WinDbg で、特定の関数が呼び出されたこと、また、そこからリターンしたことをトレースする方法について説明します。故障解析などで Win32 API 関数や内部関数の呼び出し状況を把握したい場合に役立ちます。 動作確認環境 Windows 11 Home 22H2 Visual Studio Community 2022 (Visual C++) WinDbg 10.0 結論 いきなり結論ですが、次のようなブレークポイントを仕掛けることで目的が達成できます。 ここで、 <モジュール名&g […]

混乱しがちな、静的リンク・動的リンク・明示的リンク・暗黙的リンク・遅延ロードの違いについて見てみます。Windows 前提です。 動作確認環境 Windows 11 Home 22H2 Visual Studio Community 2022 (Visual C++) 静的リンクと動的リンク 静的リンク （= スタティックリンク）では、プログラムのビルド時に、ライブラリを実行可能ファイル内に埋め込みます（DLL への埋め込みも可）。静的リンク用のライブラリを、静的ライブラリ（= スタティックライ […]

Windows のダンプファイル (*.dmp) はどういうフォーマット（構造）になっているのでしょうか。調べてみましょう。対象はユーザーモードダンプの主流であるミニダンプです。 動作確認環境 Windows 11 Home 22H2 ダンプファイルの概要 ダンプファイル（ミニダンプ）のフォーマットは、マイクロソフトのサイトにある「MINIDUMP_HEADER 構造体」の説明を起点に、各メンバーの詳細を追っていくと分かります [1]。 ざっくり言うと、先頭に「ヘッダ」があり、ヘッダが「ストリー […]

UAC（ユーザーアカウント制御）を有効にしていると、たとえ管理者ユーザーでログオンしていても、管理者権限を要求するプログラムの起動時に次のような UAC 確認画面が表示されます。 この［はい］ボタンをキーボードエミュレーター（ハードウェア）で自動的に押す実験をします。 動作確認環境 Windows 11 Home 22H2 Visual Studio Community 2022 (Visual C++) PowerShell 5.1 Windows API で［はい］ボタンが押せない UAC […]

Windows のプロセスが起動し、DLL の暗黙的ロードが行われ、exe のエントリーポイントが呼び出され、main (WinMain) に入るまでの動作を観察してみます。 動作確認環境 Windows 11 Home 22H2 WinDbg 10.0 通常の手段では手遅れ 調査対象のプログラム（今回は MyMain.exe）を実行してから WinDbg でアタッチしても、 当然ながら、暗黙的ロードの DLL はすでに読み込まれてしまっています。 WinDbg の引数に調査対象のプログラムを指 […]

PC から別の PC に、キーボードエミュレータを使ってファイルをコピーしてみます。ウィルス感染対策などで USB メモリや LAN の使用が禁止されている場合に役立つ、かもしれません。 動作確認環境 Windows 11 Home 22H2 みんラボのキーボード／マウスエミュレータ 自動キーボード入力を行うため、みんなのラボの「キーボード／マウス エミュレータ（USB 接続版）」を利用します [1]。私は秋葉原の Shigezone にて 1650 円で購入しました。 青い USB メモリのよ […]

Windows のダンプファイルから基本的な情報、たとえば「コンピューター名」「ユーザー名」「OS のバージョン」「PC起動日時」「モジュールの一覧」を抜き出す方法について書き留めておきます。本格的な故障解析に入る前に把握しておきたい情報になります。扱うのはカーネルダンプではなくユーザーダンプです。 動作確認環境 Windows 11 Home 22H2 WinDbg 10.0 dumpchk 10.0 ダンプファイルの準備 まずはテスト用のダンプファイルを取得します。メモ帳を起動し、タスクマネ […]

WinDbg のカーネルデバッグで使える USB 3.0 ケーブルを買おうと思ったのですが高すぎたので自作した話です。2 台の PC を直接接続する、両端が USB Type-A オス端子のデバッグ用クロスケーブルです。 Web でデバッグケーブルを探したものの 最初に Web で USB 3.0 デバッグケーブルを探したのですが、ニーズが少ないのか、日本のサイトでは売っていないようでした。 仕方がないので、米国 DataPro 社のサイト [1] からの購入を試みます。 「3ft $14.95 […]

Visual C++ で C/C++ のプログラムをコンパイル（ビルド）すると、ビルドのたびに微妙に異なるバイナリが生成されてしまいます。そのため、バイナリからソースを特定するのが面倒です。この問題を回避する方法を探ります。 動作確認環境 Windows 11 Home 21H2 Visual Studio Community 2019 課題 1. ビルド日時が埋め込まれる Visual C++ はバイナリにビルド日時を埋め込みます。次のプログラムで確認してみましょう。 ビルドします。 生成され […]

次の処理の実行タイミングを調査します。 EXE のロード DLL のロード DLL_PROCESS_ATTACH DLL_PROCESS_DETACH グローバル変数のコンストラクタ グローバル変数のデストラクタ メインルーチン mainCRTStartup _DllMainCRTStartup 動作確認環境 Windows 11 Home 21H2 Visual Studio Community 2019 結論 結論から書きます。 下図の青丸が起動時の処理順になります。 下図の赤丸が終了時の処 […]