搜索论坛 帖子排序:  Oldest to newest Newest to oldest

2009-07-25, 19:54 下午 ^_^ 注册: 2009-07-25 发 贴: 1 出现1st_chance_Process_Shut_Down的dmp文件，但是如何知道process是如何被shutdown的呢？ 用adplus监视一个process，发现总是无规律的产生1st_chance_Process_Shut_Down的dmp文件。用windbg查看dmp文件，发现始终只有一个thread,而且从这个thread的call stack里面看不到有用的信息。 例如： 0:000> kv ChildEBP RetAddr  Args to Child              00000000 00000000 00000000 00000000 00000000 ntdll!KiUserApcDispatcher 或者 ChildEBP RetAddr  Args to Child              034be998 7c822124 77e6bad8 00000650 00000000 ntdll!KiFastSystemCallRet (FPO: [0,0,0]) 034be99c 77e6bad8 00000650 00000000 00000000 ntdll!NtWaitForSingleObject+0xc (FPO: [3,0,0]) 034bea0c 77e6ba42 00000650 ffffffff 00000000 kernel32!WaitForSingleObjectEx+0xac (FPO: [Non-Fpo]) *** ERROR: Symbol file could not be found.  Defaulted to export symbols for iceutil32.dll - 034bea20 00343343 00000650 ffffffff 77960404 kernel32!WaitForSingleObject+0x12 (FPO: [Non-Fpo]) *** ERROR: Symbol file could not be found.  Defaulted to export symbols for ice32.dll - WARNING: Stack unwind information not available. Following frames may be wrong. 034bea6c 0068b48a 779604a6 02903314 00000000 iceutil32!IceUtil::Cond::dowait+0x43 这个线程做的事情看起来一定不会引起process shutdown. 请问如何能从crash dmp中找到更多的信息来确定这个process是如何shutdown 的，例如被人从task manager里面kill了之类的！ 非常之感谢！ IP 地址: 已记录   报告

2009-07-26, 17:04 下午 格蠹老雷 注册: 2005-12-19 发 贴: 1,303 Re: 出现1st_chance_Process_Shut_Down的dmp文件，但是如何知道process是如何被shutdown的呢？ 如果是被人从TaskMgr杀掉的，那么便很难从被杀进程的用户态DUMP文件中找到线索。正像用户态栈中所显示的，普通线程大都数时候都是在等待，此时线程实际上是在内核态的，大多时候是在睡觉。这时有人要杀它，其实也就是调用TerminateProcess API，对应的也就是NtTerminateProcess内核服务。这个内核服务检查权限没有问题后，就开始下手了，清理这个进程了，也就是说用户态的代码根本没机会执行，在“睡梦”中就结束使命了。 下面是TaskMgr在执行杀进程动作时的过程： 0:000> kvn  # ChildEBP RetAddr  Args to Child              00 0007f694 0100c22c 000000a0 00000001 000a07b6 kernel32!TerminateProcess (FPO: [2,0,0]) 01 0007f6d0 0100ceef 00001630 00000000 00330728 taskmgr!CProcPage::KillProcess+0xaf (FPO: [2,8,0]) 02 0007f6e4 0100d1d0 000003f2 000a07b6 0007f7b8 taskmgr!CProcPage::HandleWMCOMMAND+0x40 (FPO: [2,0,4]) 03 0007f750 7e418724 00330728 00000111 000003f2 taskmgr!ProcPageProc+0x249 (FPO: [4,20,4]) 其中a0是被杀进程的进程句柄，1是所谓的退出代码： BOOL WINAPI TerminateProcess(   __in  HANDLE hProcess,   __in  UINT uExitCode ); 就连这个退出代码，在用户态的转储中也看不到。如果是在收到进程退出事件时通过内核会话来看进程的EPROCESS结构，那么可以看到这个ExitCode，保存在ExitStatus字段中： lkd> dt _EPROCESS 89a04da0  -y exit nt!_EPROCESS    +0x078 ExitTime : _LARGE_INTEGER 0x1ca0dcb`bdf5b880    +0x24c ExitStatus : 1 可以看到，与从TaskMgr的栈回溯中看到的一样。   IP 地址: 已记录   报告

2009-07-27, 00:44 上午 johnl 注册: 2008-09-29 发 贴: 9 Re: 出现1st_chance_Process_Shut_Down的dmp文件，但是如何知道process是如何被shutdown的呢？ 检查自己程序是不是有地方调用了TerminateProcess()。 IP 地址: 已记录   报告

2009-07-29, 10:51 上午 guozf 注册: 2008-12-06 HK 发 贴: 68 Re: 出现1st_chance_Process_Shut_Down的dmp文件，但是如何知道process是如何被shutdown的呢？ 我也碰到类似的问题,一个process突然消失，我将Windbg设置为Postmortem debugger。但是Windbg在process消失的时候并没有被invoke. 怀疑可能是类似taskmgr调用TerminateProcess（）杀掉process,或者在程序中某个位置调用TerminateProcess（）,但是很难找到原因. 期待可以找到解决方案或者原因 IP 地址: 已记录   报告

高端调试 » 软件调试 » C/C++本地代码调试 » Re: 出现1st_chance_Process_Shut_Down的dmp文件，但是如何知道process是如何被shutdown的呢？

请选择 论坛首页 |- 论坛搜索 |- 热门主题 |- 未回复的主题 用户选项 |- 登录 |- 注册 |- 找回密码 软件调试 |- Windows内核调试 |- C/C++本地代码调试 |- .Net程序调试 |- 脚本程序调试 |- Java程序调试 |- Linux内核调试 |- 《程序员》杂志调试专栏 |- WinDbg |- GDB |- 远程调试 |- 调试ACPI和BIOS |- 特殊的调试任务 |- 转储分析 |- GDK7 内核探秘 |- Windows内核 |- Linux内核 系统架构 |- CPU架构 |- PCI/PCI Express架构 程序人生 |- 软件物语 |- 社区活动 |- 名人逸事 联盟论坛 |- 欢迎使用CnForums 没有银弹 |- BUG也精彩 |- 豆腐工程 |- 软件圈里十大怪 Windows Vista |- 用调试利剑剖析VISTA内幕 |- 老专家如何破解新问题 |- 我的电脑谁说了算？ |- 资源 Office开发 |- Visio 驱动程序开发 |- Windows驱动开发 |- Linux驱动开发 |- Windows CE驱动开发 用户态开发 |- Windows本地代码（native）高级开发 |- Web应用开发 |- WinFX和.Net |- Office开发 本站建设 |- 高端调试团队 |- 版面布局 |- 活动建议 |- 网站维护 64位计算 |- 64-bit Windows |- 64-bit CPU 图书 |- 《软件调试》的示例程序 |- 《软件调试》的工具 |- 《软件调试》书友 |- 《软件调试》答疑 |- 《软件调试》勘误和意见 |- 《格蠹汇编》 |- 《软件调试》第二版卷1 |- 《软件调试》第二版卷2 云计算 |- IaaS |- 云存储 |- 大数据 |- PaaS和SaaS GPU |- CUDA |- OpenCL |- HSA |- 游戏开发与调试