Memory.dmpやprocess.dmpの解析方法について

WindowsがBSODになったりアプリケーションがエラー終了した場合、
ログとかで原因を負えなかったらMemory.dmpやWERのProcess.dmp
を解析する事が有効と思い、解析方法を勉強したいと思っています。

Webで探しても極端に高度だったり!analyze -v 位の内容にしか
出てこないです。

書籍だとWindowsダンプの極意だったりリバースエンジニアバイブル
位かなと思いますが、64bitOSの時代に32bit向けの内容だったりで
環境をを用意しないといけなかったり不明点がでてもそれに対する
回答を調べられなかったり、独力では難しいかなとも思っています。

サイトであったりスクールであったりこういった技術を学べるような
場所はありますでしょうか。
解析をしている方とかは、どのような方法で技術を身につけているか
教えて頂けると嬉しいです。

行動規範の内容に同意します

回答2件

ベストアンサー

高度なダンプファイルの解析はwindbgを使用する事になりますが、ユーザーダンプとカーネルダンプでは別の解析テクニックが必要になります。

また、カーネルダンプでも、ドライバ関連の調査とプロセス関連の調査に必要なテクニックは違いますし、ユーザーダンプでも、wow64や.netのプロセスだとそれぞれの解析テクニックが必要になるなど、とにかく解析対象によって様々ノウハウ情報が必要なのが実情で、すべて網羅的に情報がまとまったサイトというのは、まず存在しないと思います。

ただ、日本語の書籍としては、とりあえず以下の本が入門としては非常に有用だと思います。
Windowsダンプの極意エラーが発生したら、まずダンプ解析!

また、カーネルダンプ系の解析に関しては、下記にある程度の情報があります。
WinDbgの使い方
 逆引き WinDbgコマンド

ちなみに、私は会社にて様々なソフト系の技術支援を行っており、様々なカーネルダンプ・ユーザダンプとも数十件（百以上？）は解析しいてて、その中で試行錯誤することで、独学でノウハウを学んでいきました。
（上記URLは、そのノウハウのうちの一部の一般的な内容を掲載したものです。その他の全ノウハウの公開は困難ですが、具体的な事例が示されれば、個別に具体的な解析方法をアドバイス可能かもしれません）

また、カーネルダンプの解析においては、WindowsOSのカーネル内部の知識が必須であり、そのためには、下記の２冊の知識も必須ですね。

あと、有料でも構わないなら
プロフェッショナルのための安価なWindowsカーネルメモリダンプ解析入門講座
というのが存在しています。
（私は受講していないので、どれほど有用かは不明ですが・・・）

投稿2016/08/01 13:10

KenjiToriumi

総合スコア344

mats

2016/08/02 14:11

色々情報ありがとうございます！私も解析にはwindbg使ってます。調べるのはカーネルダンプになります。うちの会社の製品シンボルファイルがなさげなので(笑) インフラ系の部署にいるんですが今はベンダーにほとんど丸投げしてベンダー回答をトレースしながら勉強してます。まだドライバのエラーとかは分かりやすいですが、.netのエラーは複雑すぎて半ばあきらめてます。ダンプの解析で一番難しいと思うのは、色々な観点から立体的に調査をするというのが出来ないですね。やっぱりOSの内部動作等深い知識をつけて数をこなして、結果を分析していくしかないですね。ご紹介頂いたサイト確認してみます。有料のものも安そうなので試してみたいと思います。大変参考になりました！どうもありがとうございます！また詰まったら投稿させていただくかもしれないのでその際はアドバイスを頂けると嬉しいです。

行動規範の内容に同意します

私も独学で勉居中です。

とりあえずVisualStudioがあるならばdmpファイルをロードして概要を調べることができます。たとえば読み込んでいるDLLについてとかならすぐわかります。また、実行環境と同等の環境を用意できるならばプロセスとしてロードし、VisualSudioをデバッガ、対象プログラムをデバッギとしてアタッチした状態を作ることができたはずです（スタックの状況とか見られます）。さらにPDBファイルがあればなお良いと思います。

自分がわかるのはここまでです。というか、自分も情報ほしいです。

投稿2016/07/31 16:08