使用Windows事件查看器调试崩溃

本文讨论如何使用Windows事件查看器获取实际崩溃的模块以及代码中崩溃的位置。示例代码是用C++编写的，以生成不同类型的崩溃，例如访问冲突和堆栈溢出。

简介

我经常听同事和QA那里听说，一个特定的崩溃很容易在客户机上重现，而不是在他们的机器上重现。这是一个棘手的问题，因为开发人员无法在客户机上调试崩溃。最终的结果是支持团队和客户之间无休止的沟通，甚至是现场会议。很少有聪明的程序员自己开发一个崩溃日志系统来确定导致崩溃的代码。很少有人会在代码中全面地实现try-catch块，以缩小问题的范围。

背景

近年来，我开始使用事件查看器检查在特定计算机上注册的各种警告和错误的日志。我注意到应用程序或程序崩溃记录在应用程序事件日志中，并且在大多数情况下都有足够的信息来获取崩溃或问题位置。事件查看器通常位于C:\ Windows\system32\eventvwr.exe中，一旦启动，就可以轻松查看应用程序事件日志。

当应用程序或程序在特定机器上崩溃时，类似的信息也会显示给用户。

如何调试崩溃？

为了更好地理解事件记录器/查看器，我决定创建一个简单的程序，当某个特定的命令行参数传递给它时，该程序将崩溃。

HowToFindCrashInExeCode.exe以1到4之间的数字作为参数，然后通过生成适当的异常来相应地崩溃。1号和3号生成访问冲突异常，而2号和4号分别在从属DLL和主EXE中生成StackOverflow异常。下面的两个图像显示了当程序在命令行上崩溃时，使用1作为输入参数的崩溃报告和应用程序事件日志。

应用程序事件日志提供给我们的重要细节是错误应用程序路径、错误模块名称和路径、异常代码以及最重要的错误偏移量。错误应用程序路径、错误模块名称和路径的目的非常明显。异常代码揭示了崩溃发生的细节和/或情况。故障偏移量是加载的故障模块内的内存位置，即它为我们提供了日志中提到的故障模块中的准确故障位置。从客户处获取应用程序事件日志后，请检查故障模块名称、路径和故障偏移量，然后在计算机上启动应用程序并将其附加到调试器。找到加载的故障模块的起始内存地址，并将故障偏移量添加到此地址。然后使用反汇编跳转到内存地址。反汇编将准确地告诉您崩溃的位置。这不是一个很酷很快就能解决问题的方法吗。上面的事件管理器日志告诉我们，错误模块是HowToFindCrashInDLLCode.dll，异常代码是0xc000005，这是访问冲突异常，错误偏移量是0x00001032。下图描述了howtoFindCrashHindllcode.dll的反汇编以及模块加载地址。

模块加载地址为0x73D60000，现在添加错误偏移量0x00001032。产生的内存地址是0x73D61032。跳转到此内存位置后，可以看到崩溃来自函数crashForAccessViolation，生成此崩溃的代码是pVal[0]=10；因为pVal是未实例化的整数指针。

比较有趣的点

在开发人员的机器上调试相同版本/配置/平台的程序以获得准确的错误位置是很重要的。另外，如果为程序生成了pdb，那么一旦跳转到错误偏移量，就可以看到反汇编和源代码。不需要在禁用优化的情况下构建程序，因为该程序的错误偏移量是通用的，开发人员需要自己做一些基本的数学计算。有时，崩溃模块是系统DLL之一，例如kernel.DLL、nt.DLL或msvcr100.DLL，然后按上述方法检查故障偏移量，并检查异常代码。这两件事将帮助您猜测代码中的问题，例如STL或CRT库抛出一些异常，如逻辑错误，有时会生成未处理的异常，这些异常会被系统DLL捕获。