WinDbg中文文档：http://www.dbgtech.net/windbghelp/index.html

!analyze -v分析

在本例中，调试器附加到遇到异常的用户模式应用程序。

0:000> !analyze -v
*******************************************************************************
*                                                                             *
*                                异常分析                                      *
*                                                                             *
*******************************************************************************

Debugger SolutionDb Connection::Open failed 80004005



如果您连接到internet，调试器将尝试访问Microsoft维护的崩溃解决方案数据库。在这种情况下，会显示一条错误消息，表明您的计算机无法访问internet或web站点无法工作。


FAULTING_IP: 
ntdll!PropertyLengthAsVariant+73
77f97704 cc               int     3



FAULTING_IP字段显示错误发生时的指令指针。

EXCEPTION_RECORD:  ffffffff -- (.exr ffffffffffffffff)
ExceptionAddress: 77f97704 (ntdll!PropertyLengthAsVariant+0x00000073)
   ExceptionCode: 80000003 (Break instruction exception)
  ExceptionFlags: 00000000
NumberParameters: 3
   Parameter[0]: 00000000
   Parameter[1]: 00010101
   Parameter[2]: ffffffff



EXCEPTION_RECORD字段显示此崩溃的异常记录。还可以使用.exr(显示异常记录)命令查看此信息。

BUGCHECK_STR:  80000003



BUGCHECK_STR字段显示异常代码。这个名称用词不当——bug检查这个术语实际上表示内核模式崩溃。在用户模式调试中，会显示异常代码。

DEFAULT_BUCKET_ID:  APPLICATION_FAULT



DEFAULT_BUCKET_ID字段显示了故障所属的一般故障类别。

PROCESS_NAME:  MyApp.exe



PROCESS_NAME字段指定引发异常的进程的名称。

LAST_CONTROL_TRANSFER:  from 01050963 to 77f97704



LAST_CONTROL_TRANSFER字段显示堆栈上的最后一个调用。在本例中，地址0x01050963处的代码在0x77F97704处调用了一个函数。您可以将这些地址与ln(列出最近的符号)命令一起使用，以确定这些地址驻留在哪些模块和函数中。

STACK_TEXT:  
0006b9dc 01050963 00000000 0006ba04 000603fd ntdll!PropertyLengthAsVariant+0x73
0006b9f0 010509af 00000002 0006ba04 77e1a449 MyApp!FatalErrorBox+0x55 [D:\source_files\MyApp\util.c @ 541]
0006da04 01029f4e 01069850 0000034f 01069828 MyApp!ShowAssert+0x47 [D:\source_files\MyApp\util.c @ 579]
0006db6c 010590c3 000e01ea 0006fee4 0006feec MyApp!SelectColor+0x103 [D:\source_files\MyApp\colors.c @ 849]
0006fe04 77e11d0a 000e01ea 00000111 0000413c MyApp!MainWndProc+0x1322 [D:\source_files\MyApp\MyApp.c @ 1031]
0006fe24 77e11bc8 01057da1 000e01ea 00000111 USER32!UserCallWinProc+0x18
0006feb0 77e172b4 0006fee4 00000001 010518bf USER32!DispatchMessageWorker+0x2d0
0006febc 010518bf 0006fee4 00000000 01057c5d USER32!DispatchMessageA+0xb
0006fec8 01057c5d 0006fee4 77f82b95 77f83920 MyApp!ProcessQCQPMessage+0x3b [D:\source_files\MyApp\util.c @ 2212]
0006ff70 01062cbf 00000001 00683ed8 00682b88 MyApp!main+0x1e6 [D:\source_files\MyApp\MyApp.c @ 263]
0006ffc0 77e9ca90 77f82b95 77f83920 7ffdf000 MyApp!mainCRTStartup+0xff [D:\source_files\MyApp\crtexe.c @ 338]
0006fff0 00000000 01062bc0 00000000 000000c8 KERNEL32!BaseProcessStart+0x3d



STACK_TEXT字段显示故障组件的堆栈跟踪。

FOLLOWUP_IP: 
MyApp!FatalErrorBox+55
01050963 5e               pop     esi

FOLLOWUP_NAME:  dbg

SYMBOL_NAME:  MyApp!FatalErrorBox+55

MODULE_NAME:  MyApp

IMAGE_NAME:  MyApp.exe

DEBUG_FLR_IMAGE_TIMESTAMP:  383490a9



当!analyze确定可能导致错误的指令，它在FOLLOWUP_IP字段中显示它。符号名称、MODULE_NAME、IMAGE_NAME和DBG_FLR_IMAGE_TIMESTAMP字段显示与此指令对应的符号、模块、图像名称和图像时间戳。

STACK_COMMAND:  .ecxr ; kb


STACK_COMMAND字段显示用于获取STACK_TEXT的命令。您可以使用此命令重复此堆栈跟踪显示，或更改它以获得相关的堆栈信息。

BUCKET_ID:  80000003_MyApp!FatalErrorBox+55


BUCKET_ID字段显示当前故障所属的特定故障类别。这个类别帮助调试器确定要在分析输出中显示哪些其他信息。

Followup: dbg
---------



有关FOLLOWUP_NAME和Followup字段的信息，请参见FOLLOWUP_NAME和triage.ini文件。

有许多其他领域可能出现:

如果将控件转移到无效地址，那么FAULTING_IP字段将包含此无效地址。与FOLLOWUP_IP字段不同，FAILED_INSTRUCTION_ADDRESS字段将显示从这个地址分解的代码，尽管这个分解可能毫无意义。在这种情况下，SYMBOL_NAME、MODULE_NAME、IMAGE_NAME和DBG_FLR_IMAGE_TIMESTAMP字段将引用该指令的调用者。

如果处理器发生错误，您可能会看到SINGLE_BIT_ERROR、TWO_BIT_ERROR或POSSIBLE_INVALID_CONTROL_TRANSFER字段。

如果出现内存损坏，则CHKIMG_EXTENSION字段将指定应该用于调查的!chkimg扩展命令。