如何在 Windbg 中找到应用程序崩溃的根本原因？

Question

我有一个应用程序在用户执行特定操作时崩溃。例如，当我单击应用程序中的特定按钮时，它会崩溃。

所以，我将 windbg 附加到此应用程序，然后执行相同的操作，这会触发崩溃。

当崩溃发生时，调试器显示以下输出：

0:001> g
ModLoad: 04530000 04565000   C:\Windows\SysWOW64\ws2_32.DLL
ModLoad: 72430000 7246c000   C:\Windows\SysWOW64\mswsock.dll
ModLoad: 723e0000 723e5000   C:\Windows\SysWOW64\wshtcpip.dll
(10b0.1e9c): C++ EH exception - code e06d7363 (first chance)
(10b0.1c94): C++ EH exception - code e06d7363 (first chance)
(10b0.1c94): C++ EH exception - code e06d7363 (!!! second chance !!!)
eax=00000000 ebx=040ee7e0 ecx=00000003 edx=00000000 esi=005c7630 edi=00400000
eip=770715de esp=040ee7cc ebp=040eece4 iopl=0         nv up ei pl zr na pe nc
cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000246
ntdll!ZwRaiseException+0x12:
770715de 83c404          add     esp,4

我想分析上面的输出来找出这个异常的根本原因。也许，我可以把它报告给这个应用程序的开发者？但就我的理解而言，我想掌握这个输出。

当我单击该按钮时，我可以看到 exe 加载了 3 个 dll、ws2_32.dll、mswsock.dll 和 wshtcpip.dll，这可能是因为它使用了从这些加载的模块中导出的函数。

异常代码有 2 个第一次机会异常：e06d7363，这是根据 Visual C++ 编译器的异常代码。

我不确定为什么会出现第二次机会异常以及那里到底发生了什么？

下面是调试器中此时调用堆栈的视图，

0:001> k
ChildEBP RetAddr  
03a4e7cc 7706014d ntdll!ZwRaiseException+0x12
03a4e7cc 00000000 ntdll!KiUserExceptionDispatcher+0x29

我在调试器中再次按下 g 以允许应用程序处理异常，这是调试器中的输出，

0:001> g
WARNING: Continuing a non-continuable exception
(114c.390): Unknown exception - code 00000000 (first chance)
(114c.390): Unknown exception - code 00000000 (!!! second chance !!!)
eax=00000000 ebx=03a4e318 ecx=83ee0000 edx=026ce8b8 esi=007073e0 edi=00400000
eip=770715de esp=03a4e304 ebp=03a4ece4 iopl=0         nv up ei pl zr na pe nc
cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000246
ntdll!ZwRaiseException+0x12:
770715de 83c404          add     esp,4

那么，看起来像是应用程序未处理的异常？

---

这里是详细信息。我使用了 kv 命令来显示堆栈上的参数。希望这些信息可以帮助您解决问题。

0:001> g
ModLoad: 040a0000 040d5000   C:\Windows\SysWOW64\ws2_32.DLL
ModLoad: 72430000 7246c000   C:\Windows\SysWOW64\mswsock.dll
ModLoad: 723e0000 723e5000   C:\Windows\SysWOW64\wshtcpip.dll
(193c.1810): C++ EH exception - code e06d7363 (first chance)
(193c.1810): C++ EH exception - code e06d7363 (!!! second chance !!!)
eax=00000000 ebx=02c1e7e0 ecx=00000003 edx=00000000 esi=007073e0 edi=00400000
eip=770715de esp=02c1e7cc ebp=02c1ece4 iopl=0         nv up ei pl zr na pe nc
cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000246
ntdll!ZwRaiseException+0x12:
770715de 83c404          add     esp,4
0:001> kv
ChildEBP RetAddr  Args to Child              
02c1e7cc 7706014d 02c1e7e0 02c1e830 00000000 ntdll!ZwRaiseException+0x12 (FPO: [3,0,0])
02c1e7cc 00000000 02c1e7e0 02c1e830 00000000 ntdll!KiUserExceptionDispatcher+0x29     (FPO: [2,0,0]) (CONTEXT @ 0000000c)
0:001> g
WARNING: Continuing a non-continuable exception
(193c.1810): Unknown exception - code 00000000 (first chance)
(193c.1810): Unknown exception - code 00000000 (!!! second chance !!!)
eax=00000000 ebx=02c1e318 ecx=e04b0000 edx=0096e8b8 esi=007073e0 edi=00400000
eip=770715de esp=02c1e304 ebp=02c1ece4 iopl=0         nv up ei pl zr na pe nc
cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000246
ntdll!ZwRaiseException+0x12:
770715de 83c404          add     esp,4

Answer 1

几个cmets

• 线程 (10b0.1e9c) 遇到异常并正在处理该异常
• 线程 (10b0.1c94) 未处理异常。为了分析这一点，我们需要 查看堆栈跟踪。但是堆栈跟踪是不完整的，应该有 使用 kv 命令创建以显示堆栈上的参数。
• 第二个输出来自不同的进程：114c。所以它不一致。

为了分析这一点，我们需要引发异常时的 kv 输出，然后转储异常记录。请提供信息，然后我可以展示如何转储异常记录。

根据发布的结果运行：“.exr 02c1e830”