windbg調試命令4(用戶層.dump)

本文轉載自查看原文 2012-12-18 16:18 3026 調試

Windbg生成dump文件的方法：

程序崩潰（crash）的時候，為了以后能夠調試分析問題，可以使用WinDBG要把當時程序內存空間數據都保存下來，生成的文件稱為dump 文件。步驟：

1）打開WinDBG並將之Attach 到crash的程序進程

2）輸入產生dump 文件的命令

WinDBG產生dump 文件的命令是 .dump ，可以選擇不同的參數來生成不同類型的dump文件。

選項(1)： /m

命令行示例：.dump /m C:\dumps\myapp.dmp

注解：缺省選項，生成標准的minidump，轉儲文件通常較小，便於在網絡上通過郵件或其他方式傳輸。這種文件的信息量較少，只包含系統信息、加載的模塊（DLL）信息、進程信息和線程信息。

選項(2)： /ma

命令行示例：.dump /ma C:\dumps\myapp.dmp

注解：帶有盡量多選項的minidump（包括完整的內存內容、句柄、未加載的模塊，等等），文件很大，但如果條件允許（本機調試，局域網環境），推薦使用這中dump。

選項(3)：/mFhutwd

命令行示例：.dump /mFhutwd C:\dumps\myapp.dmp

注解：帶有數據段、非共享的讀/寫內存頁和其他有用的信息的minidump。包含了通過minidump能夠得到的最多的信息。是一種折中方案

那怎么自動生成dump文件呢，比如對方的電腦沒有windbg，這里用到一個window系統自帶工具，Dr.Watson

運行方式很簡單：

直接run-輸入drwtsn32 -i就可以了，會提示這樣的:

這個命令真難記，實話，記華生醫生吧，福爾摩斯中的

如果有程序崩潰，會自動生成dump,這時再輸入drwtsn32就會運行這個程序:

找到對應路徑的DMP文件就行了，一般放在如下路徑:
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson

以下實例來自AWD

代碼：

/*++

Copyright (c) Advanced Windows Debugging (ISBN 0321374460) from Addison-Wesley Professional. All rights reserved.
THIS CODE AND INFORMATION IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY
KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE
IMPLIED WARRANTIES OF MERCHANTABILITY AND/OR FITNESS FOR A PARTICULAR
PURPOSE.
--*/
#include "stdafx.h"
#include <windows.h>
#include <stdio.h>
#include <conio.h>
VOID SimulateMemoryCorruption ( ) ;
class CAppInfo
{
public:
CAppInfo(LPWSTR wszAppName, LPWSTR wszVersion)
{
m_wszAppName=wszAppName;
m_wszVersion=wszVersion;
}
VOID PrintAppInfo()
{
wprintf(L"\nFull application Name: %s\n", m_wszAppName);
wprintf(L"Version: %s\n", m_wszVersion);
}
private:
LPWSTR m_wszAppName ;
LPWSTR m_wszVersion ;
} ;
CAppInfo* g_AppInfo ;
int __cdecl wmain (int argc, WCHAR* args[])
{
wint_t iChar = 0 ;
g_AppInfo = new CAppInfo(L"Memory Corruption Sample", L"1.0" );
if(!g_AppInfo)
{
return 1;
}
wprintf(L"Press: \n");
wprintf(L" 1 To display application information\n");
wprintf(L" 2 To simulated memory corruption\n");
wprintf(L" 3 To exit\n\n\n>");
while((iChar=_getwche())!='3')
{
switch(iChar)
{
case '1':
g_AppInfo->PrintAppInfo();
break;
case '2':
SimulateMemoryCorruption();
wprintf(L"\nMemory Corruption completed\n");
break;
default:
wprintf(L"\nInvalid option\n");
}
wprintf(L"\n\n> ");
}
return 0;
}
VOID SimulateMemoryCorruption ( )
{
char* pszWrite="Corrupt";
BYTE* p=(BYTE*) g_AppInfo;
CopyMemory(p, pszWrite, strlen(pszWrite));
}

/*++
Copyright (c) Advanced Windows Debugging (ISBN 0321374460) from Addison-Wesley Professional.  All rights reserved.

    THIS CODE AND INFORMATION IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY
    KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE
    IMPLIED WARRANTIES OF MERCHANTABILITY AND/OR FITNESS FOR A PARTICULAR
    PURPOSE.

--*/
#include "stdafx.h"
#include <windows.h>
#include <stdio.h>
#include <conio.h>

VOID SimulateMemoryCorruption ( ) ;

class CAppInfo
{
public: 
    CAppInfo(LPWSTR wszAppName, LPWSTR wszVersion)
    {
        m_wszAppName=wszAppName;
        m_wszVersion=wszVersion;
    }

    VOID PrintAppInfo()
    {
        wprintf(L"\nFull application Name: %s\n", m_wszAppName);
        wprintf(L"Version: %s\n", m_wszVersion);
    }

private:
    LPWSTR m_wszAppName ;
    LPWSTR m_wszVersion ;
} ;

CAppInfo* g_AppInfo ;

int __cdecl wmain (int argc, WCHAR* args[])
{
    wint_t iChar = 0 ;
    g_AppInfo = new CAppInfo(L"Memory Corruption Sample", L"1.0" );
    if(!g_AppInfo)
    {
        return 1;
    }

    wprintf(L"Press: \n");
    wprintf(L"    1    To display application information\n");
    wprintf(L"    2    To simulated memory corruption\n");
    wprintf(L"    3    To exit\n\n\n>");

    while((iChar=_getwche())!='3')
    {
        switch(iChar)
        {
            case '1':
               g_AppInfo->PrintAppInfo();
               break;

            case '2':
              SimulateMemoryCorruption();
              wprintf(L"\nMemory Corruption completed\n");
              break;

            default:
              wprintf(L"\nInvalid option\n");
        }
        wprintf(L"\n\n> ");
    }
    return 0;
}


VOID SimulateMemoryCorruption ( )
{
    char* pszWrite="Corrupt";
    BYTE* p=(BYTE*) g_AppInfo;
    CopyMemory(p, pszWrite, strlen(pszWrite));
}

編譯，生成Release，運行，選1再選2再選1，程序崩潰，打開Dump：

0:000> lm
start    end        module name
00400000 00406000   test1      (deferred)
62c20000 62c29000   lpk        (deferred)
73fa0000 7400b000   usp10      (deferred)
76300000 7631d000   imm32      (deferred)
76d70000 76d92000   apphelp    (deferred)
77bd0000 77bd8000   version    (deferred)
77d10000 77da0000   user32     (deferred)
77da0000 77e49000   advapi32   (deferred)
77e50000 77ee3000   rpcrt4     (deferred)
77ef0000 77f39000   gdi32      (deferred)
77fc0000 77fd1000   secur32    (deferred)
78520000 785c3000   msvcr90    (private pdb symbols) c:\mysymbol\msvcr90.i386.pdb\3ADD2E755BC041BC9149BFBE7C33387C1\msvcr90.i386.pdb
7c800000 7c91e000   kernel32   (deferred)
7c920000 7c9b6000   ntdll      (pdb symbols)          c:\mysymbol\ntdll.pdb\CEFC0863B1F84130A11E0F54180CD21A2\ntdll.pdb

加載符號文件:

0:000> .sympath+ D:\Project1\test1\Release
Symbol search path is: C:\WINDOWS\Symbols;SRV*c:\mysymbol* http://msdl.microsoft.com/download/symbols ;D:\Project1\test1\Release
WARNING: Whitespace at end of path element
0:000> .reload /f
..............
Loading unloaded module list
.........
0:000> lm
start    end        module name
00400000 00406000   test1      (private pdb symbols) D:\Project1\test1\Release\test1.pdb
62c20000 62c29000   lpk        (pdb symbols)          C:\WINDOWS\Symbols\dll\lpk.pdb
73fa0000 7400b000   usp10      (pdb symbols)          c:\mysymbol\usp10.pdb\D4BA2952809F469BB6D1D3AF6B956E6B1\usp10.pdb
76300000 7631d000   imm32      (pdb symbols)          C:\WINDOWS\Symbols\dll\imm32.pdb
76d70000 76d92000   apphelp    (pdb symbols)          C:\WINDOWS\Symbols\dll\apphelp.pdb
77bd0000 77bd8000   version    (pdb symbols)          C:\WINDOWS\Symbols\dll\version.pdb
77d10000 77da0000   user32     (pdb symbols)          C:\WINDOWS\Symbols\dll\user32.pdb
77da0000 77e49000   advapi32   (pdb symbols)          c:\mysymbol\advapi32.pdb\F759D3F1C6614313B07C84BC33F02E4D2\advapi32.pdb
77e50000 77ee3000   rpcrt4     (pdb symbols)          c:\mysymbol\rpcrt4.pdb\1A465C67828242F28A8C70E3B9D5C4772\rpcrt4.pdb
77ef0000 77f39000   gdi32      (pdb symbols)          c:\mysymbol\gdi32.pdb\372C0F0E08FB456EAB7B4CB2B53E27952\gdi32.pdb
77fc0000 77fd1000   secur32    (pdb symbols)          c:\mysymbol\secur32.pdb\7867B3F28B5C41CE847895E3FC013DC52\secur32.pdb
78520000 785c3000   msvcr90    (private pdb symbols) c:\mysymbol\msvcr90.i386.pdb\3ADD2E755BC041BC9149BFBE7C33387C1\msvcr90.i386.pdb
7c800000 7c91e000   kernel32   (pdb symbols)          c:\mysymbol\kernel32.pdb\072FF0EB54D24DFAAE9D13885486EE092\kernel32.pdb
7c920000 7c9b6000   ntdll      (pdb symbols)          c:\mysymbol\ntdll.pdb\CEFC0863B1F84130A11E0F54180CD21A2\ntdll.pdb

查看堆棧:

0:000> kb
ChildEBP RetAddr Args to Child
0012ff20 78556215 785b73c8 004020f4 00000000 msvcr90!_woutput_l+0x94c [f:\dd\vctools\crt_bld\self_x86\crt\src\output.c @ 1624]
0012ff64 004010ba 004020f4 72726f43 00403380 msvcr90!wprintf+0x73 [f:\dd\vctools\crt_bld\self_x86\crt\src\wprintf.c @ 63]
0012ff7c 00401252 00000001 00392940 00392998 test1!wmain+0xba [d:\project1\test1\test1\test1.cpp @ 58]
0012ffc0 7c817077 00300031 0032002d 7ffdc000 test1!__tmainCRTStartup+0x10f [f:\dd\vctools\crt_bld\self_x86\crt\src\crtexe.c @ 583]
0012fff0 00000000 0040139a 00000000 78746341 kernel32!BaseProcessStart+0x23

看下58行代碼，使用了 g_AppInfo->PrintAppInfo();

我們猜測，g_AppInfo的兩個成員無效，因為wprintf調用的就是它們

找到g_AppInfo，列出它的成員：

0:000> x test1!*g_*
00403374 test1!g_AppInfo = 0x00395b10
004022f0 test1!_load_config_used = struct IMAGE_LOAD_CONFIG_DIRECTORY32_2
00402098 test1!_imp___amsg_exit = <no type information>
004014fa test1!_amsg_exit = <no type information>
0:000> dt CAppInfo 0x00395b10
test1!CAppInfo
+0x000 m_wszAppName : 0x72726f43 "--- memory read error at address 0x72726f43 ---"
+0x004 m_wszVersion : 0x00747075 "???"

注意，這里dt要用CAppInfo告訴它解析的地址類型

那我們再來看看這兩個局變量的內容:

0:000> dt CAppInfo 0x00395b10
test1!CAppInfo
   +0x000 m_wszAppName     : 0x72726f43 "--- memory read error at address 0x72726f43 ---"
   +0x004 m_wszVersion     : 0x00747075 "???"
0:000> !address 0x72726f43
    62c29000 : 62c29000 - 11377000
                    Type     00000000
                    Protect 00000001 PAGE_NOACCESS
                    State    00010000 MEM_FREE
                    Usage    RegionUsageFree
0:000> !address 0x00747075
    005f0000 : 005f0000 - 001be000
                    Type     00020000 MEM_PRIVATE
                    Protect 00000004 PAGE_READWRITE
                    State    00001000 MEM_COMMIT
                    Usage    RegionUsageIsVAD

我們發現第一個變量竟然是不可訪問的，找到問題了，

0:000> dc 0x00395b10
00395b10 72726f43 00747075 00020201 000801c2 Corrupt.........
00395b20 6c75460a 7061206c 63696c70 6f697461 .Full applicatio
00395b30 614e206e 203a656d 64657465 4320790a n Name: eted.y C
00395b40 7572726f 6f697470 6153206e 656c706d orruption Sample
00395b50 0000000a 00000000 00000000 00000000 ................
00395b60 00000000 00000000 00000000 00000000 ................
00395b70 00000000 00000000 00000000 00000000 ................
00395b80 00000000 00000000 00000000 00000000 ................

原來第一個變量竟然成了字符串Corrupt，查看代碼，我們發現在按2時，程序強行把字符串"Corrupt"寫入了

一些的指導性的建議和策略：

1通過命令dc將指針的內存內容轉儲出來，dc可以將內存內容以雙字形式轉儲出來，如果在輸出中看到有任何的字符串，那么可以通過命令da或du把字符串轉儲出來

2通過!address收集關於內存的信息，!address可以告訴你內存的類型（如私有內存)，保護級別(讀取和寫入),狀態(已提交或保留)和用途（棧或堆)

3.通過dds命令將內存轉儲為雙字或者符號,這有助於將內存和特定的類型關聯起來，

4.通過dpp命令對指針解引用，並且以雙字形式轉儲出內存的內容，如果有任何一個雙字匹配某個符號，那么這個符號也會被顯示，如果在指針指向的內存中包含了一個虛函數表，那么

這種技術是非常有用的

5.通過dpa和dpu將指針指向的內存分別顯示為ASII格式和Unicode格式

6.如果內存的內容是個很小的數值(4的值數)那么它可能是一個句柄，可以通過!handle來轉儲這個句柄的信息.

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 Windbg調試命令詳解 WinDbg調試高內存的.Net進程Dump windbg調試命令 windbg調試命令 WinDBG 調試命令大全 windbg調試命令 WinDbg分析Dump常用方法和命令 Windbg常用命令系列---.dump(創建dump文件) windbg調試命令9(dt、d) 使用WinDbg調試入門(用戶模式)