DUMP文件分析1:DUMP文件简介

1.1 DUMP文件类型

Windows下Dump文件分为两大类,内核模式Dump和用户模式Dump。内核模式Dump是操作系统创建的崩溃转储,最经典的就是系统蓝屏,这时候会自动创建内核模式的Dump。用户模式Dump进一步可以分为完整Dump(Full Dump)和迷你Dump(Minidump)。完整Dump包含了某个进程完整的地址空间数据,以及许多用于调试的信息,而Minidump则有许多类型,根据需要可以包含不同的信息,有的可能只包含某个线程和部分模块的信息。

1.2 DUMP文件的创建

本节讲述几种常用的DUMP文件创建方法。这里只讲述用户模式Dump文件创建,因为除部分专业开发人士(驱动开发)外,一般的开发人员只涉及应用程序的调试。
方法(1),通过调试工具创建。调试工具如Visual Studio,Windbg以及微软提供的ADplus都可以创建DUMP,在Windbg中通过.dump命令来生成。
方法(2),通过任务管理器创建。打开任务管理器,找到目标进程,右键——“创建转储文件”,即可保存DUMP。这种方式创建的DUMP文件为完整的Minidump,缺乏灵活性。不过,开发者的软件崩溃之后,又没有提供自动措施时,用户可以通过这种方法手动保存DUMP文件,然后提供给开发者分析,操作简单。不过,这种方法所产生的DUMP文件与其它几种方法产生的有差异,读者可以自己用windbg进行对比,这一点我在后面会详细讲到。
方法(3),通过编程自动创建。这是软件开发者使用的方式,例如,WPS中可以看到的对话框:

就是通过编程实现自动内存转储,然后上传到服务器,供开发者研究。
在编程过程中,可以预期的异常都通过结构化异常(try/catch)进行了处理。此时,如果发生了未预期的异常,这些异常处理代码无法处理,则转由Windows提供的默认异常处理器来进行处理,这个特殊的异常处理函数为UnhandledExceptionFilter。该函数会显示一个消息框,提示发生了未处理的异常,同时,让用户选择结束或调试该进程。也就是如下界面:

因此,为了更友好的处理未预期的异常(主要是创建内存转储),可以覆盖默认的异常处理操作。这是通过函数SetUnhandledExceptionFilter完成的,函数原型如下:

LPTOP_LEVEL_EXCEPTION_FILTER WINAPI SetUnhandledExceptionFilter(
        _In_ LPTOP_LEVEL_EXCEPTION_FILTER lpTopLevelExceptionFilter

lpTopLevelExceptionFilter即异常处理函数指针,如果设置为NULL,则默认使用UnhandledExceptionFilter。因此,我们对照UnhandledExceptionFilter的函数原型实现自己的异常处理函数:

LONG WINAPI MyUnhandledExceptionFilter( struct _EXCEPTION_POINTERS *ExceptionInfo )
{
     AfxMessageBox("已成功创建崩溃转储!");

     return EXCEPTION_EXECUTE_HANDLER;
}

然后在程序中设置该函数:
SetUnhandledExceptionFilter(MyUnhandledExceptionFilter);
此时,再运行示例,如下:

成功的接手了异常处理。接下来,我们需要创建内存转储。这通过函数MiniDumpWriteDump来实现。加上内存转储功能之后的异常处理代码如下:

LONG WINAPI MyUnhandledExceptionFilter( struct _EXCEPTION_POINTERS *ExceptionInfo )
{
    HANDLE hFile = CreateFile("mini.dmp", GENERIC_READ|GENERIC_WRITE,
        FILE_SHARE_WRITE, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);

    if( hFile == INVALID_HANDLE_VALUE )
        return EXCEPTION_EXECUTE_HANDLER;

    MINIDUMP_EXCEPTION_INFORMATION mdei;
    mdei.ThreadId = GetCurrentThreadId();
    mdei.ExceptionPointers = ExceptionInfo;
    mdei.ClientPointers = NULL;
    MINIDUMP_CALLBACK_INFORMATION mci;  
    mci.CallbackRoutine     = NULL;  
    mci.CallbackParam       = 0;  

    MiniDumpWriteDump(GetCurrentProcess(), GetCurrentProcessId(), hFile, MiniDumpNormal, &mdei, NULL, &mci);  

    CloseHandle(hFile);

    AfxMessageBox("已成功创建崩溃转储!");

     return EXCEPTION_EXECUTE_HANDLER;
}

此时,运行程序,即可得到内存转储文件mini.dmp。需要注意的是,栈溢出类型的异常使用这种方法一般是捕捉不到的。为什么?我在栈溢出笔记中详细写过SEH,栈溢出会破坏SEH(结构化异常处理)框架,导致SEH失效。读者可以自己尝试。

1.3 小结

本节主要对DUMP文件进行了简单的介绍,并展示了创建DUMP文件的几种途径,其中,通过编程实现的应该是开发者应该掌握的方法。这样不仅仅给用户提供了比较友好的崩溃提示,还自动保存了DUMP文件,这对于那些不易重现的Bug将大大提高调试效率。

(本节的程序是一个简单的MFC程序,具体见第2节)

你可能感兴趣的:(逆向工程,Windows内核,Windows编程)