2. 程式人生 > >使用Windbg解析dump檔案

使用Windbg解析dump檔案

阿新 發佈:2019-01-04

例項1 如何調查堆被破壞問題。

    錯誤程式碼:0xc0000374
    錯誤含義:ACTIONABLE_HEAP_CORRUPTION_heap_failure_buffer_overrun


第一步、先用「!analyze -v」分析出錯誤的地方以及由於什麼原因導致程式Dump掉的。
       無非是記憶體溢位,訪問非法地址等幾種。


0:009> !analyze -v
*******************************************************************************
*                                                                             *
*                        Exception Analysis                                   *
*                                                                             *
*******************************************************************************
GetPageUrlData failed, server returned HTTP status 404
URL requested: http://watson.microsoft.com/StageOne/ProcessA_exe/1_0_0_1/5134aefd/ntdll_dll/6_1_7601_18229/51fb164a/c0000374/000c4102.htm?Retriage=1

FAULTING_IP: 

ntdll!RtlReportCriticalFailure+62
00000000`777b4102 eb00            jmp     ntdll!RtlReportCriticalFailure+0x64 (00000000`777b4104)

EXCEPTION_RECORD:  ffffffffffffffff -- (.exr 0xffffffffffffffff)
ExceptionAddress: 00000000777b4102 (ntdll!RtlReportCriticalFailure+0x0000000000000062)
   ExceptionCode: c0000374
  ExceptionFlags: 00000001
NumberParameters: 1
   Parameter[0]: 000000007782b4b0

PROCESS_NAME:  ProcessA.exe


ERROR_CODE: (NTSTATUS) 0xc0000374 - <Unable to get error code text>

EXCEPTION_CODE: (NTSTATUS) 0xc0000374 - <Unable to get error code text>

EXCEPTION_PARAMETER1:  000000007782b4b0

MOD_LIST: <ANALYSIS/>

NTGLOBALFLAG:  0

APPLICATION_VERIFIER_FLAGS:  0

FAULTING_THREAD:  0000000000002f8c

DEFAULT_BUCKET_ID:  ACTIONABLE_HEAP_CORRUPTION_heap_failure_buffer_overrun


PRIMARY_PROBLEM_CLASS:  ACTIONABLE_HEAP_CORRUPTION_heap_failure_buffer_overrun

BUGCHECK_STR:  APPLICATION_FAULT_ACTIONABLE_HEAP_CORRUPTION_heap_failure_buffer_overrun

LAST_CONTROL_TRANSFER:  from 00000000777b4746 to 00000000777b4102

STACK_TEXT:  
00000000`0548e170 00000000`777b4746 : 00000000`00000002 00000000`00000023 00000000`00000000 00000000`00000003 : ntdll!RtlReportCriticalFailure+0x62
00000000`0548e240 00000000`777b5952 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`1c01001d : ntdll!RtlpReportHeapFailure+0x26
00000000`0548e270 00000000`777b7604 : 00000000`00c50000 00000000`00c50000 00000000`0000000a 00000000`00000000 : ntdll!RtlpHeapHandleError+0x12
00000000`0548e2a0 00000000`777b79e8 : 00000000`00c50000 00000000`00000000 00000000`00100000 00000000`00000000 : ntdll!RtlpLogHeapFailure+0xa4
00000000`0548e2d0 00000000`7774fad6 : 00000000`00c50000 00000000`00c59e50 00000000`00c50000 00000000`00000000 : ntdll!RtlpAnalyzeHeapFailure+0x3a8
00000000`0548e330 00000000`777434d8 : 00000000`00c50000 00000000`00000003 00000000`000006cc 00000000`000006e0 : ntdll!RtlpAllocateHeap+0x1d2a
00000000`0548e8d0 00000000`777247ea : 00000000`00000003 00000000`00c5ee80 00000000`00c50278 00000000`000006cc : ntdll!RtlAllocateHeap+0x16c
00000000`0548e9e0 00000000`77723ff2 : 00000000`00c50000 00000000`00000003 00000000`00c5ee90 00000000`000006cc : ntdll!RtlpReAllocateHeap+0x648
00000000`0548eca0 00000000`750c712f : 00000000`0548fbe8 00000000`00c5ee90 00000000`00000000 00000000`000005ac : ntdll!RtlReAllocateHeap+0xa2
00000000`0548edb0 00000001`40010f6f : 00000000`00000000 00000000`0548fbe8 00000000`00000000 00000000`00000661 : msvcr80!realloc+0x6f [f:\dd\vctools\crt_bld\self_64_amd64\crt\src\realloc.c @ 332]
00000000`0548ede0 00000001`4000f63c : ffffffff`ffffffff 00000000`0548ff10 00000000`00c97fd0 00000000`0548fe48 : ProcessA!FunctionA_AnalyzeEventData+0xfcf [e:\ProcessA\FunctionA_sockserv.cpp @ 1666]
00000000`0548f8a0 00000000`774e652d : 00000000`000002a0 00000000`00000000 00000000`00000000 00000000`00000000 : ProcessA!FunctionA_SockWork+0xe1c [e:\ProcessA\FunctionA_sockserv.cpp @ 1102]
00000000`0548ff60 00000000`7771c541 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : kernel32!BaseThreadInitThunk+0xd
00000000`0548ff90 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : ntdll!RtlUserThreadStart+0x1d

STACK_COMMAND:  !heap ; ~9s; .ecxr ; kb

FOLLOWUP_IP: 
msvcr80!realloc+6f [f:\dd\vctools\crt_bld\self_64_amd64\crt\src\realloc.c @ 332]
00000000`750c712f 4885c0          test    rax,rax

SYMBOL_STACK_INDEX:  9

SYMBOL_NAME:  msvcr80!realloc+6f

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: msvcr80

IMAGE_NAME:  msvcr80.dll

DEBUG_FLR_IMAGE_TIMESTAMP:  4ec3407e

FAILURE_BUCKET_ID:  ACTIONABLE_HEAP_CORRUPTION_heap_failure_buffer_overrun_c0000374_msvcr80.dll!realloc

BUCKET_ID:  X64_APPLICATION_FAULT_ACTIONABLE_HEAP_CORRUPTION_heap_failure_buffer_overrun_msvcr80!realloc+6f

WATSON_STAGEONE_URL:  http://watson.microsoft.com/StageOne/ProcessA_exe/1_0_0_1/5134aefd/ntdll_dll/6_1_7601_18229/51fb164a/c0000374/000c4102.htm?Retriage=1

Followup: MachineOwner
---------

第二步、使用「!heap」找出出錯的堆。分析出錯的原因。

0000000000c59c80
       0000000000c59e50  ←出錯的堆地址。
       0000000000c59fd0

大家應該有這樣的常識,在使用malloc()或者realloc()分配出來的空間的前面都有
相應的管理情報,用來記錄這塊分配的記憶體的大小以及返回的時候用的情報。

從這裡很自然的猜想到,在寫往0000000000c59c80裡面寫資料的時候寫過了,
寫到0000000000c59e50上去了,導致它的管理情報被覆蓋了。從而程式dump掉了。

0:009> !heap
**************************************************************
*                                                            *
*                  HEAP ERROR DETECTED                       *
*                                                            *
**************************************************************
Details:

Error address: 0000000000c59e50
Heap handle: 0000000000c50000
Error type heap_failure_buffer_overrun (6)
Parameter 1: 000000000000000a
Last known valid blocks: before - 0000000000c59c80, after -0000000000c59fd0
Stack trace:
                00000000777b79e8: ntdll!RtlpAnalyzeHeapFailure+0x00000000000003a8
                000000007774fad6: ntdll!RtlpAllocateHeap+0x0000000000001d2a
                00000000777434d8: ntdll!RtlAllocateHeap+0x000000000000016c
                00000000777247ea: ntdll!RtlpReAllocateHeap+0x0000000000000648
                0000000077723ff2: ntdll!RtlReAllocateHeap+0x00000000000000a2
                00000000750c712f: msvcr80!realloc+0x000000000000006f
                0000000140010f6f: ProcessA!FunctionA_AnalyzeEventData+0x0000000000000fcf
                000000014000f63c: ProcessA!FunctionA_SockWork+0x0000000000000e1c
                00000000774e652d: kernel32!BaseThreadInitThunk+0x000000000000000d
                000000007771c541: ntdll!RtlUserThreadStart+0x000000000000001d
Index   Address  Name      Debugging options enabled
  1:   001f0000                
  2:   00010000                
  3:   00020000                
  4:   00670000                
  5:   00950000                
  6:   00c50000                
  7:   00910000                
  8:   00bc0000                
  9:   010e0000                
 10:   01220000                
 11:   01420000                
 12:   00c30000                
 13:   03660000                
 14:   00ba0000                
 15:   037b0000                
 16:   01340000                
 17:   039a0000                

第三步、使用「!for_each_frame dv /t」打印出錯函式的區域性變數,找出元凶。

       從下面的變數裡面找到距離0000000000c59c80地址最近的變數,對了就是它:

       char * pData_n = 0x00000000`00c59c90 "SE:Security: ???"


       ※注意如果變數值指標的指標需要先用dc看一下該指標指向的地址。

       之後看程式碼知道,程式在讀取pData_n的資料的時候如果遇到是0a(Windos換行符)就自動在後面加上
       0d變成0a0d。導致pData_n記憶體越界了。

0:009> !for_each_frame dv /t
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
12 00000000`0548edb0 00000001`40010f6f msvcr80!realloc+0x6f [f:\dd\vctools\crt_bld\self_64_amd64\crt\src\realloc.c @ 332]
void * pBlock = 0x00000000`00000000
unsigned int64 newsize = 0x548fbe8
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
13 00000000`0548ede0 00000001`4000f63c ProcessA!FunctionA_AnalyzeEventData+0xfcf [e:\ProcessA\FunctionA_sockserv.cpp @ 1666]
void * cd = 0xffffffff`ffffffff
struct _MpEvsHead * Head = 0x00000000`0548ff10
char * pEventData = 0x00000000`00c97fd0 "???"
char ** pNewData = 0x00000000`0548fe48
char * SiteName = 0x00000000`0548fe18 ""
int oval_check = 0n0
char * pszHostIp = 0x00000000`0548fbf0 "192.168.1.1"
int j = 0n469
int NodeName_check = 0n0
char [2068] eventtext = char [2068] "SE:Security: ???"
unsigned long err = 0
int NL_henkan = 0n1
int Evttxt_check = 0n1
char [129] nameWork = char [129] "`_???"
int ret = 0n0
struct NameObject_t * pNameObj_n = 0x00000000`00c5eee8
char * pData_n = 0x00000000`00c59c90 "SE:Security: ???"
long lWork = 0n9
char [257] szTrcBuff = char [257] "safely divided text.([453]bytes --> [469]bytes)"
long nNameNum = 0n44
long nNewLen = 0n1740
struct NameObject_t * pNameObj_o = 0x00000000`00c98028
char * pData_o = 0x00000000`00c984c6 "SE:Security: ???"
char * pt = 0x00000000`00c59e55 "[???"
long i = 0n20
int IpAddr_check = 0n0
int res = 0n1
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
14 00000000`0548f8a0 00000000`774e652d ProcessA!FunctionA_SockWork+0xe1c [e:\ProcessA\FunctionA_sockserv.cpp @ 1102]
void * ns = 0x00000000`000002a0
char * pRead_str = 0x00000000`00c562f0 ","
int bTableRegisterd = 0n0
unsigned long err = 0
char [3] traceflg = char [3] ""
int ret = 0n0
short sWork = 0n2
int oval_check = 0n0
char * pNewData = 0x00000000`00c5ee90 "???"
char * wk = 0x00000000`0548f930 "192.168.1.1"
char [33] SiteName = char [33] ""
long lWork = 0n2032
char [257] szTrcBuff = char [257] "recv event OK"
int iLastSerchedIndex = 0n0
char [256] HostIp = char [256] "192.168.1.1"
int ret2 = 0n0
struct _MpEvsHead Head = struct _MpEvsHead
long nDataLen = 0n3
char [257] szTrcBuff2 = char [257] ""
char [20] szSendData = char [20] "OK"
struct addrinfo hinst = struct addrinfo
int conv_disc_set = 0n1
long lRc = 0n0
void * conv_disc = 0xffffffff`ffffffff
int res = 0n1
char * pData = 0x00000000`00c97fd0 "???"
long nRead = 0n3726
char [16] evttype = char [16] "Alarm.sys"
char * lpszEventid = 0x00000000`00c5f180 ""
long nSend = 0n12
char [256] ipTmp = char [256] "192.168.1.1"
char [20] szToCode = char [20] "sjis"
char [20] szFromCode = char [20] "sjis"
int bWriteEvent = 0n1
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _

相關推薦

使用Windbg解析dump檔案

例項1 如何調查堆被破壞問題。     錯誤程式碼:0xc0000374     錯誤含義:ACTIONABLE_HEAP_CORRUPTION_heap_failure_buffer_overrun 第一步、先用「!analyze -v」分析出錯誤的地方以及由於什麼原因導致程式Dump掉的。      

dump解析入門-用VS解析dump檔案進行排障

突然有一天部署在伺服器的一個應用掛掉了,沒辦法只能進入伺服器開啟   【事件檢視器】檢視下,好不容易找到了開啟後一臉懵逼   事件檢視器查到的內容根本對我們排障沒有任何作用。 在這個時候如果有對應的dump檔案就能派上用場了, 只要有dump檔案就能查到應用掛掉那刻的一手情報,可能有人

WINDBG除錯DUMP檔案

    對於windows程式設計師來說,程式執行時藍屏是最鬱悶的事情,如何找到藍屏的原因則是首要解決的事情,好在微軟提供了一系列的方法,為我們除錯藍屏提供了便利。     首先要用的工具是windbg,可以到微軟的官方網站下載     http://msdl.microso

通過WinDbg生成dump檔案

在Windows開發環境下,通常使用Visual studio完成專案的開發以及除錯,很少會用到WinDbg。WinDbg提供了強大的除錯功能,在一些情況下,Visual Studio附帶的除錯工具無法完成除錯工作,只有通過WinDbg來完成,例如,對dump檔案的分析。

windbg pdb dump檔案 時間戳必須一致才行

最後注意一下 一定是產生dump的檔案 與你pdb原始檔是匹配的(就是一波生成的),哪怕重新編譯的也會匹配不上。 打個比方,pdb檔案是5.26號生產的,在打包的時候,由vs編譯器生產, 那麼,只有在5.26號生產的dump檔案,才能定位到崩潰位置, 其他日期生產的dum

WinDbg分析DUMP檔案

1. 如何生成dump檔案?     原理:通過SetUnhandledExceptionFilter設定捕獲dump的入口,然後通過MiniDumpWriteDump生成dump檔案;     示例:    按 Ctrl+C 複製程式碼 按 Ctrl+C 複製程式碼 2. 如何使用WinDbg

Jprofile解析dump檔案使用詳解

1 Jprofile簡介 官網 下載對應的系統版本即可 效能檢視工具JProfiler,可用於檢視java執行效率,檢視執行緒狀態,檢視記憶體佔用與記憶體物件,還可以分析dump日誌. 2 功能簡介 選擇attach to a locally running jvm 選擇需要檢視執行的jvm

dump檔案解析之探索.Net的記憶體

前言: 對於需要長時間執行的.net程式,有時需要我們檢視記憶體的使用有沒有記憶體洩露問題。 我們可以從dump檔案中找到答案。 Dump的看點 用dump檔案來分析記憶體,到底我們需要關心哪些點呢? 記憶體的使用情況 HeapSize/object的數量 也就是託管堆使用大小以及託管堆內有

dump檔案windbg

dump檔案,在VC中的除錯還是非常非常非常有用的,因為我們也不會經每一行程式碼都加上日誌,當然如果你願意,也可以每一行都加上日誌; 在Windows上,新增dump檔案有兩種方法: 方法一:一個是在程式中新增程式碼; 方法二:修改登錄檔(參考後面的bat檔案寫法,在w

生成程式崩潰的dump檔案,使用windbg除錯

1,目的 有時候程式在客戶那裡崩潰了,你程式也沒有什麼有效的log日誌能記錄到崩潰的細節,那這實在是一件很麻煩的事情。 你得向客戶反覆瞭解操作內容並希望能在自己這裡重現,這個過程想想都很痛苦吧。。 使用下面的方法,能在程式崩潰時生成一個自己的dump檔案,記錄了崩潰時的一

PDB符號檔案與Windows下利用Windbg 分析dump

PDB簡介 跟蹤提供程式(例如應用程式或驅動程式)的程式資料庫 (PDB) 符號檔案包含用於對跟蹤訊息設定格式的指令,以便可以按照使用者可讀的形式顯示這些訊息。 跟蹤訊息格式設定指令屬於跟蹤提供程式原始碼的一部分。 WPP 前處理器從程式碼中提取這些指令並將其新增

luajit 2.0 bytecode dump檔案解析

網上搜索好久,沒有找到現成的luajit位元組碼的反編譯工具。 最好的的是NightNord的ljd專案(https://github.com/NightNord/ljd)。但是最近一次提交是1年前。 下載下來之後嘗試了下,報了IO Error: I/O error wh

使用WinDbg抓取程式報錯的Dump檔案,例如抓取IE崩潰的Dump

 前幾天分享了一個關於如何抓藍屏Dump的帖子,今天再和大家分享一個使用WinDbg來抓取程式崩潰的Dump。有了Dump後,我們可以很迅速的解決問題,比如說IE崩潰,QQ崩潰,很多時候我們是一點頭緒都沒有的,但是有了WinDbg後,這一切將變的簡單!雖然WinDbg

windbg 在物理機上檢視dump檔案

一、在虛擬機器中找到dump檔案首先在虛擬機器中找到dump檔案,一般來說都是在C:\Windows\Minidump\這個路徑下,找到時間匹配的那個dump檔案,複製到物理機中二、在物理機中設定windbg的符號路徑和原始碼路徑(1)找到原始碼路徑(2)在windbg中設定

【取證分析】用linux命令xxd來獲取dump檔案資訊獲得flag

題目連結:https://blog.csdn.net/xiangshangbashaonian/article/details/82747394 拿到一道CTF題目  notepad++開啟如下所示 [email protected]:~/Desktop$ fi

python flask 解析配置檔案與寫日誌

test.conf   [kafka]kafka_sys_topic = test-sys-infokafka_sys_group = test-consumer-groupzookeeper_server = 192.168.1.1:2181,192.168.1.2:2181,192.168.1

Java上傳且後臺解析XML檔案

後臺程式碼: import java.io.BufferedReader; import java.io.ByteArrayInputStream; import java.io.InputStream; import java.io.InputStreamReader; import javax.

增加程式碼的通用性-解析配置檔案

時間:2018年11月02日 比方說有這樣一堆資料: arr: [{ id: '1', type: 'a', arr: [1, 2, 3, 4] }, { id: '2', type: 'b', arr: [1, 2, 3, 4, 5] }] 複製程式碼 集合裡面每個元素都有兩個屬性

利用dom4j-1.6.1解析xml檔案

1.先看xml的文件裡面的格式 2.main裡面,就是一個按鈕新增點選事件,然後通過工具類來解析 3.工具類裡面的程式碼,這裡我在xml中去掉了部分屬性,你可以自己設定一下,然後重新設定就好了 4.最後在activity中就可以自己查看了,我這裡是直接返回了一

Python 列表解析檔案

如果在一個4G的大檔案test.log中提取裡面有error的log: 大家第一想法就是通過開啟檔案然後每一行的查詢,耗時19s import time start_time = time.time() with open('/Users/test/Downloads/test.log