通过使用windbg提供DbgHelp库中的MiniDumpWriteDump函数在程序崩溃时写dump文件记录程序当时状态,为后续分析问题提供现场。
该函数提供了DumpType参数,让程序员根据具体情况来生成包含不同详细程度内容的dump文件。
例如:QQ崩溃后,会询问玩家是否要发送崩溃到服务器,以帮助开发解决该问题,这个时候创建的dump就不宜过大。
typedef enum _MINIDUMP_TYPE { MiniDumpNormal = 0x00000000, MiniDumpWithDataSegs = 0x00000001, MiniDumpWithFullMemory = 0x00000002, MiniDumpWithHandleData = 0x00000004, MiniDumpFilterMemory = 0x00000008, MiniDumpScanMemory = 0x00000010, MiniDumpWithUnloadedModules = 0x00000020, MiniDumpWithIndirectlyReferencedMemory = 0x00000040, MiniDumpFilterModulePaths = 0x00000080, MiniDumpWithProcessThreadData = 0x00000100, MiniDumpWithPrivateReadWriteMemory = 0x00000200, MiniDumpWithoutOptionalData = 0x00000400, MiniDumpWithFullMemoryInfo = 0x00000800, MiniDumpWithThreadInfo = 0x00001000, MiniDumpWithCodeSegs = 0x00002000, MiniDumpWithoutManagedState = 0x00004000, } MINIDUMP_TYPE;
这些枚举可以组合,以生成包含自己想要的dump文件。
如:DUMP_TYPE_MINI = MiniDumpWithUnloadedModules
如:DUMP_TYPE_MIDD = MiniDumpWithUnloadedModules | MiniDumpWithIndirectlyReferencedMemory
如:DUMP_TYPE_FULL = MiniDumpNormal | MiniDumpWithFullMemory | MiniDumpWithDataSegs | MiniDumpWithIndirectlyReferencedMemory | MiniDumpWithHandleData | MiniDumpWithUnloadedModules | MiniDumpWithProcessThreadData
组合的枚举越多,生成出来的dump文件信息就越丰富。下面依次对各个枚举的dump包含的信息进行说明:
MiniDumpNormal -- 包含最基础的数据 缺省
| 数据类型 | 说明 | 命令 |
| 系统信息 |
发生崩溃机器的os版本号 cpu个数与型号 |
vertarget !cpuid |
| 进程信息 |
进程ID 进程创建时间、执行用户态代码与内核态代码的时间 |
| .time |
| 模块信息 |
每一个被进程加载的模块,信息包括:加载地址、大小、文件名(包含路径)、版本、 模块元信息(checksum, timestamp, debug information record; -- 用于调试器匹配与加载该模块的调试信息) |
lm |
| 线程信息 | 当前跑的每一个线程,信息包括:线程ID、优先级、线程上下文、暂停次数、TEB地址(不包括TEB具体内容) | ~ |
| 线程栈 | 所有线程的完整stack内容(stack中存放着:函数调用堆栈、局部变量、参数变量) | |
| IP信息 | 存储每个线程IP寄存器所指向地址周围的256个字节的内存,使得在没有可执行模块情况下也能查看崩溃点周围的汇编指令 | |
| 异常信息 |
通过MiniDumpWriteDump第5个参数传入的 内容包括:EXCEPTION_RECORD结构体数据、当前异常线程上下文、当前异常线程的IP信息 |
.ecxr |
(1) 通过查看各个线程的函数调用堆栈来看它们在等待什么,来确认程序是否发生了死锁
(2) 可查看各个线程函数栈帧的局部变量以及参数变量的值,不能查看全局变量及malloc、new出来的堆内存中的内容
(3) Dump文件大小主要取决于线程栈的大小,一般小于20KB
MiniDumpWithFullMemory -- 包含所有数据
(1) 包含进程地址空间内所有可读页的内容
(2) 可查看各个模块、线程环境块(PEB)、进程环境块(TEB)在栈或堆上的值
(3) 包含各个模块代码段的页(冗余 如果有各个模块可执行文件的话,windbg能从这些文件中获取到)
(4) 可查看各个模块数据段内容(全局变量)
(5) Dump文件很大,与进程占用的物理内存工作集(Working Set)大小相当
MiniDumpWithPrivateReadWriteMemory
(1) 包括进程地址空间内所有可读可写的私有内存页(物理内存私有工作集Working Set Private,即主模块exe的内存页)
(2) 可查看主模块exe、线程局部存储(TLS)、线程环境块(PEB)、进程环境块(TEB)在栈或堆上的值
(3) 不能查看共享模块及内存映射文件中的内容
(4) 不包括各个模块的代码段
(5) 不能查看各个模块的数据段(全局变量)
MiniDumpWithIndirectlyReferencedMemory
(1) 扫描各个线程栈中的指向可读内存页的指针(由于MiniDumpWriteDump在扫描时无法访问调试信息,无法区分指针与整型变量,因此整型变量也会被当做指针处理),
将指针指向的内存地址前256B+后768B的内容(共1KB)保存到Dump文件中
(2) 不包括指向数据段的指针(无法查看全局变量的值)
MiniDumpWithDataSegs
(1) 包含各个模块所有可写数据段, 可查看数据段内容(非常量的全局变量)
(2) Dump文件较大,哪怕只使用了dll的一个函数,该dll的所有可写数据段都会被写入Dump
MiniDumpWithCodeSegs
(1) 包含各个已加载模块代码段(使得windbg中不用配置Image Path)
MiniDumpWithHandleData
(1) 发生崩溃时,将进程句柄表中所有句柄信息写入Dump中
(2) windbg中通过!handle命令来查看句柄
MiniDumpWithThreadInfo
(1) 各个线程的额外信息:时间(创建时间、分别执行用户和内核代码的时间)、线程函数地址(Start Address)、
关联性(Affinity -- 在那些cpu上运行当前线程,若TheadAffinity为fd,表示可以在0、2-7编号的cpu上运行;TheadAffinity的值首先会受到进程的Affinity的限制)
(2) .ttime查看当前线程的时间信息,~.查看当前线程的线程函数地址及关联性
!runaway查看所有线程的时间信息,~*查看所有线程的线程函数地址及关联性
MiniDumpWithProcessThreadData
(1) 包含线程环境块(PEB)、进程环境块(TEB)的内存页
(2) PEB及TEB引用的内存页(如:环境变量、进程参数、通过TlsAlloc分配的位标志所在的内存页)
(3) 不包括TLS数据(线程局部变量,可通过__declspec(thread)关键字来定义)
MiniDumpWithFullMemoryInfo
(1) 进程的整个虚拟内存布局信息(各个内存页的基址、大小、状态和类型)
(2) .vadump查看进程的整个虚拟内存布局
MiniDumpWithoutOptionalData -- 只包含MiniDumpNormal的数据 如:MiniDumpWithFullMemory | MiniDumpWithoutOptionalData等价于MiniDumpNormal
MiniDumpFilterMemory -- 线程栈结构完好,但会将栈上的数据(如局部变量、参数变量)设置成0,堆内存不受影响;另外对MiniDumpWithFullMemory不起作用
MiniDumpFilterModulePaths -- 去除模块路径,只保留模块名称
MiniDumpScanMemory -- 从Dump文件中排除某些模块(通过MiniDumpCallback函数),以减少Dump文件的大小
----------------------------------------------------------------------------------------------------
MiniDumpCallback可以实现如下用户自定义行为:
① 整个或部分排除某个模块的信息
② 整个或部分排除某个线程的信息
③ 加入用户指定内存内容到Dump中
----------------------------------------------------------------------------------------------------
MiniDumpWithUnloadedModules -- 包含未加载模块信息(windows server 2003 sp1, windows xp sp2及以上系统能获取到这块信息)
参考: