生产时调试 - 会话 0 进程

Question

我有以下场景：

• Windows 2008
• 服务以特定用户凭据（即不是系统帐户）运行。
• 该服务启动一个子进程
• 子进程启动，一秒钟后出现异常并崩溃

我正在尝试将调试器附加到子进程并在崩溃之前对其进行调试

我正在尝试使用 gflags 并设置调试器。问题是该服务正在会话 0 中运行，因此 Windbg 不可见。我无法将服务设置为“允许与桌面交互”，因为该服务无法使用本地系统帐户，而必须使用特定用户的凭据。

我不确定它是否打算像这样工作，但我还尝试使用 Windbg -pe 从 Windbg 的另一个实例连接到会话 0 中的 Windbg（这样我就会运行两个 Windbg）。但它不起作用 - 第二个实例似乎无法停止进程并查看其调用堆栈。

有什么想法如何在子进程崩溃之前将调试器附加到子进程以进行调试吗？

Answer 1

您可以使用命令行调试器 cdb 来实现此目的。
启动带有 cdb 的服务，并作为调试服务器启动。
您可以添加以下命令

"c:\program files\windows 调试工具\cdb" -server
tcp:端口=5500 -g -G

到注册表项的注册表值 Debugger（类型字符串）

HKLM\Software\Microsoft\Windows NT\CurrentVersion\图像文件执行
选项\YourApplication.Exe

然后使用windbg连接到调试服务器

windbg -remote tcp:server=localhost,port=5500

Answer 2

还有一种选择：

当WinDbg自动启动时，你确实看不到它。但是，您可以将 ntsd 配置为 jit 调试器，并启用远程调试。然后，您可以将 WinDbg 连接到 ntsd 并远程调试该进程。有关详细信息，请参阅： 在 Windows Vista 上调试服务。

Answer 3

为什么不从故障转储开始呢？ http://www.codeproject.com/KB/debug/automemorydump.aspx

Answer 4

将 Sleep(30000) 添加到您的子进程入口点。这将为您提供足够的时间来连接调试器。