很多时候,我们不知道如何重现一个crash问题,只有一些log或者dump,拿到一个这样的crash的问题,并不知道是什么原因,怎么样来慢慢分析,这篇文章就举了一个现实的例子,看看怎么查找一个crash问题的原因。
这个是我们软件发生的一次崩溃,只在客户的环境上发生,没有人知道在实验室里怎么重现,好在客户那边给出了windows的dump文件,这样就可以很容易的查看当时的案发现场了。
用windbg打开dump文件,打开汇编窗口,点击调用堆栈最上面的函数,就可以看到如下汇编代码
2e252013 51 push ecx
2e252014 53 push ebx
2e252015 57 push edi
2e252016 8bf9 mov edi,ecx
2e252018 33db xor ebx,ebx
2e25201a 395f04 cmp dword ptr [edi+4],ebx
2e25201d 7454 je nqp+0x22073 (2e252073)
2e25201f 66395f14 cmp word ptr [edi+14h],bx
2e252023 763c jbe nqp+0x22061 (2e252061)
2e252025 895dfc mov dword ptr [ebp-4],ebx
2e252028 56 push esi
2e252029 8da42400000000 lea

本文通过一个实际案例,展示了如何使用windbg分析dump文件来查找导致软件崩溃的原因。通过查看汇编代码、调用堆栈、变量值,发现了由于字符串操作不当引起的缓冲区溢出问题,从而解决了不可重现的crash问题。
1821

被折叠的 条评论
为什么被折叠?



