windbg检测句柄泄露(定位到具体代码)


1.构造一个测试用例

#include "stdafx.h"
#include 

void NormalFunc()
{
	HANDLE hEvent;
	hEvent = CreateEvent(NULL,TRUE,TRUE,NULL);
	CloseHandle(hEvent);
}

void HandleLeakFunc()
{
	HANDLE hEvent;
	hEvent = CreateEvent(NULL,TRUE,TRUE,NULL);
	//CloseHandle(hEvent);		//有句柄泄露
}

int main()
{
	while(1)
	{
		NormalFunc();
		HandleLeakFunc();
		Sleep(200);
	}

	return 0;
}

2.windbg调试

(1)运行windbg,首先确定符号表地址填写OK了。

(2)我们选择"Open Executable"再选择上述测试用例生成的exe,可能在实际工程中经常是"Attach to a process"。再看任务管理器会发现这个进程的句柄数飙升:



(3)windbg用ctrl+break命令中断进程运行,用!htrace -enable命令开启句柄检测;htrace命令提供了进行句柄检测相关的命令,可查看windbg帮助,如图:

windbg检测句柄泄露(定位到具体代码)_第1张图片


(4)再使用!htrace -snapshot命令,获得此时进程句柄的镜像。让程序继续运行。

(5)中断进程运行,使用!htrace -diff命令获得当前句柄状态与第4步 snapshot镜像句柄的差异;

windbg检测句柄泄露(定位到具体代码)_第2张图片

(6)输出很多打开的句柄,需要具体情况具体分析,最好对照代码来看。这里是测试,所以比较简单,一眼就看出来了。

(7)使用lsa 传递指定位置对应的代码,lsa Lab2010_2!HandleLeakFunc+0x00000012

windbg检测句柄泄露(定位到具体代码)_第3张图片



总结一下,就是3个命令:

!htrace -enable

!htrace -snapshot

//do something

!htrace -diff


你可能感兴趣的:(Windows)