故障转储调试
暂停怀疑:我知道您的第一直觉可能是宣布“这不可能!”因为这不是微软建议解决问题的方式,并且他们没有提供可用于(轻松)完成它的工具。暂时忘记这个障碍,问问自己,“有某种方法可以做到这一点吗?”
我有一个在生产中支持的 Windows 二进制文件,它是使用调试信息构建的 (MSVC 14.1 /Zi),但调试器报告“不是使用调试信息构建的”。这并不完全正确——我认为它在我无法控制的构建后/预发布过程中被某些工具剥离了,因为我确实有一个 PDB 文件。我有该可执行文件运行(崩溃)时的内存转储。 Visual Studio 和 WinDbg 都声称该模块“没有调试信息”,但如果 WinDbg 找到匹配的符号,它仍然会尝试为其加载符号。
DBGHELP: No debug info for MyDll.dll. Searching for dbg file
DBGHELP: r:\crashes\symbols\MyDll.dbg - file not found
DBGHELP: r:\crashes\symbols\dll\MyDll.dbg - path not found
DBGHELP: r:\crashes\symbols\symbols\dll\MyDll.dbg - path not found
DBGHELP: MyDll.dll missing debug info. Searching for pdb anyway
*** WARNING: Unable to verify checksum for MyDll.dll
DBGENG: MyDll.dll has mismatched symbols - type ".hh dbgerr003" for details
DBGHELP: MyDll - private symbols & lines
r:\crashes\symbols\MyDll.pdb - unmatched
这是 WinDbg 中 !chksym MyDll 的结果
MyDll.dll
Timestamp: 5CF5ABF8
SizeOfImage: 2437000
pdb sig: 0
age: 0
Loaded pdb is r:\crashes\symbols\MyDll.pdb
MyDll.pdb
pdb sig: 944F882B-73AE-45D0-9043-44C899BE09C5
age: 1
sig MISMATCH: MyDll.pdb and MyDll.dll
有没有办法修改内存转储(或二进制文件 - 假设我可以重现问题),以便重新注入(inject)调试器所需的任何内容,以确认我拥有的符号文件与二进制文件匹配?
如果您的答案是“不!”我希望得到一些支持该结论的引用资料。
最后,我希望能够理解调用堆栈。查看变量/内存也很酷,但就调试此问题而言,调用堆栈本身将是一个金矿。
在这方面,“调试信息”只是一个 PE header (即由 dumpbin/HEADERS 显示)还是更多?我可以将此 header 注入(inject)回二进制文件/模块吗?除了符号文件之外,调试器是否还需要更多信息来理解函数地址?
解决符号不匹配问题的工具似乎是通过修改 PDB 文件来工作的。就我而言,这似乎不起作用,因为二进制模块中没有可匹配的 PDB 签名。
引用- Crash dump - WinDbg - force PDB files to match doesn't work?(StackOverflow)
- CHKMATCH (debuginfo.com)
- How to Inspect the Content of a Program Database (PDB) File (codeproject.com)
- microsoft-pdb (microsoft.com)
推论问题
这是一个我想以某种方式解决的问题(从运行这个“剥离的”可执行文件中调试故障转储)。所以,我可能问了错误的问题。 还有其他方法可以解决这个问题吗?
- 我可以使用 PDB 文件中的数据解码 Visual Studio 调试器“外部”的内存地址吗?
- 是否有其他方法可以让调试器使用 PDB 文件中的符号,就好像存在匹配一样(假设模块“没有调试信息”)?
最佳答案
如果您可以将 PDB 签名 GUID 和年龄字段从 PDB 修补回二进制文件,这可能足以让工具相信您拥有正确的符号。这些字段(或它们所在的部分)似乎已被剥离工具清除。
LLVM 项目有一些关于 PDB format 的文档。具体来说,本节简要提及了 how PDBs and binaries are matched由调试器。和this section可能会告诉您如何在二进制文件中查找(或重新创建)PDB Guid 和年龄字段。
PE 头中还有一些标志(如 IMAGE_FILE_LINE_NUMS_STRIPPED ),向调试器发出信息已被剥离的信号。您可能必须重置这些设置才能说服调试器甚至尝试查找 PDB。
我不知道剥离工具还删除了哪些内容。在 32 位二进制文件中,我相信可靠的堆栈展开所需的帧指针优化 (FPO) 数据包含在可执行文件和 PDB 中。如果 FPO 数据从可执行文件中删除,我希望调试器使用 PDB 中的数据,但我尚未确认这一点。如果我不得不猜测,我预计 Windbg 更有可能依赖 PDB,而不是 VS 调试器。
在 x86_64 二进制文件中,基本堆栈展开更简单(例如,您几乎总是能够获得堆栈跟踪,而无需太多展开数据)。但如果您想检查局部变量和参数,则确实需要一些展开数据,这些数据存储在 PDB 中。
抱歉,我只有线索,没有答案。我希望这对您有所帮助。
更新 1:从您的 ChkMatch 链接中,我读到:
ChkMatch is capable of making an executable and PDB file match if they have different signatures but the same age (see this article for more information about PDB signature and age). If the age differs, the tool cannot make the files match. Signature and age can be displayed using -c option.
在您引用的显示中,年龄不同(可执行文件中为 0,PDB 中为 1)。这似乎是 chkmatch -m 无法解决您的问题的可能原因。
关于windows - 有没有办法将调试信息重新添加到我有符号的现有 Windows 可执行文件中?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57010645/