上次發了2100藍屏抓DMP分析案例這個帖子后,好多人想學怎么分析DMP,那我也是剛剛學的,簡單的說下。
http://bbs.icafe8.com/forum.php?mod=viewthread&tid=399075&fromuid=30123
1:先下載附件WinDbg,解壓出來后,直接運行里面的windbg.exe。(或者可以自已去網上下的)
WinDbg.part11.rar (465.13 KB, 下載次數: 84)
WinDbg.part10.rar (1.39 MB, 下載次數: 97)
WinDbg.part09.rar (1.39 MB, 下載次數: 80)
WinDbg.part08.rar (1.39 MB, 下載次數: 86)
WinDbg.part07.rar (1.39 MB, 下載次數: 79)
WinDbg.part06.rar (1.39 MB, 下載次數: 98)
WinDbg.part05.rar (1.39 MB, 下載次數: 86)
WinDbg.part04.rar (1.39 MB, 下載次數: 94)
WinDbg.part03.rar (1.39 MB, 下載次數: 82)
WinDbg.part02.rar (1.39 MB, 下載次數: 93)
WinDbg.part01.rar (1.39 MB, 下載次數: 82)
2:第一次打開界面操作如下圖:
3:然后會出現如下圖的,另外把SRV*e:\symbols* http://msdl.microsoft.com/download/symbols
復制進去。
http://msdl.microsoft.com/download/symbols 為微軟符號表服務器地址
然后點OK,然后關閉windbg一次。不然這個設置不會被保存下來。
然后下次需要看DUP的時候,打開windbg.exe,直接可以把抓來的DMP文件拖到打開的界面里面就可以分析了。
4:自動分析命令 !analyze -v
以網吧抓到的一個F4藍屏為例
上圖比較迷惑的地方
從這個棧回溯看,會以為是vdiskbus+0xda6c引起的藍屏。
實際上這里是無盤實現的抓DUMP的機制,這里可以看作是對系統函數KebugCheckEx的展開。這個是這樣理解,KebugCheckEx調用地址 0x89fb41ca,地址0x89fb41ca會調用vdiskbus+0xda6c,也就是無盤的DMP機制。所以看到這樣的棧回溯,說明並不是vdiskbus引起藍屏,只是調用到了無盤的DMP機制。
從另一個角度來說,調用KebugCheckEx就是藍屏,KebugCheckEx調用的不是引起藍屏的。所以要向前推,看誰在調用KebugCheckEx。
這個實例中看到殺進程的函數ZwTerminateProcess原型為:
ZwTerminateProcess(IN HANDLE ProcessHandle OPTIONAL,IN NTSTATUS ExitStatus);
看堆棧中第一個參數:
為0xffffffff即-1,表示殺掉了自己。然后用命令!process 看下當前進程是誰。
這樣從棧信息,看到是csrss.exe進程出現了異常,會導致進程自 殺。而引起F4藍屏。具體是哪里引起的,因為小DMP沒有用戶態信息。得不到進一步的問題確認(有可能有人注入csrss引起等原因)。
其實自動分析已經把結果列出來了,實際上不需要我們做上面的分析。
F4藍屏的第二個參數,就是被殺掉的進程的進程對象。自動分析已經指出為csrss進程。做上述人工分析,是想說明人工怎么定位問題。
5:常用命令:
查看棧的命令:k,kb,kn,kd,kl
查看內存的命令:db,dw,dd,da,du
用一個網吧抓到的DMP為EA藍屏的做為例子。
自動分析的棧來看,是看門狗驅動調用的藍屏函數kebugcheckex。這個棧來看沒有什么用。從自動分析對EA藍屏的解釋來看是設備驅動變為閑置狀態,一定時間內,沒有喂狗信號。看門狗會調用dbgBreakPoint,而不是kebugCheckex。不過我們還是在kebugCheckex拿到了一些藍屏的信息。
EA藍屏的第一個參數指向一個線程對象,用命令.thread 切換到對應線程,然后用kb查看線程棧,就可以確定哪里出了問題。
執行提示出錯,用dd命令查看一下對應的地址。
對應地址為??????,很遺憾,表示這個地址的內容,並沒有被我們DMP下來。
同樣第二個參數中的地址,也沒有包含在我們的小DMP中。
第三個參數的解釋,是指向出錯驅動的名稱。用dd命令來查看一下對應地址的內容是否被我們DMP出來了。
能看到數據內容。看樣子應該是UNICODE_STRING結構,顯示UNICODE_STRING的命令是dS(S必須大寫)。
顯示驅動名稱為:“nv4_disp”.看來應該是N卡的顯示驅動。
用lm 可以顯示驅動模塊。
6:需要切換環境手動生成了一個DMP,7E藍屏。
這時用KB看棧
從上圖看明顯不是出錯的線程棧。是因為需要切換一下環境。藍屏的第四個參數存儲的是對應的環境地址。用命令.cxr切換一下,然后再用kb查看。
切換環境后,再看棧回溯就能定位到出錯的地方了。
以上資料來自於某個研發那的,是給我們培訓用的,希望大家都學會他。
http://bbs.icafe8.com/forum.php?mod=viewthread&tid=399075&fromuid=30123
1:先下載附件WinDbg,解壓出來后,直接運行里面的windbg.exe。(或者可以自已去網上下的)
WinDbg.part11.rar (465.13 KB, 下載次數: 84) WinDbg.part10.rar (1.39 MB, 下載次數: 97) WinDbg.part09.rar (1.39 MB, 下載次數: 80) WinDbg.part08.rar (1.39 MB, 下載次數: 86) WinDbg.part07.rar (1.39 MB, 下載次數: 79) WinDbg.part06.rar (1.39 MB, 下載次數: 98) WinDbg.part05.rar (1.39 MB, 下載次數: 86) WinDbg.part04.rar (1.39 MB, 下載次數: 94) WinDbg.part03.rar (1.39 MB, 下載次數: 82) WinDbg.part02.rar (1.39 MB, 下載次數: 93) WinDbg.part01.rar (1.39 MB, 下載次數: 82) 2:第一次打開界面操作如下圖:
3:然后會出現如下圖的,另外把SRV*e:\symbols* http://msdl.microsoft.com/download/symbols
復制進去。
http://msdl.microsoft.com/download/symbols 為微軟符號表服務器地址
然后點OK,然后關閉windbg一次。不然這個設置不會被保存下來。
然后下次需要看DUP的時候,打開windbg.exe,直接可以把抓來的DMP文件拖到打開的界面里面就可以分析了。
4:自動分析命令 !analyze -v
以網吧抓到的一個F4藍屏為例
上圖比較迷惑的地方
從這個棧回溯看,會以為是vdiskbus+0xda6c引起的藍屏。
實際上這里是無盤實現的抓DUMP的機制,這里可以看作是對系統函數KebugCheckEx的展開。這個是這樣理解,KebugCheckEx調用地址 0x89fb41ca,地址0x89fb41ca會調用vdiskbus+0xda6c,也就是無盤的DMP機制。所以看到這樣的棧回溯,說明並不是vdiskbus引起藍屏,只是調用到了無盤的DMP機制。
從另一個角度來說,調用KebugCheckEx就是藍屏,KebugCheckEx調用的不是引起藍屏的。所以要向前推,看誰在調用KebugCheckEx。
這個實例中看到殺進程的函數ZwTerminateProcess原型為:
ZwTerminateProcess(IN HANDLE ProcessHandle OPTIONAL,IN NTSTATUS ExitStatus);
看堆棧中第一個參數:
為0xffffffff即-1,表示殺掉了自己。然后用命令!process 看下當前進程是誰。
這樣從棧信息,看到是csrss.exe進程出現了異常,會導致進程自 殺。而引起F4藍屏。具體是哪里引起的,因為小DMP沒有用戶態信息。得不到進一步的問題確認(有可能有人注入csrss引起等原因)。
其實自動分析已經把結果列出來了,實際上不需要我們做上面的分析。
F4藍屏的第二個參數,就是被殺掉的進程的進程對象。自動分析已經指出為csrss進程。做上述人工分析,是想說明人工怎么定位問題。
5:常用命令:
查看棧的命令:k,kb,kn,kd,kl
查看內存的命令:db,dw,dd,da,du
用一個網吧抓到的DMP為EA藍屏的做為例子。
自動分析的棧來看,是看門狗驅動調用的藍屏函數kebugcheckex。這個棧來看沒有什么用。從自動分析對EA藍屏的解釋來看是設備驅動變為閑置狀態,一定時間內,沒有喂狗信號。看門狗會調用dbgBreakPoint,而不是kebugCheckex。不過我們還是在kebugCheckex拿到了一些藍屏的信息。
EA藍屏的第一個參數指向一個線程對象,用命令.thread 切換到對應線程,然后用kb查看線程棧,就可以確定哪里出了問題。
執行提示出錯,用dd命令查看一下對應的地址。
對應地址為??????,很遺憾,表示這個地址的內容,並沒有被我們DMP下來。
同樣第二個參數中的地址,也沒有包含在我們的小DMP中。
第三個參數的解釋,是指向出錯驅動的名稱。用dd命令來查看一下對應地址的內容是否被我們DMP出來了。
能看到數據內容。看樣子應該是UNICODE_STRING結構,顯示UNICODE_STRING的命令是dS(S必須大寫)。
顯示驅動名稱為:“nv4_disp”.看來應該是N卡的顯示驅動。
用lm 可以顯示驅動模塊。
6:需要切換環境手動生成了一個DMP,7E藍屏。
這時用KB看棧
從上圖看明顯不是出錯的線程棧。是因為需要切換一下環境。藍屏的第四個參數存儲的是對應的環境地址。用命令.cxr切換一下,然后再用kb查看。
切換環境后,再看棧回溯就能定位到出錯的地方了。
以上資料來自於某個研發那的,是給我們培訓用的,希望大家都學會他。
再分享一下我老師大神的人工智能教程吧。零基礎!通俗易懂!風趣幽默!還帶黃段子!希望你也加入到我們人工智能的隊伍中來!https://blog.csdn.net/jiangjunshow