일부 기호 경고가있는 경우 windbg analyze 결과를 사용할 수 있습니까?

Question

나는 windbg에서 새롭고 windows에서 메모리를 분석한다. x64 시스템의 메모리 덤프 (크래시 덤프)를 분석하려고합니다.

는 모든 기호 (내와 마이크로 소프트) 를로드 한 후에 나는이 출력의 일부입니다 !analyze -v

입력 :

...... 
FAULTING_SOURCE_CODE: <some code here> 

SYMBOL_STACK_INDEX: 6 

SYMBOL_NAME: rtplogic!CSRTPStack::Finalize+19d 

FOLLOWUP_NAME: MachineOwner 

MODULE_NAME: RTPLogic 

IMAGE_NAME: RTPLogic.dll 

DEBUG_FLR_IMAGE_TIMESTAMP: 58542837 

STACK_COMMAND: ~544s; .ecxr ; kb 

FAILURE_BUCKET_ID: WRONG_SYMBOLS_c0000374_RTPLogic.dll!CSRTPStack::Finalize 

BUCKET_ID: X64_APPLICATION_FAULT_WRONG_SYMBOLS_rtplogic!CSRTPStack::Finalize+19d 
...... 

이 WRONG_SYMBOLS 나를 걱정.

FAULTING_SOURCE_CODE의 코드는 충돌과 관련된 코드 일 수 있습니까?

Answer 1

아니요, 불행히도 당신은 그것을 믿을 수 없습니다. 디버거가 스택을 올바르게 푸는 경우 디버거가 100 % 확실하지 않은 콜 스택 분석에 적어도 한 가지 포인트가 있습니다.

~544s; .ecxr; k을 입력하면 호출 스택이 표시됩니다. 해당 호출 스택에는 불확실한 지점에서 경고가 포함됩니다. 이미 도움이 될 수있는 모든 것을 신뢰할 수 있지만 경고 아래의 스택 프레임을 신뢰할 수는 없습니다.

출력을 dps @ebp과 비교할 수 있습니다. 충분하지 않은 경우 L fff을 추가하면 디버거에서 추측 할 수있는 내용을 확인할 수 있습니다.

dps의 출력에서 ​​우연히 스택에 대한 계산 중 하나가 기호로 해석 될 수있는 값을 얻은 경우 완전히 관련없는 내용이 표시 될 수 있습니다.

Answer 2

c0000374은 STATUS_HEAP_CORRUPTION입니다. 일반 덤프를 보면 손상이 발생한 후에 만 ​​코드가 표시됩니다.

이 EXE에 대한 gflags.exe를 가진 Pageheap을 활성화

PageHeap Windows가 할당 이상으로 메모리에 액세스하려는 시도를 탐지하기 위해 각 할당의 경계에서 그 예비 메모리를 제공 할 수 있습니다. 이것은 응용 프로그램을 더 빨리 크래시 할 것이고 여기서 크래시의 실제 원인을 볼 수 있습니다. dmp를 열고 !analyze -v을 실행하여 손상된 부분을 확인합니다.