茫茫内存,我该如何用 windbg 找到你 ?】的更多相关文章

茫茫内存,我该如何用 windbg 找到你 ?

一:背景 1. 讲故事 前天wx上有个朋友丢给我一个dump,让我帮忙鉴定一下某些敏感信息在内存中是否也是加密的,现在数据安全很重要,不仅数据库中的信息要加密,灌到内存后数据同样也需密文存储,随用随解密,争取安全最大化,此为背景,接下来就是我艹,这咋让我鉴定呀? 二:如何鉴定 1. 思考 我艹几秒后,冷静下来想想还是有一定解决办法的,我先把问题化简一下. 判断内存中是否有字符串为 张三 or 李四 or 王五 的明文字符. 判断内存中是否存在各自明文的 md5. 上面两点检索一下,基本就能确定那…

如何用Windbg找到被catch住的C++的异常

博客搬到了fresky.github.io - Dawei XU,请各位看官挪步.最新的一篇是:如何用Windbg找到被catch住的C++的异常.…

如何用windbg分析内存泄露

1.     必须在命令行中设置为要分析的进程打开用户堆栈信息:C:\Program Files\Debugging Tools for Windows (x64)>gflags.exe -i YourDebugProcess.exe +ust 2.     必须是Debug版本的进程 3.     设置好windbg的pdb路径,即symbol path 4.     利用windbg的AttachToProcess (貌似后面这个方案不行:在目标机器上产生转储文件(dump)然后用windb…

如何用Windbg从dump获取计算机名、主机名

对内存转储时发生的事情有一定的了解是非常重要的.这有助于您确定要执行哪些WinDbg命令,并为您提供一些有关如何解释这些命令输出的上下文.我正在查看一个服务器的内存转储,该服务器存在性能问题.我在内存转储中根本没有看到任何运行,这意味着被转储的进程不是有问题的进程,或者,转储是从错误的机器上获取的? 是的. 我正在查看一个服务器的内存转储,该服务器存在性能问题.我在内存转储中根本没有看到任何运行,这意味着被转储的进程不是有问题的进程,或者,转储是从错误的机器上获取的(?),是的.我查看了服务器A…

【转】如何用WINDBG分析64位机上32位程序的DUMP文件

将dump拖入到windbg中后,在command输入栏输入 .load wow64exts 回车 !sw 回车,就将windbg的dump,从64位模式切换到了32位模式,否则看到的call stack 对我们分析dump是没有帮助的.然后就可以使用其它的命令来分析了.比如:使用kb命令,查看所有线程的调用堆栈,找出出错的线程,~*kb,就是查看所有线程的调用堆栈. http://www.cnblogs.com/suiyingjie/archive/2012/12/07/2807504.htm…

如何用windbg查看_eprocess结构

打开菜单: File->Symbol File Path... 输入: C:/MyCodesSymbols; SRV*C:/MyLocalSymbols*http://msdl.microsoft.com/download/symbols 随便绑定一个进程,然后输入 dt _eprocess…

使用WinDBG调试查看C#内存转储文件

有时候我们想查看一个正在运行的程序内存中的数据,可以在任务管理器将内存状态保存为转储文件,并使用WinDBG验证,这里我们来试试: 0.安装WinDBG 1.首先写个代码用来测试 一个class public class MyClass { public int AintValue = 123; public static int BintValue = 456; public string AstringValue = "AAA"; public static string Bstr…

利用windbg分析崩溃,句柄泄漏,死锁,CPU高,内存泄漏

Windbg的一些简单使用命令 一.崩溃 1.  输入.ecxr;kbn得到崩溃的堆栈 其中源代码如下 2.  查看堆栈和源代码,发现第0帧导致崩溃,代码也是本地代码 输入.frame  0,切到第0帧如下 3.  输入 dv 查看当前帧的一些变量信息 发现变量p =0x00000000 二.句柄泄漏 1.  启动进程 2.  用windbg附加到进程 3.  !htrace  -enable命令开启句柄检测 4.  !htrace  –snapshot 5.  运行一段时间后 6.  !htr…

windbg分析一次大查询导致的内存暴涨

项目上反馈了一个问题,就是在生产环境上,用户正常使用的过程中,出现了服务器内存突然暴涨,客户有点慌,想找下原因. 讲道理,内存如果是缓慢上涨一直不释放的话,应该是存在内存泄漏的,这种排查起来比较困难,还得找开发一块看:但像这种突然暴涨的,肯定是把某些大对象放到内存里了,而最有可能的,就是大查询了,比如把几百万数据查出来这种,但这种一般等用户用完这个功能内存就会降下来. 环境:IIS+.net framework.发现是w3wp进程一直在涨内存,也就是iis,确实是程序的锅. 分析内存问题的话,一…

第二章排错的工具:调试器Windbg(下)

感谢博主 http://book.51cto.com/art/200711/59874.htm 2.2  读懂机器的语言:汇编,CPU执行指令的最小单元2.2.1  需要用汇编来排错的常见情况 汇编是CPU执行指令的最小单元.下面一些情况下,汇编级别的分析通常是必要的:1. 阅读代码看不出问题,但是跑出来的结果就是不对,怀疑编译器甚至CPU有毛病.2. 没有源代码可以阅读.比如,调用某一个API的时候出问题,没有Windows的源代码,那就看汇编.3. 当程序崩溃,访问违例的时候,调试器里看到的…