解码抛出的 C++ 异常 (0xE06D7363) 的参数

Posted 2023-02-22

【中文标题】解码抛出的 C++ 异常 (0xE06D7363) 的参数

【英文标题】：Decoding the parameters of a thrown C++ exception (0xE06D7363)

【发布时间】：2012-02-01 12:35:05

【问题描述】：

我有一个崩溃转储文件（我的 32 位 Windows 应用程序在客户计算机上崩溃了）。异常代码为0xE06D7363。所以，我从 MSDN 博客中找到了这个 article，关于解码异常参数。但是文章中的食谱对我不起作用：

0:000> .exr -1 
ExceptionAddress: 753ad36f (KERNELBASE!RaiseException+0x00000058)
   ExceptionCode: e06d7363 (C++ EH exception)
  ExceptionFlags: 00000001
NumberParameters: 3
   Parameter[0]: 19930520
   Parameter[1]: 0052ccd8
   Parameter[2]: 564099d8
0:000> dd 564099d8 l4
564099d8  00000000 00000000 00000000 564099d0
0:000> dd 564099d0 l2
564099d0  00000001 564099b4
0:000> dd 564099b4 l2
564099b4  00000001 56454aec
0:000> da 56454aec+8
56454af4  "????????????????????????????????"
56454b14  "????????????????????????????????"
56454b34  "????????????????????????????????"
56454b54  "????????????????????????????????"
56454b74  "????????????????????????????????"
56454b94  "????????????????????????????????"
56454bb4  "????????????????????????????????"
56454bd4  "????????????????????????????????"
56454bf4  "????????????????????????????????"
56454c14  "????????????????????????????????"
56454c34  "????????????????????????????????"
56454c54  "????????????????????????????????"

我怎样才能使这种方法有效？或者也许有其他方法来分析这个异常的崩溃转储？

以下是来自!analyze -v的一些信息：

PROCESS_NAME:  ArcMap.exe
MODULE_NAME: arcmap
FAULTING_MODULE: 76fa0000 ntdll
DEBUG_FLR_IMAGE_TIMESTAMP:  4e793643
ERROR_CODE: (NTSTATUS) 0xe06d7363 - <Unable to get error code text>
EXCEPTION_CODE: (NTSTATUS) 0xe06d7363 - <Unable to get error code text>
EXCEPTION_PARAMETER1:  19930520
EXCEPTION_PARAMETER2:  0052ccd8
EXCEPTION_PARAMETER3:  564099d8

【问题讨论】：

可能文章链接需要更新：devblogs.microsoft.com/oldnewthing/20100730-00/?p=13273

【参考方案1】：

涉及许多技术细节。我可以给你指路。

第二个异常参数（0052ccd8）是一个指向_s__ThrowInfo结构的指针，它描述了抛出的类型。第三个参数（564099d8）是一个指向被抛出对象的指针。

首先让我们讨论抛出的对象类型。 _s__ThrowInfo 指向一个常量结构（在编译时生成），它驻留在可执行文件（EXE 或 DLL）中，映射到进程地址空间。

如果全局内存包含在您的故障转储中 - 那么您可以在那里找到它。否则，您可以从可执行文件中推断出它。从您的可执行文件中减去“基”地址（假设它是在其首选地址加载的），您将获得该结构在可执行文件中的偏移量。

从这个结构中解码实际类型有点棘手。它包括有关它可能被强制转换为（C++ 多态性）的类型的信息，加上 d'tor（析构函数），以防它是一个非平凡的类型（具有非平凡的 d'tor）并且它是按值抛出的。 它可以转换为包含指向描述这些类型的适当结构的指针的类型表。除其他外，还有这些类型的文本“编码”。

这些结构的布局信息可以在here找到：

接下来，抛出的对象。它的地址通常属于堆栈内存（严格来说这不是强制性的，可能会抛出全局或动态分配的（堆上）对象。但通常情况并非如此）。如果您的故障转储中包含堆栈 - 您将看到对象布局。再加上你会（希望）意识到它的含义的类型。

如果您的故障转储中没有包含堆栈内存 - 您将无法恢复该对象。

此外，您的对象可能包含指向其他事物（如字符串或其他对象）的指针，这些成员不一定在堆栈上分配。除非您有完整的内存转储，否则您很可能无法意识到这些成员。

【参考方案2】：

老问题和一个很晚的答案（问题在活动列表中弹出所以回复）

raymond chen 和 valdos 的主旨以简洁的脚本回答

0:000> dt _s_throwinfo pCatchableTypeArray[0]->arrayOfCatchableTypes->pType->name  @@c++(( (ntdll!_EXCEPTION_RECORD *) @@masm(@esp+4) )->ExceptionInformation[2])
cppexept!_s_ThrowInfo
   +0x00c pCatchableTypeArray                                        : [0] 
      +0x004 arrayOfCatchableTypes                                      : [0] 
         +0x004 pType                                                      : 
            +0x008 name                                                       : [0]  ".PAD"