Dump文件分析 - PDB强制匹配流程

适用场景

软件开发中，经常会有PDB符号文件丢失，源码无法复原到原版本，软件运行中崩溃。导致我们软件生成的Dump信息无法匹配到PDB，这样有vs打开及windbg打开无法查看到软件崩溃的位置，这样就会浪费很多我们的排查时间。下面这种方式就是用Windbg去强制匹配PDB文件（近几个版本的）

前置条件

1.需要分析的Dump文件
2.与其不匹配的PDB文件（最好是近几个版本的）

指令

1.查看堆栈:k
2.解析dump:!analyze -v
3.重新加载模块符号：.reload /f xxx.dll
(单独的.reload /f 加载所有依赖模块符号)
4.强制加载模块符号：.reload /i xxx.dll
(/i 指令强制加载主要使用指令)

实际步骤

1.打开windbg先加载符号路径，设置我们的PDB路径（重要）
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-M1jlmPQt-1669812948762)(http://10.1.65.34/group1/M00/22/61/CgFBImOHSfmAdI8pAACea0N_kFc676.png)]

2.打开Dump文件
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Ab11flFD-1669812948768)(http://10.1.65.34/group1/M00/22/61/CgFBImOHSaiAJL0qAAD1zPE90Yo525.png)]

3.打开的Dump如下图
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Orb52rMy-1669812948769)(http://10.1.65.34/group1/M00/22/62/CgFBImOHS6CADhdkAABgmDe6Vk8955.png)]

4.输入!analyze -v指令，查看Dump信息
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-iDWSgeNK-1669812948775)(http://10.1.65.34/group1/M00/22/66/CgFBImOHUNCAIHDhAAEjPCN27UQ735.png)]

5.接着输入.reload /f 重新加载所有符号表，查看那些没有被加载，首先我所需要的PDB是下图红色的框内
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sYZPowDF-1669812948776)(http://10.1.65.34/group1/M00/22/66/CgFBImOHUlGAMwlQAAGFN-M9d_Q489.png)]

6.接着输入 .reload /i MH EGWS Hysteroscop.exe 无报错即成功
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OEsNmILO-1669812948782)(http://10.1.65.34/group1/M00/22/66/CgFBImOHUeGAEtMDAAAJzpvct8k122.png)]

7.再次输入!analyze -v指令，查看Dump信息

8.输入k可查看堆栈调用顺序