Windows crash debug环境构建

原创

大大大黑白格子

修改于 2019-12-30 18:36:40

9020

修改于 2019-12-30 18:36:40

文章被收录于专栏：云服务笔记云服务笔记

Windows 调试器（WinDbg）可用于调试内核模式和用户模式代码，分析故障转储并在代码执行时检查 CPU 寄存器，适用蓝屏、异常重启、关机后，分析crash原因

Windbg官网链接：

https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/debugger-download-tools

蓝屏Bug检查代码参考：

https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/bug-check-code-reference2

安装windbg：

1. 快捷安装方法：

在腾讯软件中心搜索 windbg 下载安装包 https://pc.qq.com/search.html#!keyword=windbg

2. 通过 winsdksetup 安装，在线安装windbg模块

分析dump文件

1. 安装完成后，打开windbg(X64)，点击 Open Crash Dump 选择需要分析的dump文件

2. 点击 !analyze -v 分析dump文件

3. 根据关键字判断故障原因

DRIVER_IRQL_NOT_LESS_OR_EQUAL 代表一般是软件驱动导致的故障
根据 MODULE_NAME 和 IMAGE_NAME 找到罪魁祸首是 termdd.sys 驱动文件
BUCKET_ID 字段显示当前故障所属的特定故障类别

BUCKET_ID: X64_0xD1_termdd!IcaChannelInputInternal+1f2

根据关键字可以进行匹配，符合Windows 远程代码执行（RCE）漏洞CVE-2019-0708特征

参考文档：https://www.anquanke.com/post/id/185508

For analysis of this file, run !analyze -v
kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high.  This is usually
caused by drivers using improper addresses.
If kernel debugger is available get stack backtrace.
Arguments:
Arg1: 0000000000000000, memory referenced
Arg2: 0000000000000002, IRQL
Arg3: 0000000000000000, value 0 = read operation, 1 = write operation
Arg4: fffff88002527006, address which referenced memory

Debugging Details:
------------------