2. 程式人生 > >WINDBG分析DMP方法

WINDBG分析DMP方法

阿新 發佈:2018-11-12

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow

也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!

                上次發了2100藍屏抓DMP分析案例這個帖子後,好多人想學怎麼分析DMP,那我也是剛剛學的,簡單的說下。
http://bbs.icafe8.com/forum.php?mod=viewthread&tid=399075&fromuid=30123

1:先下載附件WinDbg,解壓出來後,直接執行裡面的windbg.exe。(或者可以自已去網上下的)
 WinDbg.part11.rar (465.13 KB, 下載次數: 84) 
 WinDbg.part10.rar (1.39 MB, 下載次數: 97) 
 WinDbg.part09.rar (1.39 MB, 下載次數: 80) 
 WinDbg.part08.rar (1.39 MB, 下載次數: 86) 
 WinDbg.part07.rar
 (1.39 MB, 下載次數: 79) 
 WinDbg.part06.rar (1.39 MB, 下載次數: 98) 
 WinDbg.part05.rar (1.39 MB, 下載次數: 86) 
 WinDbg.part04.rar (1.39 MB, 下載次數: 94) 
 WinDbg.part03.rar (1.39 MB, 下載次數: 82) 
 WinDbg.part02.rar (1.39 MB, 下載次數: 93) 

 WinDbg.part01.rar (1.39 MB, 下載次數: 82) 
2:第一次開啟介面操作如下圖:
1.jpg 
3:然後會出現如下圖的,另外把SRV*e:\symbols*  http://msdl.microsoft.com/download/symbols  
複製進去。
http://msdl.microsoft.com/download/symbols 為微軟符號表伺服器地址
2.jpg 
然後點OK,然後關閉windbg一次。不然這個設定不會被儲存下來。
然後下次需要看DUP的時候,開啟windbg.exe,直接可以把抓來的DMP檔案拖到開啟的介面裡面就可以分析了。
4:自動分析命令 !analyze -v
以網咖抓到的一個F4藍屏為例
3.jpg 

上圖比較迷惑的地方
4.jpg 
從這個棧回溯看,會以為是vdiskbus+0xda6c引起的藍屏。
實際上這裡是無盤實現的抓DUMP的機制,這裡可以看作是對系統函式KebugCheckEx的展開。這個是這樣理解,KebugCheckEx呼叫地址 0x89fb41ca,地址0x89fb41ca會呼叫vdiskbus+0xda6c,也就是無盤的DMP機制。所以看到這樣的棧回溯,說明並不是vdiskbus引起藍屏,只是呼叫到了無盤的DMP機制。
從另一個角度來說,呼叫KebugCheckEx就是藍屏,KebugCheckEx呼叫的不是引起藍屏的。所以要向前推,看誰在呼叫KebugCheckEx。
這個例項中看到殺程序的函式ZwTerminateProcess原型為:
ZwTerminateProcess(IN HANDLE ProcessHandle OPTIONAL,IN NTSTATUS ExitStatus);
看堆疊中第一個引數:
5.jpg 
為0xffffffff即-1,表示殺掉了自己。然後用命令!process 看下當前程序是誰。
6.jpg 
這樣從棧資訊,看到是csrss.exe程序出現了異常,會導致程序自 殺。而引起F4藍屏。具體是哪裡引起的,因為小DMP沒有使用者態資訊。得不到進一步的問題確認(有可能有人注入csrss引起等原因)。
其實自動分析已經把結果列出來了,實際上不需要我們做上面的分析。
7.jpg 
F4藍屏的第二個引數,就是被殺掉的程序的程序物件。自動分析已經指出為csrss程序。做上述人工分析,是想說明人工怎麼定位問題。
5:常用命令:
檢視棧的命令:k,kb,kn,kd,kl
檢視記憶體的命令:db,dw,dd,da,du
用一個網咖抓到的DMP為EA藍屏的做為例子。
8.jpg 
自動分析的棧來看,是看門狗驅動呼叫的藍屏函式kebugcheckex。這個棧來看沒有什麼用。從自動分析對EA藍屏的解釋來看是裝置驅動變為閒置狀態,一定時間內,沒有喂狗訊號。看門狗會呼叫dbgBreakPoint,而不是kebugCheckex。不過我們還是在kebugCheckex拿到了一些藍屏的資訊。
EA藍屏的第一個引數指向一個執行緒物件,用命令.thread 切換到對應執行緒,然後用kb檢視執行緒棧,就可以確定哪裡出了問題。
9.jpg 
執行提示出錯,用dd命令檢視一下對應的地址。
10.jpg 
對應地址為??????,很遺憾,表示這個地址的內容,並沒有被我們DMP下來。
同樣第二個引數中的地址,也沒有包含在我們的小DMP中。
11.jpg 
第三個引數的解釋,是指向出錯驅動的名稱。用dd命令來檢視一下對應地址的內容是否被我們DMP出來了。
12.jpg 
能看到資料內容。看樣子應該是UNICODE_STRING結構,顯示UNICODE_STRING的命令是dS(S必須大寫)。
13.jpg 

顯示驅動名稱為:“nv4_disp”.看來應該是N卡的顯示驅動。
用lm 可以顯示驅動模組。
14.jpg 
6:需要切換環境手動生成了一個DMP,7E藍屏。
15.jpg 
這時用KB看棧
16.jpg 
從上圖看明顯不是出錯的執行緒棧。是因為需要切換一下環境。藍屏的第四個引數儲存的是對應的環境地址。用命令.cxr切換一下,然後再用kb檢視。
17.jpg 
切換環境後,再看棧回溯就能定位到出錯的地方了。
以上資料來自於某個研發那的,是給我們培訓用的,希望大家都學會他。 
           

給我老師的人工智慧教程打call!http://blog.csdn.net/jiangjunshow

這裡寫圖片描述

相關推薦

WINDBG分析DMP方法

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

windbg分析崩潰dmp

首先我們收集了程式崩潰的dump檔案,然後將dump檔案拖拽到windbg下,然後依次如下命令:1.設定符號路徑:.sympath srv*C:\symbols*http://msdl.microsoft.com/download/symbols;C:\crash\pdb;

程式異常崩潰捕捉-dmp檔案及Windbg分析

#include <dbghelp.h>       #include <shellapi.h>       #include <shlobj.h>                     // 自定義的exectpion filter       LONG WINAPI

【Java】HashMap源碼分析——常用方法詳解

fir 設置 直接 dfa 構造方法 change mage null 這也 上一篇介紹了HashMap的基本概念,這一篇著重介紹HasHMap中的一些常用方法:put()get()**resize()** 首先介紹resize()這個方法,在我看來這是HashMap中一個

原始碼分析---onSaveInstanceState()方法分析

①在Activity的onSaveInstanceState()方法中,呼叫super()方法,裡面最終就是呼叫這裡的方法。主要是儲存activity的狀態,fragment的狀態,最終呼叫application進行儲存狀態。 ②首先是Activity的狀態。

情緒分析方法

Discovering Consumer Insight from Twitter via Sentiment Analysis. Journal of Universal Computer Science, vol. 18, no. 8 (2012), 973

Mybatis的處理引數原始碼分析方法傳參取參分析

一、Mybatis中解析引數傳遞的原始碼分析 首先,當查詢資料庫語句mapper.getEmpByIdAndLastName(1, "tom");執行時,會呼叫Mybatis包中MapperProxy.invoke()方法,然後按照順序執行; 流程: 注:先進入Mybatis包中Mapp

windbg載入dmp檔案 跟蹤記憶體洩漏或程式崩潰位置 ntdll.pdb缺少

前提:將要除錯的exe 檔案,pdb檔案,dmp檔案拷貝到同一路徑下   E:\test_projects\ConsoleApplication3\Debug;srv*E:\test_projects\ConsoleApplication3\Debug*https://msdl.m

【Java】HashMap原始碼分析——常用方法詳解

上一篇介紹了HashMap的基本概念,這一篇著重介紹HasHMap中的一些常用方法:put()get()**resize()** 首先介紹resize()這個方法,在我看來這是HashMap中一個非常重要的方法,是用來調整HashMap中table的容量的,在很多操作中多需要重新計算容量。原始碼如下: 1

深入分析Java方法反射的實現原理

前段時間看了笨神的 從一起GC血案談到反射原理一本,就把Java方法的反射機制實現擼了一遍。 方法反射例項 1 2 3 4 5 6 7 8 9 10 11 12 13

通過混合程式設計分析方法和機器學習預測Web應用程式的漏洞

通過混合程式設計分析的方法和機器學習預測Web應用程式的漏洞 由於時間和資源的限制,web軟體工程師需要支援識別出有漏洞的程式碼。一個實用的方法用來預測漏洞程式碼可以提高他們安全審計的工作效率。在這篇文章中,作者提出使用混合(靜態和動態)程式碼屬性來識別輸入驗證和輸入檢查的程式碼模式以用來標識web應用

ICA(獨立成分分析方法及應用於視訊分析心跳檢測

本文整理自論文《Non-contact, automated cardiac pulse measurements using video imaging and blind source separation》及ICA相關資料。 獨立成分分析(Independent Component

如何看懂原始碼--(分析原始碼方法)

積累一些讀軟體原始碼的好方法: 轉載:http://blog.csdn.net/challenge_c_plusplus/article/details/6680220 想要更多軟體開發資料或幫助, 請加QQ技術群:  69255833 我們在寫程式時,有不少時間都是在看別

Java設計模式之從[歡迎介面]分析模板方法(Template Method)模式

  模板方法是在抽象類中最常用的模式了(應該沒有之一),它定義一個操作中演算法的骨架,而將一些步驟延遲到子類中,使得子類可以不改變一個演算法的結構即可重新定義演算法的某些步驟。   例如我們要編寫一個歡迎介面,如果使用者是第一次開啟本軟體,則彈出一個歡迎的提示。為了能夠實現

如何明確資料分析方法(一)

當我們在進行資料分析中,我們需要保證資料分析框架的體系化,這是因為資料分析是需要很強的邏輯性。如果要做好資料分析工作,就需要讓每一個步驟都具有層次感。現在很多的企業都在使用資料分析,他們主要是以營銷、管理等理論為指導,結合實際業務情況,搭建分析框架,這樣才能儘量確保資料分析維度的完整性,結果的有效性及正確

如何明確資料分析方法(二)

在上一篇文章中我們給大家介紹了資料分析的框架,就是常用的5W2H法和邏輯樹。當然,只靠這些方法我們還是很難保證資料分析框架的體系化的,還有很多的方法,比如PEST、4P理論、使用者使用行為。我們就在這篇文章中給大家詳細的介紹一下這些內容。 首先是PEST分析法,PEST即政治(Political)、經濟

利用WinDbg分析C#程式產生的轉儲檔案

 何志丹 啟動對應版本(X86,X64)的WinDbg,主選單“File->Open Crash dump”開啟崩潰轉儲檔案。假定崩潰的程式是Eholly。依次執行以下4命令。 ld Eholly sxe ld:clrjit .loadby sos clr !dum

日誌分析方法概述 & Web日誌挖掘分析方法

本文討論的日誌處理方法中的日誌,僅指Web日誌。其實並沒有精確的定義,可能包括但不限於各種前端Web伺服器——apache、lighttpd、tomcat等產生的使用者訪問日誌,以及各種Web應用程式自己輸出的日誌。 在Web日誌中,每條日誌通常代表著使用者的一次訪問行為,例如下面就是一條典型的apac

易學筆記-系統分析師考試-第11章 軟體需求工程/11.3 需求分析/11.3.2 需求分析方法

需求分析的方法 PDOA方法(面向問題域的分析(Problem Domain Oriented Analysis)) 概念:是一種比較新的分析技術,注重描述,少強調建模 組成 關於問題域 用一

WinDbg除錯dmp(查詢問題的異常堆疊時出現的 UnhandledExceptionFilter 呼叫堆疊跟蹤中)

1.使用windbg開啟dump檔案,同時設定symbols。      如果之前下載過windows的symbols就直接設定symbols path: (windows和程式的pdb)              例如:C:\Symbols;E:\work\技術分享\dum