Dostlar selam, bugün farklı bir yazı ile birlikteyiz.

Windows işletim sistemi için (ve muhtemelen diğer işletim sistemleri) yazılım geliştiren bir çoğumuz, yazılımları konuşlandırdıktan sonra çıkan ve yazılımların göçmesi ile sonuçlanan hatalar ile karşılaşıyoruzdur. Genelde de bu yazılımların bir çoğu da kendi makinelerimizde çalışıyor oluyorlar 🙂 Bunları eğer tekrarlayabiliyorsanız ne ala. Ama eğer oluşturamıyorsanız büyük sıkıntı. Bir de tabi mavi ekranlar var aşağıdaki gibi 🙂 Peki bu durumda ne yapacağız? Elbette, çeşitli kayıt çıktıları veya uygulamanın davranışından bazı çıkarımlarda bulunabilirsiniz. Peki ya bulunamazsanız ne olacak?

İşte bu yazımızda, bu duruma düşdüğünüz durumda, izleyebileceğiniz yöntemlerden birine değineceğim (ki ben de bunu böyle bir durum düştükten sonra öğrenerek uyguladım ve problemin kaynağını çözmemde yardımcı oldu). Bu yöntem bellek dökümlerinin incelenmesine dayanıyor. Elbette, bunları belirli araçları kullanarak ve yaklaşımları izleyerek yapıyor olacağız.

Temelde, bellek döküm dosyaları, bellekte çalışan ve yüklü olan uygulamalara, kullanılan verilere ve diğer ilintili hususlara ilişkin verileri içeren dosyadır. Bir uygulama çöktüğü zaman, uygulama tamamen kapatılmadan önce, “registery” içerisinde döküm alınmasına ilişkin bir ayar var mı diye kontrol edilir ve eğer var ise ilgili döküm dosyası oluşturulur.

Öncelikle şunu ifade etmekte fayda var ki, bu yöntem windows üzerinde çalışacak olan uygulamalar için geçerli, açıkçası benzer araçlar diğer işletim sistemleri nasıl kullanılıyor bilmiyorum ama olduğuna eminim.

Şimdi gelelim bu yaklaşımı nasıl uygulayacağımıza. Burada, önce sizlere izlemeniz gereken adımları aktarmaya çalışacağım daha sonra bu adımlarda yaptığımız eylemlerin, alanların ne anlama geldiklerini aktarmaya çalışacağım. Son olarak da, elde ettiğimiz kayıtları nasıl anlamlandıracağımıza bakıyor olacağız.

Gerekli Ayarlar

Bu şekilde, hata kayıt dökümlerine almaya yönelik ayar ne yazık ki windows ile ayarlı gelmiyor ve bu kabiliyeti kullanabilmek için registery’de bir takım ayarlar yapmamız gerekiyor ki, bu sebeple bir yedek almanızda fayda var. Şimdi adım adım ne yapacağımıza bakalım:

Gerekli Araçlar

Elde ettiğiniz döküm dosyalarını anlamlandırabilmek için bir takım araçlar kullanmanız gerekmekte ve bunların en önemlisi de WinDbg aracıdır. Bu araç ile birlikte, kernel ve user mode uygulamalarınızı/kodlarınıza ilişkin hata ayıklama, dökümleri inceleme ve işlemci register’larına göz atabiliriniz. Microsoft’un buna ilişkin çok güzel kılavuzları da mevcut. Ör. https://docs.microsoft.com/tr-tr/windows-hardware/drivers/debugger/getting-started-with-windows-debugging

Öncelikle bu araçla inceleyebileceğimiz bir döküm dosyası oluşturalım nasıl mı? En kolayınızdaki bir C ya da C++ derleyecisi ile aşağıdaki kod parçasından oluşan bir uygulama oluşturun ve çalıştırın.

Eğer, bir önceki başlık altındaki ayarlarımızı düzgün yaptıysak. D:\CrashDumps dizini altında (siz hangi dizini ayarladıysanız), aşağıdaki dosyanın oluşmuş olduğunu göreceksiniz:

Şimdi, WinDbg aracı ile bu dökümü inceleyelim:

1. Öncelikle WinDbg Preview aracını indirerek kurmanız gerekiyor, ilgili bağlantıyı izlediğinizde sizi microsoft store’a yönlendiriyor olacak ve orada ilgili uygulamayı indirebilirsiniz,
   1. 

2. Daha sonra bu uygulamayı yönetici hakları ile başlatmanız gerekiyor,

   1. 

3. Uygulamayı çalıştırdıktan sonra, Dosya -> Start Debugging -> Open dump file’ı seçmeniz gerekiyor. Daha sonra çıkan pencereden az önce gördüğümüz döküm dosyasını seçiyoruz,

   1. 

4. Dosyayı açtıktan sonra, uygulama ilgili .exe’iy analiz etmek için gerekli dosyaları yüklüyor (durum çubuğundan görebilirsiniz):

   1. 

5. Bu aşamadan sonra 0:000>’ın yanındaki komut alanına “!analyze -v” yazmanız yeterli. Bu komut da, oluşturulan döküm dosyasını analiz edip, ilgili çıktıları “Command” sekmesine basıyor olacak, hemen bakalım:

   1. 

6. Evet, bu analiz sonucunda sekmeye basılan bilgileri aşağıya ekliyorum. Eğer, uygulamanız, benim örneğimde olduğu gibi “Debug” bilgileri ile derlendiyse, ilgili hatanın/göçmenin kod içerisindeki satırına kadar bilgiyi görebilirsiniz. Burada önemli olan satırlar (PROCESS NAME, STACK_TEXT, FAULTING_SOURCE_LINE, FAULTING_SOURCE_LINE_NUMBER, MODULE_NAME ve tabi ki FAILURE_BUCKET_ID):
   1. C++

      ******************************************************************************* * * * Exception Analysis * * * ******************************************************************************* KEY_VALUES_STRING: 1 Key : AV.Dereference Value: NullPtr Key : AV.Fault Value: Write Key : Analysis.CPU.mSec Value: 1234 Key : Analysis.DebugAnalysisManager Value: Create Key : Analysis.Elapsed.mSec Value: 1243 Key : Analysis.Init.CPU.mSec Value: 718 Key : Analysis.Init.Elapsed.mSec Value: 209914 Key : Analysis.Memory.CommitPeak.Mb Value: 70 Key : Timeline.Process.Start.DeltaSec Value: 2 Key : WER.OS.Branch Value: vb_release Key : WER.OS.Timestamp Value: 2019-12-06T14:06:00Z Key : WER.OS.Version Value: 10.0.19041.1 NTGLOBALFLAG: 0 APPLICATION_VERIFIER_FLAGS: 0 CONTEXT: (.ecxr) eax=00000000 ebx=0081a000 ecx=6f194fbb edx=7a475a78 esi=00a61023 edi=00b7fc84 eip=00a624b5 esp=00b7fbac ebp=00b7fc84 iopl=0 nv up ei pl nz na pe nc cs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00010206 AppToCrash!main+0x45: 00a624b5 c70000000000 mov dword ptr [eax],0 ds:002b:00000000=???????? Resetting default scope EXCEPTION_RECORD: (.exr -1) ExceptionAddress: 00a624b5 (AppToCrash!main+0x00000045) ExceptionCode: c0000005 (Access violation) ExceptionFlags: 00000000 NumberParameters: 2 Parameter[0]: 00000001 Parameter[1]: 00000000 Attempt to write to address 00000000 PROCESS_NAME: AppToCrash.exe WRITE_ADDRESS: 00000000 ERROR_CODE: (NTSTATUS) 0xc0000005 - 0x%p adresindeki y nerge 0x%p adresindeki belle e ba vurdu. Bellek u olamaz %s. EXCEPTION_CODE_STR: c0000005 EXCEPTION_PARAMETER1: 00000001 EXCEPTION_PARAMETER2: 00000000 FAULTING_LOCAL_VARIABLE_NAME: deneme STACK_TEXT: 00b7fc84 00a62c63 00000001 00d4c3d8 00d51700 AppToCrash!main+0x45 00b7fca4 00a62ab7 6faeb2bb 00a61023 00a61023 AppToCrash!invoke_main+0x33 00b7fd00 00a6294d 00b7fd10 00a62ce8 00b7fd20 AppToCrash!__scrt_common_main_seh+0x157 00b7fd08 00a62ce8 00b7fd20 76a1fa29 0081a000 AppToCrash!__scrt_common_main+0xd 00b7fd10 76a1fa29 0081a000 76a1fa10 00b7fd7c AppToCrash!mainCRTStartup+0x8 00b7fd20 77057a7e 0081a000 5fa1404f 00000000 kernel32!BaseThreadInitThunk+0x19 00b7fd7c 77057a4e ffffffff 77078a24 00000000 ntdll!__RtlUserThreadStart+0x2f 00b7fd8c 00000000 00a61023 0081a000 00000000 ntdll!_RtlUserThreadStart+0x1b FAULTING_SOURCE_LINE: C:\Users\fatih\source\repos\AppToCrash\AppToCrash.cpp FAULTING_SOURCE_FILE: C:\Users\fatih\source\repos\AppToCrash\AppToCrash.cpp FAULTING_SOURCE_LINE_NUMBER: 10 FAULTING_SOURCE_CODE: 6: int main() 7: { 8: std::cout << "Gocmeye hazir miyiz?\n"; 9: int* deneme = 0; > 10: *deneme = 0; 11: } 12: 13: // Run program: Ctrl + F5 or Debug > Start Without Debugging menu 14: // Debug program: F5 or Debug > Start Debugging menu 15: SYMBOL_NAME: AppToCrash!main+45 MODULE_NAME: AppToCrash IMAGE_NAME: AppToCrash.exe STACK_COMMAND: ~0s ; .ecxr ; kb FAILURE_BUCKET_ID: NULL_POINTER_WRITE_c0000005_AppToCrash.exe!main OS_VERSION: 10.0.19041.1 BUILDLAB_STR: vb_release OSPLATFORM_TYPE: x86 OSNAME: Windows 10 FAILURE_ID_HASH: {4772375e-2b86-9361-1fdb-daa2edb4f5a8} Followup: MachineOwner ---------

      1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133

      ******************************************************************************* *                                                                             * *                        Exception Analysis                                   * *                                                                             * *******************************************************************************     KEY_VALUES_STRING: 1       Key  : AV.Dereference     Value: NullPtr       Key  : AV.Fault     Value: Write       Key  : Analysis.CPU.mSec     Value: 1234       Key  : Analysis.DebugAnalysisManager     Value: Create       Key  : Analysis.Elapsed.mSec     Value: 1243       Key  : Analysis.Init.CPU.mSec     Value: 718       Key  : Analysis.Init.Elapsed.mSec     Value: 209914       Key  : Analysis.Memory.CommitPeak.Mb     Value: 70       Key  : Timeline.Process.Start.DeltaSec     Value: 2       Key  : WER.OS.Branch     Value: vb_release       Key  : WER.OS.Timestamp     Value: 2019-12-06T14:06:00Z       Key  : WER.OS.Version     Value: 10.0.19041.1     NTGLOBALFLAG:  0   APPLICATION_VERIFIER_FLAGS:  0   CONTEXT:  (.ecxr) eax=00000000 ebx=0081a000 ecx=6f194fbb edx=7a475a78 esi=00a61023 edi=00b7fc84 eip=00a624b5 esp=00b7fbac ebp=00b7fc84 iopl=0         nv up ei pl nz na pe nc cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00010206 AppToCrash!main+0x45: 00a624b5 c70000000000    mov     dword ptr [eax],0    ds:002b:00000000=???????? Resetting default scope   EXCEPTION_RECORD:  (.exr -1) ExceptionAddress: 00a624b5 (AppToCrash!main+0x00000045)    ExceptionCode: c0000005 (Access violation)   ExceptionFlags: 00000000 NumberParameters: 2    Parameter[0]: 00000001    Parameter[1]: 00000000 Attempt to write to address 00000000   PROCESS_NAME:  AppToCrash.exe   WRITE_ADDRESS:  00000000   ERROR_CODE: (NTSTATUS) 0xc0000005 - 0x%p adresindeki y nerge 0x%p adresindeki belle e ba vurdu. Bellek  u olamaz %s.   EXCEPTION_CODE_STR:  c0000005   EXCEPTION_PARAMETER1:  00000001   EXCEPTION_PARAMETER2:  00000000   FAULTING_LOCAL_VARIABLE_NAME:  deneme   STACK_TEXT:   00b7fc84 00a62c63     00000001 00d4c3d8 00d51700 AppToCrash!main+0x45 00b7fca4 00a62ab7     6faeb2bb 00a61023 00a61023 AppToCrash!invoke_main+0x33 00b7fd00 00a6294d     00b7fd10 00a62ce8 00b7fd20 AppToCrash!__scrt_common_main_seh+0x157 00b7fd08 00a62ce8     00b7fd20 76a1fa29 0081a000 AppToCrash!__scrt_common_main+0xd 00b7fd10 76a1fa29     0081a000 76a1fa10 00b7fd7c AppToCrash!mainCRTStartup+0x8 00b7fd20 77057a7e     0081a000 5fa1404f 00000000 kernel32!BaseThreadInitThunk+0x19 00b7fd7c 77057a4e     ffffffff 77078a24 00000000 ntdll!__RtlUserThreadStart+0x2f 00b7fd8c 00000000     00a61023 0081a000 00000000 ntdll!_RtlUserThreadStart+0x1b     FAULTING_SOURCE_LINE:  C:\Users\fatih\source\repos\AppToCrash\AppToCrash.cpp   FAULTING_SOURCE_FILE:  C:\Users\fatih\source\repos\AppToCrash\AppToCrash.cpp   FAULTING_SOURCE_LINE_NUMBER:  10   FAULTING_SOURCE_CODE:        6: int main()      7: {      8:     std::cout << "Gocmeye hazir miyiz?\n";      9:     int* deneme = 0; >   10:     *deneme = 0;     11: }     12:     13: // Run program: Ctrl + F5 or Debug > Start Without Debugging menu     14: // Debug program: F5 or Debug > Start Debugging menu     15:     SYMBOL_NAME:  AppToCrash!main+45   MODULE_NAME: AppToCrash   IMAGE_NAME:  AppToCrash.exe   STACK_COMMAND:  ~0s ; .ecxr ; kb   FAILURE_BUCKET_ID:  NULL_POINTER_WRITE_c0000005_AppToCrash.exe!main   OS_VERSION:  10.0.19041.1   BUILDLAB_STR:  vb_release   OSPLATFORM_TYPE:  x86   OSNAME:  Windows 10   FAILURE_ID_HASH:  {4772375e-2b86-9361-1fdb-daa2edb4f5a8}   Followup:     MachineOwner ---------

7. Buradaki alanlar, hata kodları ve daha bir çok bilgi için https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/bug-check-code-reference2 sayfasına muhakkak göz atın.

Evet arkadaşlar bu yazım ile birlikte, sinir bozucu göçme hatalarını çözmede kullanabileceğiniz bir yaklaşıma da göz atmış olduk.

Biraz internette dolaştığımda, bu tarz göçme durumlarını uygulama içerisinde yakalamaya yönelik bir takım kütüphanelere de rast geldim. Açıkçası çok incelemesemde, ihtiyaç duyan arkadaşlar yardımcı olabilir. Bunlardan birisi de “crashrpt” kütüphanesi. Her ne kadar yeni bir kütüphane olmasa da, benzerleri için bir fikir verebilir veya kendi kütüphanenizi oluşturmak için faydalı olabilir. Bu konuda ayrıca https://www.wikiwand.com/en/Crash_reporter sayfasında da, güzel bilgilere ulaşabilirsiniz.

Bir sonraki yazımda görüşmek dileğiyle sevgili yazılımperver dostlarım, bol kodlu ve sağlıklı günler diliyorum 🙂

Kaynaklar

• https://docs.microsoft.com/tr-tr/windows/win32/wer/collecting-user-mode-dumps?redirectedfrom=MSDN
• https://docs.microsoft.com/tr-tr/windows-hardware/drivers/debugger/debugger-download-tools
• https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/bug-check-code-reference2
• https://www.wikiwand.com/en/Crash_reporter
• http://crashrpt.sourceforge.net/