малый дамп памяти созданный windows

Сейчас на форуме: asfa, _MBK_, Adler (+8 невидимых)

Посл.ответ	Сообщение
ohos Ранг: 10.4 (новичок) Активность: 0.02↘0 Статус: Участник	Создано: 27 декабря 2012 13:12 · Личное сообщение · #1 Как узнать адрес возврата функции из следующей информации: 1. изначально был краш приложения, оно с помощью windows создало малый дамп (?) 2. после анализа windows debugging tools этого дампа был получен результат Code: Opened log file 'C:\Games\crushes\test\5.0.5\raw\ra_5052599_runes of magic_000000000000_121212183641.txt' Microsoft (R) Windows Debugger Version 6.10.0003.233 X86 Copyright (c) Microsoft Corporation. All rights reserved. Loading Dump File [C:\Games\crushes\test\5.0.5\raw\ra_5052599_runes of magic_000000000000_121212183641\RA.dmp] User Mini Dump File: Only registers, stack and portions of memory are available Symbol search path is: srvc:\symbols http://msdl.microsoft.com/download/symbols Executable search path is: srvc:\symbols http://msdl.microsoft.com/download/symbols Windows 7 Version 7600 MP (3 procs) Free x86 compatible Product: WinNt, suite: SingleUserTS Personal Machine Name: Debug session time: Wed Dec 12 18:36:40.000 2012 (GMT+4) System Uptime: not available Process Uptime: 0 days 0:19:21.000 ................................................................ ....................................................... This dump file has an exception of interest stored in it. The stored exception information can be accessed via .ecxr. (79c.7c0): Access violation - code c0000005 (first/second chance not available) eax=fffffffd ebx=0012cd24 ecx=0012c5c8 edx=77206194 esi=0012cd68 edi=000005ec eip=77206194 esp=0012c324 ebp=0012c334 iopl=0 nv up ei pl zr na pe nc cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00200246 ntdll!KiFastSystemCallRet: 77206194 c3 ret 0:000> !analyze -v; q ******************************************************************************* * * * Exception Analysis * * * ***************************************************************************** Unable to load image C:\Program Files\Overwolf\OWExplorer-10614.dll, Win32 error 0n2 * WARNING: Unable to verify timestamp for OWExplorer-10614.dll * ERROR: Module load completed but symbols could not be loaded for OWExplorer-10614.dll * WARNING: Unable to verify timestamp for Client.exe * ERROR: Module load completed but symbols could not be loaded for Client.exe Unable to load image C:\Windows\System32\atiumdag.dll, Win32 error 0n2 * WARNING: Unable to verify timestamp for atiumdag.dll * ERROR: Module load completed but symbols could not be loaded for atiumdag.dll Unable to load image C:\Program Files\test runes\Runes of Magic\5.0.5_test_full\mss32.dll, Win32 error 0n2 * WARNING: Unable to verify timestamp for mss32.dll * ERROR: Module load completed but symbols could not be loaded for mss32.dll Unable to load image C:\Program Files\Overwolf\OWClient.dll, Win32 error 0n2 * WARNING: Unable to verify timestamp for OWClient.dll * ERROR: Module load completed but symbols could not be loaded for OWClient.dll Unable to load image C:\Program Files\test runes\Runes of Magic\5.0.5_test_full\vivoxplatform.dll, Win32 error 0n2 * WARNING: Unable to verify timestamp for vivoxplatform.dll * ERROR: Module load completed but symbols could not be loaded for vivoxplatform.dll Unable to load image C:\Program Files\test runes\Runes of Magic\5.0.5_test_full\vivoxsdk.dll, Win32 error 0n2 * WARNING: Unable to verify timestamp for vivoxsdk.dll * ERROR: Module load completed but symbols could not be loaded for vivoxsdk.dll ********************************************************************* * * * * * Your debugger is not using the correct symbols * * * * In order for this command to work properly, your symbol path * * must point to .pdb files that have full type information. * * * * Certain .pdb files (such as the public OS symbols) do not * * contain the required information. Contact the group that * * provided you with these symbols if you need this command to * * work. * * * * Type referenced: kernel32!pNlsUserInfo * * * ********************************************************************* ********************************************************************* * * * * * Your debugger is not using the correct symbols * * * * In order for this command to work properly, your symbol path * * must point to .pdb files that have full type information. * * * * Certain .pdb files (such as the public OS symbols) do not * * contain the required information. Contact the group that * * provided you with these symbols if you need this command to * * work. * * * * Type referenced: kernel32!pNlsUserInfo * * * ********************************************************************* FAULTING_IP: msvcr80!fastzero_I+20 72b672d7 660f7f07 movdqa xmmword ptr [edi],xmm0 EXCEPTION_RECORD: ffffffff -- (.exr 0xffffffffffffffff) .exr 0xffffffffffffffff ExceptionAddress: 72b672d7 (msvcr80!fastzero_I+0x00000020) ExceptionCode: c0000005 (Access violation) ExceptionFlags: 00000000 NumberParameters: 2 Parameter[0]: 00000001 Parameter[1]: 00000000 Attempt to write to address 00000000 PROCESS_NAME: Client.exe ERROR_CODE: (NTSTATUS) 0xc0000005 - <Unable to get error code text> EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - <Unable to get error code text> EXCEPTION_PARAMETER1: 00000001 EXCEPTION_PARAMETER2: 00000000 WRITE_ADDRESS: 00000000 FOLLOWUP_IP: msvcr80!fastzero_I+20 72b672d7 660f7f07 movdqa xmmword ptr [edi],xmm0 FAULTING_THREAD: 000007c0 DEFAULT_BUCKET_ID: STATUS_ACCESS_VIOLATION PRIMARY_PROBLEM_CLASS: STATUS_ACCESS_VIOLATION BUGCHECK_STR: APPLICATION_FAULT_STATUS_ACCESS_VIOLATION LAST_CONTROL_TRANSFER: from 72b67344 to 72b672d7 STACK_TEXT: 0012e350 72b67344 00000000 01500000 0012e378 msvcr80!fastzero_I+0x20 0012e35c 0012e378 00000000 00a47910 00000000 msvcr80!_VEC_memzero+0x36 WARNING: Frame IP not** in any known module. Following frames may be wrong. 0012e36c 00000000 005008da 00000000 00000000 0x12e378 STACK_COMMAND: ~0s; .ecxr ; kb SYMBOL_STACK_INDEX: 0 SYMBOL_NAME: msvcr80!fastzero_I+20 FOLLOWUP_NAME: MachineOwner MODULE_NAME: msvcr80 IMAGE_NAME: msvcr80.dll DEBUG_FLR_IMAGE_TIMESTAMP: 4dcddbf3 FAILURE_BUCKET_ID: STATUS_ACCESS_VIOLATION_c0000005_msvcr80.dll!fastzero_I BUCKET_ID: APPLICATION_FAULT_STATUS_ACCESS_VIOLATION_msvcr80!fastzero_I+20 WATSON_IBUCKET: -982533885 WATSON_IBUCKETTABLE: 1 Followup: MachineOwner --------- quit: в ESP хранится адрес, по которому расположен адрес возврата? Если так, то в анализе этого дампа нет соответствующего адреса в STACK_TEXT и узнать, куда должен был вернуться вызов функции из msvcr80 невозможно?

Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 27 декабря 2012 14:52 · Личное сообщение · #2 В малом дампе вообще мало информации. kp для коллстека, либо d esp и разглядывай руками. Коль нет стека, сливай воду.
Hexxx Ранг: 481.4 (мудрец), 109thx Активность: 0.18↘0 Статус: Участник Тот самый :)	Создано: 27 декабря 2012 17:43 · Личное сообщение · #3 ohos пишет: в ESP хранится адрес, по которому расположен адрес возврата? Как повезет. Может быть просто указатель на какую-то локальную переменную. ohos пишет: куда должен был вернуться вызов функции из msvcr80 невозможно? Возможно. Если память стека присутствует в дампе, то можно руками ковыряться в памяти стека - смотреть начиная от адреса 12e36c проверяя все, что похоже на указатель. Если в дампе нет памяти стека, то ничего не найти. Но я так понял, что это юзермодный дамп, там по идее есть вся память приложения. Если там в коде присутствуют ebp-фреймы, то будет чуть легче искать, но для этого нужно понимать как они строятся. А это не рассказать в два предложения. ----- Реверсивная инженерия - написание кода идентичного натуральному

Для печати