windows - 有没有办法将调试信息重新添加到我有符号的现有 Windows 可执行文件中？

Question

故障转储调试

暂停怀疑 :我知道你的第一 react 可能是宣布“不可能!”因为这不是 MS 建议解决问题的方式，而且他们没有提供工具来完成它(很容易)。暂时忘掉这个障碍，问问自己，“有什么方法可以做到这一点吗？”

我有一个我在生产中支持的 Windows 二进制文件，它是用调试信息 (MSVC 14.1 /Zi) 构建的，但调试器报告“不是用调试信息构建的”。这并不完全正确——我认为它在我无法控制的构建后/预发布过程中被某些工具剥离，因为我确实有一个 PDB 文件。我从该可执行文件的运行(崩溃)中获得了内存转储。 Visual Studio 和 WinDbg 都声称该模块“没有调试信息”，尽管 WinDbg 无论如何都会尝试为它加载符号，如果它找到一些匹配的符号。

DBGHELP: No debug info for MyDll.dll.  Searching for dbg file
DBGHELP: r:\crashes\symbols\MyDll.dbg - file not found
DBGHELP: r:\crashes\symbols\dll\MyDll.dbg - path not found
DBGHELP: r:\crashes\symbols\symbols\dll\MyDll.dbg - path not found
DBGHELP: MyDll.dll missing debug info.  Searching for pdb anyway
*** WARNING: Unable to verify checksum for MyDll.dll
DBGENG:  MyDll.dll has mismatched symbols - type ".hh dbgerr003" for details
DBGHELP: MyDll - private symbols & lines 
        r:\crashes\symbols\MyDll.pdb - unmatched

这是WinDbg中 !chksym MyDll的结果

MyDll.dll
    Timestamp: 5CF5ABF8
  SizeOfImage: 2437000
      pdb sig: 0
          age: 0

Loaded pdb is r:\crashes\symbols\MyDll.pdb

MyDll.pdb
      pdb sig: 944F882B-73AE-45D0-9043-44C899BE09C5
          age: 1

sig MISMATCH: MyDll.pdb and MyDll.dll

有没有办法修改内存转储(或二进制文件——假设我可以重现问题)，以便重新注入(inject)调试器所需的任何内容，以确认我拥有的符号文件与二进制文件匹配？

如果你的回答是“不!”我将不胜感激一些支持该结论的引用资料。

最后，我希望能够理解调用堆栈。查看变量/内存也很酷，但调用堆栈本身在调试此问题方面将是一座金矿。

在这方面，“调试信息”只是一个 PE 头(即由 dumpbin /HEADERS 显示)还是更多？我可以将此 header 注入(inject)二进制/模块吗？除了符号文件之外，调试器是否需要更多信息来理解函数地址？

解决符号不匹配的工具似乎可以通过修改 PDB 文件来工作。就我而言，这似乎不起作用，因为二进制模块中没有要匹配的 PDB 签名。

引用

Crash dump - WinDbg - force PDB files to match doesn't work? (StackOverflow)

CHKMATCH (debuginfo.com)

How to Inspect the Content of a Program Database (PDB) File (codeproject.com)

microsoft-pdb (microsoft.com)

推论问题

这是我想以一种或另一种方式解决的问题(从运行此“剥离”可执行文件中调试故障转储)。所以，我可能问错了问题。 有没有其他方法可以解决这个问题？

我可以使用 PDB 文件中的数据解码 Visual Studio 调试器“外部”的内存地址吗？

是否有其他方法可以让调试器像匹配一样使用 PDB 文件中的符号(假设模块“没有调试信息”)？

Answer 1

如果您可以将 PDB 签名 GUID 和年龄字段从 PDB 修补回二进制文件，这可能足以让工具相信您拥有正确的符号。这些字段(或他们居住的部分)似乎已被剥离工具清除。

LLVM 项目在 PDB format 上有一些文档。 .具体来说，本节简要提及了how PDBs and binaries are matched。由调试器。和this section可能会告诉您如何在二进制文件中查找(或重新创建)PDB Guid 和年龄字段。

PE header 中还有一些标志(如 IMAGE_FILE_LINE_NUMS_STRIPPED )向调试器发出信息已被剥离的信号。您可能必须重置这些以说服调试器甚至尝试查找 PDB。

我不知道剥离工具可能还删除了什么。在 32 位二进制文​​件中，我相信可靠堆栈展开所需的帧指针优化 (FPO) 数据包含在可执行文件和 PDB 中。如果从可执行文件中删除 FPO 数据，我希望调试器使用 PDB 中的数据，但我尚未确认。如果我不得不猜测，我希望 Windbg 比 VS 调试器更可能依赖 PDB。

在 x86_64 二进制文件中，基本的堆栈展开更简单(例如，您应该几乎总是能够在没有太多展开数据的情况下获得堆栈跟踪)。但是，如果您想检查局部变量和参数，您确实需要一些展开数据，这些数据存储在 PDB 中。

对不起，我只有线索而不是答案。我希望这是有帮助的。

更新 1:从您的 ChkMatch 链接中，我读到:

ChkMatch is capable of making an executable and PDB file match if they have different signatures but the same age (see this article for more information about PDB signature and age). If the age differs, the tool cannot make the files match. Signature and age can be displayed using -c option.

在您引用的显示中，年龄不同(可执行文件中的 0 和 PDB 中的 1)。这似乎是 chkmatch -m 的可能原因不会解决你的问题。