Jump to content


Friends, we are happy to invite you to our NEW Global Kaspersky Club! Please follow this link www.kasperskyclub.com , sign-in and enjoy our new platform!


Photo

Debugging Tools for Windows...


  • Please log in to reply
4 replies to this topic

#1 TwinBit

TwinBit

    Crew Chief

  • Gold Beta Tester
  • PipPipPipPip
  • 411 posts

Posted 28 May 2007 - 11:49 PM

Wenn ich die "Debugging Tools for Windows" benutze um ein "Minidump" zu betrachten, dann öffne ich es indem ich in "WinDbg" unter "File" auf "Open Crash Dump" klicke. (Symbol Packages sind installiert, Symbol File Path ist korrekt) Hier werden mir einige wenige Dinge angezeigt. Unter "Bugcheck Analysis" gibt es den Link: "!analyze -v" welcher zusätzliche Informationen freigibt. Was mich nun wundert ist folgendes: Öffne ich das *.dmp File mit dem normalen Editor,dann sehe ich den weitaus grösseren Teil natürlich kodiert, allerdings ist auch ein großer Teil "normal lesbar" genau diesen Teil finde ich via "WinDbg" im Crash-Dump nirgends. Mache ich da etwas falsch?

#2 Lucian Bara

Lucian Bara

    Jedi Master

  • Global Moderators
  • PipPipPipPipPip
  • 912 posts

Posted 29 May 2007 - 01:14 PM

hallo
die teile sind zu erreichen mit funktionen aus dem menu z.b die geladenen module mit offset usw.
Intel Core 2 Duo E4500 @ 2,2GHz, Msi Asus P5PL2-E, 2048MB-DDR2 (2*1024), Leadtek PX6600 256MB, Teac DV-W516GA, Leadtek tv2000 xp Expert, HDD 200GB*2 (sata/sata2)

#3 TwinBit

TwinBit

    Crew Chief

  • Gold Beta Tester
  • PipPipPipPip
  • 411 posts

Posted 29 May 2007 - 08:12 PM

Danke für den Hinweis Lucian.

Ich versuche "WinDbg" zu verstehen,wobei mir eigentlich die offensichtlichen Hinweise (Bug Analysis) schon sehr helfen - wenn ich sie denn richtig interpretiere. Beispiel: eMule läuft(LoWID) > KIS(.119) läuft > KIS(.119) Schutz anhalten ... eMule trennen > eMule Verbinden > KIS(.119) Schutz aktivieren = BSOD. (Reboot)

________________
Minidump Auszug:
________________


Debugging Details:
----------------------


EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - Die Anweisung in "0x%08lx" verweist auf Speicher in "0x%08lx". Der Vorgang  "%s" konnte nicht auf dem Speicher durchgeführt werden.

FAULTING_IP: 
+0
00000000 ??			  ???

EXCEPTION_RECORD:  f8989b34 -- (.exr 0xfffffffff8989b34)
ExceptionAddress: 00000000
ExceptionCode: c0000005 (Access violation)
ExceptionFlags: 00000000
NumberParameters: 2
Parameter[0]: 00000000
Parameter[1]: 00000000
Attempt to read from address 00000000

CONTEXT:  f8989830 -- (.cxr 0xfffffffff8989830)
eax=00000000 ebx=81a5a158 ecx=00000000 edx=8222e008 esi=81d2c168 edi=81d2c190
eip=00000000 esp=f8989bfc ebp=f8989d28 iopl=0		 nv up ei pl nz na po nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000			 efl=00210202
00000000 ??			  ???
Resetting default scope

CUSTOMER_CRASH_COUNT:  1

DEFAULT_BUCKET_ID:  DRIVER_FAULT

PROCESS_NAME:  System

ERROR_CODE: (NTSTATUS) 0xc0000005 - Die Anweisung in "0x%08lx" verweist auf Speicher in "0x%08lx". Der Vorgang  "%s" konnte nicht auf dem Speicher durchgeführt werden.

READ_ADDRESS:  00000000 

FAILED_INSTRUCTION_ADDRESS: 
+0
00000000 ??			  ???

BUGCHECK_STR:  0x7E

LAST_CONTROL_TRANSFER:  from 8191cd8e to 00000000

SYMBOL_ON_RAW_STACK:  1

STACK_ADDR_RAW_STACK_SYMBOL: fffffffff8989ca4

STACK_COMMAND:  dds F8989CA4-0x20; kb

Sehe ich es richtig, wenn ich anhand der Daten folgendes annehme: Zugriffsverletzung auf (1)Speicherbereich, innerhalb des Prozesses (2)"System" durch (3)Treiber Fehler. Ist meine Interpretation richtig, führte dies' zum Stoppfehler (0xc0000005) und somit dem BSOD?

(1) ExceptionCode: c0000005 (Access violation)
(2) PROCESS_NAME: System
(3) DEFAULT_BUCKET_ID: DRIVER_FAULT

Vielen Dank für weitere Hilfe.

#4 Lucian Bara

Lucian Bara

    Jedi Master

  • Global Moderators
  • PipPipPipPipPip
  • 912 posts

Posted 29 May 2007 - 08:44 PM

yup, der dump wurde vieleicht helfen um mehr zu erfahren.
Intel Core 2 Duo E4500 @ 2,2GHz, Msi Asus P5PL2-E, 2048MB-DDR2 (2*1024), Leadtek PX6600 256MB, Teac DV-W516GA, Leadtek tv2000 xp Expert, HDD 200GB*2 (sata/sata2)

#5 TwinBit

TwinBit

    Crew Chief

  • Gold Beta Tester
  • PipPipPipPip
  • 411 posts

Posted 30 May 2007 - 01:46 AM

Hallo,

ich habe dieses Minidump-File nur als Beispiel benutzt um mich mit den Debugging Tools vertraut zu machen. Ich bin noch auf der Suche nach Dokumentationen, denn es scheint ein überaus interessantes Werkzeug zu sein. Von dem Fehler KIS.119/eMule las' ich irgendwo im englischen Forum oder via Google, genau kann ich das nicht mehr sagen. Ich werde noch einmal versuchen diesen BSOD zu reproduzieren um über diesen dann im offiziellen Forum zu berichten.

Wie ich bereits schrieb, mich erstaunt die Fülle an lesbaren Daten die ich via "Editor" im *.dmp File sah. (Jedoch [noch] nicht via "WinDbg") Dort, im Editor, sind jede Menge Daten bezüglich der verwendeten Hard.- und Software zu finden. Viele *.sys *.exe etc. Files aber auch ein File Description eines KIS Plugin: "Product Name Kaspersky Anti - Virus" ... "Product Version 6.0.1.3 1 1" ... "File Version 2.0.0.408" "Original Filename KLFW.SYS" (Auf meinem System konnte ich lediglich eine "KLFW.DAT" und eine "KLFW.KDZ" finden.)