精华内容
下载资源
问答
  • 查找/分析Windows蓝屏DMP文件

    千次阅读 2019-10-16 20:04:10
    当电脑出现蓝屏时,Windows系统会自动生成一个蓝屏错误DMP文件,这个文件保存在系统哪个位置,哪个目录下面,怎么获取到这个蓝屏错误DMP文件呢?若没有经过人为更改,蓝屏错误DMP文件一般默认会保存在系统根目录下,...

    引言

    蓝屏错误DMP文件一般默认会保存在系统根目录下,如C:\Windows\或C:\Windows\Minidump文件夹下,这是因为Windows系统版本不同而不同。
    需要使用到微软的Debugging Tools来打开蓝屏错误DMP文件,结合官网和经验来判断蓝屏发生的原因。

    一、查找DMP文件所在位置

    1. 在Windows10系统中,“我的电脑“–“”属性“”进入"系统信息(system info)"

      也可以按Windows键+X,选择“系统(system)”–“系统信息(system info)”

      在这里插入图片描述在这里插入图片描述

    2. 然后点击“更改设置(Change Setting)”–“高级(Advanced)”–“设置Settings…”,查看Dump File所在目录

      也可以在“运行”窗口输入“sysdm.cpl”直接进入“系统属性(System Properties)”

      在这里插入图片描述3. 如上图,DMP文件所在目录是%SystemRoot%
      %SystemRoot%是系统中的一个变量,是指操作系统的系统目录或者是根目录,我的系统安装在C盘,所以%SystemRoot%对应的目录是C:\Windows。

      请注意!
      DMP文件还可以存放在%SystemRoot%\Minidump中

      minidump文件夹下的文件可能会处于权限保护之下,建议首先复制文件到桌面
      在这里插入图片描述

    二、安装分析工具Windbg

    1. 分析DMP文件我们一般使用Windbg这个工具,而该工具包含中SDK里,SDK的下载地址:
      蓝屏Dump分析工具 x86位版本下载:微软Windbg官方安装版x86(单独安装使用)
      蓝屏Dump分析工具 x64位版本下载:微软Windbg官方安装版x64(单独安装使用)
      如果有需要可以下载完整版SDK:Windows 10 SDK下载链接(部分安装使用)
      在这里插入图片描述
    2. 安装完成后重启电脑,即可打开Windbg工具。

    三、分析DMP文件

    1. 设置符号表

      注:符号表是WinDbg关键的“数据库”,里边储存着各种蓝屏代码的分析结果。

      1.1 运行Windbg,然后按Ctrl+S或从文件菜单中打开符号表设置窗;
      1.2 将符号表地址:SRV*C:\Symbols*http://msdl.microsoft.com/download/symbols 粘贴在输入框中,确定。

      注:加粗字体(C:\Symbols)为符号表本地存储路径,建议固定路径,你也可以选择其它路径,可避免符号表重复下载。

      在这里插入图片描述

    2. 打开DMP文件或将DMP拖进Windbg
      在这里插入图片描述在这里插入图片描述
      如果在打开第二个DMP文件时,可能因为上一个分析记录未清除,导致无法直接分析下一个dmp文件,可以使用快捷键Shift+F5来关闭上一个DMP的分析记录。

    3. 打开之后首先查看两点#

      • 第一个关键信息:Probably caused by:*********
      • 第二个关键信息:找到并点击“!analyze –v ”,从弹出的内容中查找 BUGCHECK_STR: ********

      参考链接:https://blog.csdn.net/qq_35583007/article/details/92793605#commentBox

    4. 根据以上信息,再对照蓝屏常见错误:Windows常见蓝屏故障分析(MVP 撰稿) 中的信息,找到问题对应的大致可能的原因。

    展开全文
  • 我们以收集一款收费软件引起windows系统蓝屏为例子,进行讲解。 常规报错需收集日志信息:1、计费服务端日志:服务端安装目录下手动创建wxlog和wxpluglog两个文件夹,分别获取计费日志及插件日志。若网吧之前已经...

    原文效果更好

    http://blog.csdn.net/cd520yy/article/details/12776811

     我们以收集一款收费软件引起windows系统蓝屏为例子,进行讲解。

        

    常规报错需收集日志信息:

    1、计费服务端日志:服务端安装目录下手动创建wxlog和wxpluglog两个文件夹,分别获取计费日志及插件日志。若网吧之前已经存在日志目录并且日志较大,可以先删除之前的日志文件,重现问题后再提取新日志

    2、计费客户端日志:在客户端system32目录下手动创建wxlog和wxpluglog两个文件夹,分别获取计费日志及插件日志。

    蓝屏问题需要提取dump文件:

    有盘环境

    一、设置日志文件

    方法一:(推荐:获取的日志信息全面,更利于分析)

    右键“我的电脑”,选择“属性”,在“高级=>启动和故障恢复”里选择“设置”,参照下图所示进行设置

    方法二:(不推荐:日志信息简短,只能进行粗略的分析)

    右键“我的电脑”,选择“属性”,在“高级=>启动和故障恢复”里选择“设置”,参照下图所示进行设置

    二、获取日志文件

    日志文件存放在以下目录:
      核心内存转储路径:C:\WINDOWS\MEMORY.DMP
      小内存转储文件路径:C:\WINDOWS\Minidump\

    请在以上路径获取日志文件,也可自定义日志文件存放路径(最好放在非还原保护的盘符下,这样可以避免系统重启导致的日志丢失现象。

    =====================

    无盘环境(有盘环境同样适用)

    一、设置日志文件

    利用系统自带的程序drwtsn32.exe(目录:C:\WINDOWS\system32\)进行故障日志和dump的获取,具体操作如下:

    1、在系统“运行”里输入:drwtsn32.exe,弹出如下图所示窗口进行设置:

    注:在①处设置日志和故障dmp输出地址(最好放在非还原保护的盘符下,这样可避免系统重启导致的日志丢失现象),并按照②所示对选项进行设置。

    2、执行完上一步操作后,在系统“运行”中输入:drwtsn32 -i进行安装,弹出以下窗口即表示安装成功。

    二、获取日志文件

    在出现故障的时候,请取得问题网吧机器上设置文件夹中的log日志和dmp文件。

    =====================

    DMP文件提取所需注意点:

    1、 虚拟内存设置
      虚拟内存(页面文件)必须设置在C盘,初始大小应大于物理内存至少1M。不然无法打到完全内存转储。

    2:转储文件默认路径为
      %SystemRoot%\MEMORY.DMP。默认在WINDOWS目录下。可以设置到其他路径。

    3:部分非常见系统崩溃的蓝屏现象无法提取DMP

    4:4G或者更大的内存需要创建完整DMP文件,必须对boot.ini使用/MAXMEM转换。

    =====================

    DMP文件提取常见问题

    问:还原状态下DMP文件是否会被还原
      答:建议用户将DMP文件放到不会还原的目录或盘符,无盘用户可考虑使用U盘,或移动硬盘。


    问:开机就蓝的如何提取
      答:可以直接在设置路径的时候,设置U盘的盘符,然后待日志生成后,在系统启动后的U盘去查找。

    而后重启PC、再次重现问题、持续按下右侧Ctrl 按钮并双按键盘上的Scroll 按钮、等待直到DMP文件创建完成并在正常模式下重启系统、确保完整的DMP文件已经被成功创建、重启PC。



    展开全文
  • Windows蓝屏dump文件查看器

    千次阅读 2013-03-13 09:30:26
    Windbg-分析Windows蓝屏原因利器[转] 下载地址 先声明下,虽然用windbg诊断蓝屏之前网络上已经有人发过教程了,但就我而言, 学会使用windbg来诊断蓝屏也算是自己的原创吧。以前看一个微软专家的视频(微软专家...

    转自:http://ldg088.blog.163.com/blog/static/792318942010111534828666/


    Windbg-分析Windows蓝屏原因利器[转]
    下载地址
    先声明下,虽然用windbg诊断蓝屏之前网络上已经有人发过教程了,但就我而言, 学会使用windbg来诊断蓝屏也算是自己的原创吧。以前看一个微软专家的视频(微软专家张银奎老师的《如何诊断和调试蓝屏错误》),专家提到可以用 windbg来调试dump文件,当时我就想能不能只关注是什么文件导致的系统崩溃,然后对症下药。后来通过一系列的实验,自己摸索出了用windbg诊 断蓝屏的方法,成功解决了包括KIS7.0插件、QQ插件、迅雷插件导致的蓝屏。废话就不多说了,本文没什么高深的技术,只是一些简单的操作,但应该可以 让身陷蓝屏困扰中的朋友带来些变化,起码能让你知道是谁在捣乱!
      
       直观地说,蓝屏是系统崩溃。操作系统在遇到致命错误导致崩溃时,并不是直接挂掉,而是会记录下当时内存中的数据,将其存储成为dump文件,并用一串蓝屏代码向用户做出提示。
      
       好了,大家跟我一起设置吧。
      
       第一步,打开电脑的dump文件存储功能。在“我的电脑”上右键——属性——高级  

    Windows蓝屏dump文件查看器 - 香皂 - 香皂

    Windows蓝屏dump文件查看器 - 香皂 - 香皂


       选好后点确定,下次再出现蓝屏时,系统就会存储下dump文件,一般存放位置在系统盘的minidump文件夹下。(建议在该文件夹上点右键——属性——发送到——桌面快捷方式,以后就能在桌面上找到该文件夹了)

    第二步,下载安装windbg
    http://www.microsoft.com/whdc/devtools/debugging/installx86.mspx#a
    这个过程就不说了,随便选一个下载,安装时,一路“下一步”就行了。

    第三步,使用windbg诊断蓝屏错误
       上面两步设好后,就想办法开始“制造”蓝屏吧,平时怎么用会出现蓝屏就拼命用直到出现蓝屏,嘿嘿。
      
       蓝屏后重启,在minidump文件夹下会出现一个以日期为文件名的东东,那就是我们要的了。接下来打开windbg,点屏幕左下的 “开始”,如下图:
    Windows蓝屏dump文件查看器 - 香皂 - 香皂


    软件启动点File——Open Crash Dump,如图:
    Windows蓝屏dump文件查看器 - 香皂 - 香皂


    然后找到你的minidump文件夹,dump文件一般是"时间.dmp"如图:

    Windows蓝屏dump文件查看器 - 香皂 - 香皂


    打开后就会自动分析了。分析完后,看最下面,找到3.probably caused by这一行,如图:

    看,出来了吧那个myfault.sys文件就是罪魁祸首。

    再补充点东西,

    导入dump文件分析完毕后,不要关闭,在后面输入 !analyze -v ,这个命令可以查看dump文件的详细情况,如图:

    Windows蓝屏dump文件查看器 - 香皂 - 香皂


    对普通用户有用的还有下面一些信息:


    第一行 DEFAULT_BUCKET_ID: 错误类型,这个懂点编程和操作系统知识的朋友用得上点
    第 三行 PROCESS_NAME: XXX.exe 这个是导致错误的进程,查出是什么文件导致的蓝屏后,再看这里就知道是谁调用了错误文件,比如你查出123.sys导致蓝屏,但你查不到123.sys是 哪个程序调用的,就可以用这个方法来看看,比如查出了是456.exe,你就可以在机子上或者网上搜索相关信息了。


    好了,到这里 相信大家已经学会怎么找到导致系统蓝屏的文件了,接下来怎么办呢?上网查资料,把导致蓝屏的那个文件名在网上搜索,基本就知道是什么文件了,一般网上也有 相关的解决办法,看看要删除些什么插件、打什么补丁或者重装软件等等。导致问题的不一定是.sys文件也有可能是.dll,这篇文章只能帮你找出导致蓝屏 的元凶,具体的解决办法得上网查。如果是查不到什么信息的.sys或者.dll就要当心了,有可能是病毒或者rootkit

    附:
    windbg基本调试命令:
    r 可以显示系统崩溃时的寄存器,和最后的命令状态。
    dd 显示当前内存地址,dd 参数:显示参数处的内存。
    u 可以显示反汇编的指令
    !analyze -v 显示分析的详细信息。
    kb 显示call stack 内容
    .bugcheck 可以显示出错的代码

    windbg诊断蓝屏的一点补充

    导入dump文件分析完毕后,不要关闭,在后面输入!analyze -v,这个命令可以查看dump文件的详细情况,如图:
    Windows蓝屏dump文件查看器 - 香皂 - 香皂



    对普通用户有用的还有下面一些信息:
    Windows蓝屏dump文件查看器 - 香皂 - 香皂


    第一行 DEFAULT_BUCKET_ID: 错误类型,这个懂点编程和操作系统知识的朋友用得上点
    第 三行 PROCESS_NAME: XXX.exe 这个是导致错误的进程,查出是什么文件导致的蓝屏后,再看这里就知道是谁调用了错误文件,比如你查出123.sys导致蓝屏,但你查不到123.sys是 哪个程序调用的,就可以用这个方法来看看,比如查出了是456.exe,你就可以在机子上或者网上搜索相关信息了

    展开全文
  • windows 蓝屏 DMP文件分析

    千次阅读 2012-08-02 13:06:25
    蓝屏瞬间,系统会形成一个存储器转储文件——死机瞬间的内存映像,通常是C:WINDOWSMinidmp 目录下的DMP文件,它就是我们要找的救星,分析它就能查找到问题所在。 “救星”帮忙,看清 DMP文件需要使用MS提供的...
     

     

    windbg 更详细请看http://support.icafe8.com/technologynews/focus/932.html

     

    在蓝屏瞬间,系统会形成一个存储器转储文件——死机瞬间的内存映像,通常是C:WINDOWSMinidmp 目录下的DMP文件,它就是我们要找的救星,分析它就能查找到问题所在。
    “救星”帮忙,看清
    DMP文件需要使用MS提供的WinDbg工具来分析:第一步:设置符号文件路径,点击”Files→Symbol File Path“,输入”SRV*DownstreamStore*http://msdl.microsoft.com/download/symbols“(微软提供的一个网络上的symbol服务器)。
    第二步:打开minidump文件进行分析,点击”File→Open Crash Dump“,如打开C:WINDOWSMinidumpMini08100701.dmp。根据前面设置的符号文件地址,软件会自动连接到微软网站,得到符号信息。
    当下面的命令行运行出现!analyze-v(常用的一个分析命令)蓝色命令时,点击它就将得到DMP文件详细的信息。从中找到蓝色字母部分就是什么软件引起的蓝屏了。【以上来自《电脑爱好者》24期】
    下面是一段例子:

    Dump文件的分析
        当按上面的方法运行后,windbg输出了以下内容:
    *** Fatal System Error: 0x000000d1
                           (0xE1147008,0x0000001C,0x00000000,0xFBE93403)

      Break instruction exception - code 80000003 (first chance)

      A fatal system error has occurred.
      Debugger entered on first try; Bugcheck callbacks have not been   invoked.

      A fatal system error has occurred.

    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************

    Use !analyze -v to get detailed debugging information.

    2.BugCheck D1, {e1147008, 1c, 0, fbe93403}

    *** ERROR: Module load completed but symbols could not be loaded for myfault.sys
    3.Probably caused by : myfault.sys ( myfault+403 )

    Followup: MachineOwner
    ---------
    nt!RtlpBreakWithStatusInstruction:
    80527da8 cc              int     3
    Kd:> 

    上面这一段,有用的信息,如1和2两段,说明的是一个问题,都指明了BugCheck是D1,并给了四个参数,这里的D1可以在windbg
    文档的Bug Check Code Reference中查出其具体含义,也可用!analyze –show D1命令查出。3说明引起的原因是myfault.sys
    模块。接着在kd后输入!analyze –v命令,这个命令是详细列出dump文件的信息。

    windbg输出如下:
    kd> !analyze -v
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************

    DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)  //指明Bugcheck D1,我们已看见过了
    An attempt was made to access a pageable (or completely invalid) address at an
    interrupt request level (IRQL) that is too high.  This is usually
    caused by drivers using improper addresses.      //解释了错误的原因
    If kernel debugger is available get stack backtrace.
    Arguments:
    Arg1: e1147008, memory referenced
    Arg2: 0000001c, IRQL
    Arg3: 00000000, value 0 = read operation, 1 = write operation
    Arg4: fbe93403, address which referenced memory
                     //给出了相应的四个参数,第二列是代号,第三列是解释
    Debugging Details:
    ------------------
    READ_ADDRESS:  e1147008 Paged pool       //上面的Arg1.

    CURRENT_IRQL:  1c       //上面的Arg2

    FAULTING_IP:     //指出发生错误时所执行的指令
    myfault+403
    fbe93403 8b06            mov     eax,dword ptr [esi]

    DEFAULT_BUCKET_ID:  DRIVER_FAULT   //指出错误类型,是驱动错误

    BUGCHECK_STR:  0xD1   //bugcheck索引,可查windbg文档,也可!analyze –show D1

    PROCESS_NAME:  NotMyfault.exe  //错误所属进程

    TRAP_FRAME:  f9357b80 --(trap fffffffff9357b80)//错误时各寄存器的内容
    ErrCode = 00000000
    eax=00000000 ebx=8111f330 ecx=000000d1 edx=0000001c esi=e1147008 edi=00000000
    eip=fbe93403 esp=f9357bf4 ebp=f9357c58 iopl=0         nv up ei pl zr na pe nc
    cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010246
    myfault+0x403:
    fbe93403 8b06            mov     eax,dword ptr [esi]  ds:0023:e1147008=????????
    Resetting default scope

    LAST_CONTROL_TRANSFER:  from 804f880d to 80527da8

    STACK_TEXT: //反映了错误前堆栈中函数调用情况,最下面的0x7c801671处函数调用ntdll中的ZwDeviceIoControlFile,接着
    调用了ntdll中的KiFastSystemCallRet,再接着调用了nt(这里的nt指Ntoskrnl)中的KiFastCallEntry,一直到myfault+0x403,
    发生异常。
    f9357734 804f880d 00000003 f9357a90 00000000 nt!RtlpBreakWithStatusInstruction
    f9357780 804f93fa 00000003 e1147008 fbe93403 nt!KiBugCheckDebugBreak+0x19
    f9357b60 80540853 0000000a e1147008 0000001c nt!KeBugCheck2+0x574
    f9357b60 fbe93403 0000000a e1147008 0000001c nt!KiTrap0E+0x233
    WARNING: Stack unwind information not available. Following frames may be wrong.
    f9357c58 805759d1 ffb5c3b0 8111f318 811d9130 myfault+0x403
    f9357d00 8056e33c 00000090 00000000 00000000 nt!IopXxxControlFile+0x5e7
    f9357d34 8053d808 00000090 00000000 00000000 nt!NtDeviceIoControlFile+0x2a
    f9357d34 7c92eb94 00000090 00000000 00000000 nt!KiFastCallEntry+0xf8
    0012f9f0 7c92d8ef 7c801671 00000090 00000000 ntdll!KiFastSystemCallRet
    0012f9f4 7c801671 00000090 00000000 00000000 ntdll!ZwDeviceIoControlFile+0xc
    0012fa54 004018c2 00000090 83360018 00000000 0x7c801671


    STACK_COMMAND:  kb

    FOLLOWUP_IP: //反汇编了发生错误指令的代码
    myfault+403
    fbe93403 8b06            mov     eax,dword ptr [esi]

    SYMBOL_STACK_INDEX:  4
    FOLLOWUP_NAME:  MachineOwner
    MODULE_NAME: myfault
    IMAGE_NAME:  myfault.sys
    DEBUG_FLR_IMAGE_TIMESTAMP:  43774e1d
    SYMBOL_NAME:  myfault+403
    FAILURE_BUCKET_ID:  0xD1_myfault+403
    BUCKET_ID:  0xD1_myfault+403
    Followup: MachineOwner
    //以上几段看名字就知道了,是以上信息的重复没有多大价值。
    四。总结
        通过以上的分析,知道了蓝屏的原因是Bugcheck D1引起的,是由于驱动程序读操作了过高的IRQL引起的。也知道了这个引发
    蓝屏的驱动程序是myfault.sys,属于notmyfaulf.exe的进程。还知道了蓝屏前bug程序myfault.sys的调用情况等多个有用信息,
    接着就可以在myfault.sys源程序中进行bug修改了。

    windows 蓝屏 DMP文件分析
    2011年03月29日 星期二 下午 07:41

    在蓝屏瞬间,系统会形成一个存储器转储文件——死机瞬间的内存映像,通常是C:WINDOWSMinidmp 目录下的DMP文件,它就是我们要找的救星,分析它就能查找到问题所在。
    “救星”帮忙,看清
    DMP文件需要使用MS提供的WinDbg工具来分析:第一步:设置符号文件路径,点击”Files→Symbol File Path“,输入”SRV*DownstreamStore*http://msdl.microsoft.com/download/symbols“(微软提供的一个网络上的symbol服务器)。
    第二步:打开minidump文件进行分析,点击”File→Open Crash Dump“,如打开C:WINDOWSMinidumpMini08100701.dmp。根据前面设置的符号文件地址,软件会自动连接到微软网站,得到符号信息。
    当下面的命令行运行出现!analyze-v(常用的一个分析命令)蓝色命令时,点击它就将得到DMP文件详细的信息。从中找到蓝色字母部分就是什么软件引起的蓝屏了。【以上来自《电脑爱好者》24期】
    下面是一段例子:

    Dump文件的分析
        当按上面的方法运行后,windbg输出了以下内容:
    *** Fatal System Error: 0x000000d1
                           (0xE1147008,0x0000001C,0x00000000,0xFBE93403)

      Break instruction exception - code 80000003 (first chance)

      A fatal system error has occurred.
      Debugger entered on first try; Bugcheck callbacks have not been   invoked.

      A fatal system error has occurred.

    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************

    Use !analyze -v to get detailed debugging information.

    2.BugCheck D1, {e1147008, 1c, 0, fbe93403}

    *** ERROR: Module load completed but symbols could not be loaded for myfault.sys
    3.Probably caused by : myfault.sys ( myfault+403 )

    Followup: MachineOwner
    ---------
    nt!RtlpBreakWithStatusInstruction:
    80527da8 cc              int     3
    Kd:> 

    上面这一段,有用的信息,如1和2两段,说明的是一个问题,都指明了BugCheck是D1,并给了四个参数,这里的D1可以在windbg
    文档的Bug Check Code Reference中查出其具体含义,也可用!analyze –show D1命令查出。3说明引起的原因是myfault.sys
    模块。接着在kd后输入!analyze –v命令,这个命令是详细列出dump文件的信息。

    windbg输出如下:
    kd> !analyze -v
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************

    DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)  //指明Bugcheck D1,我们已看见过了
    An attempt was made to access a pageable (or completely invalid) address at an
    interrupt request level (IRQL) that is too high.  This is usually
    caused by drivers using improper addresses.      //解释了错误的原因
    If kernel debugger is available get stack backtrace.
    Arguments:
    Arg1: e1147008, memory referenced
    Arg2: 0000001c, IRQL
    Arg3: 00000000, value 0 = read operation, 1 = write operation
    Arg4: fbe93403, address which referenced memory
                     //给出了相应的四个参数,第二列是代号,第三列是解释
    Debugging Details:
    ------------------
    READ_ADDRESS:  e1147008 Paged pool       //上面的Arg1.

    CURRENT_IRQL:  1c       //上面的Arg2

    FAULTING_IP:     //指出发生错误时所执行的指令
    myfault+403
    fbe93403 8b06            mov     eax,dword ptr [esi]

    DEFAULT_BUCKET_ID:  DRIVER_FAULT   //指出错误类型,是驱动错误

    BUGCHECK_STR:  0xD1   //bugcheck索引,可查windbg文档,也可!analyze –show D1

    PROCESS_NAME:  NotMyfault.exe  //错误所属进程

    TRAP_FRAME:  f9357b80 --(trap fffffffff9357b80)//错误时各寄存器的内容
    ErrCode = 00000000
    eax=00000000 ebx=8111f330 ecx=000000d1 edx=0000001c esi=e1147008 edi=00000000
    eip=fbe93403 esp=f9357bf4 ebp=f9357c58 iopl=0         nv up ei pl zr na pe nc
    cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010246
    myfault+0x403:
    fbe93403 8b06            mov     eax,dword ptr [esi]  ds:0023:e1147008=????????
    Resetting default scope

    LAST_CONTROL_TRANSFER:  from 804f880d to 80527da8

    STACK_TEXT: //反映了错误前堆栈中函数调用情况,最下面的0x7c801671处函数调用ntdll中的ZwDeviceIoControlFile,接着
    调用了ntdll中的KiFastSystemCallRet,再接着调用了nt(这里的nt指Ntoskrnl)中的KiFastCallEntry,一直到myfault+0x403,
    发生异常。
    f9357734 804f880d 00000003 f9357a90 00000000 nt!RtlpBreakWithStatusInstruction
    f9357780 804f93fa 00000003 e1147008 fbe93403 nt!KiBugCheckDebugBreak+0x19
    f9357b60 80540853 0000000a e1147008 0000001c nt!KeBugCheck2+0x574
    f9357b60 fbe93403 0000000a e1147008 0000001c nt!KiTrap0E+0x233
    WARNING: Stack unwind information not available. Following frames may be wrong.
    f9357c58 805759d1 ffb5c3b0 8111f318 811d9130 myfault+0x403
    f9357d00 8056e33c 00000090 00000000 00000000 nt!IopXxxControlFile+0x5e7
    f9357d34 8053d808 00000090 00000000 00000000 nt!NtDeviceIoControlFile+0x2a
    f9357d34 7c92eb94 00000090 00000000 00000000 nt!KiFastCallEntry+0xf8
    0012f9f0 7c92d8ef 7c801671 00000090 00000000 ntdll!KiFastSystemCallRet
    0012f9f4 7c801671 00000090 00000000 00000000 ntdll!ZwDeviceIoControlFile+0xc
    0012fa54 004018c2 00000090 83360018 00000000 0x7c801671


    STACK_COMMAND:  kb

    FOLLOWUP_IP: //反汇编了发生错误指令的代码
    myfault+403
    fbe93403 8b06            mov     eax,dword ptr [esi]

    SYMBOL_STACK_INDEX:  4
    FOLLOWUP_NAME:  MachineOwner
    MODULE_NAME: myfault
    IMAGE_NAME:  myfault.sys
    DEBUG_FLR_IMAGE_TIMESTAMP:  43774e1d
    SYMBOL_NAME:  myfault+403
    FAILURE_BUCKET_ID:  0xD1_myfault+403
    BUCKET_ID:  0xD1_myfault+403
    Followup: MachineOwner
    //以上几段看名字就知道了,是以上信息的重复没有多大价值。
    四。总结
        通过以上的分析,知道了蓝屏的原因是Bugcheck D1引起的,是由于驱动程序读操作了过高的IRQL引起的。也知道了这个引发
    蓝屏的驱动程序是myfault.sys,属于notmyfaulf.exe的进程。还知道了蓝屏前bug程序myfault.sys的调用情况等多个有用信息,
    接着就可以在myfault.sys源程序中进行bug修改了。

     

     

    http://www.xhjdn.com/news/html/?299.html

    展开全文
  • Microsoft (R) Windows Debugger Version 10.0.20153.1000 AMD64 Copyright (c) Microsoft Corporation. All rights reserved. Loading Dump File [C:\Windows\MEMORY.DMP] Kernel Bitmap Dump File: Kernel ...
  • Windbg-分析Windows蓝屏原因利器[转]下载地址先声明下,虽然用windbg诊断蓝屏之前网络上已经有人发过教程了,但就我而言, 学会使用windbg来诊断蓝屏也算是自己的原创吧。以前看一个微软专家的视频(微软专家张银奎...
  • Microsoft (R) Windows Debugger Version 10.0.20153.1000 AMD64 Copyright (c) Microsoft Corporation. All rights reserved. Loading Dump File [C:\Windows\MEMORY.DMP] Kernel Bitmap Dump File: Kernel ...
  • url格式的文件是一种网页文件,只要接触就会触发访问 漏洞分析见之前发的文章: Windows10使用浏览器崩溃复现及分析 防护方法: 仅对windows10系统有效,其它系统不受影响 windows微信用户可关闭自动下载 更多方式...
  • windows蓝屏分析

    2021-01-20 15:40:34
    蓝屏后的 DMP文件拖到 windbg,执行 !analyze -v STOP代码 蓝屏的原因 00000001 BSOD意味着APC状态指数存在不匹配。BSOD错误代码0x00000001也可能在同一蓝色屏幕上显示“APC_INDEX_MISMATCH”。 0x00000002 这种...
  • 导师要求多用几种方式造成Windows蓝屏,用于测试。我只会写ntsd -c q -pn winlogon.exe, 再求一个可以造成Windows蓝屏的批处理代码。 在运行里输入cmd /c for /f %I in ('wmic process get Name')do (wmic process ...
  • windows蓝屏

    2012-11-19 23:27:49
    2 0x0002 系统找不到指定的文件。 3 0x0003 系级找不到指定的路径。 4 0x0004 系统无fa打开文件。 5 0x0005 拒绝存取。 6 0x0006 无效的代码。 7 0x0007 内存控制模块已损坏。 8 0x0008 内存空间不足,无fa...
  • Windows蓝屏代码集合

    2018-12-23 22:32:58
    Windows蓝屏代码集合 使用Windows出现蓝色屏幕是经常的事,而且每每因为不清楚错误的来源而频繁重新安装系统,劳神费时。下列收集了一些Windows死机密码,供大家参考。 0x0000 操作完成 0x0001 不正确的函数 0x0002 ...
  • Windows10系统总是蓝屏自动重启怎么办?最近我的笔记本电脑经常自动重启,系统是windows10的。感觉很可能是系统文件有损坏的原因。1.打开命令提示符于是我打开了命令提示符,这里要注意:不要直接在搜索栏里输入...
  • 从应用商店安装WinDbg Preview 1.登陆应用商店,搜索... 2.选择获取,我的Windows 10 系统已经安装过了 3.在启动菜单可以找到WinDbg Preview ...4.找到蓝屏文件,并选择使用WinDbg Preview 打开dump文件 ...
  • Windows系统的蓝屏通常是由于发生了严重错误,其原因...这款名为BlueScreenView(电脑蓝屏信息)的免费小软件能够分解出Windows发生蓝屏崩溃后生成的“minidump”文件,使其容易阅读,从而帮助用户找出问题的症结所在。
  • 工具是dbg,主要用于调试程序,x64_dbg采用 QT 平台编写,操作简单,很容易上手,这块可以应用于windows系统中的dbg格式文件的查看,还有蓝屏文件的具体信息获取,都是很好用的
  • 此款软件会自动检测机器上的蓝屏文件,也可以根据路径找到蓝屏文件:C:\Windows\Minidump或者C:\Windows\Memory.dmp下找到蓝屏文件分析 出现蓝屏后进行优化可能使蓝屏文件被优化掉,蓝屏后建议先不进行系统优化。
  • 在机房运行的四台服务器中均出现了蓝屏dmp文件,经过整理发现CDMS主备服务器最近(2018年1月开始)蓝屏的dmp很多。经过自己的学习分析发现不足以找到先关的原因和处理方法,希望得到大牛们的帮助。以尽快解决此蓝屏...
  • 我们以Mac系统和Windows系统为例,使用下面的Python脚本来保存一个Excel文件,代码如下:# -*- coding: utf-8 -*-import xlwt, datetime# 创建一个workbook 设置编码workbook = xlwt.Workbook(encoding = ...
  • 电脑远程服务器的时候,手欠在服务器上把explorer.exe这个进程关闭了。然后,远程桌面就蓝屏了,什么都显示不出来。 如果蓝屏查看是不是没有...然后在“Windows 任务管理器”窗口中点击“文件”—“新建任务(运行…)”
  • 远程登录windows蓝屏解决

    千次阅读 2020-02-06 20:54:51
    windows+r,打开运行,输入mstsc,回车,输入对应的服务器登录 登陆后出现蓝屏,无法显示桌面,Ctrl+Alt+End键,激活远程任务管理器,打开任务管理器 在进程查找explorer.exe,如果有,选中该进程,并点击...
  • 它能够通过dmp文件轻松的定位到问题根源,可用于分析蓝屏、程序崩溃(IE崩溃)原因,是我们日常工作中必不可少的一个有力工具,学会使用它,将有效提升我们的问题解决效率和准确率。 二、WinDbg6.12.0002.633下载:...
  • winDbg分析windows蓝屏

    2012-11-22 12:40:44
    蓝屏瞬间,系统会形成一个存储器转储文件——死机瞬间的内存映像,通常是C:\WINDOWS\Minidmp 目录下的DMP文件,它就是我们要找的救星,分析它就能查找到问题所在。 DMP文件需要使用MS提供的WinDbg工具来分析:第...
  • windows 蓝屏 BCCode代码解释

    千次阅读 2017-05-05 11:48:25
    1、重要文件损坏或丢失会引起"蓝屏"故障(包括病毒所致)。 WIN中VxD(虚拟设备驱动程序)或.DLL(动态连接库)之类的重要文件丢失会出现"蓝屏警告"。解决的办法是利用Win的启动盘中的"Ext"来恢复被损坏或丢失的...
  • Windows蓝屏代码0x0000 操作完成0x0001 不正确的函数0x0002 系统找不到指定的文件0x0003 系统找不到指定的路径0x0004 系统无法打开文件0x0005 拒绝存取0x0006 无效的代码0x0007 内存控制模块已损坏0x0008 内存空间...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 810
精华内容 324
关键字:

windows蓝屏文件