本篇适用于WINDOWS的C/C++编译的程序分析,不适用于C#/java程序分析。
windbg是微软的工具,可以去微软官方搜索下载。
该工具可以调试exe,也可以导出收集dmp文件,用于后续分析。
当前方式主要应用于启动的瞬间崩溃。
分析步骤:
启动windbg。
在windbg配置pdb符号文件路径。
通过windbg加载exe。
通过windbg运行exe。
用windbg命令分析崩溃代码。
启动windbg.
首先要从微软官网获取windbg工具。然后运行。
配置windbg的pdb路径
配置pdb文件路径。
界面左上角菜单:
文件--符号文件路径,加上testdbg.exe相关编译生成的PDB文件路径。
通过windbg加载exe
界面左上角菜单:
文件--打开可执行文件,在弹窗中,找到本地exe并打开。 打开后效果图:
可以看到exe和相关模块dll被加载了。
但代码还没开始执行,只是各模块被系统装载了。
通过windbg运行exe
前面通过windbg打开exe,系统已经把exe和相关DLL加载进内存。
截止开始运行exe。
输入命令:g
该命令即运行程序。
如图所示,执行命令g后,
遇到了异常:This exception may be expected and handled.
并且在模块代码位置:mydll3!`dynamic initializer for 'g_vtmp0''+0xd
到这里,看到程序执行遇到了崩溃。
5.用windbg命令分析崩溃代码
windbg命令: !analyze -v
意思是分析崩溃信息,得到异常点代码。
执行命令后,结果如下图所示:
根据崩溃的堆栈信息,得到崩溃的代码在mydll3.cpp @ 34,即第34行代码。
这里的34行,是全局变量初始化,会执行28行构造,进而执行21行指针操作,导致崩溃。