2011-9-27

　　烛秋

　　昨天、今天调dump，对windbg相当的不熟悉，但也慢慢的知道了一些常用的命令，几周前听说到有gflags这样个工具，今天正好测试下。

　　gflags.exe是<Debugging Tools for Windows>中的一个小工具。

　　安装下载链接：http://msdn.microsoft.com/en-us/windows/hardware/gg463016

　　安装好之后，把gflags所在文件夹（这里边还有很多好东西）设置到环境变量的path中，方便命令行使用。（我的电脑-->右键-->属性-->高级-->环境变量-->系统变量-->path）

　　在命令行cmd里输入:cdb -iae 。

　　设置cdb为默认JIT（just in time） debugger，这样在命令行执行遇到崩溃的时候就会停下来。

　　（本文最后的学习资料相当好）

测试程序：///int main(){char *p = new char[10];for(int i = 0; i != 11; ++i)    p[i] = i;return 0;}///

　　 这是一个非常简单的越界程序，当i = 10时，访问越界了。但是如果不采用测试工具，这里是不会发生崩溃的。一般情况下，程序获取的空间是16字节对齐的，所以p[10]访问到的是对齐之后增加的空间，不会导致越界崩溃。但这是隐患，为了使隐患尽早被发现，使用工具是很好的选择。
　　gflags用来跟踪这个程序的执行，可以设置每一次new分配的堆空间都单独的占有一块空间，并且这个空间相邻的位置被设置为不可访问的，一旦访问越界立即触发访问无效错误，尽早的触发崩溃。

　　测试过程如下：

1、用vc编译出release版本的可执行文件：test.exe。（注意：不是debug版本）

2、用gflag注册需要监控的可执行文件test.exe。

在cmd下，输入命令如下：gflags /p /enable test.exe /full /unaligned。

回车，显示如下信息：

*************************************************************************************

path: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

  test.exe: page heap enabled。

*************************************************************************************

这个时候，已经把要监控的test.exe注册上了。

/p /enable是必备的。

/full说明分配的空间是独占的，并且相邻的是不可访问的空间。

/unaligned说明分配空间时不对齐，保证一旦越界立即发现，不会因为内存对齐而隐藏起来。

3、接着双击执行test.exe，这个时候，会中断下来：

*************************************************************************************

(17f8.5d0): Access violation - code c0000005 (!!! second chance !!!)

eax=0161eff6 ebx=7c80ac61 ecx=0000000a edx=015c5000 esi=00000002 edi=00000a28

eip=00401010 esp=0012ff74 ebp=0012ffc0 iopl=0         nv up ei ng nz ac pe cy

cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000297

WindbgTest!main+0x10:

00401010 880c01          mov     byte ptr [ecx+eax],cl      ds:0023:0161f000=??

*************************************************************************************

如果把exe放到windbg里执行，用命令：!address，可以发现eax是可以读写的，

eax+ecx是不可访问的：

*************************************************************************************

0:000> !address eax

015c0000 : 0161e000 - 00001000

    Type     00020000 MEM_PRIVATE

    Protect  00000004 PAGE_READWRITE

    State    00001000 MEM_COMMIT

    Usage    RegionUsagePageHeap

    Handle   015c1000

0:000> !address eax+ecx

015c0000 : 0161f000 - 000a1000

    Type     00020000 MEM_PRIVATE

    Protect  00000001 PAGE_NOACCESS

    State    00001000 MEM_COMMIT

    Usage    RegionUsagePageHeap

    Handle   015c1000

*************************************************************************************

4、取消跟踪：

通过/p命令可以看到当前跟踪的程序有哪些：

*************************************************************************************

C:\Documents and Settings\cs_wuyg>gflags /p

path: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

    player.exe: page heap enabled with flags (full traces )

    program: page heap enabled with flags (full unaligned traces )

    test.exe: page heap enabled with flags (full unaligned traces )

    windbgtest.exe: page heap enabled with flags (full unaligned traces )

*************************************************************************************

通过/p /disble取消跟踪：情况如下：

*************************************************************************************

C:\Documents and Settings\cs_wuyg>gflags /p /disable player.exe

path: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

    player.exe: page heap disabled

C:\Documents and Settings\cs_wuyg>gflags /p

path: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

    program: page heap enabled with flags (full unaligned traces )

    test.exe: page heap enabled with flags (full unaligned traces )

    windbgtest.exe: page heap enabled with flags (full unaligned traces )

*************************************************************************************

发现program是无法取消的，很奇怪。另外，发现注册表里相应的项目在disable之后，仍然存在，只不过一些键值被删除掉了。

同事跟我说，不使用gflags的时候，最好把注册表里的项目删除，gflags对机器性能的影响很大。

注册表的位置是：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/Image File Execution Options

5、注意事项

一、gflags要跟踪的程序，是把这个程序的名称记录到了注册表中，在设置的时候不需要可执行文件的路径名，只需要文件名称。

二、可以使用命令行，也可以使用GUI界面。GUI界面中的前两个TAB页面是对所有的可执行程序都有效的。第三个才是设置想要跟踪的程序。

三、还有其它更强大的工具。

6、总结

通过这个工具的简单使用，就可以很快发现代码中有访问越界。

在大工程下，是否也非常有用，现在还没实践过。

使用gflags，并且在VS下调试，有源代码更方便。

7、附今天用上的几个windbg命令：

1\ !analyze -v

2\ kv   kf    kb

3\ ~*k

4\ .ecxr

5\ lmvm xxx.exe

分析dump的时候，看调用堆栈是从下往上看的。

调用堆栈前部分的数值一部分是参数，一部分是无用的信息。

设置好source file path之后，.ecxr命令可以看到当前的寄存器信息，还可以看到源代码。

发现很多的崩溃是由于空指针、野指针导致的。而空指针、野指针是由于多线程导致卸载、装载重叠导致的。

学习资料：

http://www.cppblog.com/sandy/archive/2007/03/13/19723.html

http://blog.csdn.net/ayw_hehe/article/details/6796333

http://www.cppblog.com/sandy/archive/2008/09/27/62877.html

http://www.cnblogs.com/awpatp/archive/2011/01/01/1923913.html

http://blog.sina.com.cn/s/blog_484f16880100jrwj.html