注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

Code@Pig Home

喜欢背着一袋Code傻笑的Pig .. 忧美.欢笑.记忆.忘却 .之. 角落

 
 
 

日志

 
 

[win32] Minidumps and matching modules  

2015-12-24 18:28:28|  分类: win32 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

当我们对一个 .dmp 文件进行调试时,需要找到其对应的 .exe/.dll 文件,才能看到函数名、文件、行号。
那 debugger 是如何知道此 .dmp 所关联的所有 .exe/.dll 的呢?

Module Matching

debugger 如何知道去找哪些 .exe/.dll 文件,并且验证这个 .exe/.dll 文件是否就是对应版本么?其实呀,.dmp 中保存有一堆 MINIDUMP_MODULE,描述了这些信息:
typedef struct _MINIDUMP_MODULE {
    ULONG64 BaseOfImage;
    ULONG32 SizeOfImage;
    ULONG32 CheckSum;
    ULONG32 TimeDateStamp;
    RVA ModuleNameRva;
    VS_FIXEDFILEINFO VersionInfo;
    MINIDUMP_LOCATION_DESCRIPTOR CvRecord;
    MINIDUMP_LOCATION_DESCRIPTOR MiscRecord;
    ULONG64 Reserved0;                          // Reserved for future use.
    ULONG64 Reserved1;                          // Reserved for future use.
} MINIDUMP_MODULE, *PMINIDUMP_MODULE;

BaseOfImage, module 加载到内存中的基地址(base address)
SizeOfImage, module 的大小,等于 IMAGE_OPTIONAL_HEADER.SizeOfImage
CheckSum, module 的 checksum,等于 IMAGE_OPTIONAL_HEADER.CheckSum。Debug Build 时 checksum = 0,只有 Release Build 才有 checksum。
TimeDateStamp, module 的生成时间,等于 IMAGE_FILE_HEADER.TimeDateStamp。
ModuleNameRva, 指向一个 MINIDUMP_STRING,包含了 module 的路径
VersionInfo, module 的版本信息,包括 file version、product version 等等。
CvRecord, 如过 debug symbol 是 .pdb 格式,则这里指向 .pdb 文件,格式参见 http://www.debuginfo.com/articles/debuginfomatch.html
MiscRecord, 如过 debug symbol 是 .dbg 格式(IMAGE_DEBUG_MISC),则这里指向 .dbg 文件。这个估计是老的 debug 信息保存格式,现在不用了。

可以用 MiniDumpView(http://www.debuginfo.com/tools/minidumpview.html) 显示 .dmp 中的 module list。
下面是 WindowsXP SP4 下一个 .dmp 文件中关于 kernel32.dll 的信息: 
Module:                C:\WINNT\system32\KERNEL32.DLL
Address:               7c4e0000
Size:                  000b9000
CheckSum:              000bdbb3
TimeDateStamp:         3ef274dc
File version:          5.0.2195.6688
Product version:       5.0.2195.6688
MISC record:           Available

通过 MINIDUMP_MODULE 里的信息,我们很容易可以识别一个 .dmp 对应的 module 具体是哪个版本的。
不过,我们发现并不是所有信息,都被 debugger 使用了。

Visual Studio debugger 使用了:
 * File name (MINIDUMP_MODULE.ModuleNameRva)
 * Module size (MINIDUMP_MODULE.SizeOfImage)
 * Module timestamp (MINIDUMP_MODULE.TimeDateStamp)

WinDbg 使用了:
 * File name (MINIDUMP_MODULE.ModuleNameRva)
 * Module size (MINIDUMP_MODULE.SizeOfImage)
 * Module timestamp (MINIDUMP_MODULE.TimeDateStamp)
 * Module checksum (MINIDUMP_MODULE.CheckSum)

啊哈,MINIDUMP_MODULE.VersionInfo 居然完全被忽略了。

下面的内容,我不感兴趣,就不翻译了。请看原文 =_=!
  评论这张
 
阅读(545)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017