4

我目前正在尝试调试系统死锁,我很难理解这一点。

Child-SP          RetAddr           : Args to Child                                                           : Call Site
fffff880`035cb760 fffff800`02ecef72 : 00000000`00000002 fffffa80`066e8b50 00000000`00000000 fffffa80`066a16e0 : nt!KiSwapContext+0x7a
fffff880`035cb8a0 fffff800`02ee039f : fffffa80`0b9256b0 00000000`000007ff 00000000`00000000 00000000`00000000 : nt!KiCommitThreadWait+0x1d2
fffff880`035cb930 fffff880`0312a5e4 : 00000000`00000000 fffff800`00000000 fffffa80`079a3c00 00000000`00000000 : nt!KeWaitForSingleObject+0x19

为什么 KeWaitForSingleObject 的第一个参数为空?

除非我误解,否则不是等待对象的第一个参数吗?死锁只是这个线程什么都不在等待还是这是普通的行为?

此外,我看到另一个进程(services.exe)显示了类似的堆栈跟踪:

1: kd> .thread fffffa800d406b50
Implicit thread is now fffffa80`0d406b50
1: kd> kv
  *** Stack trace for last set context - .thread/.cxr resets it
Child-SP          RetAddr           : Args to Child                                                           : Call Site
fffff880`09ed4800 fffff800`02ecef72 : fffffa80`0d406b50 fffffa80`0d406b50 00000000`00000000 fffff8a0`00000000 : nt!KiSwapContext+0x7a
fffff880`09ed4940 fffff800`02ee039f : 00000000`000000b4 fffffa80`0b1df7f0 00000000`0000005e fffff800`031ae5e7 : nt!KiCommitThreadWait+0x1d2
fffff880`09ed49d0 fffff800`031d1e3e : fffffa80`0d406b00 00000000`00000006 00000000`00000001 00000000`093bf000 : nt!KeWaitForSingleObject+0x19f
fffff880`09ed4a70 fffff800`02ed87d3 : fffffa80`0d406b50 00000000`77502410 fffff880`09ed4ab8 fffffa80`0b171a50 : nt!NtWaitForSingleObject+0xde

这个线程本质上是在等待自己吗?

4

2 回答 2

12

您正在调试一个 64 位进程。

请记住这里解释的 x64 调用约定。前 4 个参数在寄存器中传递。之后,参数被压入堆栈。

不幸kv的是,盲目地显示堆栈参数。事实上,它很难(有时甚至不可能)确定调用时前 4 个参数实际上是什么,因为它们可能没有存储在任何可以恢复的地方。

因此,您正在查看 的第 5 个参数nt!NtWaitForSingleObject,其中 anullptr是 a 的一个非常典型的参数Timeout

幸运的是,我们调试类型并没有丢失!有一个 windbg 扩展,它尽最大努力在调用函数时重建参数。该扩展名为CMKD。您可以将扩展 DLL 放在您的winext文件夹中并像这样调用它:

0:000> !cmkd.stack -p
Call Stack : 7 frames
## Stack-Pointer    Return-Address   Call-Site       
00 000000a408c7fb28 00007ffda95b1148 ntdll!NtWaitForSingleObject+a 
    Parameter[0] = 0000000000000034
    Parameter[1] = 0000000000000000
    Parameter[2] = 0000000000000000
    Parameter[3] = (unknown)       
01 000000a408c7fb30 00007ff7e44c13f1 KERNELBASE!WaitForSingleObjectEx+98 
    Parameter[0] = 0000000000000034
    Parameter[1] = 00000000ffffffff
    Parameter[2] = 0000000000000000
    Parameter[3] = 00007ff7e44cba28
02 000000a408c7fbd0 00007ff7e44c3fed ConsoleApplication2!main+41 
    Parameter[0] = (unknown)       
    Parameter[1] = (unknown)       
    Parameter[2] = (unknown)       
    Parameter[3] = (unknown)

请注意,它并不总是成功地找到论点,因为其中一些是(unknown)。但是,它做得很好,在调试 64 位代码时可以成为非常宝贵的工具。

于 2014-10-23T23:06:18.550 回答
4

这看起来像一个 64 位操作系统,因此调用约定不是传递堆栈上的所有参数。相反,前四个参数在 RCX、RDX、R8 和 R9 中传递,其余参数在堆栈中。因此,如果您接到对 KeWaitForSingleObject 的调用,就很容易看到 RCX 中的内容并从那里开始。一旦超出了几个堆栈帧,就很难判断,因为某些内容将被加载到该寄存器中。原始值可能存储在某个地方,但很难找到。

于 2014-10-23T22:57:39.570 回答