7. WinDbg观察托管程序架构

原创 已于 2024-07-16 11:12:07 修改 · 802 阅读 · 8 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#c# #.net
于 2024-06-28 13:44:47 首次发布

总目录

1. WinDbg概述
2. WinDbg主要功能
3. WinDbg程序调试示例
4. CPU寄存器及指令系统
5. CPU保护模式概述
6. 汇编语言不等于CPU指令
7. 用WinDbg观察托管程序架构
8. Windows PE/COFF文件格式简述
9. 让WinDbg自动打开DotNet Runtime源程序
10. WinDbg综合实战

前言

本文主要介绍.NET平台的Process(进程)、Application Momain(应用程序域)、Assembly(应用程序)和Module(模块)之间的关系,并在此基础上演示如何使用WinDbg找到我们想操控的类型和方法。

概念

进程(process)是操作系统的概念(动态的、内存的),而不是文件的(静态)概念。

当我们在Windows环境下双击一个exe可执行文件时,Windows会为该程序创建一个进程和一个主线程,然后通过主线程去运行这个程序。不同进程之间的虚拟地址空间是硬件隔离的,以确保一个程序中的数据或代码不会被另外一个程序非法访问(读、写、执行)。

如果被加载的可执行文件是一个.NET应用程序时,如果该.NET应用程序包含托管代码(绝大多数情况都是如此),那么Windows为该应用程序创建了process和主线程后,又会同时将托管程序CLR加载到用户进程空间,然后将程序交给CLR去管理和执行。

CLR为了提高程序运行效率,又引入了应用程序域(Application Domain)这个概念。应用程序域可以简单看作是CLR管理的Process,不同的Application Domain之间完全隔离,Assembly必须被装入到Application Domain之后才能运行。

我简单画了一张图,不过这个图并不科学,因为进程Process和线程Thread(图中未画出)是操作系统的概念,Application Domain是CLR运行时的概念,大类上说以上三个概念都是动态的。与之对应,程序集Assembly和模块Module则是编译器的概念,是静态的。不过暂时用这个图也可以凑合,大概有助于把关系梳理清楚。

相互关系
对于NET Framework应用程序,一个CLR进程中最少有三个Application Domain,分别是System Domain, Shared Domain和Default Domain,其结构如《Advanced .NET debugging》一书中的插图Figure 2-4所示:

App Domain
不过现代.NET(.NET 5.0及以上)应用中没有了Shared Domain了,只留下了System Domain和Default Domain(名字是Domain 1),当然.NET应用程序还可以继续创建Domain,所以我的图中又画出了一个Domain2。

每个Domain下面可以有1 ~ n个Assembly,而每个Assembly又包括1 ~ m个Module。

有了这种对应关系,在WinDbg中,查找各个构建(Component)就有了基础。

查询举例

将如下列表所示的C#程序Core.exe加载到WinDbg,输入g命令运行,程序会被Debugger.Break()断下。

//file: Core.dll
using System.Diagnostics;
namespace BasicGrammar;

class Program
{
    static void Main()
    {
        Person person = new Person();
        person.name = "Robert";
        person.age = 20;
        Debugger.Break();
    }

    public class Person
    {
        public string? name;
        public int age;

        public int GetAge()
        { return age; }
    }
}

输入sos的扩展命令!dumpdomain,可以得到当前进程中所有Domain信息:

0:000> !dumpdomain
--------------------------------------
System Domain:      00007ffbb5ac40c0
LowFrequencyHeap:   00007FFBB5AC4598
HighFrequencyHeap:  00007FFBB5AC4628
StubHeap:           00007FFBB5AC46B8
Stage:              OPEN
Name:               None
--------------------------------------
Domain 1:           00000000004ee8d0
LowFrequencyHeap:   00007FFBB5AC4598
HighFrequencyHeap:  00007FFBB5AC4628
StubHeap:           00007FFBB5AC46B8
Stage:              OPEN
Name:               clrhost
Assembly:           00000000004fed30 [C:\Program Files\dotnet\shared\Microsoft.NETCore.App\8.0.3\System.Private.CoreLib.dll]
ClassLoader:        00000000004FEDC0
  Module
  00007ffb55ab4000    C:\Program Files\dotnet\shared\Microsoft.NETCore.App\8.0.3\System.Private.CoreLib.dll

Assembly:           00000000004acb60 [E:\test\a\Core\bin\Debug\net8.0\Core.dll]
ClassLoader:        00000000004AFAD0
  Module
  00007ffb55c9e0a0    E:\test\a\Core\bin\Debug\net8.0\Core.dll

Assembly:           00000000004b2790 [C:\Program Files\dotnet\shared\Microsoft.NETCore.App\8.0.3\System.Runtime.dll]
ClassLoader:        00000000004AF260
  Module
  00007ffb55c9fbb8    C:\Program Files\dotnet\shared\Microsoft.NETCore.App\8.0.3\System.Runtime.dll

可以看到当前进程包括了一个System Domain和一个Domain 1,而Domain 1种又包括了System.Private.CoreLib.dll,Core.dll和System.Runtime.dll三个Assembly,而且每个Assembly只包含了一个module。

显然,Core.dll就是我们自己写的C#代码生成的程序集。

可以通过!dumpmodule -mt 00007ffb55c9e0a0得到Core.dll中的定义的类型(TypeDef)和引用的外部类型(TypeRef):

0:000> !dumpmodule -mt 00007ffb55c9e0a0
Name: E:\test\a\Core\bin\Debug\net8.0\Core.dll
Attributes:              PEFile 
TransientFlags:          00209011 
Assembly:                00000000004acb60
BaseAddress:             0000000002330000
PEAssembly:              00000000004AED90
ModuleId:                00007FFB55C9E458
ModuleIndex:             0000000000000001
LoaderHeap:              00007FFBB5AC4588
TypeDefToMethodTableMap: 00007FFB55CA4320
TypeRefToMethodTableMap: 00007FFB55CA4340
MethodDefToDescMap:      00007FFB55CA4438
FieldDefToDescMap:       00007FFB55CA4460
MemberRefToDescMap:      00007FFB55CA43C0
FileReferencesMap:       0000000000000000
AssemblyReferencesMap:   00007FFB55CA4480
MetaData start address:  00000000023320AC (1416 bytes)

Types defined in this module

              MT          TypeDef Name
------------------------------------------------------------------------------
00007ffb55cc00e8 0x02000002 BasicGrammar.Program
00007ffb55cc93f8 0x02000003 BasicGrammar.Program+Person

Types referenced in this module

              MT            TypeRef Name
------------------------------------------------------------------------------
00007ffb55b45fa8 0x0200000d System.Object
00007ffb55cc9608 0x0200000f System.Diagnostics.Debugger

假设我们还想查Person类中有哪些方法,则可以继续使用如下命令:

0:000> !dumpmt -md 00007ffb55cc93f8
EEClass:             00007ffb55cd1f18
Module:              00007ffb55c9e0a0
Name:                BasicGrammar.Program+Person
mdToken:             0000000002000003
File:                E:\test\a\Core\bin\Debug\net8.0\Core.dll
AssemblyLoadContext: Default ALC - The managed instance of this context doesn't exist yet.
BaseSize:            0x20
ComponentSize:       0x0
DynamicStatics:      false
ContainsPointers:    true
Slots in VTable:     6
Number of IFaces in IFaceMap: 0
--------------------------------------
MethodDesc Table
           Entry       MethodDesc    JIT Name
00007FFB55B50048 00007ffb55b45f38   NONE System.Object.Finalize()
00007FFB55B50060 00007ffb55b45f48   NONE System.Object.ToString()
00007FFB55B50078 00007ffb55b45f58   NONE System.Object.Equals(System.Object)
00007FFB55B500C0 00007ffb55b45f98   NONE System.Object.GetHashCode()
00007FFB55CBB948 00007ffb55cc93d0    JIT BasicGrammar.Program+Person..ctor()
00007FFB55CBB930 00007ffb55cc93b8   NONE BasicGrammar.Program+Person.GetAge()

从上面列表可见,所有从父类继承过来的方法及Person类自己定义的方法GetAge都在(.ctor是默认构造方法)
如果想查Person类有哪些字段,则可以使用如下命令:

0:000> !DumpClass 00007ffb55cd1f18
Class Name:      BasicGrammar.Program+Person
mdToken:         0000000002000003
File:            E:\test\a\Core\bin\Debug\net8.0\Core.dll
Parent Class:    00007ffb55b3f5b0
Module:          00007ffb55c9e0a0
Method Table:    00007ffb55cc93f8
Vtable Slots:    4
Total Method Slots:  5
Class Attributes:    100002  
NumInstanceFields:   2
NumStaticFields:     0
              MT    Field   Offset                 Type VT     Attr            Value Name
00007ffb55bfec08  4000001        8        System.String  0 instance           name
00007ffb55b81188  4000002       10         System.Int32  1 instance           age
0:000> !DumpClass 00007ffb55cd1f18
Class Name:      BasicGrammar.Program+Person
mdToken:         0000000002000003
File:            E:\test\a\Core\bin\Debug\net8.0\Core.dll
Parent Class:    00007ffb55b3f5b0
Module:          00007ffb55c9e0a0
Method Table:    00007ffb55cc93f8
Vtable Slots:    4
Total Method Slots:  5
Class Attributes:    100002  
NumInstanceFields:   2
NumStaticFields:     0
              MT    Field   Offset                 Type VT     Attr            Value Name
00007ffb55bfec08  4000001        8        System.String  0 instance           name
00007ffb55b81188  4000002       10         System.Int32  1 instance           age

看最下面两行,字段name和age都有了。

总结

知道了层次关系,我们拿到一个应用程序时,就可以按自顶向下的方法,逐层逼近,查得该程序的各项信息:

  1. !dumpdomain查到assembly和module
  2. !dumpmodule -mt ModuleAddress查到MethodTable
  3. !dumpmt -md MethodTable查到方法列表和EEClass
  4. !DumpClass EEClass查到字段
使用Windbg分析dump文件的一般步骤及要点详解
dvlinker的技术专栏
05-25 4万+
通过一个问题实例详细讲解使用Windbg静态分析dump文件的完整过程。
Windbg调试工具详细介绍
dvlinker的技术专栏
06-28 1万+
本文详细介绍一下Windbg的相关内容。
WinDbg蓝屏分析入门
VinWqx的博客
12-25 5万+
一、WinDbg介绍 WinDbg,英文全称为Windows Debugger,Windows调试程序WinDbg是Windows平台下面的一款调试工具,通过dmp文件对蓝屏、程序崩溃原因进行分析,定位问题根源。官方描述WinDbg功能为以下三点: 调试内核模式和用户模式代码 分析故障转储 在代码执行时检查 CPU 寄存器。 微软官方文档学习资料:https://docs.microsoft.com/zh-cn/windows-hardware/dr...
告别蓝屏恐惧:手把手教你用Windbg动态调试Windows驱动(附问题排查清单)
最新发布
weixin_28707739的博客
05-11 383
本文详细介绍了如何使用Windbg动态调试Windows驱动程序,帮助开发者从蓝屏恐惧中解脱。通过搭建双机调试环境、掌握Windbg核心命令、分析典型驱动问题以及高级调试技巧,全面提升驱动开发与调试能力。文章还提供了实用的问题排查清单,助力开发者高效定位和解决Windows驱动问题。
Windows开发入门:工具-WinDbg的安装和使用教程
热门推荐
锕琅的博客
01-18 10万+
序言 目录序言安装1)下载2)配置环境变量3)重启并测试使用 参考文档: WinDbg的安装 安装 1)下载 点我跳转下载链接 直接点击页面里的 Download WinDbg Preview from the Microsoft Store就会自动打开windows应用商城下载。 安装完成后,可以从c盘搜索WinDbg找到安装目录,默认的是在C:\Users\你的用户名\AppData\Local\Microsoft\WindowsApps 2)配置环境变量 安装好之后就需要配环境变量,打开环境变量配置
[调试]_[初级]_[Windbg使用教程]
小白
11-28 1万+
windbg使用教程
3. WinDbg程序调试
Login255的博客
06-21 1381
在《》中,我们介绍了如何使用k命令查看线程栈,如何在线程栈中找到目标地址,如何使用该地址作为g命令的目标参数,以及如何使用!u命令将C#源代码汇编成汇编语句。今天这篇文章,将使用一个全新的C#示例来介绍值类型以及引用类型的内存布局。
10. WinDbg综合实战
Login255的博客
07-05 1581
通过十篇文章,简单介绍了WinDbg调试Windows程序的方法。调试工具的使用,是一个熟能生巧的过程,道理并不很难,但需要记忆的命令较多,所以鼓励大家多多实际操作。软件调试真正的挑战,应该是计算机底层知识,比如对CPU、编译器、操作系统、汇编语言等,而这些知识又不是三言两语就能说清楚,所以,每当遇到困难时,我的建议是:不钻牛角尖,惹不起躲得起。说不定现在看来很难的问题,数月后便已不再是问题了。行文匆忙,错误与疏漏在所难免,欢迎批评指正。
2. WinDbg 主要功能
Login255的博客
06-20 1368
本来想写一篇使用WinDbg分析值类型和引用类型的文章,悲催的事情发生了,调试过程中出现意外,电脑死机,再重新调试时,程序的加载地址和之前所写都不一致了。为了不让已经写的部分作废,就将题目改成了WinDbg Step by Step (一),简单介绍一下WinDbg的使用。
1. WinDbg概述
Login255的博客
06-29 7551
授之以鱼不如授之以渔,我们用一篇文章介绍了WinDbg的基本使用。我们并没有一个命令一个命令去讲解命令含义,相反,我们介绍了如何查所有的基本命令、元命令和扩展命令,介绍了如何使用帮助来查各个命令的使用方法。知道了方法以后,大家完全可以自学WinDbg软件的使用了,遇到问题就查帮助。相信随着使用次数的增加,对WinDbg功能的领会就会越来越深,逐步实现量变到质变。以后的文章中,除非特别必要,否则我不会再介绍WinDbg的具体命令含义了,而会聚焦于如何使用各种工具去调试、分析和学习.NET程序
windbg下载安装傻瓜式教程
m0_68641696的博客
01-11 2万+
windbg是分析windows上面分析程序的利器 ,Windbg是微软出品的强大调试器,是分析软件异常的利器,Windbg之于windows就像GDB之于linux。(好了,我也就不讲废话了,我想你也只想知道最简单的安装方式...
调试工具 - Windbg
dxf1971738522的博客
03-07 5856
基于Windbg的dump文件分析和内核驱动调试
如何使用WinDbg查找蓝屏原因
生活需要深度
11-10 6148
点击后,需要连接服务器,稍等片刻,在对话框中输入。一开始我这边一直没弹出对话框,我还以为出了什么问题,后面等了一会就出来了。虽然找到了原因,但为啥使用PPTP的vpn网络连接会在关机时导致蓝屏这就不得而知了。导致的蓝屏,一度怀疑是新装 了机械硬盘导致的,因为以前在深圳没有出现过这种问题。后面查找了一下资料,发现可以使用WinDbg来分析dmp文件来查找蓝屏的原因。出现这个界面的时候,是在连接服务器,需要稍等片刻,出现如下的界面。至此我也明白了,是因为我配置了PPTP的VPN网络连接导致的。
通过WinDbg分析电脑蓝屏原因
2301_76903716的博客
07-18 1万+
(一个大三学生的第一篇帖子,如果有任何错误的地方请大家指正)
Windbg介绍
u010607621的博客
06-15 1万+
1. 介绍 1.1. 相关网站 微软网站 社区网站 调试分享 1.2. 下载 对于Win10,推荐使用微软商店下载windbg preview版本。其它的os,可以下载windows sdk,在安装选项中选择windbg。 preview版本皆可调试32,64位进程和内核。传统版本分为32和64两个版本,但优势在小巧便携。 1.3. 符号配置 微软的动态库,exe等,微软一般会公开pdb文件的下载,windbg经过配置后,会自动下载,从而利于解析程序的数据结构。 简易的方法是配置环境变量_NT_SYMBOL
WinDbg使用
计算机小白的日常笔记_Derrick
04-02 8023
一、WinDbg是什么?它能做什么?   WinDbg是在windows平台下,强大的用户态和内核态调试工具。它能够通过dmp文件轻松的定位到问题根源,可用于分析蓝屏、程序崩溃(IE崩溃)原因,是我们日常工作中必不可少的一个有力工具,学会使用它,将有效提升我们的问题解决效率和准确率。 二、WinDbg6.12.0002.633下载: x86位版本下载:【微软官方安装版】 蓝屏Dump分析工...
windbg软件调试工具下载方法
学习之记忆
10-31 9725
总结:在实际使用中,可以直接使用X64 Debuggers And Tools-x64_en-us.msi安装或将安装后的成果物进行打包,后续直接解压即可使用,比较方便。第四步:点击安装winsdksetup.exe程序,选择Download the Windows Software Development Kit...第五步:安装X64 Debuggers And Tools-x64_en-us.msi。第三步:点击“下载安装程序”,会进行自动下载文件winsdksetup.exe。
windows程序使用Windbg分析dump
steem
04-23 8950
windows上Windbg分析dump文件
Windbg安装与使用详解
dvlinker的技术专栏
10-07 5万+
本文详细介绍了Windows调试工具Windbg的安装与使用,并给出多个实战问题分析实例。
windbg调试入门
blacet的专栏
10-28 1534
windbg调试入门 转载:http://www.cnblogs.com/kekec/archive/2012/12/02/2798020.html 使用前首先设置符号表,菜单File=>symbol File Path。 如设置为: srv*C:\Program Files\Debugging Tools for Windows (x86)\sym*http://msdl.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值