windbg加载mex.dll分析.dmp文件

1、参考https://cloud.tencent.com/developer/article/1920951 安装windbg

2、下载MEX Debugging Extension for WinDbg

https://www.microsoft.com/en-us/download/details.aspx?id=53304

https://download.microsoft.com/download/0/C/4/0C4C45E3-BF02-49BF-8D68-6FA611F442E6/Mex.exe

用7zip解压Mex.exe得到Mex.zip

继续解压Mex.zip得到mex.dll

比如路径是e:\Mex\mex.dll

在windbg里加载dmp文件后，在输命令的地方输入.load e:\Mex\mex.dll回车

显示Mex External Loaded!

继续输入!mex.tl -z会显示僵尸进程列表，输入!mex.tl -z -r则会进行统计（僵尸进程很多的情况下）

!mex.tl -z

!mex.tl -z -r

https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/bug-check-0xc2--bad-pool-caller

BAD_POOL_CALLER

\SystemRoot\system32\DRIVERS\sysdiag_win10.sys

火绒sysdiag_win10.sys导致内存访问异常而宕机

The BAD_POOL_CALLER bug check has a value of 0x000000C2. This indicates that the current thread is making a bad pool request.

!mex.help

查询子命令

!mex.tl -z -r

进程里就HipsTray.exe跟\SystemRoot\system32\DRIVERS\sysdiag_win10.sys 匹配

!mex.trep

Displays a thread report

!mex.p

Displays process details

!mex.lt

Displays a list of threads

由于业务划分，本账号2109561508当前只处理火绒企业版产品问题。个人版相关问题可联系QQ：3158498132。感谢您对火绒产品的支持。

lmvm sysdiag_win10

kv查看调用模块

跟火绒技术确认是半年前的老版本，新版已经优化相关逻辑，建议使用新版

再举另一个例子

从.load e:\Mex\mex.dll→ !mex.tl -z -r→ !mex.p→ !mex.lt的情况看，大概率是业务程序的问题

metricbeat.exe→ EvtServer.exe→ GameServer.exe