求助 - mini版大，可以幫我分析dmp檔嗎？可否指導我怎麼分析

mini · 2007-07-10, 02:31 PM

其實這只能看出一些片段
看這一大堆字
請排除 * 號所圍繞的文字，因為那些是固定的說命註解文字
在執行 WinDbg 後可先清除一下 (Edit -> Clear Command Output)
再執行 !analyze -v 來分析
會比較易讀一些

首先最淺顯易懂的是
出錯的程序是 (PROCESS_NAME) avp.exe

執行的斷層是 rol byte ptr [edx],0AAh 這一行指令
BUGCHECK_STR: APPLICATION_FAULT_BAD_INSTRUCTION_PTR_STACK_CORRUPTION
這裡說到
壞的指令指標堆疊造成應用程式錯誤
就是指這一段

異常記錄是 EXCEPTION_RECORD: ffffffff -- (.exr 0xffffffffffffffff)
很明顯有溢位之嫌，windows當機幾乎都與溢位有關

斷層模組是 FAULTING_MODULE: 7c920000 ntdll

所以可判斷出
是卡巴使用到 ntdll.dll 模組時出錯

據MS修正記載裡曾提到
ntdll.dll 的動態連結資料庫(DLL)。這個 DLL 是作業系統與 Windows kernel 互動的一個核心元件。 ntdll.dll 中有一個緩衝區滿溢(buffer overflow)的安全弱點，而 Windows 作業系統中有很多不同元件使用到 ntdll.dll。
or
http://support.microsoft.com/kb/261317/zh-tw (Ntdll.dll 中的死結造成程式當掉)

所以你可以試試 Windows Update 看看有沒有更新

不過像這種情況
問題出在 windows的核心元件
一般問題不會像debuger講的這麼單純
如果每次安裝卡巴都會當機的話
還要靠其他工具來進一步分析

這裡給個建議
.先清除 C:\WINDOWS\Prefetch 裡面所有檔案

.接著下一個 MS的 BootVis
執行以下步驟:
執行之後依序點選「Trace」→「Next Boot+Drivers Delays」，出現「Trace Repetitions」視窗後按下「OK」重新開機；
重開機後再執行BootVis，點選「File」→「Open」開啟「TRACE_BOOT+DRIVERS_1_1.BIN」這個檔案，再點選「Trace」→「Optimize System」就行了。
(會再次重開機，進入windows時請不要做什麼，等 BootVis 自己結束為止)

====================================

像
PROCESS_NAME: avp.exe

FAULTING_MODULE: 7c920000 ntdll

這兩行會有藍色的底線文字出現
您只要點一下
他就會繼續分析

比如:
FAULTING_MODULE: 804d8000 nt
點一下 nt

會分析出
kd> lmvm nt
start end module name
804d8000 806ec480 nt T (no symbols)
Loaded symbol image file: ntoskrnl.exe
Image path: ntoskrnl.exe
Image name: ntoskrnl.exe
Timestamp: Wed Feb 28 17:10:41 2007 (45E54711)
CheckSum: 00217A95
ImageSize: 00214480
Translations: 0000.04b0 0000.04e0 0409.04b0 0409.04e0

那不就更清楚表示出
執行時的斷層出現在 ntoskrnl.exe 裡嗎 ?

mini · 2007-07-10, 07:13 PM

引用:

作者: 風流瀟灑

我剛剛點了
7c920000 7c9b5000 ntdll ，出現以下的結果，但看不到您所謂的斷層(.exe)之類的，以下這一段如何分析呢？
0:032> lmvm ntdll
start end module name
7c920000 7c9b5000 ntdll T (no symbols)
Loaded symbol image file: ntdll.dll
Image path: C:\WINDOWS\system32\ntdll.dll
Image name: ntdll.dll
Timestamp: Wed Aug 04 15:47:32 2004 (41109494)
CheckSum: 00092448
ImageSize: 00095000
File version: 5.1.2600.2180
Product version: 5.1.2600.2180
File flags: 0 (Mask 3F)
File OS: 40004 NT Win32
File type: 2.0 Dll
File date: 00000000.00000000
Translations: 0000.04b0 0000.04e0 0409.04b0 0409.04e0

所謂的執行的斷層是指
機械碼指令暫存器執行到這一行後
因為事故就無法執行下一行指令了

引用:

作者: mini

比如:
FAULTING_MODULE: 804d8000 nt
點一下 nt

會分析出
kd> lmvm nt
start end module name
804d8000 806ec480 nt T (no symbols)
Loaded symbol image file: ntoskrnl.exe
....

那不就更清楚表示出
執行時的斷層出現在 ntoskrnl.exe 裡嗎 ?

是指本來
FAULTING_MODULE: 804d8000 nt
只指出是 nt模組

但點下去後
就出現完整的
Loaded symbol image file: ntoskrnl.exe
原來 nt模組是指 ntoskrnl.exe ...

2007-07-10, 02:31 PM	#1 (permalink)
mini 管理版主榮譽勳章勳章總數17 UID - 4144 在線等級: 註冊日期: 2002-12-07 文章: 13497 精華: 0 現金: 26862 金幣資產: 3024792 金幣	其實這只能看出一些片段看這一大堆字請排除 * 號所圍繞的文字，因為那些是固定的說命註解文字在執行 WinDbg 後可先清除一下 (Edit -> Clear Command Output) 再執行 !analyze -v 來分析會比較易讀一些首先最淺顯易懂的是出錯的程序是 (PROCESS_NAME) avp.exe 執行的斷層是 rol byte ptr [edx],0AAh 這一行指令 BUGCHECK_STR: APPLICATION_FAULT_BAD_INSTRUCTION_PTR_STACK_CORRUPTION 這裡說到壞的指令指標堆疊造成應用程式錯誤就是指這一段異常記錄是 EXCEPTION_RECORD: ffffffff -- (.exr 0xffffffffffffffff) 很明顯有溢位之嫌，windows當機幾乎都與溢位有關斷層模組是 FAULTING_MODULE: 7c920000 ntdll 所以可判斷出是卡巴使用到 ntdll.dll 模組時出錯據MS修正記載裡曾提到 ntdll.dll 的動態連結資料庫(DLL)。這個 DLL 是作業系統與 Windows kernel 互動的一個核心元件。 ntdll.dll 中有一個緩衝區滿溢(buffer overflow)的安全弱點，而 Windows 作業系統中有很多不同元件使用到 ntdll.dll。 or http://support.microsoft.com/kb/261317/zh-tw (Ntdll.dll 中的死結造成程式當掉) 所以你可以試試 Windows Update 看看有沒有更新不過像這種情況問題出在 windows的核心元件一般問題不會像debuger講的這麼單純如果每次安裝卡巴都會當機的話還要靠其他工具來進一步分析這裡給個建議 .先清除 C:\WINDOWS\Prefetch 裡面所有檔案 .接著下一個 MS的 BootVis 執行以下步驟: 執行之後依序點選「Trace」→「Next Boot+Drivers Delays」，出現「Trace Repetitions」視窗後按下「OK」重新開機；重開機後再執行BootVis，點選「File」→「Open」開啟「TRACE_BOOT+DRIVERS_1_1.BIN」這個檔案，再點選「Trace」→「Optimize System」就行了。 (會再次重開機，進入windows時請不要做什麼，等 BootVis 自己結束為止) ==================================== 像 PROCESS_NAME: avp.exe FAULTING_MODULE: 7c920000 ntdll 這兩行會有藍色的底線文字出現您只要點一下他就會繼續分析比如: FAULTING_MODULE: 804d8000 nt 點一下 nt 會分析出 kd> lmvm nt start end module name 804d8000 806ec480 nt T (no symbols) Loaded symbol image file: ntoskrnl.exe Image path: ntoskrnl.exe Image name: ntoskrnl.exe Timestamp: Wed Feb 28 17:10:41 2007 (45E54711) CheckSum: 00217A95 ImageSize: 00214480 Translations: 0000.04b0 0000.04e0 0409.04b0 0409.04e0 那不就更清楚表示出執行時的斷層出現在 ntoskrnl.exe 裡嗎 ?

	送花文章: 2055, 收花文章: 8072 篇, 收花: 26926 次

Google 提供的廣告