整体性分析,并为每个文件生成一个 Markdown 格式的总结性评论。 自动化流程: 自动将 AI 审查意见(详细模式下为多条,通用模式下为每个文件一条)发布到 PR/MR。 在所有文件审查完毕后,自动在 PR/MR 中发布一条总结性评论。 即便 AI 未发现任何值得报告的问题,也会发布相应的友好提示和总结评论。 异步处理审查任务,快速响应 Webhook。 通过 Redis 防止对同一 Commit 的重复审查。 灵活配置: 通过环境变量设置基
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值