6

这个问题可能有点尴尬,但这是我的详细问题:

目前,我正在研究设置SysInternals 的 procdump.exe来监控我们的应用程序,该应用程序表现出虚假的消失——也就是说,用户报告说,在应用程序的短暂可见挂起后,该应用程序只是“消失”了,没有任何痕迹窗户。

我的第一个想法是运行procdump -e -x . MyApp.exe它会在应用程序遇到未处理的异常时记录崩溃转储,但后来我看到还有一个-t开关,即——

-t - 进程终止时写入转储。

进程终止时自动生成转储。

现在的问题

我已经用我们的应用程序测试了 -t 开关,方法是在我可以触发它的定义位置插入ExitProcess或调用。TerminateProcess

虽然应用程序的行为符合预期,即TerminateProcess立即“杀死”正在运行的应用程序并ExitProcess需要一段时间,因为全局清理正在运行,但以这种方式生成的转储在这两种情况下都是无用的。

我得到的转储-t总是只包含一个单线程(应用程序在终止时运行超过 20 个线程)并且调用堆栈甚至不在有用的位置。(它似乎只是来自已终止应用程序的一个随机线程。)

难道我做错了什么?我可以有用地procdump -t追踪进程退出函数的意外调用吗?

4

1 回答 1

4

我可以有效地使用 procdump -t 来追踪进程退出函数的意外调用吗?

我认为不是,原因如下:测试进程 calc.exe

CommandLine: "C:\Program Files\Sysinternals\procdump.exe" -t calc.exe

我尝试仔细建议 procdump 正在等待 calc.exe 进程句柄。

0:000> kb
ChildEBP RetAddr  Args to Child              
0017f2e0 77135e6c 75336872 00000002 0017f334 ntdll!KiFastSystemCallRet
0017f2e4 75336872 00000002 0017f334 00000001 ntdll!NtWaitForMultipleObjects+0xc
0017f380 76cbf14a 0017f334 0017f3a8 00000000 KERNELBASE!WaitForMultipleObjectsEx+0x100
0017f3c8 76cbf2c2 00000002 7ffdb000 00000000 kernel32!WaitForMultipleObjectsExImplementation+0xe0
0017f3e4 011c6135 00000002 0017f46c 00000000 kernel32!WaitForMultipleObjects+0x18
WARNING: Stack unwind information not available. Following frames may be wrong.
0017fc30 011c999e 00000003 013d1de0 013d1e78 procdump+0x6135
0017fc78 76cc1194 7ffdb000 0017fcc4 7714b495 procdump+0x999e
0017fc84 7714b495 7ffdb000 77ad79b5 00000000 kernel32!BaseThreadInitThunk+0xe
0017fcc4 7714b468 011c99f5 7ffdb000 00000000 ntdll!__RtlUserThreadStart+0x70
0017fcdc 00000000 011c99f5 7ffdb000 00000000 ntdll!_RtlUserThreadStart+0x1b
0:000> dd 17f46c
0017f46c  00000238 00000268
0:000> !handle 238 f
Handle 238
  Type          Process
  Attributes    0
  GrantedAccess 0x1fffff:
         Delete,ReadControl,WriteDac,WriteOwner,Synch
         Terminate,CreateThread,,VMOp,VMRead,VMWrite,DupHandle,CreateProcess,SetQuota,SetInfo,QueryInfo,SetPort
  HandleCount   5
  PointerCount  52
  Name          <none>
  Object Specific Information
    Process Id  1580
    Parent Process  2476
    Base Priority 8

在此处输入图像描述

在崩溃转储文件中,在进程结束之前获取堆栈最后一个完整的进程线程 (TID 3136)。

0:000> ~
.  0  Id: dc8.c40 Suspend: -1 Teb: 7ffdd000 Unfrozen
0:000> .formats c40
Evaluate expression:
  Hex:     00000c40
  Decimal: 3136

在此处输入图像描述

崩溃转储文件是在最后一个线程完成之后、进程结束之前创建的。

在此处输入图像描述

于 2013-01-14T19:36:11.173 回答