如何使用 WinDbg 分析 VC++ 應用程序的故障轉儲？

Question

如何使用WinDbg分析轉儲文件？

Answer 1

以下是一些可助您順利進行的一般步驟：

首先，您必須更改編譯器的設置，以便它創建 PDB 文件，即使對於發布版本也是如此。 更高版本的Visual C++編譯器默認執行此操作，但在許多版本的 Visual C++ 中，您必須自己執行此操作。 創建程序數據庫文件，然后在每次構建應用程序時保存這些文件的存檔。 應用程序的每個構建都有自己的一組 PDB，這一點至關重要。 例如，您不能僅重用與構建 10 相同的那些來檢查構建 15 生成的轉儲。 在項目的整個生命周期中，您最終會得到大量 PDB，因此請為此做好准備。

接下來，您需要能夠識別生成轉儲文件的應用程序的確切版本。 如果您正在創建自己的 MiniDump（例如通過調用MiniDumpWriteDump() ），可能最簡單的方法是簡單地將 MiniDump 的文件名的一部分作為應用程序的完整版本號。 您需要有一個合理的版本編號方案才能使其工作。 在我的商店中，每次自動構建器創建構建時，我們都會將所有分支的構建號加一。

現在您已經從客戶那里收到轉儲文件，您知道創建轉儲的應用程序的准確版本，並且您已經找到了此構建的 PDB 文件。

現在，您需要查看源代碼管理的歷史記錄並找到該軟件的確切版本的源代碼。 最好的方法是在每次構建時將“標簽”應用於分支。 將標簽的值設置為確切的版本號，在歷史記錄中就變得容易了。

您幾乎已准備好啟動 WinDbg/Visual C++：

1. 獲取該版本應用程序的完整源代碼樹。 把它放在你硬盤上的一個單獨的地方，對於應用程序版本 1.0 build #100，說c:\\app_build_1.0.100 。
2. 獲取該應用程序的確切版本的二進制文件，並將它們放在硬盤驅動器上的某個位置。 簡單地安裝該版本的應用程序以獲取二進制文件可能是最簡單的。
3. 將 PDB 文件放在與步驟 2 中的二進制文件相同的位置。

現在您有兩種查看轉儲文件的選項。 您可以使用Visual Studio或 WinDbg。 使用 Visual Studio 更容易，但 WinDbg 更強大。 大多數情況下，Visual Studio 中的功能就足夠了。

要使用 Visual Studio，您所要做的就是像打開項目一樣打開轉儲文件。 打開后，“運行”轉儲文件（默認為F5 ），如果所有路徑都設置正確，它將帶您直接進入崩潰的代碼，為您提供調用堆棧等。

要使用 WinDbg，您必須跳過幾個環節：

1. 啟動 WinDbg
2. 打開轉儲文件。 （默認為Ctrl + D ）
3. 告訴 WinDbg 去獲取正確的 MicroSoft 符號文件。 .symfix 。 這可能需要一些時間，因為它會從 Internet 上下載大量內容。
4. 告訴 WinDbg 符號（PDB 文件）在哪里。 鍵入.sympath+ c:\\pdblocation ，用您放置 PDB 文件的任何位置替換路徑名。 確保你在那里得到加號，在.sympath和+號之間沒有空格，否則你會搞砸第 3 步。
5. 告訴 WinDbg 源代碼在哪里。 .srcpath c:\\app_build_1.0.100替換您從源代碼管理中獲取此版本軟件的代碼的路徑。
6. 告訴 WinDbg 分析轉儲文件。 輸入!analyze -v

片刻之后，如果一切配置正確，WinDbg 將帶您到崩潰的位置。 在這一點上你有深挖應用程序的內存空間，關鍵部分，Windows等的狀態萬股期權但是，這遠遠超出了職位的范圍。

祝你好運！

Answer 2

（請參閱下面的“轉儲”部分）

使用WinDbg的基本教程和演示

• 安裝和配置 WinDbg（Windows 調試工具）
• Mike Taulty - WinDBG 的一個詞
• WinDbg 教程
• Windows 調試器：第 1 部分：WinDbg 教程

“啟動”/附加 WinDBG 的不同方式

• 使用 Windbg 開始調試（包括如何調試 .msi）
• 如何調試 Windows 服務
• 設置 Windows 調試

工作區

了解工作區的工作原理...

• 調試您的調試器：為windbg 調試創建自定義工作區
• 揭示工作區在 WinDbg 中的工作原理

命令樹

“cmdtree”允許您定義調試器命令的“菜單”，以便輕松訪問常用命令，而無需記住簡潔的命令名稱。

您不必將所有命令定義放入同一個 cmdtree 文本文件中……如果您願意，您可以將它們分開並加載多個（然后它們會獲得自己的窗口）。

• 驚人的幫手 .cmdtree
• 如何在 WinDBG 中啟動時制作 cmdtree 窗口停靠
• 使用 .cmdtree 更輕松地在 windbg 中調試 .net 轉儲
• Microshaoft命令樹
• 特殊命令 - 使用 .cmdtree 從自定義用戶界面執行命令

啟動腳本

您可以在命令行上使用 -c 選項在啟動 WinDBG 時自動運行 WinDBG 腳本。

提供機會打開 DML（調試器標記語言）模式、加載特定擴展、設置 .NET 異常斷點、設置內核標志（例如，在內核調試時您可能需要更改 DbgPrint 掩碼以便您看到跟蹤信息....ed nt !Kd_DEFAULT_Mask 0xffffffff)，加載 cmdtrees 等。

• http://yeilho.blogspot.co.uk/2012/10/windbg-init-script.html
• 控制 WinDBG

一個示例腳本：

$$ Include a directory to search for extensions
$$ (point to a source controlled or UNC common directory so that all developers get access)
.extpath+"c:\svn\DevTools\WinDBG\Extensions"
$$ When debugging a driver written with the Windows Driver Framework/KMDF
$$ load this extension that comes from the WinDDK.
!load C:\WinDDK\7600.16385.1\bin\x86\wdfkd.dll
!wdftmffile C:\WinDDK\7600.16385.1\tools\tracing\i386\wdf01009.tmf
$$ load some extensions
.load msec.dll
.load byakugan.dll
.load odbgext.dll
.load sosex
.load psscor4
$$ Make commands that support DML (Debugger Markup Language) use it
.prefer_dml 1
.dml_start
$$ Show NTSTATUS codes in hex by default
.enable_long_status 1
$$ Set default extension
.setdll psscor4
$$ Show all loaded extensions
.chain /D
$$ Load some command trees
.cmdtree c:\svn\DevTools\WinDBG\cmdtree\cmdtree1.txt
.cmdtree c:\svn\DevTools\WinDBG\cmdtree\cmdtree2.txt
$$ Show some help for the extensions
!wdfkd.help
!psscor4.help
.help /D

命令備忘單

• 故障轉儲分析海報 v3.0
• SOS 備忘單 (.NET 2.0/3.0/3.5)
• WinDbg 備忘單（開發藝術）
• WinDbg 內核模式擴展命令抽認卡

擴展

“擴展”允許您擴展 WinDBG 內支持的命令/功能的范圍。

• bigLasagne（bldbgexts 和 blwdbgue）
  - 程序集語法突出顯示和驅動程序映射工具）
  
  
• BigLib 數字閱讀器
  
  
• 白眼
  - 檢測反調試方法、vista 堆可視化/模擬、跟蹤內存中的緩沖區
  
  
• 呼叫流分析器 + KnExt
  
  
• 命令列表
  - 記錄您在調試會話中執行的每個命令，以便您可以輕松地重新執行
  
  
• 核心分析器
  - 檢查堆結構是否損壞，檢測線程共享的對象等
  
  
• dom WinDBG 擴展
  - (!stlpvector, !idt, !unhex, !grep 等)
  
  
• 傾倒
  - 從內存中轉儲 PE 文件
  
  
• 圖像查看器擴展 (Vladimir Vukićević)
  
  
• 英特爾 UEFI 開發套件調試器工具
  - 調試 UEFI 固件
  
  
• 滲漏器
  - GDI/USER 句柄跟蹤器以幫助進行泄漏檢測
  
  
• Mona （需要 PyKD）
  - 一組幫助高級分析/查找漏洞的命令
  
  
• MSEC
  - 提供自動崩潰分析和安全風險評估
  
  
• 幾乎
  - 列出有關加載模塊的信息，例如是否使用 SafeSEH、ASLR、DEP、/GS（緩沖區安全檢查）
  
  
• 網絡（羅德尼·維亞納）
  - (!wservice - 列出 WCF 服務對象，!wconfig - 顯示 .config 行，!whttp - 列出 HttpContexts，!wselect/!wfrom - 支持類似 SQL 的數組查詢)
  
  
• ODbgExt
  - 打開調試器擴展
  
  
• OllyMigrate
  - 將調試對象傳遞給另一個調試器而無需重新啟動
  
  
• pscor2
  - 用於協助調試 .NET 2.0 托管代碼的 SOS 超集
  
  
• Psscor4
  - 用於協助調試 .NET 4 托管代碼的 SOS 超集
  
  
• PyDBGExt
  - 允許使用 python 腳本
  
  
• PyKD
  - 允許使用 Python 編寫 WinDBG 腳本
  
  
• sdbgext (Nynaeve)
  -(!valloc, !vallocrwx, !heapalloc, !heapfree, !remotecall, !remotecall64, !loaddll, !unloaddll, !close, !killthread, !adjpriv, !ret)
  
  
• 網吧
  -legacy 擴展...現在在 ext.dll 中內置到 WinDBG 中
  
  
• 上海證券交易所
  - 用於幫助調試托管 NET 2.0 或 4.0 代碼的更多命令
  
  
• SPT/SDBGExt2 (Steve Niemitz)
  - (!DumpHttpContext, !DumpASPNetRequests, !DumpSqlConnectionPools, !DumpThreadPool 等)
  
  
• 統一棧
  - 調試器擴展的源（需要一個 OSR Online 帳戶才能訪問它）
  
  
• 視鏡
  - 代碼覆蓋圖
  
  
• 等待鏈遍歷/wct.dll（Codeplex 調試擴展
  - 顯示應用程序線程的等待鏈（有助於發現死鎖）
  
  
• 風鯊
  - 集成 Wireshark 協議分析器以啟用 VM 流量操作和分析
  
  
• WinDBG 擴展 (Sasha Goldstein)
  - 示蹤劑、WCT、heap_stat、bkb、traverse_map、traverse_vector）
  
  
• WinDBG Highlight (ColorWindbg.dll) [使用谷歌翻譯翻譯鏈接]
  - asm 語法高亮

編寫自己的擴展

• 交易工具：第四部分 - 開發 WinDbg 擴展 DLL
• 調試器擴展的基礎知識：短期努力，長期收益

使用 WinDBG 調試托管代碼

• 打破異常
• 打破特定的 CLR 異常
• 在 Windbg 中調試 .Net 框架源代碼
• 使用 Windbg 調試托管代碼中的異常
• 使用 WinDbg 和 SOS.dll 調試托管代碼
• 使用 WinDbg 進行調試。 應用程序中的死鎖。
• 使用 WINDBG 管理調試。 介紹與索引
• 在 Windbg 中為啟動時崩潰的應用程序設置 .NET 斷點

腳本（C#、PS、Python、WinDBG）

• KDAR（內核調試器反Rootkit）
  - WinDBG 腳本的集合
  
  
• Sysnative BSOD 腳本/處理應用程序
  
  
• WinDBG 腳本庫
  - WinDBG 腳本的集合
  
  
• 編寫 MDbg 和 DbgHostLib 腳本
  - 允許托管代碼為托管調試器 (MDBG) 和 DbgEng 編寫腳本
  
  
• 擴展CS
  - 允許通過 C# 腳本控制 WinDBG
  
  
• 電源數據庫
  - 允許通過 Powershell 腳本控制 WinDBG
  
  
• 皮克德
  - 允許通過 Python 腳本控制 WinDBG
  
  
• Windbglib
  - 圍繞 WinDBG pykd 擴展的 python 包裝庫，模仿 immlib（因此您可以使用最初為 Immunity Debugger 編寫的腳本）

使用 dbgen.dll API/WinDBG 工具的調試器/工具

• 一個簡單的基於 Dbgen 的用戶模式調試器
• Acorns.Debugging NET 死鎖檢測器（使用 cdb.exe）（ 下載）
• CLR 托管調試器(MDBG)
• DbgHost - 如何控制調試引擎
• 調試診斷工具 v1.2 (DebugDiag), Ver 2.0 + DebugDiag 博客
• Dynamorio - 可以與 WinDBG 交互的動態二進制檢測工具
• IDA +WinDBG 插件
• 圖形用戶界面
• LeakShell （查找管理泄漏）
• mdbglib - 托管調試 API
• PyDbgEng
  - Windows 調試引擎的 python 包裝器
• SOSNET - 專注於使用 SOS 擴展並支持 C# 腳本的 WinDBG Fork/替代 shell
• SOSNET O2 fork - SOSNET 的 fork，它使用 Rosyln 作為 C# REPL (read-eval-print-loop) 腳本引擎
• VDB/Vivisect (kenshoto) - 在 WinDBG 上提供跨平台調試 API
• WinAppDbg +Heappie-WinAppDbg
• 編寫一個基本的 Windows 調試器

為事后分析生成故障轉儲文件的不同方法

• 調試診斷 2.0
• 轉儲備忘單
  - 包括如何從 Hyper-V、VMWare ESX 和 XenServer VM 生成轉儲。
• 思傑系統轉儲
• 鍵盤按鍵組合
• 小型轉儲寫轉儲
  -（通過應用程序內的 WIN32 API 調用）。 （C# 應用程序示例）
• NMI 開關，或（此處）
  （生成 NMI 的基於硬件的功能......通常在高端服務器上找到，例如HP或者您可以獲得附加 PCI 卡“通用 PCI 轉儲開關” ）。 微軟 NMI 技術背景。
• 轉儲
• 系統|高級系統設置|啟動和恢復
  （注冊表信息），
  （ 如何配置完整（完整）內存轉儲），
  （ 如何啟用完全內存轉儲），
  （當 PC 有大量內存時，如何在 Windows 7 上啟用完全內存轉儲...當內存超過 2GB 時通常不可用）
• 任務管理器“創建轉儲文件”
• UserDump ，說明（非常老的工具）
• UserModeProcessDumper ， 說明
• Visual Studio“將轉儲另存為...”
• WER（Windows 錯誤報告....本地轉儲）
• 數據庫

轉儲分析工具

• BlueScreenView - 查找 BSOD 后 Windows 保存的 minidump .dmp 文件，並提取有關導致崩潰的原因的信息
• Debug.Analyzer （可以分析轉儲文件，插件可以用.NET編寫）
• SAD - 轉儲后簡單（事后分析器）
• 波動性- 用於分析轉儲文件中記錄的“內存”的框架（備忘單）

轉儲相關工具

• Citrix dumpcheck - 檢查轉儲文件的一致性（看起來它已被放棄link + link ）
• dumpchk （調試工具的一部分） - 檢查轉儲文件的一致性
• MoonSols Windows Memory Toolkit （以前稱為windd ） - 將各種原始內存轉儲文件轉換為與 WinDBG 兼容的 dmp 文件
• vm2dmp - Microsoft Hyper-V VM 狀態到內存轉儲轉換器
• vmss2core - 將 VMWare 快照文件轉換為核心轉儲文件（下載），（說明）

內核調試虛擬機

• VMKD - 虛擬機 KD 擴展
• VirtualKD -（內核調試器支持托管在 VMWare/VirtualBox 中的操作系統）

視頻

• .NET 破解 101 #2 - WinDbg 基礎知識
• 生產環境的 .NET 調試（Channel9）
• dotnetConf - 使用 WinDbg 和 SOS 進行高級調試
• David Truxall“使用 WinDBG 調試”
• Mike Taulty 調試內存泄漏
• oredev 2009 會議：使用 WinDbg 調試 .NET 應用程序
• Pluralsight 高級 Windows 調試
  （加上 Pluralsight 的其他各種）
• Tess Ferrandez WinDBG (Channel9)

博客

一些博客（本機和托管代碼調試的混合）。

• 高級 .NET 調試
• 你所有的基地都屬於我們(Sasha Goldshtein)
• 分析-v
• ASP.NET 調試
• Cyber​​iafreak （線程和高級 Windows 編程和調試）
• 調試分析器.NET
• 調試和超越
• 調試專家雜志在線
• 調試工具箱（Windbg 腳本、調試和故障排除工具和技術，可幫助您隔離軟件問題。）
• 解密我的世界
• greggm 的網絡日志
• 張俊峰的Windows編程筆記
• 克里斯托弗的花絮
• 馬克·魯西諾維奇的博客
• Mike Stalls .NET 調試博客
• 納文的博客
• 永遠不要懷疑你的調試器 (Carlo)
• 來自黑暗角落的筆記
• Ntdebugging 博客（Microsoft 全球升級服務團隊）
• 尼娜芙。 Windows 調試和逆向工程的冒險
• 現場 PFE 開發人員說明
• Visual Studio 調試器團隊
• 沃爾克·馮·艾因 (Volker von Einem) 的 WinDbg

高級文章和教程資源

• WinDbg 中的高級調試技術
• 調試 MS.Net 和 Windows 應用程序（Powerpoint 幻燈片）
• 使用 WinDbg 調試 STL 容器
• 調試教程 1-7（CodeProject-Toby Opferman）
• 調試.tv
• 開發者或 WinDBG 標記文章
• 傅博士的安全博客 - 惡意軟件分析教程 - 逆向工程方法
• 漏洞利用編寫教程第 5 部分：調試器模塊和插件如何加速基本漏洞利用開發
• 狩獵Rootkit
• 使用 Dell Windows Debugger Utility (DWDU) 進行遠程 Microsoft Windows Server OS 內核調試（ DELL(TM) Windows(R) Debugger Utility 1.1 README ）

替代調試器

• Bokken - （ Inguma ）（雷達圖形用戶界面）
• 錯誤數據庫
• 調試++ （尚未發布）
• 調試
• 變色環 0 調試器（下載）
• edb (Linux)
• FDBG
• 錯誤
• Hades (Ring 3 debugger with anti debugger detection strategy)
• Hopper （Linux、OSX 和 Windows）（當前未實現 Windows 調試）
• 超級數據庫
• IDA 調試器
• 免疫調試器
• 納米粒
• Obsidian（非侵入式調試器）
• 奧莉DBG
• PE瀏覽
• RaceVB6 （VB6 P代碼調試器）
• 雷達
• radare2ui （ radare 的GUI）
• Rasta Ring 0 調試器(RR0D)
• 系統內核調試器
• TRW 2000 （大約 W9x 的非常老的調試器）+ dions 插件存檔
• VisualDux 調試器
• Wintruder （可擴展調試器）
• WKTVDebugger （Visual Basic P-Code 的調試器）（ 下載）
• x64_dbg
• Zeta 調試器

其他鏈接

• 協作 RCE 工具庫
  - 大量調試器和系統級工具
• cr4zyserb
  - 大量插件和其他調試工具
• 如何編寫 Windows 調試器參考 (Devon Straw)
  - 大量鏈接為您提供詳細信息，如果您想編寫自己的調試器，例如 PDB 文件格式、.DMP 文件格式、PE 文件結構、如何記錄堆棧跟蹤等，您將需要這些信息。
• Tuts4You
  - 解包器、IDA、OllyDBG、Immunity Debugger 插件等。

Answer 3

這是一個非常廣泛的問題。

1. 第一步是將轉儲文件加載到 WinDbg 實例中。
2. 接下來，您需要確保您有一個符號設置。
3. 最后，您可以運行命令!analyze -v對其進行基本分析。 您需要為代碼提供可用的符號信息，以使轉儲文件有價值。

網站內存轉儲、軟件跟蹤、調試、惡意軟件、受害者軟件和情報分析門戶對我來說非常有用。 我也很喜歡這本書，Mario Hewardt 和 Daniel Pravat 所著的Advanced Windows Debugging 。

Answer 4

Tess Ferrandez 有一套很棒的基礎教程和實驗室，可以幫助您開始使用 Windbg。 我強烈推薦他們。