• WINDBG分析DMP方法


    上次发了2100蓝屏抓DMP分析案例这个帖子后,好多人想学怎么分析DMP,那我也是刚刚学的,简单的说下。
    http://bbs.icafe8.com/forum.php?mod=viewthread&tid=399075&fromuid=30123
    1:先下载附件WinDbg,解压出来后,直接运行里面的windbg.exe。(或者可以自已去网上下的)
     WinDbg.part11.rar (465.13 KB, 下载次数: 84) 
     WinDbg.part10.rar (1.39 MB, 下载次数: 97) 
     WinDbg.part09.rar (1.39 MB, 下载次数: 80) 
     WinDbg.part08.rar (1.39 MB, 下载次数: 86) 
     WinDbg.part07.rar (1.39 MB, 下载次数: 79) 
     WinDbg.part06.rar (1.39 MB, 下载次数: 98) 
     WinDbg.part05.rar (1.39 MB, 下载次数: 86) 
     WinDbg.part04.rar (1.39 MB, 下载次数: 94) 
     WinDbg.part03.rar (1.39 MB, 下载次数: 82) 
     WinDbg.part02.rar (1.39 MB, 下载次数: 93) 
     WinDbg.part01.rar (1.39 MB, 下载次数: 82) 
    2:第一次打开界面操作如下图:
    1.jpg 
    3:然后会出现如下图的,另外把SRV*e:symbols*  http://msdl.microsoft.com/download/symbols  
    复制进去。

    http://msdl.microsoft.com/download/symbols 为微软符号表服务器地址
    2.jpg 
    然后点OK,然后关闭windbg一次。不然这个设置不会被保存下来。
    然后下次需要看DUP的时候,打开windbg.exe,直接可以把抓来的DMP文件拖到打开的界面里面就可以分析了。
    4:自动分析命令 !analyze -v
    以网吧抓到的一个F4蓝屏为例

    3.jpg 

    上图比较迷惑的地方
    4.jpg 
    从这个栈回溯看,会以为是vdiskbus+0xda6c引起的蓝屏。
    实际上这里是无盘实现的抓DUMP的机制,这里可以看作是对系统函数KebugCheckEx的展开。这个是这样理解,KebugCheckEx调用地址 0x89fb41ca,地址0x89fb41ca会调用vdiskbus+0xda6c,也就是无盘的DMP机制。所以看到这样的栈回溯,说明并不是vdiskbus引起蓝屏,只是调用到了无盘的DMP机制。
    从另一个角度来说,调用KebugCheckEx就是蓝屏,KebugCheckEx调用的不是引起蓝屏的。所以要向前推,看谁在调用KebugCheckEx。
    这个实例中看到杀进程的函数ZwTerminateProcess原型为:
    ZwTerminateProcess(IN HANDLE ProcessHandle OPTIONAL,IN NTSTATUS ExitStatus);
    看堆栈中第一个参数:

    5.jpg 
    为0xffffffff即-1,表示杀掉了自己。然后用命令!process 看下当前进程是谁。
    6.jpg 
    这样从栈信息,看到是csrss.exe进程出现了异常,会导致进程自 杀。而引起F4蓝屏。具体是哪里引起的,因为小DMP没有用户态信息。得不到进一步的问题确认(有可能有人注入csrss引起等原因)。
    其实自动分析已经把结果列出来了,实际上不需要我们做上面的分析。

    7.jpg 
    F4蓝屏的第二个参数,就是被杀掉的进程的进程对象。自动分析已经指出为csrss进程。做上述人工分析,是想说明人工怎么定位问题。
    5:常用命令:
    查看栈的命令:k,kb,kn,kd,kl
    查看内存的命令:db,dw,dd,da,du
    用一个网吧抓到的DMP为EA蓝屏的做为例子。
    8.jpg 
    自动分析的栈来看,是看门狗驱动调用的蓝屏函数kebugcheckex。这个栈来看没有什么用。从自动分析对EA蓝屏的解释来看是设备驱动变为闲置状态,一定时间内,没有喂狗信号。看门狗会调用dbgBreakPoint,而不是kebugCheckex。不过我们还是在kebugCheckex拿到了一些蓝屏的信息。
    EA蓝屏的第一个参数指向一个线程对象,用命令.thread 切换到对应线程,然后用kb查看线程栈,就可以确定哪里出了问题。
    9.jpg 
    执行提示出错,用dd命令查看一下对应的地址。
    10.jpg 
    对应地址为??????,很遗憾,表示这个地址的内容,并没有被我们DMP下来。
    同样第二个参数中的地址,也没有包含在我们的小DMP中。

    11.jpg 
    第三个参数的解释,是指向出错驱动的名称。用dd命令来查看一下对应地址的内容是否被我们DMP出来了。
    12.jpg 
    能看到数据内容。看样子应该是UNICODE_STRING结构,显示UNICODE_STRING的命令是dS(S必须大写)。
    13.jpg 

    显示驱动名称为:“nv4_disp”.看来应该是N卡的显示驱动。
    用lm 可以显示驱动模块。

    14.jpg 
    6:需要切换环境手动生成了一个DMP,7E蓝屏。
    15.jpg 
    这时用KB看栈
    16.jpg 
    从上图看明显不是出错的线程栈。是因为需要切换一下环境。蓝屏的第四个参数存储的是对应的环境地址。用命令.cxr切换一下,然后再用kb查看。
    17.jpg 
    切换环境后,再看栈回溯就能定位到出错的地方了。
    以上资料来自于某个研发那的,是给我们培训用的,希望大家都学会他。 

    再分享一下我老师大神的人工智能教程吧。零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到我们人工智能的队伍中来!https://blog.csdn.net/jiangjunshow

  • 相关阅读:
    spring AOP概述和简单应用
    log4j输出指定功能的log配置方式区别
    java项目配置常见问题
    android 浮动按钮的伸缩效果
    Android之探究viewGroup自定义子属性参数的获取流程
    javaWeb之maven多数据库环境的配置信息
    mybatis generator配置生成代码的问题
    java之初识服务器跨域获取数据
    java之Maven配置和springMvc的简单应用
    UnicodeDecodeError: ‘ascii’ codec can’t decode byte 0xe5
  • 原文地址:https://www.cnblogs.com/skiwnchiwns/p/10343934.html
Copyright © 2020-2023  润新知