记一次 .NET某环境监测系统 崩溃分析

最新推荐文章于 2025-02-26 20:06:46 发布
原创 最新推荐文章于 2025-02-26 20:06:46 发布 · 576 阅读 · 7
标签
#.net #windbg #c#

一:背景

1. 讲故事

前些天有位朋友找到我,说他们的程序崩溃了,也自己分析了下初步结果,让我帮忙再确认下,既然让我确认,那就开始dump分析之旅吧。

二:WinDbg 分析

1. 为什么会崩溃

windbg 有一个强大之处就是带有一个自动化的分析命令 !analyze -v 可以帮助我们快速的分析,输出如下:


0:000> !analyze -v
*******************************************************************************
*                                                                             *
*                        Exception Analysis                                   *
*                                                                             *
*******************************************************************************

CONTEXT:  (.ecxr)
rax=00007ff95c5a9877 rbx=00007ff959d6d8e0 rcx=0000000000000000
rdx=0000000000000000 rsi=000000e394b98de0 rdi=000000e394b99530
rip=00007ff959c7b699 rsp=000000e394b99510 rbp=000000e394b99d00
 r8=0000000000000000  r9=0000000000000007 r10=0000000000000000
r11=0000000000000000 r12=0000022da11451d0 r13=0000000000000000
r14=000000e394b9a9e0 r15=0000000000040ae4
iopl=0         nv up ei pl nz na pe nc
cs=0033  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000200
KERNELBASE!RaiseException+0x69:
00007ff9`59c7b699 0f1f440000      nop     dword ptr [rax+rax]
Resetting default scope

EXCEPTION_RECORD:  (.exr -1)
ExceptionAddress: 00007ff959c7b699 (KERNELBASE!RaiseException+0x0000000000000069)
   ExceptionCode: c000041d
  ExceptionFlags: 00000001
Num
最低0.47元/天 解锁文章
一线码农
关注
调试技巧 —— 如何利用windbg + dump + map分析程序异常
09-04
调试技巧 —— 如何利用windbg + dump + map分析程序异常 http://blog.csdn.net/wangningyu/article/details/6748138
一种Dump文件解析
柒步的专栏
09-07 2118
FAULTING_IP:  KERNELBASE!RaiseException+39 000007fe`fd539e5d 4881c4c8000000  add     rsp,0C8h EXCEPTION_RECORD:  ffffffffffffffff -- (.exr 0xffffffffffffffff) ExceptionAddress: 000007fefd539e5
一次有教益的内存碎片转储文件分析经历
07-25 550
前言 其实,这篇文章早在 2021 年就完成了初稿,后面一直没来得及完善(各种加班各种忙),所以一直没来得及整理发布。而且,我从这个案例里学到的东西太多了,很多内容并没有体现在本篇文章中,后续有机会一定会再写文章分享。话不多说,一起来看正文吧。缘起 前一阵子,有朋友在微信上发了一段 windbg 的输出信息,大概内容如下:This dump file has an exc...
WinDbg+dump分析程序崩溃(ExceptionCode: c0020001)
ts16dmy的博客
07-15 566
WinDbg+dump分析程序崩溃 ExceptionCode: c0020001
dump分析流程
过好每一天的女胖子
09-07 4307
一、前言 在实际工作中,我们不能保证发布出去的产品是完美的,就算经过测试没有发现问题,有可能在用户环境就出现了,这也是正常的。如果在用户那边产品崩溃了我们可以怎么检查崩溃的原因呢?下面就简单的录一下。 二、步骤 1、首先要拿到dump文件,最好是非minidump 2、打开windbg 3、运行命令!analyze -v 显示当前异常相关信息,内容如下: ****************************************************************************
windbg-一次应用程序崩溃的定位
最新发布
u011234288的博客
02-26 682
列出所有按 callstack 线程分组的线程、发现一个奇怪的线程。然后我有查看所有线程 没看到线程id为0x286c这个线程很奇怪。QQPinyin输入法对进程注入,进程注入会导致应用不稳定。看下加载的模块 确实加载了QQPinyin的模块。查看内存信息如下,发现是创建句柄时异常。然后我单独查线程号发现又能查到,很奇怪。最后在看下QQPinyin 模块的信息。windbg设置见上。
通过windbg定位错过第一现场的崩溃
勇气凛凛
06-24 892
文章目录说明原因方法最后 说明 所谓的“错误第一现场”,是指当我们的windows程序出现崩溃时,会弹出一个错误框,这时候如果再使用windbg分析dump是无法快速找到异常点的。 原因 由于windows的KiDispatchException的异常分发机制,如果程序没有设置任何异常包含,最后程序会调用windows的默认异常处理函数—创建一个异常dialog。 这时候程序的异常现场会被默认异常处理给冲刷掉,所以当你使用".ecxr" 命令时是无法找到异常点的。 方法 方法其实也和很简单,就是通过变量所有
程序运行报异常: KERNELBASE.dll模块加载异常
热门推荐
weixin_39730950的博客
03-27 4万+
             一直跑的Job忽然不能启动,报异常KERNELBASE.dll,网上查了一下基本有三种方法:            1.KERNELBASE.dll  此模块损坏,覆盖文件。    由于是服务器存在此问题的可能性不大,并且别的job没有问题。            2.以管理员运行。                                             ...
撕开编译器给throw套上的那层皮—Windbg分析dmp文件
limingmcu的专栏
08-19 675
做软件开发的同事或多或少都用过throw,而我是个例外,我第一次“真正接触”throw,是在一次dmp的分析中,追踪异常数据时,深入的挖了下,觉得里边有些东西对大家在开发中遇到异常时,可能会有些帮助。本文经过简单的逆向分析,弄清楚有关于throw的全貌,使得你将来无论是使用throw还是分析dmp时,都如鱼得水,游刃有余。撰以小文,与君分享。
SEH简单研究
weixin_30848775的博客
07-05 334
开发过程中总会遇到不可预测的异常奔溃,对于异常机制也是一直没有弄得个清清楚楚明明白白.今天准备重温一下WINDOWS SEH机制加深印象.对于WINDOWS SEH原理研究的比较透彻的莫过于Matt Pietrek的A Crash Course on the Depths of Win32™ Structured Exception Handling,在该文中详细的讲述的WINDOWS异常处理的机...
程序异常exitcode非0_ARM寄存器分析以及异常处理方法
weixin_39653764的博客
12-01 487
ARM 有7个基本工作模式User : 非特权模式,大部分任务执行在这种模式FIQ : 当一个高优先级(fast) 中断产生时将会进入这种模式IRQ : 当一个低优先级(normal) 中断产生时将会进入这种模式Supervisor :当复位或软中断指令执行时将会进入这种模式Abort : 当存取异常时将会进入这种模式Undef : 当执行未定义指令时会进入这种模式System : 使用和User...
RaiseException
weixin_34248487的博客
02-22 263
RaiseException   该函数是用来抛出一个调用线程时发生的异常. 语法  void WINAPI RaiseException(   __in DWORD dwExceptionCode,   __in DWORD dwExceptionFlags,   __in DWORD nNumberOfArguments,   __in const ULONG_...
Exception的处理过程(Windbg调试器加载,AeDebug的JIT调试)
weixin_30945039的博客
07-07 809
1.如果有调试器加载,系统会通知调试器(first chance) 2.如果没有调试期加载,或者调试器没有处理exception,系统尝试寻找异常处理程序(catch...) 3.如果没有找到异常处理程序,UnhandledExceptionFilter会尝试第二次通知调试器(second chance) 4.如果调试器不存在,且调用SetUnhandledException...
kernelBase 中有关 Package 的部分
心想事成
05-18 990
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AppModel\StateChange"Software\\Classes\\Local Settings\\Software\\Microsoft\\Windows\\CurrentVersion\\AppModel\\Repository\\Families\\%s\\%s
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值