查看 windbg 中的故障转储,我可以看到所有当前线程都停止在
> ~2k
ChildEBP RetAddr
00d2fcc8 7d4e27dc ntdll_7d600000!ZwWaitForMultipleObjects+0x15
或相同的 SingleObject 变体。
由于要等待的对象的句柄被传递给 ZwWaitForMultipleObjects,我假设我可以计算出它使用的是哪个对象的变体
!do <address>
有正确的地址——但我不知道如何构造正确的地址。我假设我需要从 ChildEBP 中得到一些补偿?
尝试以下步骤:
使用“~2s”命令将上下文切换到线程#2(这一步可以说是多余的,但我发现在正确的线程上下文中操作更容易)
使用“kb”命令显示线程的调用堆栈,包括每个函数的前三个参数。你会得到类似的东西:
ChildEBP RetAddr Args to Child 0dc7fa30 768b0962 00000004 0dc7fa80 00000001 ntdll!ZwWaitForMultipleObjects+0x15 0dc7facc 73c61339 0dc7fa80 0dc7fb14 00000000 KERNELBASE!WaitForMultipleObjectsEx+0x100
以上面的调用栈为例,可以看到传递给 ZwWaitForMultipleObjects 的句柄数为 4(第一个参数的值)。句柄数组的地址是第二个参数。在上面的例子中,地址是 0dc7fa80
使用“dd”命令显示句柄数组的内容。在上述调用堆栈的情况下,使用“dd 0dc7fa80”,它会给出如下内容:
0dc7fa80 000001f0 000001f8 0000020c 000001ec 0dc7fa90 73a53c1b 00000000 0d462f70 00000001 0dc7faa0 0cf7afe0 00000003 0dc7fac8 00000004
假设这是一个 32 位进程,句柄是前四个单独的 DWORD:“1f0”、“1f8”、“20c”和“1ec”。
您可以使用“!handle”WinDbg 扩展来查看每个句柄的详细信息,如下所示: !handle 1f0 F F 标志将显示有关句柄的更多详细信息,包括它的计数和名称(如果它与它相关联)
如果您怀疑句柄是从托管代码传入的,则需要加载 SOS 或 PSSCOR 并使用 !ClrStack 命令显示托管调用堆栈详细信息。