-
-
windbg调试dump的问题
-
发表于:
2015-7-13 14:49
3097
-
今天去一家面试,让我通过dump文件。之前没有分析过dump文件,想问问一些问题,这家公司的给了我一个可执行程序,按按钮会崩溃,让我崩溃时用windbg连上去dump,然后根据dump文件分析找到错误的代码行。可是我发现崩溃时windows读条,我附加到进程上.dump /f 生存dmp文件,再用windbg打开,调用堆栈和崩溃时的调用堆栈式不一样的,而是像下面一样
ChildEBP RetAddr
00bffac4 771a10d9 ntdll!DbgBreakPoint
00bffaf4 76917c04 ntdll!DbgUiRemoteBreakin+0x39
00bffb08 7714ad1f kernel32!BaseThreadInitThunk+0x24
00bffb50 7714acea ntdll!__RtlUserThreadStart+0x2f
00bffb60 00000000 ntdll!_RtlUserThreadStart+0x1b
,实际上崩溃的原因应该是某个函数内对一个int* a=0;*a=0;这样的对空指针赋值。我想我dump的时机是否正确,或者通过这样的dump文件怎么追溯错误的地方
[课程]FART 脱壳王!加量不加价!FART作者讲授!
