WinDbg调试异常(!!! second chance !!!)

已于 2023-12-20 17:57:17 修改
阅读量689 收藏 8
点赞数 5
CC 4.0 BY-SA版权
分类专栏: 恶意代码实战分析 文章标签: WinDbg调试异常
于 2023-12-20 17:38:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/singleyellow/article/details/135112847
本文记录了一次使用WinDbg调试过程中遇到的(!!! second chance !!!)异常情况。问题源于在调用fseek()函数时,文件指针为0。通过逐步调试,发现是由于windbg改变了程序的相对路径,导致文件读取错误。而在x64dbg中,相对路径保持不变,避免了这个问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

以前使用windbg调试样本时不时会遇到异常并提示(!!! second chance !!!),之前也尝试查找过原因但是并没有找到,一直十分郁闷。这次又出现了异常,有时间查找原因并发现了问题所在,于是记录下分析过程。

起因

在调试一个样本,每次用windbg调试都会出现:

但是使用x64dbg调试或者直接运行在无调试器参与时均不会出现异常,之前也遇到过,但一直没有解决。

分析经过

思路是使用windbg一步一步的运行,发现在代码运行到fseek( )函数时,传入的文件指针为0,调试截图如下:

其中的rcx为0,就是文件指针没有值,后续肯定会出现异常。于是查看被调试样本中的一段读取文件的代码,读取的是一个相对位置非绝对位置,代码如下图所示:

大概率可能是相对路径的的问题,我们依旧使用w

了解本专栏 订阅专栏 解锁全文
通过查看Windbg中变量的值,快速定位因内存不足引发bad alloc异常(C++ EH exception - code e06d7363)导致程序崩溃的问题
dvlinker的技术专栏
03-06 1万+
本文详细讲述如何通过查看Windbg中变量的值快速定位因内存不足引发bad alloc异常(C++ EH exception - code e06d7363)导致程序崩溃的问题。
windbg调试驱动学习总结
bcbobo21cn的专栏
03-19 4629
简单驱动编写与windbg调试 http://trustsec.blog.51cto.com/305338/64694/ 一.驱动编写 随着对windows系统的深入研究,越来越多的内核方面的知识被挖掘出来了,今天我们讨论下如何写一个 简单的驱动,并使用现在比较新的windbg调试器进行调试。首先写驱动要对驱动有一个比较全面的认识 。 一个简单的驱动一般有以下几
windbg使用教程(调试异常及死锁等)
热门推荐
哈市雪花的博客
12-09 2万+
1.背景 最近由于线上的程序发生了死锁,而且重现的概率很低,正好客户反馈一个任务超时了,登上线上环境发现有一个“僵尸”进程,占用内存不波动,cpu仍在占用, 那么用创建转储文件,用windbg调试吧。 2.准备 2.1.下载windbg 需要下载Windows 调试工具 (WinDbg):Windows 10 SDK,安装时候根据需要,可以只安装Debugging Tools For Windows,即windbg; 如果已下载并安装Windows 10 SDK,而没有安装Windbg,那么在控
windbg加载符号问题
02-02
符号是windbg工作的重要依据,缺少调试符号,windbg有可能显示错误的结果。这是设置本地符号目录,以及定义符号服务器
windbg错误码汇总
就是那个党伟
03-15 1948
windbg错误码汇总。
Windbg 分析内存异常问题
cwei231的博客
04-03 747
windbg 查看内存的异常,查找程序中的问题
WinDbg+dump分析程序崩溃(ExceptionCode: c0020001)
ts16dmy的博客
07-15 379
WinDbg+dump分析程序崩溃 ExceptionCode: c0020001
Windbg下无法显示dbgPrint输出的信息
01-14 1万+
刚开始使用Windbg进行内核驱动的调试,但驱动中使用dbgPrint打印的调试信息一直都无法在Windbg中显示。后来纠结了很久才得以解决,记录如下。 一、问题的根本原因 The problem: Your DbgPrint or KdPrint messages don't appear in WinDbg (or KD) when you run your driver on W
windbg调试入门(一)
m0_60558754的博客
06-24 602
在编写完成后,右键点击项目生成,然后在文件夹中查看,生成的Project1.exe程序和Project1.pdb文件,其中pdb文件为存储的符号表,需要和exe的生成版本,或者生产时间保持一致。最后调试完毕后,使用qd退出当前运行的程序,对于已经调试到崩溃步骤的程序,如果想重新调试,则需要重新launch exe,使用reload命令则无法重新加载。在这个程序中,c的值被赋为0,当带入到func函数中的计算y时候,除0计算会导致程序崩溃,无法按期执行打印后面的x和y的值。在下面的0:000>位置输入命令。
windbg调试和断点学习总结2
bcbobo21cn的专栏
12-13 1万+
WinDbg 设置断点 在windbg中,断点设置的地址形式有好多种,可以是以下几种: 1.虚拟地址:即给出直接地址,如 12345678 2.函数偏移量:如DriverEntry+5c. 3.源代码+行数 :`[[Module!]Filename][:LineNumber]` 4.对C++可以对模块中的某个类的方法设置断点:   设置断点语法:           1:
WinDbg调试中遇到的问题(一)
pengxiao618的专栏
02-24 1211
当使用WinDbg调试系统内核代码时,如果出现了BugCheckAnalysis的提示之后,接下来会出现如下两行提示信息: Use !Analyze -v  to get detailed debugging information. BugCheck C000021A, {e1c52ce0, c0000034, 0, 0} 其中,C000021A为停止码(Stop Code),表示系统进程
WinDbg !error 指令不起作用
Mingyueruya的专栏
08-30 366
WinDbg !error 指令不起作用
使用Windbg时遇到的几个典型问题说明
dvlinker的技术专栏
12-26 8381
详细讲述在使用Windbg过程中遇到的几个典型问题
WinDbg抓取程序报错dump文件的方法
程序逍客
12-04 2111
程序崩溃的两种主要现象: a. 程序在运行中的时候,突然弹出错误窗口,然后点错误窗口的确定时,程序直接关闭 例如: “应用程序错误” “C++错误之类的窗口” “程序无响应” “假死”等 此种崩溃特点:程序已异常,在你未点出错窗口的确定或其他按,所有错误信息都还保留在PC的内存中,可以直接抓取Dump文件。当然,如果你知道 怎么样操作可以让程序崩溃,也可以用守株待兔的抓取方法抓Dump文件
新版windbg无法调试源码怎么办
shengyin714959的博客
11-04 98
windbg 调试 .NET6 的coreclr源码时,可以轻松映射代码,但在调试 .NET8 时就不行了,该怎么办呢?首先说一下原理,默认情况下缺省的.srcpath指向的是微软的源码服务器,如果可以往外翻的话,可以直接下载,无需任何操作,如果不能翻的话,需要手工设置下远程路径为空,所以有两种方案。
WinDBG显示自己的调试信息
weixin_30443813的博客
07-24 451
WinDBG显示自己的调试信息 WinDBG是个调试器,但其本身也是个软件,也有BUG,这就好像医生也会生病一样。如何调试WinDBG呢?WinDBG的设计者们早考虑到了。比如.dbgdbg命令就是启动一个调试器来调试当前的调试器。 再如,使用.outmask命令可以让WinDBG输出自己的调试信息。参数可以是下表中的各个标志位的组合。 Val...
32位/64位WINDOWS驱动之windbg双机调试
a756598009的博客
06-24 4303
windbg双机调试环境配置第一步关掉虚拟机如果有打印机请移除打印机(打印机会占用端口)添加-添加串行端口-完成选择使用命名的通道-名字为 \.\pipe\abc123(对应下面的COM1) -确定-在开启虚拟机在虚拟机命令行里面输入 msconfig 来到系统配置 -引导-第二个高级选项 -勾选调试-勾选调试窗口-选择COM1;-确认-重新启动-启动的时候选择下面的调试系统来到自己电脑系统搜索windbg
WinDBG调试DMP文件
sdywtzymy的博客
07-16 2754
如何用WinDBG调试DMP(dump)文件
WINDBG错误提示及处理
lopper的专栏
01-19 8713
今天初次使用WINDBG,遇到了两个问题,最后解决了。此处和大家一起分享一下: 1) WARNING: Non-directory path 我在符号路径里都填加了还是遇到,这时我发现其实只要添加路径即可,记得不要加入文件名。 2)WARNING: Unable to verify checksum for 使用VC工具包中的editbin工具可以为程序文件增加校验和
Windbg中!exchain有什么作用
最新发布
03-28
<think>好的,用户想了解WinDbg中的!exchain命令的作用。首先,我需要回忆一下WinDbg调试命令,特别是与异常处理相关的部分。!exchain这个命令的全称应该是“Exception Chain”,也就是异常链的意思。在Windows系统中,当程序发生异常时,系统会遍历异常处理链来寻找能够处理该异常的处理器。这个命令应该就是用来显示当前线程的异常处理链的。 接下来,我需要确认这个命令的具体功能和输出内容。根据之前的知识,每个线程都有一个结构体保存异常处理链,这个链由一系列的EXCEPTION_REGISTRATION_RECORD组成。每个节点包含了处理函数的地址和下一个节点的指针。!exchain命令应该会遍历这个链,显示每个处理函数的地址,可能还包括模块信息,帮助调试者定位问题。 然后,我需要考虑用户可能的背景。用户可能遇到了程序崩溃或异常,正在使用WinDbg进行调试,需要查看异常处理链来找出问题所在。用户可能对结构化异常处理(SEH)有一定了解,但需要具体工具来查看链中的信息。因此,解释时需要简明扼要,说明命令的作用、输出示例以及如何解读这些信息。 还要注意用户提供的引用内容。引用[1]提到使用Windbg调试分析代码,引用[3]提到了DML链接,但当前问题与DML无关。引用[4]提到!stack扩展显示内核栈信息,但用户的问题是关于用户模式异常的,所以可能不涉及内核栈。不过,需要确认!exchain是否适用于用户模式和内核模式。 另外,用户要求回答结构清晰,分步骤说明,并生成相关问题。需要确保回答正确,语法正确,使用中文,同时生成的相关问题要相关且有帮助。 可能需要验证一下!exchain的具体输出格式,比如是否显示模块名称和偏移量,以及如何处理无效的处理器地址。例如,如果某个处理函数位于已卸载的DLL中,输出可能会有无效的地址,这时候需要提醒用户注意这种情况。 总结:!exchain命令用于显示当前线程的异常处理链,帮助调试者查看SEH链的结构,识别潜在的问题,如无效处理函数或异常处理顺序错误。在回答中需要说明其功能、输出示例、应用场景,以及可能的注意事项,如堆栈损坏导致链信息不准确。</think>### WinDbg中!exchain命令的功能解释 在WinDbg调试器中,`!exchain`命令用于**显示当前线程的异常处理链(Exception Handling Chain)**,即结构化异常处理(SEH)链的详细信息。该命令在分析程序崩溃或异常时尤为重要,尤其是在调试访问违规(Access Violation)、栈溢出等问题时[^1]。 #### 核心功能 1. **显示SEH链结构** Windows程序的每个线程都维护一个SEH链,由一系列`EXCEPTION_REGISTRATION_RECORD`结构组成。`!exchain`会遍历此链,输出每个异常处理函数的地址。例如: ``` 00 0019ff44 00401000 // 第一个处理函数地址:0x00401000 01 0019ff54 77e81410 // 第二个处理函数地址:0x77e81410 ``` 其中每行格式为:`[序号] [栈地址] [处理函数地址]`[^4]。 2. **关联模块信息** WinDbg会自动解析处理函数所属的模块(如DLL或EXE文件),并显示偏移量。例如: ``` 01 0019ff54 77e81410 ntdll!_except_handler4+0 ``` 表示该处理函数位于`ntdll.dll`的`_except_handler4`例程中。 3. **检测异常处理链损坏** 若链中出现无效地址(如`0xbadf00d`)或循环引用,可能表明**堆栈溢出**或**内存损坏**,这是常见崩溃原因之一[^2]。 #### 典型应用场景 - **调试访问违规(0xC0000005)**:通过检查SEH链,确认异常是否被错误处理。 - **分析栈溢出问题**:若链中地址超出线程栈范围,可定位溢出点。 - **验证自定义异常处理器**:检查自定义处理函数是否正确注册到链中。 #### 注意事项 - **依赖线程上下文**:需在崩溃现场(如异常断点触发时)执行命令,否则结果可能不准确。 - **结合其他命令使用**:例如用`kb`查看栈回溯,或`ln 77e81410`解析函数符号[^3]。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

拜乔布斯

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值