WinDbgを使用してVC ++アプリケーションのクラッシュダンプを分析する方法

（以下の「ダンプ」セクションを参照）

WinDbgの使用に関する基本的なチュートリアルとデモンストレーション

• WinDbg（Windowsデバッグツール）のインストールと構成
• Mike Taulty-WinDBGの言葉
• WinDbgチュートリアル
• Windowsデバッガー：パート1：WinDbgチュートリアル

WinDBGを「開始」/接続するさまざまな方法

• Windbgでデバッグを開始（.msiのデバッグ方法を含む）
• Windowsサービスのデバッグ方法
• Windowsデバッグのセットアップ

ワークスペース

ワークスペースの仕組みを理解する...

• デバッガーを起動：windbgデバッグ用のカスタムワークスペースを作成
• WinDbgでのワークスペースの動作の解明

Cmdtree

「cmdtree」を使用すると、デバッガコマンドの「メニュー」を定義して、簡潔なコマンド名を覚えなくても頻繁に使用するコマンドに簡単にアクセスできます。

すべてのコマンド定義を同じcmdtreeテキストファイルに入れる必要はありません。..それらを別々に保持し、必要に応じて複数の定義をロードできます（その後、独自のウィンドウを取得します）。

• Amazing helper .cmdtree
• WinDBGの起動時にcmdtreeウィンドウをドックする方法
• 。cmdtreeを使用してwindbgで.netダンプをデバッグしやすくする
• Microshaoft Cmdtree
• 特殊コマンド-.cmdtreeを使用してカスタマイズされたユーザーインターフェイスからコマンドを実行する

起動スクリプト

コマンドラインで-cオプションを使用すると、WinDBGの起動時にWinDBGスクリプトを自動的に実行できます。

DML（デバッガマークアップ言語）モードを有効にし、特定の拡張機能をロードし、.NET例外ブレークポイントを設定し、カーネルフラグを設定する機会を与えます（たとえば、カーネルデバッグ時にDbgPrintマスクを変更してトレース情報を表示する必要がある場合があります... ed nt ！Kd_DEFAULT_Mask 0xffffffff）、cmdtreesのロードなど。

• http://yeilho.blogspot.co.uk/2012/10/windbg-init-script.html
• WinDBGの制御を取得

サンプルスクリプト：

$$ Include a directory to search for extensions
$$ (point to a source controlled or UNC common directory so that all developers get access)
.extpath+"c:\svn\DevTools\WinDBG\Extensions"
$$ When debugging a driver written with the Windows Driver Framework/KMDF
$$ load this extension that comes from the WinDDK.
!load C:\WinDDK\7600.16385.1\bin\x86\wdfkd.dll
!wdftmffile C:\WinDDK\7600.16385.1\tools\tracing\i386\wdf01009.tmf
$$ load some extensions
.load msec.dll
.load byakugan.dll
.load odbgext.dll
.load sosex
.load psscor4
$$ Make commands that support DML (Debugger Markup Language) use it
.prefer_dml 1
.dml_start
$$ Show NTSTATUS codes in hex by default
.enable_long_status 1
$$ Set default extension
.setdll psscor4
$$ Show all loaded extensions
.chain /D
$$ Load some command trees
.cmdtree c:\svn\DevTools\WinDBG\cmdtree\cmdtree1.txt
.cmdtree c:\svn\DevTools\WinDBG\cmdtree\cmdtree2.txt
$$ Show some help for the extensions
!wdfkd.help
!psscor4.help
.help /D

コマンドのチートシート

• クラッシュダンプ分析ポスターv3.
• SOSチートシート（.NET 2.0/3.0/3.5）
• WinDbgチートシート（Art of Dev）
• WinDbgカーネルモード拡張コマンドフラッシュカード

拡張機能

「拡張」により、WinDBG内でサポートされるコマンド/機能の範囲を拡張できます。

• bigLasagne（bldbgexts＆blwdbgue）
  -アセンブリ構文の強調表示とドライバーマッピングツール）
  
  
• BigLib番号リーダー
  
  
• 白丸
  -アンチデバッグ手法、Vistaヒープの視覚化/エミュレーション、メモリ内のバッファーの追跡を検出
  
  
• Call Flow Analyzer + KnExt
  
  
• CmdHist
  -デバッグセッションで実行したすべてのコマンドを記録して、簡単に再実行できるようにします
  
  
• Core Analyzer
  -ヒープ構造の破損のチェック、スレッドで共有されているオブジェクトの検出など
  
  
• dom WinDBG Extension
  -（！stlpvector、！idt、！unhex、！grepなど）
  
  
• dumppe
  -PEファイルをメモリからダンプします
  
  
• 画像ビューアー拡張機能（ウラジミール・ブキチェビッチ）
  
  
• Intel UEFI開発キットデバッガーツール
  -UEFIファームウェアのデバッグ
  
  
• リークトラップ
  -リーク検出を支援するGDI/USERハンドルトラッカー
  
  
• Mona （PyKDが必要）
  -高度な分析/エクスプロイトの発見を支援する一連のコマンド
  
  
• [〜＃〜] msec [〜＃〜]
  -自動クラッシュ分析とセキュリティリスク評価を提供します
  
  
• narly
  -SafeSEH、ASLR、DEP、/ GS（バッファセキュリティチェック）を使用している場合など、ロードされたモジュールに関する情報を一覧表示します
  
  
• netext （ロドニー・ヴィアナ）
  -（！wservice-WCFサービスオブジェクトのリスト、！wconfig-.config行の表示、！whttp-HttpContextのリスト、！wselect /！wfrom-配列でのクエリのようなSQLのサポート）
  
  
• ODbgExt
  -デバッガー拡張機能を開く
  
  
• OllyMigrate
  -再起動せずにデバッグ対象を別のデバッガーに渡す
  
  
• Psscor2
  -.NET 2.0マネージコードのデバッグを支援するためのSOSのスーパーセット
  
  
• Psscor4
  -.NET 4マネージコードのデバッグを支援するためのSOSのスーパーセット
  
  
• PyDBGExt
  -pythonスクリプトの使用を許可します
  
  
• PyKD
  -Pythonを使用してWinDBGのスクリプトを作成できます
  
  
• sdbgext（Nynaeve）
  -（！valloc、！vallocrwx、！heapalloc、！heapfree、！remotecall、！remotecall64、！loaddll、！unloaddll、！close、！killthread、！adjpriv、！ret）
  
  
• SieExtPub
  -legacy extension ... ext.dllのWinDBGに組み込まれました
  
  
• [〜＃〜] sosex [〜＃〜]
  -マネージドNET 2.0または4.0コードのデバッグを支援するためのその他のコマンド
  
  
• SPT/SDBGExt2（Steve Niemitz）
  -（！DumpHttpContext、！DumpASPNetRequests、！DumpSqlConnectionPools、！DumpThreadPoolなど）
  
  
• niqstack
  -デバッガー拡張機能のソース（それにアクセスするにはOSRオンラインアカウントが必要です）
  
  
• viscope
  -コードカバレッジグラフ
  
  
• Wait Chain Traversal/wct.dll（Codeplex Debugging Extensions
  -アプリケーションスレッドの待機チェーンを表示します（ deadlocks の検索に役立ちます）
  
  
• windbgshark
  -Wiresharkプロトコルアナライザーを統合して、VMトラフィックの操作と分析を有効にします
  
  
• WinDBG Extensions（Sasha Goldstein）
  -トレーサー、WCT、heap_stat、bkb、traverse_map、traverse_vector）
  
  
• WinDBG Highlight （ColorWindbg.dll）[Google翻訳を使用してリンクを翻訳]
  -asm構文の強調表示

独自の拡張機能を作成する

• 取引ツール：パートIV-WinDbg拡張DLLの開発
• デバッガ拡張機能の基本：短期的な努力、長期的な利益

WinDBGを使用してマネージコードをデバッグする

• 例外を破る
• 特定のCLR例外の解除
• Windbg内の.Netフレームワークソースコードのデバッグ
• Windbgを使用したマネージコードの例外のデバッグ
• WinDbgとSOS.dllを使用したマネージコードのデバッグ
• WinDbgを使用したデバッグ。アプリケーションのデッドロック。
• WINDBGによる管理されたデバッグ。はじめにと索引
• 起動時にクラッシュするアプリケーションのWindbgでの.NETブレークポイントの設定

スクリプト（C＃、PS、Python、WinDBG）

• KDAR（Kernel Debugger Anti Rootkit）
  -WinDBGスクリプトのコレクション
  
  
• Sysnative BSOD Scripts/Processing Apps
  
  
• WinDBGスクリプトライブラリ
  -WinDBGスクリプトのコレクション
  
  
• MDbgおよびDbgHostLibのスクリプティング
  -マネージコードでマネージデバッガー（MDBG）およびDbgEngをスクリプト化できます。
  
  
• ExtCS
  -C＃スクリプトを介してWinDBGを制御できます
  
  
• PowerDBG
  -Powershellスクリプトを介してWinDBGを制御できます
  
  
• Pykd
  -PythonスクリプトによるWinDBGの制御を許可します
  
  
• windbglib
  -python WinDBGのpykd拡張モジュールのラッパーライブラリで、immlibを模倣しています（したがって、元々Immunity Debugger用に作成されたスクリプトを使用できます）

Dbgeng.dll API/WinDBG Toolsを使用するデバッガー/ツール

• 単純なDbgengベースのユーザーモードデバッガー
• Acorns.Debugging NET Deadlock Detector （cdb.exeを使用）（ download ）
• CLR Managed Debugger （MDBG）
• DbgHost-デバッグエンジンの制御方法
• Debug Diagnostic Tool v1.2 （DebugDiag）、 Ver 2. + DebugDiag Blog
• Dynamorio -WinDBGと対話できる動的バイナリインストルメンテーションツール
• [〜＃〜] ida [〜＃〜] + WinDBGプラグイン
• GUI WinDBG
• LeakShell （管理されたリークを見つける）
• mdbglib-マネージデバッグAPI
• PyDbgEng
  -python Windowsデバッグエンジンのラッパー
• [〜＃〜] sosnet [〜＃〜] -SOS拡張機能の使用に集中し、C＃スクリプトをサポートするWinDBGフォーク/代替シェル
• SOSNET O2 fork -C＃REPL（read-eval-print-loop）スクリプトエンジンにRosylnを使用するSOSNETのフォーク
• VDB/Vivisect （kenshoto）-WinDBGに階層化されたクロスプラットフォームデバッグAPIを提供します
• WinAppDbg + Heappie-WinAppDbg
• 基本的なWindowsデバッガーの作成

事後分析用のクラッシュダンプファイルを生成するさまざまな方法

• DebugDiag 2.
• ダンプチートシート
  -Hyper-V、VMWare ESX、およびXenServer VMからダンプを生成する方法が含まれます。
• Citrix SystemDump
• キーボードとキーの組み合わせ
• MiniDumpWriteDump
  -（アプリケーション内のWIN32 API呼び出し経由）。 （C＃アプリケーションの例）
• NMIスイッチ 、または （ここ）
  （NMIを生成するハードウェアベースの機能...通常、ハイエンドサーバーにあります [〜＃〜] hp [〜＃〜] または、アドインを入手できますPCIカード 「ユニバーサルPCIダンプスイッチ」 ）。 Microsoft NMIテクノロジー バックグラウンド 。
• Procdump
• システム|システムの詳細設定|起動と回復
  （ レジストリ情報 ）、
  （ 完全（完全）メモリダンプの設定方法 ）、
  （ 完全なメモリダンプを有効にする方法 ）、
  （ PCに多くのメモリがある場合にWindows 7で完全メモリダンプを有効にする方法...通常2GBを超えるメモリがある場合は使用できません ）
• タスクマネージャ "ダンプファイルの作成"
• serDump 、 instructions （非常に古いツール）
• serModeProcessDumper 、 命令
• Visual Studio "名前を付けてダンプを保存…"
• WER（Windowsエラー報告....ローカルダンプ）
• WinDBG

ダンプ分析ツール

• BlueScreenView -BSOD後にWindowsによって保存されたミニダンプ.dmpファイルを見つけ、クラッシュの原因に関する情報を抽出します
• Debug.Analyzer （ダンプファイルを分析でき、プラグインは.NETで記述できます）
• SAD-Simple After Dump （事後分析）
• 揮発性 -ダンプファイルに記録された「メモリ」を分析するためのフレームワーク（ cheat sheet ）

ダンプ関連ツール

• Citrix dumpcheck-ダンプファイルの一貫性を確認します（破棄されたように見えます link + link ）
• dumpchk （デバッグツールの一部）-ダンプファイルの一貫性をチェックします
• MoonSols Windows Memory Toolkit （以前の windd ）-さまざまな生メモリダンプファイルをWinDBG互換のdmpファイルに変換します
• vm2dmp -Microsoft Hyper-V VM State to Memory Dump Converter
• vmss2core -VMWareスナップショットファイルをコアダンプファイルに変換します（ download ）、（ instructions ）

カーネルデバッグ仮想マシン

• [〜＃〜] vmkd [〜＃〜] -仮想マシンKD拡張
• VirtualKD -（VMWare/VirtualBoxでホストされているOSのカーネルデバッガーサポート）

動画

• 。NETクラッキング101＃2-WinDbgの基本
• 実稼働環境（Channel9）の.NETデバッグ
• dotnetConf-WinDbgとSOSを使用した高度なデバッグ
• David Truxall "WinDBGによるデバッグ"
• Mike Taulty Debugging Memory Leaks
• oredev 2009セッション：WinDbgを使用した.NETアプリケーションのデバッグ
• Pluralsight Advanced Windows Debugging
  （Pluralsightの他のさまざまなもの）
• Tess Ferrandez WinDBG（Channel9）

ブログ

一部のブログ（ネイティブコードとマネージコードのデバッグの混合）。

• 高度な.NETデバッグ
• すべての基地は私たちのものです （サーシャゴールドシュテイン）
• Analyze-v
• ASP.NETデバッグ
• Cyber​​iafreak （スレッドおよび高度なウィンドウのプログラムとデバッグ）
• Debug Analyzer.NET
• デバッグ以降
• Debugging Experts Magazine Online
• Debugging Toolbox （Windbgスクリプト、デバッグとトラブルシューティングのツール、およびソフトウェアの問題を切り分けるためのテクニック。）
• 私の世界を解読
• greggmのWebLog
• Junfeng ZhangのWindowsプログラミングノート
• クリストファーのちょっとした話
• Mark Russinovichのブログ
• マイクストール.NETデバッグブログ
• Naveenのブログ
• 決して疑わないデバッガー（カルロ）
• 暗いコーナーからのメモ
• Ntdebugging Blog （Microsoft Global Escalation Servicesチーム）
• Nynaeve。 Windowsのデバッグとリバースエンジニアリングの冒険
• フィールドのPFE開発者メモ
• Visual Studio Debugger Team
• Volker von EinemによるWinDbg

高度な記事とチュートリアルリソース

• WinDbgの高度なデバッグ手法
• MS.NetおよびWindows用アプリケーションのデバッグ（PowerPointスライド）
• WinDbgを使用したSTLコンテナのデバッグ
• デバッグチュートリアル1-7（CodeProject-Toby Opferman）
• Debugging.tv
• 開発者WinDBGタグ付き記事
• Dr Fuのセキュリティブログ-マルウェア分析チュートリアル-リバースエンジニアリングアプローチ
• エクスプロイトライティングチュートリアルパート5：デバッガーモジュールとプラグインが基本的なエクスプロイト開発を高速化する方法
• ハンティングルートキット
• Dell Windows Debugger Utility（DWDU）を使用したリモートMicrosoft Windows Server OSカーネルデバッグ （ Dell（TM）Windows（R）Debugger Utility 1.1 README ）

代替デバッガー

• Bokken -（ Inguma ）（レーダーのGUI）
• BugDbg
• Debug ++ （まだリリースされていない）
• デバッグ
• 変色したリング0デバッガー （ ダウンロード ）
• edb （Linux）
• [〜＃〜] fdbg [〜＃〜]
• GoBug
• Hades（反デバッガー検出戦略を備えたリング3デバッガー）
• Hopper （Linux、OSXおよびWindows）（Windowsデバッグは現在実装されていません）
• Hyperdbg
• IDAデバッガー
• ImmunityDebugger
• Nanomite
• Obsidian（非侵入型デバッガー）
• OllyDBG
• PEBrowse
• RaceVB6 （VB6 P-Codeデバッガー）
• radare
• radare2ui （レーダーのGUI）
• ラスタリング0デバッガ （RR0D）
• Syser Kernel Debugger
• TRW 20 （W9x頃の非常に古いデバッガー）+ dions plugin archive
• VisualDuxデバッガー
• Wintruder （拡張可能なデバッガー）
• WKTVDebugger （Visual Basic P-Codeのデバッガー）（ download ）
• x64_dbg
• ゼータデバッガ

その他のリンク

• 共同RCEツールライブラリ
  -デバッガーとシステムレベルのツールの膨大なコレクション
• cr4zyserb
  -プラグインおよびその他のデバッグツールの膨大なコレクション
• Windowsデバッガー参照の作成方法（Devon Straw）
  -独自のデバッガーを作成したい場合に必要な詳細情報を提供する多数のリンクのコレクション。 PDBファイル形式、.DMPファイル形式、PEファイル構造、スタックトレースの記録方法など。
• Tuts4Yo
  -アンパッカー、IDA、OlyDBG、Immunity Debuggerプラグインなど。

これは本当に幅広い質問です。

1. 最初のステップは、ダンプファイルをWinDbgインスタンスにロードすることです。
2. 次に、シンボルが設定されていることを確認する必要があります。
3. 最後に、コマンド!analyze -vを実行して、基本的な分析を実行できます。ダンプファイルを価値のあるものにするために、コードで使用可能なシンボル情報が必要です。

Webサイトメモリダンプ、ソフトウェアトレース、デバッグ、マルウェア、Victimware、およびIntelligence Analysis Portalは非常に有益です。また、Mario HewardtとDaniel Pravatの本Advanced Windows Debuggingを本当に楽しんでいました。

Tess Ferrandezには、Windbgを始めるための 基本的なチュートリアルとラボの素晴らしいセット があります。強くお勧めします。