Windows Debugger Tool (WinDbg) est un déboguer pour Windows capable d’analyser les fichiers de vidages (fichier DMP).
Ces derniers sont créés par le service Windows Error Reporting (WER) lors d’une erreur et plantage d’application ou BSOD.
WinDbg et WinDbg Preview ont pour fonction d’ouvrir les fichiers Windows dumpfile qui se terminent par l’extension .dmp.
Ensuite il est possible d’effectuer une analyse afin d’obtenir des informations sur l’exception et potentiellement la source et les raisons du plantage système.
Dans ce tutoriel, je vous montre comment utiliser Windows Debugger Tool (WinDbg).
Comment utiliser Windows Debugger Tool (WinDbg)
Télécharger et installer Windows Debugger Tool (WinDbg)
- Téléchargez WinDbg Preview depuis le Microsoft Store :
Voici comment installer WinDbG Preview en application moderne (UWP) :
- Cliquez sur Télécharger puis patientez durant le téléchargement
- Ensuite cliquez sur Ouvrir
Comment ouvrir un fichier DMP
- Accédez au menu Fichier
- Puis cliquez sur Open Dump File
- A droite cliquez sur Browse
- Naviguez dans votre disque pour trouver le fichier DMP
- Puis cliquez sur Open
- WinDbg Preview charge le fichier et tous les fichiers DLL et symboles dont il a besoin pour comprendre son contenu. Cela peut prendre un certain temps, de l’ordre de 1 à 2 minutes
Comment analyser un fichier DMP
- Le texte en tête du volet central comporte une ligne qui indique “This dump file has an exception of interest stored in it“. C’est votre indice que l’analyse pourrait révéler quelque chose d’intéressant
- Cliquez sur l’option !analyze v, le programme effectuera une analyse et écrira ses résultats dans ce même panneau central
- Cela ajoute une entrée Exception Analysis dans le cas d’un DMP issu d’un plantage d’une application ou une entrée Bugcheck Analysis dans le cas d’un DMP issu d’un BSOD
- Le processus d’analyse prend également un certain temps et affiche d’innombrables barres de progression à mesure que le programme charge et établit des liens avec diverses tables de symboles (fichiers pdb), dlls, etc)
- Une fois l’analyse terminée, les résultats s’affichent dans le volet central et une liste de fils de discussion connexes dans le volet inférieur droit
Comment lire et comprendre les analyses DMP
Bugcheck Analysis (BSOD)
Cette analyse de fichiers DMP concerne les erreurs fatale de type écran bleu / BSOD.
Le BugCheck s’affiche dès la première ligne, par exemple ci-dessous, il s’agit de WHEA_UNCORRECTABLE_ERROR.
Tout en bas, module name qui plante, ici il s’agit du pilote Intel GenuineIntel.sys lié à au processeur.
On en déduit donc que la carte graphique rencontre un dysfonctionnement matériel.
La source pouvant être un défaut du matériel, problème de refroidissement, overlocking du CPU, etc.
Toutefois, le plus simple pour analyser les BSOD est d’utiliser des outils tels que BlueScreenView ou WhoCrashed.
Plus d’informations : BSOD / écrans bleus : analyse et solutions – le dossier Complet
Exception Analysis
Lorsqu’une application plante, un fichier DMP est aussi généré.
Voici un exemple d’exception :
EXCEPTION_RECORD: ffffffff -- (.exr 0xffffffffffffffff) ExceptionAddress: 777b80e9 (ntdll!TppWaiterpDoTransitions+0x000000d0) ExceptionCode: c0000005 (Access violation) ExceptionFlags: 00000000 NumberParameters: 2 Parameter[0]: 00000000 Parameter[1]: d3fcb1e4 Attempt to read from address d3fcb1e4 DEFAULT_BUCKET_ID: INVALID_POINTER_READ PROCESS_NAME: explorer.exe ERROR_CODE: (NTSTATUS) 0xc0000005 - The instruction at 0x%08lx referenced memory at 0x%08lx. The memory could not be %s. EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - The instruction at 0x%08lx referenced memory at 0x%08lx. The memory could not be %s.
La première partie vous donne les informations mémoire de l’exception.
En dessous :
- Le nom du processus
- Le code erreur avec le Statut
- Suivi par la description
Il faut surtout regarder si l’erreur mentionne un fichier DLL et s’il s’agit d’une DLL interne à Windows ou une DLL externe à l’application.
Dans ce dernier cas, cela peut vous aider à déterminer si une application fait planter un processus de Windows ou une autre application.
Les erreurs sont souvent liés à des problèmes d’utilisation de la mémoire.
Voici quelques exemples :
- HEAP_CORRUPTION_ACTIONABLE – 0xc0000374 – Un segment de mémoire a été endommagé
- INVALID_POINTER_READ – 0xc0000005 – L’instruction à a référencé la mémoire. La mémoire ne pouvait pas être lu
- FAIL_FAST_FATAL_APP_EXIT 0xc0000409 – Le système a détecte la saturation de la mémoire tampon dans cette application. Cette saturation pourrait permettre à un utilisateur mal intentionné de prendre le contrôle de cette application.
- NULL_CLASS_PTR_READ 0xc0000005 (Access violation) – L’instruction XXXX emploie l’adresse mémoire XXXX. L’état de la mémoire ne peut pas être lu
Liens
L’article Comment utiliser Windows Debugger Tool (WinDbg) est apparu en premier sur malekal.com.
0 Commentaires