我们已经了解了什么是Dump文件,它保存了什么数据,有什么作用,但它是如何存储的,数据格式是怎样的呢。下面简单说一下。

一、总体结构

二、文件头

首先文件的最开始的32个字节是Dump文件的文件头,这里包含了Dump文件标识、格式版本、校验和、时间戳和一些标志,数据结构如下

typedef struct _MINIDUMP_HEADER { 

  ULONG32 Signature;

  ULONG32 Version;

  ULONG32 NumberOfStreams;

  RVA     StreamDirectoryRva;

  ULONG32 CheckSum;

  union {

    ULONG32 Reserved;

    ULONG32 TimeDateStamp;

  };

  ULONG64 Flags;
} MINIDUMP_HEADER, *PMINIDUMP_HEADER

上面的结构包含了很多信息,总共32个字节,存放在文件的最开始的位置,下面分别说下各成员:

  • Signature---文件标识
    4个字节,存放内容是"MDMP"字符串的ASSIC码。可以简单的读取文件的头4个字节是否等于"MDMP"来判断一个文件是否是Dump文件。
  • Version---Dump格式的版本
    低两字节是MiniDump的版本号,高两字节是一个特定整形值
  • NumberofStreams----文件里内存数据流的计数
    也就是MiniDump目录表的元素个数。dump文件是以流的形式保存内存数据,各个流的类型不一样。
  • StreamDirectoryRVA
    流目录表的文件偏移地址,从文件最开始处也就是地址0开始,那么要寻址流目录:0+StreamDirectoryRva(字节)
  • CheckSum
    文件校验和,可以为0
  • TimeDataStamp
    时间戳,文件的修改时间
  • Flags
    一个或多个MINIDUMP_TYPE的枚举值组成的标志,说明本文件里包含了哪些信息。

三、流目录

文件头过后紧接着的是流目录。通过文件头里的StreamDirectoryRVA字段决定我们可以快速定位到流目录在文件里的位置。

我们可以看到流目录紧挨着文件头的尾部。
流目录记录内存数据的流的摘要数据组成的数组,方便解析器进行解析和数据定位。数组元素由如下结构填充:

typedef struct _MINIDUMP_DIRECTORY {

  ULONG32                      StreamType;

  MINIDUMP_LOCATION_DESCRIPTOR Location;

} MINIDUMP_DIRECTORY, *PMINIDUMP_DIRECTORY;
  • StreamType---流类型
    这是一个4字节的MINIDUMP_STREAM_TYPE枚举类型的数据

    typedef enum _MINIDUMP_STREAM_TYPE {
    
  UnusedStream,
    
  ReservedStream0,
    
  ReservedStream1,
    
  ThreadListStream,
    
  ModuleListStream,
    
  MemoryListStream,
    
  ExceptionStream,
    
  SystemInfoStream,
    
  ThreadExListStream,
    
  Memory64ListStream,
    
  CommentStreamA,
    
  CommentStreamW,
    
  HandleDataStream,
    
  FunctionTableStream,
    
  UnloadedModuleListStream,
    
  MiscInfoStream,
    
  MemoryInfoListStream,
    
  ThreadInfoListStream,
    
  HandleOperationListStream,
    
  TokenStream,
    
  JavaScriptDataStream,
    
  SystemMemoryInfoStream,
    
  ProcessVmCountersStream,
    
  IptTraceStream,
    
  ThreadNamesStream,
    
  ceStreamNull,
    
  ceStreamSystemInfo,
    
  ceStreamException,
    
  ceStreamModuleList,
    
  ceStreamProcessList,
    
  ceStreamThreadList,
    
  ceStreamThreadContextList,
    
  ceStreamThreadCallStackList,
    
  ceStreamMemoryVirtualList,
    
  ceStreamMemoryPhysicalList,
    
  ceStreamBucketParameters,
    
  ceStreamProcessModuleMap,
    
  ceStreamDiagnosisList,
    
  LastReservedStream
    
} MINIDUMP_STREAM_TYPE;
  • Location---流数据的位置信息
    位置信息也是由一个结构MINIDUMP_LOCATION_DESCRIPTOR来描述的,包含流数据大小和文件偏移地址 
    typedef struct _MINIDUMP_LOCATION_DESCRIPTOR {
    
  ULONG32 DataSize;
    
  RVA     Rva;
    
} MINIDUMP_LOCATION_DESCRIPTOR;

通过上面的相关结构,我们可以得出,一个流目录项总供有12个字节,那么有多少个项呢,由文件头里的字段NumberOfStreams给出,比如

我们就可以知道,流目录的大小=sizeof(MINIDUMP_DIRECTORY)*MINIDUMP_HEADER::NumberOfStreams。这个文件里的流目录的大小=12*17=204B

----未完待续

Dump文件数据存储格式(一)的更多相关文章

  1. 使用GDB 追踪依赖poco的so程序,core dump文件分析.

    前言 在windows 下 系统核心态程序蓝屏,会产生dump文件. 用户级程序在设置后,程序崩溃也会产生dump文件.以方便开发者用windbg进行分析. so,linux 系统也有一套这样的东东- ...

  2. gdb调试常用实用命令和core dump文件的生成

      1.生成core dump文件的方法: $  ulimit -c //查看是否为0 如果为0 $   ulimit -c unlimited 这样在程序崩溃以后会在当前目录生成一个core.xxx ...

  3. dump文件定位程序崩溃代码行

    1.dump文件 2.程序对应的pdb 步骤一:安装windbg 步骤二:通过windbg打开crash dump文件 步骤三:设置pdb文件路径,即符号表路径 步骤四:运行命令!analyze -v ...

  4. HBase数据存储格式

    好的数据结构,对于检索数据,插入数据的效率就会很高. 常见的数据结构 B+树 根节点和枝节点非常easy,分别记录每一个叶子节点的最小值,并用一个指针指向叶子节点.  叶子节点里每一个键值都指向真正的 ...

  5. WinDBG 技巧:如何生成Dump 文件(.dump 命令)

    程序崩溃(crash)的时候, 为了以后能够调试分析问题, 可以使用WinDBG要把当时程序内存空间数据都保存下来,生成的文件称为dump 文件. 步骤: 1) 打开WinDBG并将之Attach 到 ...

  6. WinDbg抓取程序报错dump文件的方法

    程序崩溃的两种主要现象: a. 程序在运行中的时候,突然弹出错误窗口,然后点错误窗口的确定时,程序直接关闭 例如: “应用程序错误” “C++错误之类的窗口” “程序无响应” “假死”等 此种崩溃特点 ...

  7. java OOM还在看log日志,兄弟你错的的很严重,正确方式是分析dump文件

    目录 OOM异常--intsmaze 正确姿势dump文件分析--intsmaze 正确的姿势--intsmaze dump丢失打印--intsmaze 哪些内存溢出会产生dump文件--intsma ...

  8. gdb调试常用实用命令和core dump文件的生成(转)

    1.生成core dump文件的方法: $  ulimit -c //查看是否为0 如果为0 $   ulimit -c unlimited 这样在程序崩溃以后会在当前目录生成一个core.xxxx的 ...

  9. [JAVA]JAVA章3 如何获取及查看DUMP文件

    一.dump基本概念 在故障定位(尤其是out of memory)和性能分析的时候,经常会用到一些文件来帮助我们排除代码问题.这些文件记录了JVM运行期间的内存占用.线程执行等情况,这就是我们常说的 ...

随机推荐

  1. 使用poi统计工作职责

    1 创建一个新的sheet工作页 Sheet job = workbook.createSheet("工作职责统计"); 2 查询工作职责问题选项列表,并设置第一行倒出时间 Lis ...

  2. 自学Python编程的第九天(希望有大牛帮我看看我第一个代码是否有弊端,感谢您们)----------来自苦逼的转行人

    2019-09-19-22:11:33 今天是自学Python的第九天 学的内容是有关文件操作的,如:r.w.a.rb.wb.ab.r+.w+.a+等 有大牛帮我看一下我的代码第一个有没有什么弊端吗? ...

  3. 全网独发gensim中similarities.Similarity用法

    index = similarities.MatrixSimilarity(lsi[corpus]) # 管网的原文翻译如下: 警告:similarities.MatrixSimilarity类仅仅适 ...

  4. IOWebSocketChannel.connect handle errors

    https://github.com/dart-lang/web_socket_channel/issues/38 yes, my workaround is to create a WebSocke ...

  5. StopWatch方法详解

    namespace System.Diagnostics { // // 摘要: // 提供一组方法和属性,可用于准确地测量运行时间. public class Stopwatch { // // 摘 ...

  6. Android为TV端助力之QQ空间热更新技术

    直接上代码 package com.enjoy.patch; import android.content.Context;import android.os.Build;import android ...

  7. 03-JavaScript语法介绍

    本篇主要关于原生JavaScript的介绍,其中包括其嵌入HTML页面方式,JavaScript的语法结构,以及贪吃蛇案例: 一.绪论 JavaScript是运行在浏览器端的脚步语言,JavaScri ...

  8. Python的logging模块详解

          Python的logging模块详解 作者:尹正杰  版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.日志级别 日志级别指的是产生的日志的事件的严重程度. 设置一个级别后,严重程度 ...

  9. MySQL/MariaDB数据库的服务器配置

    MySQL/MariaDB数据库的服务器配置 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.MySQL中的系统数据库 1>.mysql数据库 是mysql的核心数据库,类 ...

  10. 完美快速解决百度分享不支持HTTPS的问题

    百度分享不支持HTTPS这件事由来已久,我之前向百度分享提交过这个问题,无果!但近期themebetter主题用户咨询的比较多,我们就总结了解决方案. 第一步:下载百度分享必备文件 点此下载stati ...