Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Компьютеры + Интернет » Хочу все знать » Анализ дампов снятых с помощью ProcDump

Ответить
Настройки темы
Анализ дампов снятых с помощью ProcDump

Аватара для Chinaski

Пользователь


Сообщения: 122
Благодарности: 14


Конфигурация

Профиль | Отправить PM | Цитировать


Здравствуйте! Во многих темах вижу рекомендации сделать дамп с помощью ProcDump и выложить его. Отсюда вопрос - чем Вы анализируете такие дампы? В книге "Утилиты Sysinternals" указывается что проанализировать их возможно с помощью WinDbg. Возьмем для примера тему: Разное - [решено] Ошибка: Прекращена работа программы "Проводник" (Windows Explorer), а конкретно вот этот пост 850 в теме есть рекомендация. Я задался целью выяснить как удалось найти причину проблемы? Скачал Windows Kits, запустил WinDbg, в настройках программы в пункте Symbol File Path прописал SRV*%systemroot%\symbols*http://msdl.microsoft.com/download/symbols.
дальше открыл дамп файл приложенный пользователем к сообщению. Первоначальное окно WinDbg какой либо информации на проблемный файл не давало. Я выполнил команду !analyze -v, но и там не нашел какой либо информации. Хотя в теме проблема указывается на Firebird2Control.cpl. Откуда взялась такая информация? У меня несколько другая информация от WinDbg:
Код: Выделить весь код
Microsoft (R) Windows Debugger Version 6.3.9600.17237 AMD64
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\ProcDump\explorer.exe_141024_124537.dmp]
Comment: '
*** c:\ProcDump\procdump.exe  -accepteula -e -w explorer.exe c:\ProcDump\
*** Unhandled exception: C0000005.ACCESS_VIOLATION'
User Mini Dump File: Only registers, stack and portions of memory are available


************* Symbol Path validation summary **************
Response                         Time (ms)     Location
OK                                             E:\Symbols
Symbol search path is: E:\Symbols
Executable search path is: 
Windows 7 Version 7601 (Service Pack 1) MP (2 procs) Free x86 compatible
Product: WinNt, suite: SingleUserTS
Machine Name:
Debug session time: Fri Oct 24 11:45:40.000 2014 (UTC + 3:00)
System Uptime: not available
Process Uptime: 0 days 0:50:04.000
................................................................
................................................................
..........................................................
Loading unloaded module list
................................................................
This dump file has an exception of interest stored in it.
The stored exception information can be accessed via .ecxr.
(c00.3dc): Access violation - code c0000005 (first/second chance not available)
*** WARNING: Unable to verify timestamp for ntdll.dll
*** ERROR: Module load completed but symbols could not be loaded for ntdll.dll
eax=01a4d710 ebx=01aac680 ecx=3c67d6fb edx=e97fae3b esi=01a4d708 edi=00240000
eip=773b6b0d esp=09a2f034 ebp=09a2f05c iopl=0         nv up ei pl zr na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00010246
ntdll+0x56b0d:
773b6b0d 8b4904          mov     ecx,dword ptr [ecx+4] ds:0023:3c67d6ff=????????
0:025> !analyze -v
*******************************************************************************
*                                                                             *
*                        Exception Analysis                                   *
*                                                                             *
*******************************************************************************

*** ERROR: Symbol file could not be found.  Defaulted to export symbols for AcXtrnal.dll - 
*** WARNING: Unable to verify timestamp for kernel32.dll
*** ERROR: Module load completed but symbols could not be loaded for kernel32.dll
*** WARNING: Unable to verify timestamp for dui70.dll
*** ERROR: Module load completed but symbols could not be loaded for dui70.dll
*** WARNING: Unable to verify timestamp for duser.dll
*** ERROR: Module load completed but symbols could not be loaded for duser.dll
*** WARNING: Unable to verify timestamp for user32.dll
Unable to load image C:\Windows\System32\EXPLORERFRAME.dll, Win32 error 0n2
*** WARNING: Unable to verify timestamp for EXPLORERFRAME.dll
Unable to load image C:\Windows\System32\shell32.dll, Win32 error 0n2
*** WARNING: Unable to verify timestamp for shell32.dll
*** ERROR: Module load completed but symbols could not be loaded for shell32.dll
*** WARNING: Unable to verify timestamp for shlwapi.dll
***** OS symbols are WRONG. Please fix symbols to do analysis.

*************************************************************************
***                                                                   ***
***                                                                   ***
***    Either you specified an unqualified symbol, or your debugger   ***
***    doesn't have full symbol information.  Unqualified symbol      ***
***    resolution is turned off by default. Please either specify a   ***
***    fully qualified symbol module!symbolname, or enable resolution ***
***    of unqualified symbols by typing ".symopt- 100". Note that   ***
***    enabling unqualified symbol resolution with network symbol     ***
***    server shares in the symbol path may cause the debugger to     ***
***    appear to hang for long periods of time when an incorrect      ***
***    symbol name is typed or the network symbol server is down.     ***
***                                                                   ***
***    For some commands to work properly, your symbol path           ***
***    must point to .pdb files that have full type information.      ***
***                                                                   ***
***    Certain .pdb files (such as the public OS symbols) do not      ***
***    contain the required information.  Contact the group that      ***
***    provided you with these symbols if you need this command to    ***
***    work.                                                          ***
***                                                                   ***
***    Type referenced: ntdll!_PEB                                    ***
***                                                                   ***
*************************************************************************
Unable to load image C:\Windows\System32\ieframe.dll, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ieframe.dll
*** ERROR: Module load completed but symbols could not be loaded for ieframe.dll

************* Symbol Loading Error Summary **************
Module name            Error
ieframe                PDB not found : e:\symbols\symbols\dll\ieframe.pdb

You can troubleshoot most symbol related issues by turning on symbol loading diagnostics (!sym noisy) and repeating the command that caused symbols to be loaded.
You should also verify that your symbol search path (.sympath) is correct.
*** WARNING: Unable to verify timestamp for explorer.exe
Unable to load image C:\Windows\System32\ole32.dll, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ole32.dll
*** WARNING: Unable to verify timestamp for msvcrt.dll
*** ERROR: Module load completed but symbols could not be loaded for msvcrt.dll
*** WARNING: Unable to verify timestamp for msiltcfg.dll
*** ERROR: Module load completed but symbols could not be loaded for msiltcfg.dll
*** WARNING: Unable to verify timestamp for stobject.dll
*** WARNING: Unable to verify timestamp for ehSSO.dll
*** ERROR: Module load completed but symbols could not be loaded for ehSSO.dll
Unable to load image C:\Windows\System32\MMDevAPI.dll, Win32 error 0n2
*** WARNING: Unable to verify timestamp for MMDevAPI.dll
Unable to load image C:\Windows\System32\AltTab.dll, Win32 error 0n2
*** WARNING: Unable to verify timestamp for AltTab.dll
*** ERROR: Module load completed but symbols could not be loaded for AltTab.dll
*** WARNING: Unable to verify timestamp for FXSST.dll
*** ERROR: Module load completed but symbols could not be loaded for FXSST.dll
Unable to load image C:\Windows\System32\winmm.dll, Win32 error 0n2
*** WARNING: Unable to verify timestamp for winmm.dll
Unable to load image C:\Windows\System32\KERNELBASE.dll, Win32 error 0n2
*** WARNING: Unable to verify timestamp for KERNELBASE.dll
*** ERROR: Module load completed but symbols could not be loaded for KERNELBASE.dll
*** ERROR: Symbol file could not be found.  Defaulted to export symbols for ATL90.dll - 
*** WARNING: Unable to verify timestamp for GROOVEEX.DLL
*** ERROR: Module load completed but symbols could not be loaded for GROOVEEX.DLL

FAULTING_IP: 
ntdll+56b0d
773b6b0d 8b4904          mov     ecx,dword ptr [ecx+4]

EXCEPTION_RECORD:  ffffffff -- (.exr 0xffffffffffffffff)
ExceptionAddress: 773b6b0d (ntdll+0x00056b0d)
   ExceptionCode: c0000005 (Access violation)
  ExceptionFlags: 00000000
NumberParameters: 2
   Parameter[0]: 00000000
   Parameter[1]: 3c67d6ff
Attempt to read from address 3c67d6ff

CONTEXT:  00000000 -- (.cxr 0x0;r)
eax=01a4d710 ebx=01aac680 ecx=3c67d6fb edx=e97fae3b esi=01a4d708 edi=00240000
eip=773b6b0d esp=09a2f034 ebp=09a2f05c iopl=0         nv up ei pl zr na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00010246
ntdll+0x56b0d:
773b6b0d 8b4904          mov     ecx,dword ptr [ecx+4] ds:0023:3c67d6ff=????????

DEFAULT_BUCKET_ID:  WRONG_SYMBOLS

PROCESS_NAME:  explorer.exe

ADDITIONAL_DEBUG_TEXT:  
You can run '.symfix; .reload' to try to fix the symbol path and load symbols.

FAULTING_MODULE: 77360000 ntdll

DEBUG_FLR_IMAGE_TIMESTAMP:  4a5bd98a

ERROR_CODE: (NTSTATUS) 0xc0000005 - <Unable to get error code text>

EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - <Unable to get error code text>

EXCEPTION_PARAMETER1:  00000000

EXCEPTION_PARAMETER2:  3c67d6ff

READ_ADDRESS:  3c67d6ff 

FOLLOWUP_IP: 
AcXtrnal+8cb3
66638cb3 8d45f4          lea     eax,[ebp-0Ch]

APP:  explorer.exe

ANALYSIS_VERSION: 6.3.9600.17237 (debuggers(dbg).140716-0327) amd64fre

PRIMARY_PROBLEM_CLASS:  WRONG_SYMBOLS

BUGCHECK_STR:  APPLICATION_FAULT_WRONG_SYMBOLS

LAST_CONTROL_TRANSFER:  from 773b6287 to 773b6b0d

STACK_TEXT:  
WARNING: Stack unwind information not available. Following frames may be wrong.
09a2f05c 773b6287 00240000 01aac680 09a2f124 ntdll+0x56b0d
09a2f154 773b65a6 01aac680 01aac688 019d0048 ntdll+0x56287
09a2f174 77389e39 00240000 00000000 01aac688 ntdll+0x565a6
09a2f1c4 773c648f 00000000 00240000 0024faa8 ntdll+0x29e39
09a2f200 773b2ce8 0024fab8 344528d3 0024faa8 ntdll+0x6648f
09a2f218 66638cb3 00240000 00000000 0024faa8 ntdll+0x52ce8
09a2f244 6663a188 00240000 0024fab8 0a7fcc0c AcXtrnal+0x8cb3
09a2f268 7719c484 002a0000 00000000 00000820 AcXtrnal+0xa188
09a2f27c 746488c3 002a0000 00000000 036ebbd0 kernel32+0x4c484
09a2f290 7464964f 036ebbd0 09ec6e28 09a2f2cc dui70+0x388c3
09a2f2a0 746495d9 09ec6e28 0a683428 7464994c dui70+0x3964f
09a2f2cc 7464979e 0a15dc88 0a683428 0000002c dui70+0x395d9
09a2f2e0 7464ab41 abcdef42 0a15dc88 00000001 dui70+0x3979e
09a2f308 74648e1a 09a2f394 0a15dc88 0a15dc88 dui70+0x3ab41
09a2f320 74649825 746485e8 00000001 7464896c dui70+0x38e1a
09a2f33c 74670a39 7464a6cd 00000001 7464896c dui70+0x39825
09a2f5a4 746d2fd9 037ddce0 0a15dc88 056dac8c dui70+0x60a39
09a2f5b8 746d3085 056dac8c 09a2f5d4 746d3062 duser+0x2fd9
09a2f5c4 746d3062 056dac8c 0000000c 09a2f62c duser+0x3085
09a2f5d4 746d3002 037ddce0 056dac8c 1c4c1a4a duser+0x3062
09a2f62c 746d974d 037ddce0 056dac8c 00000000 duser+0x3002
09a2f6a0 746d969f 037ddce0 056dac8c 00000000 duser+0x974d
09a2f6b4 746d3d4d 056dac60 05511230 0000004a duser+0x969f
09a2f6d4 746d30d3 0a115838 746d3c0d 00000001 duser+0x3d4d
09a2f6ec 746d3f34 0006032c ffff027b 00000000 duser+0x30d3
09a2f768 746d2a9e 00000200 00000000 004a0095 duser+0x3f34
09a2f78c 772ac4e7 00000000 00000200 00000000 duser+0x2a9e
09a2f7b8 772ac5e7 746d2a52 0006032c 00000200 user32!InternalCallWinProc+0x23
09a2f830 772a1b31 002baac4 746d2a52 0006032c user32!UserCallWinProcCheckWow+0x14b
09a2f860 772a1b57 746d2a52 0006032c 00000200 user32!CallWindowProcAorW+0x99
09a2f880 7409f443 746d2a52 0006032c 00000200 user32!CallWindowProcW+0x1b
09a2f89c 7409f5ee 0006032c 00000200 00000000 comctl32!CallOriginalWndProc+0x1a
09a2f900 7409f5a2 04fba1a8 0006032c 00000200 comctl32!CallNextSubclassProc+0x3d
09a2f924 670d5d6b 0006032c 00000200 00000000 comctl32!DefSubclassProc+0x46
09a2f998 670d5cf8 0006032c 00000200 00000000 EXPLORERFRAME!UIItemsView::_UIItemsViewSubclassProc+0x2a6
09a2f9b4 7409f5ee 0006032c 00000200 00000000 EXPLORERFRAME!UIItemsView::s_UIItemsViewSubclassProc+0x1c
09a2fa18 7409f5a2 04fba1a8 0006032c 00000200 comctl32!CallNextSubclassProc+0x3d
09a2fa3c 670d77df 0006032c 00000200 00000000 comctl32!DefSubclassProc+0x46
09a2fa5c 670d7787 0006032c 00000200 00000000 EXPLORERFRAME!CToolTipManager::_PropertyToolTipSubclassProc+0x12b
09a2fa78 7409f5ee 0006032c 00000200 00000000 EXPLORERFRAME!CToolTipManager::s_PropertyToolTipSubclassProc+0x1c
09a2fadc 7409f5a2 04fba1a8 0006032c 00000200 comctl32!CallNextSubclassProc+0x3d
09a2fb00 7409b64b 0006032c 00000200 00000000 comctl32!DefSubclassProc+0x46
09a2fb1c 7409f5ee 0006032c 00000200 00000000 comctl32!TTSubclassProc+0x59
09a2fb80 7409f490 04fba1a8 0006032c 00000200 comctl32!CallNextSubclassProc+0x3d
09a2fbe0 772ac4e7 0006032c 00000200 00000000 comctl32!MasterSubclassProc+0x54
09a2fc0c 772ac5e7 7409f44c 0006032c 00000200 user32!InternalCallWinProc+0x23
09a2fc84 772acc19 002baac4 7409f44c 0006032c user32!UserCallWinProcCheckWow+0x14b
09a2fce4 772acc70 7409f44c 00000000 09a2fd38 user32!DispatchMessageWorker+0x35e
09a2fcf4 670fc76b 09a2fd0c 0000000a 00000000 user32!DispatchMessageW+0xf
09a2fd38 67100cb3 00000000 00000000 09a2fd60 EXPLORERFRAME!CExplorerFrame::FrameMessagePump+0x4c3
09a2fd48 67100f5d 0556ef40 77298203 0a673750 EXPLORERFRAME!BrowserThreadProc+0x49
09a2fd60 67100f0a 0a4ec848 0a673750 09a2fd90 EXPLORERFRAME!BrowserNewThreadProc+0x43
09a2fd70 670d08f6 0a673750 01000000 80000000 EXPLORERFRAME!CExplorerTask::InternalResumeRT+0x11
09a2fd90 765a62fb 0a673764 7fffffff 09e4c838 EXPLORERFRAME!CRunnableTask::Run+0xce
09a2fdac 765a8b77 09a2fde8 00000000 00000000 shell32+0xa62fb
09a2fdf4 765a8cab 09a2fe84 772443c0 09e4c838 shell32+0xa8b77
09a2fdfc 772443c0 09e4c838 00000000 00000000 shell32+0xa8cab
09a2fe84 7719ee1c 0016efc0 09a2fed0 773c37eb shlwapi!WrapperThreadProc+0x1b5
09a2fe90 773c37eb 0016efc0 7ee3f6d7 00000000 kernel32+0x4ee1c
09a2fed0 773c37be 772442ed 0016efc0 00000000 ntdll+0x637eb
09a2fee8 00000000 772442ed 0016efc0 00000000 ntdll+0x637be


SYMBOL_STACK_INDEX:  6

SYMBOL_NAME:  acxtrnal+8cb3

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: AcXtrnal

IMAGE_NAME:  AcXtrnal.dll

STACK_COMMAND:  ~25s; .ecxr ; kb

BUCKET_ID:  WRONG_SYMBOLS

FAILURE_BUCKET_ID:  WRONG_SYMBOLS_c0000005_AcXtrnal.dll!Unknown

ANALYSIS_SOURCE:  UM

FAILURE_ID_HASH_STRING:  um:wrong_symbols_c0000005_acxtrnal.dll!unknown

FAILURE_ID_HASH:  {869de19c-1628-ee4c-ebb4-26157aec1f9c}

Followup: MachineOwner
---------
почему у меня не отображается ни какой информации об Firebird2Control? Возможно причина связано с ошибками Symbols?

-------
В жизни Вам ничего не обещано...


Отправлено: 14:33, 26-10-2014

 

Новый участник


Сообщения: 6
Благодарности: 0

Профиль | Отправить PM | Цитировать


Petya V4sechkin, Добрый день! http://dropmefiles.com/gdFMd. Проверка нарушений целостности не выявила

Отправлено: 11:58, 22-09-2017 | #21



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 6
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: zip lsass.exe_190728_102816.zip
(102.3 Kb, 2 просмотров)

Здравствуйте. Раз в несколько дней перезагружается Windows XP.
Помогите, пожалуйста, проанализировать дамп процесса lsass.exe

Отправлено: 09:51, 28-07-2019 | #22



Moderator


Сообщения: 53146
Благодарности: 15422

Профиль | Отправить PM | Цитировать


a12482392, убедитесь, что обновление KB4018466 установлено.

Отправлено: 10:01, 28-07-2019 | #23


Новый участник


Сообщения: 6
Благодарности: 0

Профиль | Отправить PM | Цитировать


Цитата Petya V4sechkin:
a12482392, убедитесь, что обновление KB4018466 установлено. »
К сожалению, на эту машину я не могу легко и просто поставить любое обновление, пусть даже и критическое. Если вы предполагаете вирусы, то вероятность этого события самая минимальная.
Вообще говоря, перед перезагрузкой возникает ошибка, как и в этой теме (возможно, лучше было бы в ней и написать).
Там человеку в дампе нашли проблемный процесс. Честно говоря, надеюсь на подобную помощь.

Отправлено: 10:16, 28-07-2019 | #24


Новый участник


Сообщения: 4
Благодарности: 0

Профиль | Отправить PM | Цитировать


Здравствуйте.
Помогите пожалуйста выяснить почему вывалевается mstsc.exe клиент RDP (клиент удаленного рабочего стола).
В логах клиента появляется сообщение
Путь к аварийному приложению: C:\WINDOWS\system32\mstsc.exe
Название аварийного модуля: ntdll.dll, версия: 10.0.19041.610
Код исключения: 0xc0000374
Путь к аварийному модулю: C:\WINDOWS\SYSTEM32\ntdll.dll

Я снял дамп программой procdump
https://dropmefiles.com/wIJwZ

Спасибо

Отправлено: 11:18, 29-12-2020 | #25


Аватара для NickM

Ветеран


Contributor


Сообщения: 4223
Благодарности: 986

Профиль | Отправить PM | Цитировать


Беглый анализ показал:

Код: Выделить весь код
Дамп: mstsc.exe_201125_110929.dmp
Код: не обнаружен
Процесс: mstsc.exe, вероятно вызвано: hpcui101.dll
FAILURE_BUCKET_ID: HEAP_CORRUPTION_c0000374_hpcui101.dll!Unknown
Файл драйвера принтера HP, можно попробовать обновить/ удалить/ переустановить драйвер.

Код: Выделить весь код
  Image path: C:\Windows\System32\spool\drivers\x64\3\hpcui101.dll
    Image name: hpcui101.dll
    Timestamp:        Fri Sep 24 01:11:20 2010 (4C9BB468)
    CheckSum:         0032852A
    ImageSize:        00359000
    File version:     0.3.1544.8561
    Product version:  5.1.0.8561
    File flags:       0 (Mask 3F)
    File OS:          40004 NT Win32
    File type:        3.C Driver
Это сообщение посчитали полезным следующие участники:

Отправлено: 12:24, 29-12-2020 | #26



Компьютерный форум OSzone.net » Компьютеры + Интернет » Хочу все знать » Анализ дампов снятых с помощью ProcDump

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Windbg не берет символы для дампов __sa__nya Хочу все знать 2 11-11-2016 14:58
PowerShell - [решено] Сбор и анализ сведений о системе с помощью PowerShell Vadikan Скриптовые языки администрирования Windows 0 25-03-2013 09:30
[решено] Какая разница между "Сигнатурный анализ" и "Эвристический анализ"? verdix Хочу все знать 3 10-11-2008 23:50
[решено] просмотр дампов памяти __sa__nya Программное обеспечение Windows 1 29-05-2008 23:10




 
Переход