Как использовать WinDbg для анализа аварийного дампа для приложения VC ++?

Question

Как использовать WinDbg для анализа файла дампа?

Answer 1

Вот несколько общих шагов, которые помогут вам на вашем пути:

Во-первых, вы должны изменить настройки вашего компилятора, чтобы он создавал файлы PDB даже для выпусков сборки. Более поздние версии компилятора Visual C ++ делают это по умолчанию, но во многих версиях Visual C ++ вы должны делать это самостоятельно. Создайте файлы базы данных программы, а затем сохраните архив этих файлов вместе с каждой сборкой приложения. Очень важно, чтобы каждая сборка ваших приложений имела свой собственный набор PDB. Вы не можете просто использовать те же самые, которые вы сделали со сборкой 10, например, для проверки дампов, созданных сборкой 15. За время существования вашего проекта вы получите тонну PDB, так что будьте к этому готовы.

Далее вам необходимо определить точную версию вашего приложения, сгенерировавшего файл дампа. Если вы создаете собственные MiniDump (например, вызывая MiniDumpWriteDump () ), возможно, самый простой способ сделать это - просто сделать часть имени файла MiniDump полным номером версии вашего приложения. Вам нужно будет иметь разумную схему нумерации версий, чтобы это работало. В моем магазине число сборок во всех ветвях увеличивается на единицу каждый раз, когда сборщик автоматически создает сборку.

Теперь, когда вы получили файл дампа от клиента, вы знаете точную версию приложения, создавшего дамп, и нашли файлы PDB для этой сборки.

Теперь вам нужно просмотреть историю вашего контроля версий и найти исходный код для этой точной версии программного обеспечения. Лучший способ сделать это - применять метки к вашим веткам каждый раз, когда вы делаете сборку. Установите значение метки на точный номер версии, и его легко найти в истории.

Вы почти готовы запустить WinDbg / Visual C ++:

1. Получите полное дерево исходников для этой версии вашего приложения. Поместите его в отдельное место на жестком диске, скажем c:\app_build_1.0.100 для версии приложения 1.0 build # 100.
2. Получите двоичные файлы для этой конкретной версии вашего приложения и поместите их где-нибудь на жесткий диск. Возможно, проще всего установить эту версию вашего приложения, чтобы получить двоичные файлы.
3. Поместите файлы PDB в то же место, что и двоичные файлы на шаге 2.

Теперь у вас есть два варианта просмотра файла дампа. Вы можете использовать Visual Studio или WinDbg. Использовать Visual Studio проще, но WinDbg гораздо мощнее. В большинстве случаев функциональности в Visual Studio будет достаточно.

Чтобы использовать Visual Studio, все, что вам нужно сделать, это открыть файл дампа, как будто это проект. После открытия «запустите» файл дампа ( F5 по умолчанию) и, если все пути заданы правильно, вы попадете прямо к коду, который вылетел, даст вам стек вызовов и т. Д.

Чтобы использовать WinDbg, вам нужно прыгнуть через пару обручей:

1. Запустить WinDbg
2. Откройте файл дампа. ( Ctrl + D по умолчанию)
3. Скажите WinDbg, чтобы он получил правильные файлы символов MicroSoft. Тип .symfix. Это может занять несколько минут, так как из Интернета выйдет куча вещей.
4. Сообщите WinDbg, где находятся символы (файлы PDB). Введите .sympath+ c:\pdblocation, подставляя вместо пути куда-нибудь файлы PDB. Убедитесь, что вы получили знак «плюс» без пробелов между .sympath и +, иначе вы испортите шаг 3.
5. Сообщите WinDbg, где находится исходный код. Введите .srcpath c:\app_build_1.0.100, подставив путь, по которому вы получили код из системы контроля версий для этой версии программного обеспечения.
6. Скажите WinDbg проанализировать файл дампа. Тип !analyze -v

Через несколько секунд, если все настроено правильно, WinDbg доставит вас прямо к месту вашего сбоя. На данный момент у вас есть миллион опций для глубокого изучения пространства памяти вашего приложения, состояния критических разделов, окон и т. Д. Но это способ вне рамок этого поста.

Удачи!

Answer 2

(см. Разделы «Дамп» ниже)

Основные учебные пособия и демонстрации использования WinDbg

• Установка и настройка WinDbg (средства отладки Windows)
• Mike Taulty - слово для WinDBG
• Учебные руководства по WinDbg
• Отладчики Windows: Часть 1. Учебное пособие по WinDbg

Различные способы «запуска» / присоединения WinDBG

• Начать отладку с помощью Windbg (включая способ отладки MSI-файла)
• Как отладить службу Windows
• Настройка отладки Windows

1039 * Рабочие пространства * Понимание того, как работают рабочие области ... Разверните ваш отладчик: создание настраиваемого рабочего пространства для отладки windbg Раскрытие того, как рабочие пространства работают в WinDbg Cmdtree

«cmdtree» позволяет вам определять «меню» команд отладчика для быстрого доступа к часто используемым командам без необходимости запоминать краткие названия команд.

Вам не нужно помещать все определения команд в один и тот же текстовый файл cmdtree .... вы можете хранить их отдельно и загружать несколько, если хотите (они затем получают свое собственное окно).

• Удивительный помощник .cmdtree
• Как сделать окно окна cmdtree при запуске в WinDBG
• Упрощение отладки .net-дампов в windbg с использованием .cmdtree
• Microshaoft Cmdtree
• Специальная команда - выполнение команд из настраиваемого пользовательского интерфейса с помощью .cmdtree

Скрипт запуска

Вы можете использовать параметр -c в командной строке для автоматического запуска сценария WinDBG при запуске WinDBG.

Дает возможность включить режим DML (язык разметки отладчика), загрузить определенные расширения, установить точки останова исключений .NET, установить флаги ядра (например, при отладке ядра вам может потребоваться изменить маску DbgPrint, чтобы вы могли видеть информацию трассировки ... .ed nt! Kd_DEFAULT_Mask 0xffffffff), загрузка cmdtrees и т. д.

• http://yeilho.blogspot.co.uk/2012/10/windbg-init-script.html
• Взять под контроль WinDBG

Пример сценария:

$$ Include a directory to search for extensions
$$ (point to a source controlled or UNC common directory so that all developers get access)
.extpath+"c:\svn\DevTools\WinDBG\Extensions"
$$ When debugging a driver written with the Windows Driver Framework/KMDF
$$ load this extension that comes from the WinDDK.
!load C:\WinDDK\7600.16385.1\bin\x86\wdfkd.dll
!wdftmffile C:\WinDDK\7600.16385.1\tools\tracing\i386\wdf01009.tmf
$$ load some extensions
.load msec.dll
.load byakugan.dll
.load odbgext.dll
.load sosex
.load psscor4
$$ Make commands that support DML (Debugger Markup Language) use it
.prefer_dml 1
.dml_start
$$ Show NTSTATUS codes in hex by default
.enable_long_status 1
$$ Set default extension
.setdll psscor4
$$ Show all loaded extensions
.chain /D
$$ Load some command trees
.cmdtree c:\svn\DevTools\WinDBG\cmdtree\cmdtree1.txt
.cmdtree c:\svn\DevTools\WinDBG\cmdtree\cmdtree2.txt
$$ Show some help for the extensions
!wdfkd.help
!psscor4.help
.help /D

Командные шпаргалки

• Плакат анализа аварийных дампов v3.0
• Шпаргалка SOS (.NET 2.0 / 3.0 / 3.5)
• Шпаргалка WinDbg (Art of Dev)
• Команды расширения WinDbg для режима ядра Flashcards

Расширения

«Расширения» позволяют расширять диапазон команд / функций, поддерживаемых в WinDBG.

• bigLasagne (bldbgexts & blwdbgue)
  - подсветка синтаксиса сборки и инструмент отображения драйвера)
  
  
• Считыватель чисел BigLib
  
  
• Бьякуган
  - обнаружение методов антиотладки, визуализация / эмуляция кучи Vista, отслеживание буферов в памяти
  
  
• Анализатор потока вызовов + KnExt
  
  
• CmdHist
  - записывает каждую команду, которую вы выполнили в сеансе отладки, чтобы вы могли легко выполнить ее повторно
  
  
• Core Analyzer
  - проверить структуры кучи на наличие повреждений, обнаружить объекты, совместно используемые потоками и т. Д.
  
  
• dom Расширение WinDBG
  - (! Stlpvector,! Idt,! Unhex,! Grep и т. Д.)
  
  
• dumppe
  - выдает PE-файл из памяти
  
  
• Расширение средства просмотра изображений (Владимир Вукичевич)
  
  
• Инструмент отладчика Intel UEFI Development Kit
  - отладка прошивки UEFI
  
  
• утечка
  - трекер с ручкой GDI / USER для обнаружения утечек
  
  
• Мона (требуется PyKD)
  - набор команд для расширенного анализа / поиска эксплойтов
  
  
• MSEC
  - обеспечивает автоматический анализ сбоев и оценку рисков безопасности
  
  
• narly
  - выводит информацию о загруженных модулях, например, при использовании SafeSEH, ASLR, DEP, / GS (проверки безопасности буфера)
  
  
• netext (Родни Виана)
  - (! Wservice - список сервисных объектов WCF,! Wconfig - показывать строки .config,! Whttp - список HttpContexts,! Wselect /! Wfrom - поддерживать SQL как запросы к массивам)
  
  
• ODbgExt
  - открыть расширения отладчика
  
  
• OllyMigrate
  - передать отладчик другому отладчику без перезапуска
  
  
• Psscor2
  - расширенный набор SOS для помощи в отладке управляемого кода .NET 2.0
  
  
• Psscor4
  - расширенный набор SOS для помощи в отладке управляемого кода .NET 4
  
  
• PyDBGExt
  - позволяет использовать сценарии Python
  
  
• PyKD
  - позволяет использовать Python для сценария WinDBG
  
  
• sdbgext (Найнив)
  - (! Valloc,! Vallocrwx,! Heapalloc,! Heapfree,! Remotecall,! Remotecall64,! Loaddll,! Unloaddll,! Close,! Killthread,! Adjpriv ,! ret)
  
  
• SieExtPub
  - расширение Legacy ... теперь встроено в WinDBG в ext.dll
  
  
• SOSEX
  - дополнительные команды для отладки управляемого кода NET 2.0 или 4.0
  
  
• SPT / SDBGExt2 (Стив Нимитц)
  - (! DumpHttpContext,! DumpASPNetRequests,! DumpSqlConnectionPools,! DumpThreadPool и т.д.)
  
  
• Uniqstack
  - источник для расширения отладчика (для доступа к нему требуется учетная запись OSR Online)
  
  
• viscope
  - график покрытия кода
  
  
• Wait Chain Traversal / wct.dll (расширения отладки Codeplex
  - отображать цепочки ожидания потоков приложений (помогает найти взаимоблокировки )
  
  
• windbgshark
  - включает анализатор протокола Wireshark для управления и анализа трафика ВМ
  
  
• Расширения WinDBG (Саша Гольдштейн)
  - Tracer, WCT, heap_stat, bkb, traverse_map, traverse_vector)
  
  
• Подсветка WinDBG (ColorWindbg.dll) [Используйте Google Translate для перевода ссылки]
  - подсветка синтаксиса asm

написать собственное расширение

• Инструменты торговли: Часть IV - Разработка библиотек расширений WinDbg
• Основы расширений отладчика: краткосрочные усилия, долгосрочные выгоды

Использование WinDBG для отладки управляемого кода

• Взлом на исключение
• Взлом на определенное исключение CLR
• Отладка исходного кода .Net Framework в Windbg
• Отладка исключений в управляемом коде с использованием Windbg
• Отладка управляемого кода с использованием WinDbg и SOS.dll
• Отладка с помощью WinDbg. Тупики в приложениях.
• Управляемая отладка с помощью WINDBG. Введение и указатель
• Установка точек останова .NET в Windbg для приложений, аварийно завершающих работу при запуске

Сценарии (C #, PS, Python, WinDBG)

• KDAR (Kernel Debugger Anti Rootkit)
  - коллекция скриптов WinDBG
  
  
• Скрипты Sysnative BSOD / Приложения для обработки
  
  
• Библиотека скриптов WinDBG
  - коллекция скриптов WinDBG
  
  
• Сценарии MDbg и DbgHostLib
  - позволяет управляемому коду создавать сценарии для управляемого отладчика (MDBG) и DbgEng
  
  
• ExtCS
  - позволяет управлять WinDBG с помощью сценариев C #
  
  
• PowerDBG
  - позволяет управлять WinDBG с помощью скриптов Powershell
  
  
• Pykd
  - позволяет управлять WinDBG через скрипты Python
  
  
• windbglib
  - библиотека оболочки Python вокруг расширения pykd для WinDBG, имитирующая immlib (поэтому вы можете использовать сценарии, изначально написанные для Immunity Debugger)

Отладчики / Инструменты, использующие API dbgeng.dll / Инструменты WinDBG

• Простой отладчик пользовательского режима на основе Dbgeng
• Acorns. Отладка NET Deadlock Detector (использует cdb.exe) ( загрузка )
• Управляемый отладчик CLR (MDBG)
• DbgHost - Как управлять механизмом отладки
• Инструмент диагностики отладки v1.2 (DebugDiag), Вер. 2.0 + Блог DebugDiag
• Dynamorio - инструмент динамического бинарного инструментария, который может взаимодействовать с WinDBG
• IDA + Плагин WinDBG
• GUI WinDBG
• LeakShell (найти управляемые утечки)
• mdbglib - API управляемой отладки
• PyDbgEng
  - оболочка python для механизма отладки Windows
• SOSNET - WinDBG Fork / альтернативная оболочка, которая концентрируется на использовании расширения SOS и поддерживает сценарии C #
• SOSNET O2 fork - вилка SOSNET, использующая Rosyln для механизма сценариев C # REPL (read-eval-print-loop)
• VDB / Vivisect (kenshoto) - предоставляет кросс-платформенный API отладки, многоуровневый для WinDBG
• WinAppDbg + Heappie-WinAppDbg
• Написание основного отладчика Windows

Различные способы создания файлов аварийных дампов для анализа после смерти

• DebugDiag 2.0
• Шпаргалка дампа
  - содержит инструкции по созданию дампа из виртуальных машин Hyper-V, VMWare ESX и XenServer.
• Citrix SystemDump
• комбинация клавиш клавиатуры
• MiniDumpWriteDump
  - (через вызов API WIN32 внутри вашего приложения). (Пример для приложений C #)
• NMI Switch или (здесь)
  (аппаратная функция для создания NMI ... обычно используется на высокопроизводительных серверах, например HP или вы можете получить дополнительную карту PCI «Универсальный PCI Dump Switch» ). Технология Microsoft NMI фон .
• ProcDump
• Система | Дополнительные параметры системы | Запуск и восстановление
  ( информация о реестре ),
  (, как настроить полный (полный) дамп памяти ),
  ( как включить полный дамп памяти ),
  ( как включить полный дамп памяти в Windows 7, когда на компьютере много памяти ... обычно недоступно когда больше 2ГБ памяти )
• Диспетчер задач «Создание файла дампа»
• UserDump , инструкции (очень старый инструмент)
• UserModeProcessDumper , инструкции
• Visual Studio «Сохранить дамп как…»
• WER (отчеты об ошибках Windows .... локальные дампы)
• WinDBG

Инструменты анализа дампа

• BlueScreenView - находит мини-дамп файлы .dmp, сохраненные Windows после BSOD, и извлекает информацию о том, что вызвало сбой
• Debug.Analyzer (может анализировать файлы дампа, а плагины могут быть написаны в .NET)
• SAD - Simple After Dump (посмертный анализатор)
• Volatility - платформа для анализа "памяти", записанной в файлах дампа ( шпаргалка )

Инструменты, связанные с дампом

• Citrix dumpcheck - проверяет согласованность файла дампа (похоже, он был заброшен ссылка + ссылка )
• dumpchk (часть средств отладки) - проверяет согласованность файла дампа
• MoonSols Windows Memory Toolkit (ранее windd ) - преобразует различные необработанные файлы дампа памяти в WinDBG-совместимые dmp-файлы
• vm2dmp - Конвертер состояния виртуальной машины Microsoft Hyper-V в дамп памяти
• vmss2core - преобразует файл снимка VMWare в файл дампа ядра ( загрузка ), ( инструкции )

Виртуальные машины отладки ядра

• VMKD - Расширения KD для виртуальной машины
• VirtualKD - (поддержка отладчика ядра для ОС, размещенных в VMWare / VirtualBox)

Видео

• .NET Cracking 101 # 2 - Основы WinDbg
• .NET отладка для производственной среды (Channel9)
• dotnetConf - расширенная отладка с WinDbg и SOS
• David Truxall "Отладка с помощью WinDBG"
• Mike Taulty Отладка утечек памяти
• oredev 2009 Сессия: отладка приложений .NET с WinDbg
• Улучшенная отладка Windows Pluralsight
  (плюс другие в Pluralsight)
• Тесс Феррандез WinDBG (Channel9)

Блоги

Некоторые блоги (смесь отладки нативного и управляемого кода).

• Расширенная отладка .NET
• Вся ваша база принадлежит нам (Саша Гольдштейн)
• Анализировать-v
• Отладка ASP.NET
• Cyberiafreak (многопоточность и расширенная прога и отладка окон)
• Анализатор отладки .NET
• Отладка и дальше
• Онлайн журнал «Эксперты по отладке»
• Debugging Toolbox (Сценарии Windbg, инструменты и методы отладки и устранения неполадок, помогающие локализовать проблемы с программным обеспечением.)
• Расшифруйте мой мир
• Веб-журнал Грегма
• Замечания по программированию в Junfeng Zhang для Windows
• лакомые кусочки Кристоффера
• Блог Марка Руссиновича
• Mike Stalls .NET Debugging Blog
• Блог Навина
• Никогда не сомневайся в своем отладчике (Карло)
• Записки из темного угла
• Ntdebugging Blog (команда Microsoft Global Escalation Services)
• Найнив. Приключения в Windows, отладка и обратный инжиниринг
• Примечания разработчика PFE для месторождения
• Команда отладчика Visual Studio
• WinDbg Фолькера фон Эйнема

Расширенные статьи и учебные ресурсы

• Расширенные методы отладки в WinDbg
• Отладка приложений для MS.Net и Windows (слайды Powerpoint)
• Отладка контейнеров STL с помощью WinDbg
• Учебники по отладке 1-7 (CodeProject-Toby Opferman)
• Debugging.tv
• Разработчик WinDBG Tagged article
• Блог безопасности доктора Фу - Учебные пособия по анализу вредоносного ПО - Подход обратного инжиниринга
• Урок по написанию эксплойтов, часть 5. Как модули и плагины отладчика могут ускорить разработку базовых эксплойтов
• Охотничьи руткиты
• Удаленная отладка ядра ОС Microsoft Windows Server с помощью утилиты отладчика Dell Windows (DWDU) ( DELL (TM) Утилита отладки Windows (R) 1.1 README )

Альтернативные отладчики

• Боккен - ( Ингума ) (GUI для радара)
• BugDbg
• Отладка ++ (еще не выпущено)
• Debuggy
• Обесцвеченное кольцо 0 Отладчик ( скачать )
• edb (Linux)
• FDBG
• GoBug
• Hades (отладчик Ring 3 со стратегией обнаружения отладчика)
• Hopper (Linux, OSX и Windows) (отладка Windows в настоящее время не реализована)
• Hyperdbg
• Отладчик IDA
• ImmunityDebugger
• Nanomite
• Обсидиан (неинтрузивный отладчик)
• Ollydbg
• PEBrowse
• RaceVB6 (отладчик P-кода VB6)
• radare
• radare2ui (графический интерфейс для radare)
• Отладчик Rasta Ring 0 (RR0D)
• Syser Kernel Debugger
• TRW 2000 (очень старый отладчик около W9x) + архив плагина dions
• Отладчик VisualDux
• Wintruder (расширяемый отладчик)
• WKTVDebugger (отладчик для Visual Basic P-Code) ( скачать )
• x64_dbg
• Zeta Debugger

Другие ссылки

• Совместная библиотека инструментов RCE
  - огромная коллекция инструментов отладчика и системного уровня
• cr4zyserb
  - огромная коллекция плагинов и других инструментов отладки
• Как написать справку по отладчику Windows (Devon Straw)
  - большой набор ссылок, дающих вам подробную информацию, которая понадобится вам, если вы захотите написать собственный отладчик, например Формат файла PDB, форматы файла .DMP, структура PE-файла, как записывать трассировки стека и т. Д. И т. Д.
• Tuts4You
  - распаковщики, IDA, OllyDBG, плагины Immunity Debugger и т. Д.

Answer 3

Это действительно широкий вопрос.

1. Первым шагом является загрузка файла дампа в экземпляр WinDbg.
2. Далее вам необходимо убедиться, что у вас настроены символы.
3. Наконец, вы можете запустить команду !analyze -v, чтобы выполнить базовый анализ. Вам необходимо иметь символьную информацию для вашего кода, чтобы сделать файлы дампа полезными.

Веб-сайт Портал анализа дампов памяти, отслеживания программного обеспечения, отладки, вредоносных программ, вредоносных программ и аналитики был очень информативным для меня. Мне также очень понравилась книга Марио Хьюардта и Даниэля Правата Расширенная отладка Windows .

Answer 4

У Тесс Феррандез отличный набор базовых учебных пособий и лабораторных работ , чтобы начать работу с Windbg. Я настоятельно рекомендую их.