当前位置：首页 > 编程日记 > 正文

使用windbg抓取崩溃文件和分析的过程

编程日记 2024-12-11 00:30:00

在软件编程中，崩溃的场景比较常见的。且说微软技术再牛X，也是会出现崩溃的场景。网上有一段Win98当着比尔盖茨蓝屏的视频非常有意思。（转载请指明出于breaksoftware的csdn博客）
我们身边的很多软件都引入了dump生成和收集机制。但是一般情况下，它们都是生成minidump。因为minidump文件相对来说很小，方面我们收集上来进行分析。但是Minidump保存了很少的信息，在一些场景下，可能不能协助我们准确快速定位问题。

但是，如果我们在测试过程中，发生了必现崩溃，而minidump又不能让我们发现什么，那该怎么办呢？我这儿举一个例子。我们看一下代码

// Dump.cpp : 定义控制台应用程序的入口点。
//
//
// 这是一个多线程访问全局变量导致崩溃的例子
//#include "stdafx.h"
#include <Windows.h>
#include <vector>#define INTPTR int* 
typedef std::vector<INTPTR> VecINTPTR;
typedef VecINTPTR::iterator VecINTPTRIter;
typedef VecINTPTR::const_iterator VecINTPTRCIter;VecINTPTR g_VecInt;static DWORD WINAPI ReadRoutine(LPVOID)
{// 读取线程for ( VecINTPTRIter it = g_VecInt.begin(); it != g_VecInt.end(); it++ ) {// 故意将读取时间设置长，这样更大概率导致崩溃Sleep(10);printf("%d %d\n", **it);}return 0;
}static DWORD WINAPI WriteRoutine(LPVOID)
{// 写入线程for ( VecINTPTRIter it = g_VecInt.begin(); it != g_VecInt.end();  ) {// 故意将修改时间设置短，这样更大概率导致奔溃delete *it;*it = NULL;}return 0;
}int _tmain(int argc, _TCHAR* argv[])
{// 初始填充数据for ( int n = 0; n < 128; n++ ) {int* p = new int();*p = n;g_VecInt.push_back(p);}system("pause");HANDLE hRead = CreateThread( NULL, 0, (LPTHREAD_START_ROUTINE)ReadRoutine, NULL, 0, NULL);HANDLE hWrite = CreateThread( NULL, 0, (LPTHREAD_START_ROUTINE)WriteRoutine, NULL, 0, NULL);HANDLE hArray[] = {hRead, hWrite};WaitForMultipleObjects( ARRAYSIZE(hArray), hArray, TRUE, INFINITE);printf("Success");return 0;
}

这个例子是典型的多线程访问共享变量，导致崩溃的问题。这个例子还是很清晰的，但是，如果这段逻辑揉入复杂的业务逻辑，问题的排查可能就没那么简单了。
那我们看下如何分析这个问题。

运行程序（程序会暂停在system(“pause”)）
安装windbg,使用“附加”功能
在windbg中输入g，让程序继续执行
在dump.exe按任意键，重现崩溃路径
崩溃发生，windbg发现异常并中断
在windbg中输入.dump /f C:/dump.dmp，其中.dump是dump生成命令，/f是生成全信息dump,生成的dump文件会很大，C:/dump.dmp是路径

至此，我们在客户机器上已经抓到了完整的dmp文件，现在我们回到我们自己的电脑上，配置windbg，并分析这个dump文件。在这个配置中，我们要涉及几块信息的填充。一般，我们发布的产品（release版）不是在我们开发者的机器上编译链接的，而是在某一个编译链接服务器上。在服务器上，我们工程的目录和我们本地的目录极有可能是不同的。一般情况下，最容易配置不正确的是下面的第3步。

将dump.exe符号文件拷贝到你希望的保存目录，我的目录是F:\TmpSymbol
用!analyze –v分析dump文件
ctrl+P打开windbg代码目录（工程根目录）
Ctrl+S打开windbg符号设置框，设置符号文件路径，并勾选reload

这样windbg就准确定位到异常的位置

这个流程非常适合于分析的场景是：

没有做通过异常方式做保护的程序（否则windbg挂载后会一直陷入中断，非常烦人。或者程序发现自己被调试，就直接退出了……）
VS不便分析的dump
不破坏用户环境（windbg是个非常小巧独立的程序，试想如果我们给客户装个庞大的VS再去调试是非常难以接受的，且会破坏用户的环境）

https://www.dkcj.cn/info/31285.html

使用windbg抓取崩溃文件和分析的过程

相关文章：

TF 2.1.0-rc2发布，2020年停止支持Python 2

重新认识笔记本锂电池的保养

nginx转发及后端服务器获取真实client的IP

AJAX的组成应用

打开，保存文件框的文本溢出排查

2020年，为什么说入坑AI是最好的时机？

IIS 伪静态配置（安装ISAPI_Rewrite配置）

Github标星24k，127篇经典论文下载，这份深度学习论文阅读路线图不容错过

c/c++面试

一种解决启动进程传递参数过长的方法

Ubuntu“无法获得锁\加锁”解决方案

一步一步学Silverlight 2系列（3）：界面布局

一种准标准CSV格式的介绍和分析以及解析算法

新战场路在何方——详解360金融数据中台之旅

oracle中的exists 和not exists 用法详解

现代内存编号解读（转）

被追捧为“圣杯”的深度强化学习已走进死胡同

一种清除windows通知区域“僵尸”图标的方案——问题分析

Apache2.4+Tomcat7集群搭建

一种清除windows通知区域“僵尸”图标的方案——XP系统解决方案

《评人工智能如何走向新阶段》后记（再续12）

正则表达式测试工具 Regex Tester 的使用方法

一种清除windows通知区域“僵尸”图标的方案——Windows7系统解决方案

《评人工智能如何走向新阶段》后记（再续13）

在特定情况下的简单SSO实现方案

为创业者保驾护航 “无安全不创业” 安全狗全国路演北京站

一种将快捷方式从开始菜单“常用应用”的中去除的方法

ISA---不能访问网址或是多次刷新才能访问的解决方法一则

《评人工智能如何走向新阶段》后记（深谈人工智能发展前沿）

URAL 2027 URCAPL, Episode 1 （模拟）