精华内容
下载资源
问答
  • 蓝屏DUMP文件分析结果

    2019-01-24 11:11:40
    ![图片说明](https://img-ask.csdn.net/upload/201901/24/1548299298_383678.png) 机器不定时蓝屏,主板内存CPU都换过了,硬盘检测正常,请各位大哥帮忙看一下是哪里的问题
  • 今天电脑蓝屏了,就使用其dump文件测试,如下: 1、首先,最详细的,要属Osr Online这个在线分析网站了: 打开其分析地址:http://www.osronline.com/page.cfm?name=analyze 下拉,找到上传按钮(上图),将需要...

    WinDbg使用有点麻烦,还要符号表什么的。试了下,感觉显示很乱,分析的也不够全面。。。

    试试其他的吧!今天电脑蓝屏了,就使用其dump文件测试,如下:

    1、首先,最详细的,要属Osr Online这个在线分析网站了:

    打开其分析地址:http://www.osronline.com/page.cfm?name=analyze

    下拉,找到上传按钮(上图),将需要分析的dump文件浏览上传即可。。。dump文件一般在C:\Windows\minidump

    分析完成后生成的内容非常多:

    主要看第一个Primary Analysis就好了:

    Crash Dump Analysis provided by OSR Open Systems Resources, Inc. (http://www.osr.com)
    Online Crash Dump Analysis Service
    See http://www.osronline.com for more information
    Windows 7 Kernel Version 7601 (Service Pack 1) MP (4 procs) Free x64
    Product: WinNt, suite: TerminalServer SingleUserTS
    Built by: 7601.18741.amd64fre.win7sp1_gdr.150202-1526
    Machine Name:
    Kernel base = 0xfffff800`04606000 PsLoadedModuleList = 0xfffff800`0484a890
    Debug session time: Sun Mar 13 07:26:48.129 2016 (UTC - 4:00)
    System Uptime: 12 days 22:27:09.972
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************
    
    SYSTEM_SERVICE_EXCEPTION (3b)
    An exception happened while executing a system service routine.
    Arguments:
    Arg1: 00000000c0000005, Exception code that caused the bugcheck
    Arg2: fffff960000c7237, Address of the instruction which caused the bugcheck
    Arg3: fffff88006e6e9d0, Address of the context record for the exception that caused the bugcheck
    Arg4: 0000000000000000, zero.
    
    Debugging Details:
    ------------------
    
    TRIAGER: Could not open triage file : e:\dump_analysis\program\triage\modclass.ini, error 2
    
    EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - The instruction at "0x%08lx" referenced memory at "0x%08lx". The memory could not be "%s".
    
    FAULTING_IP: 
    win32k!HmgLockEx+a3
    fffff960`000c7237 0fb7430c        movzx   eax,word ptr [rbx+0Ch]
    
    CONTEXT:  fffff88006e6e9d0 -- (.cxr 0xfffff88006e6e9d0)
    rax=fffff900c0210000 rbx=0000000000000000 rcx=fffffa800cc05b50
    rdx=fffff900c0210000 rsi=0000000000000000 rdi=fffff900c0210000
    rip=fffff960000c7237 rsp=fffff88006e6f3b0 rbp=0000000000000000
     r8=0000000000000001  r9=0000000000000000 r10=0000000000000000
    r11=fffff88006e6f418 r12=000000006601ac00 r13=0000000000000000
    r14=0000000000000001 r15=0000000000000001
    iopl=0         nv up ei pl zr na po nc
    cs=0010  ss=0000  ds=002b  es=002b  fs=0053  gs=002b             efl=00010246
    win32k!HmgLockEx+0xa3:
    fffff960`000c7237 0fb7430c        movzx   eax,word ptr [rbx+0Ch] ds:002b:00000000`0000000c=????
    Resetting default scope
    
    CUSTOMER_CRASH_COUNT:  2
    
    DEFAULT_BUCKET_ID:  WIN7_DRIVER_FAULT
    
    BUGCHECK_STR:  0x3B
    
    PROCESS_NAME:  dwm.exe
    
    CURRENT_IRQL:  0
    
    LAST_CONTROL_TRANSFER:  from fffff9600028dc00 to fffff960000c7237
    
    STACK_TEXT:  
    fffff880`06e6f3b0 fffff960`0028dc00 : fffff900`cddb1320 000006ff`31355348 fffff900`c00cd010 fffff900`d3bc6010 : win32k!HmgLockEx+0xa3
    fffff880`06e6f420 fffff960`001e3a4c : fffff900`cddb1320 fffff900`cddb1320 fffff900`c00cd010 fffff900`c00cd070 : win32k!SFMLOGICALSURFACE::OwnsSurfaceCleanup+0x40
    fffff880`06e6f450 fffff960`001570f9 : fffff900`00000001 fffff900`d3bc6028 00000000`00000000 00000029`00000029 : win32k!GreTransferDwmStateToSpriteState+0xf4
    fffff880`06e6f540 fffff960`0015768d : 00000000`00000001 00000000`00000000 00000000`00000001 fffff960`00000000 : win32k!zzzDecomposeDesktop+0x139
    fffff880`06e6f5d0 fffff960`0012c40b : fffffa80`0c132690 fffff880`06e6fae0 00000000`00000001 00000000`00000000 : win32k!xxxDwmStopRedirection+0x69
    fffff880`06e6f620 fffff960`000cad71 : 00000000`00000000 00000000`00000000 fffff900`c04010e0 fffffa80`0cc05b00 : win32k!xxxDwmProcessShutdown+0x3b
    fffff880`06e6f650 fffff960`000ef8d3 : fffff900`c2197c48 fffff900`c2197c20 fffff900`c2197c20 fffff900`c2197c20 : win32k!xxxDestroyThreadInfo+0x5a9
    fffff880`06e6f720 fffff960`000c6c10 : 00000000`00000000 fffffa80`0cc05b50 fffffa80`0cc05b50 00000000`00000001 : win32k!UserThreadCallout+0x93
    fffff880`06e6f750 fffff800`04952615 : 00000000`00000000 00000000`00000000 00000000`00000000 fffffa80`0cc05b00 : win32k!W32pThreadCallout+0x78
    fffff880`06e6f780 fffff800`04938a75 : 00000000`c0000005 00000000`00000000 00000000`78457300 00000000`00000000 : nt!PspExitThread+0x285
    fffff880`06e6f880 fffff800`0466e6fa : 00000000`00000002 fffffa80`0cc05c58 fffff880`06e6fa10 fffff800`047f7e80 : nt!PsExitSpecialApc+0x1d
    fffff880`06e6f8b0 fffff800`0466ea40 : 00000000`000ff530 fffff880`06e6f930 fffff800`049389e8 00000000`00000001 : nt!KiDeliverApc+0x2ca
    fffff880`06e6f930 fffff800`0467a1f7 : fffffa80`0cc05b50 00000000`000ff418 fffff880`06e6fa88 00000000`00000000 : nt!KiInitiateUserApc+0x70
    fffff880`06e6fa70 00000000`76e0186a : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceExit+0x9c
    00000000`000ff3f8 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x76e0186a
    
    
    FOLLOWUP_IP: 
    win32k!HmgLockEx+a3
    fffff960`000c7237 0fb7430c        movzx   eax,word ptr [rbx+0Ch]
    
    SYMBOL_STACK_INDEX:  0
    
    SYMBOL_NAME:  win32k!HmgLockEx+a3
    
    FOLLOWUP_NAME:  MachineOwner
    
    MODULE_NAME: win32k
    
    IMAGE_NAME:  win32k.sys
    
    DEBUG_FLR_IMAGE_TIMESTAMP:  54ee9222
    
    STACK_COMMAND:  .cxr 0xfffff88006e6e9d0 ; kb
    
    FAILURE_BUCKET_ID:  X64_0x3B_win32k!HmgLockEx+a3
    
    BUCKET_ID:  X64_0x3B_win32k!HmgLockEx+a3
    
    Followup: MachineOwner
    ---------
    Primary Analysis

    里面提到的重点就是dwm.exewin32k.sys。事实的确如此,今天我电脑蓝屏前,就是dwm.exe先异常的!!!dwm.exe是桌面窗口管理器~~~它为什么会崩溃呢?见下文

     

    2BlueScreenViewWhoCrashed

    bluescreenview大小才几十kb,有绿色汉化的。打开后,它会列出C:\Windows\minidump下的崩溃文件。双击相应条目,弹出更详细的属性信息:

     

    WhoCrashed home版显示的更不怎么详细,同样的dump文件才显示如下的一点内容而已。不推荐~ 

     

    后面两个软件只定位到win32k.sys这个文件,至于更详细的内容基本没了。

    推荐第一个在线分析网站,对dump文件分析的很全面!也不需要安装什么软件~~~


     

    最终发现了蓝屏原因是我编写的一个小软件在显示动态曲线时导致GDI对象被耗尽的缘故。

    //正确代码:
    CBitmap *pOldBmp = memdc.SelectObject(&memBmp);
    ......
    memdc.SelectObject(pOldBmp);

    但我却写成了:

    //错误代码:
    CBitmap *pOldBmp = (CBitmap*)memdc.SelectObject(memBmp);
    ......
    memdc.SelectObject(pOldBmp); //返回NULL,倒不会导致gdi对象增加!!返回非NULL,gdi对象占用将不断增加

    调试跟踪:

    正确代码第一句将进入:

    CBitmap* CDC::SelectObject(CBitmap* pBitmap)
    { return (CBitmap*) SelectGdiObject(m_hDC, pBitmap->GetSafeHandle()); }

    然而错误代码第一句将进入:

    // CGdiObject
    CGdiObject::operator HGDIOBJ() const
    { return this == NULL ? NULL : m_hObject; }
    
    HGDIOBJ CDC::SelectObject(HGDIOBJ hObject) // Safe for NULL handles
    { ASSERT(m_hDC == m_hAttribDC); // ASSERT a simple CDC object
      return (hObject != NULL) ? ::SelectObject(m_hDC, hObject) : NULL; }
    虽CDC::SelectObject(HGDIOBJ hObject)在MSDN中没有提到(MSDN有CGdiObject* SelectObject(CGdiObject* pObject)),但afxwin1.ini却有其定义,且调试时跟踪到了这里~~~可看到错误的选入了HGDIOBJ句柄,而不是HBITMAP句柄~~~

    转载于:https://www.cnblogs.com/sfqtsh/p/5273326.html

    展开全文
  • BlueScreenView蓝屏dump文件查看分析工具,内核开发好助手
  • Windbg分析蓝屏Dump文件

    2018-12-05 16:34:00
    它能够通过dmp文件轻松的定位到问题根源,可用于分析蓝屏、程序崩溃(IE崩溃)原因,是我们日常工作中必不可少的一个有力工具,学会使用它,将有效提升我们的问题解决效率和准确率。 二、设置符号表: 符号表...

    一、WinDbg是什么?它能做什么?

    WinDbg是在windows平台下,强大的用户态和内核态调试工具。它能够通过dmp文件轻松的定位到问题根源,可用于分析蓝屏、程序崩溃(IE崩溃)原因,是我们日常工作中必不可少的一个有力工具,学会使用它,将有效提升我们的问题解决效率和准确率。

     

    二、设置符号表:

    符号表是WinDbg关键的“数据库”,如果没有它,WinDbg基本上就是个废物,无法分析出更多问题原因。所以使用WinDbg设置符号表,是必须要走的一步。
    1、运行WinDbg软件,然后按【Ctrl+S】弹出符号表设置窗
    2、将符号表地址:SRV*C:\Symbols*http://msdl.microsoft.com/download/symbols 粘贴在输入框中,点击确定即可。
    注:C:\Symbols为符号表本地存储路径,建议固定路径,可避免符号表重复下载。

     

    或者设置一个系统变量_NT_SYMBOL_PATH 为SRV*c:\symbols*http://msdl.microsoft.com/download/symbols

     

    三、打开第一个dmp文件!

    可使用【Ctrl+D】快捷键来打开一个dmp文件,或者点击WinDbg界面上的【File=>Open Crash Dump…】按钮,来打开一个dmp文件。第一次打开dmp文件时,可能会收到如下提示,出现这个提示时,勾选“Don’t ask again in this WinDbg session”,然后点否即可。

    当你想打开第二个dmp文件时,可能因为上一个分析记录未清除,导致无法直接分析下一个dmp文件,此时你可以使用快捷键【Shift+F5】来关闭上一个dmp分析记录。

     

    四、通过简单的几个步骤学会分析一些dmp文件。

    分享一个8E蓝屏dmp案例的分析过程:
    当你打开一个dmp文件后,可能因为太多信息,让你无所适从,不过没关系,我们只需要关注几个关键信息即可。

    第一个关键信息:System Uptime(开机时间):

    通过观察这个时间你就可以知道问题是在什么时候出现的,例如时间小于1分钟基本可以定位为开机蓝屏,反之大于一分钟则可证明是上机后或玩的过程中出现问题了。

    接下来用一个简单的例子来学习简单的dmp分析,下图中System Uptime: 0 days 0:14:23.581,意思是0天(days)0小时14分23秒581毫秒时出现蓝屏了,看来是上机没多久就蓝屏了。

     

    那么是什么导致蓝屏的呢?接下来我们就要注意第二个关键信息了!

    第二个关键信息:Probaly caused by(造成蓝屏可能的原因)

    这个信息是相对比较重要的一个信息,如果你运气好的话,通过这个信息基本上可以看到导致蓝屏的驱动或者程序名称了,就像下图一样,初步的分析已经有了结果,Probaly caused by后面显示的是一个名为KiMsgProtect.sys的驱动文件导致蓝屏,这个文件就是恒信一卡通的一个关键驱动。因此蓝屏则很有可能和一卡通有关。

    括号中驱动文件名后面的+号代表的是偏移地址,假如多个dmp文件的驱动文件名一样,且偏移地址也一样,则问题原因极有可能是同一个,这个偏移地址与汇编有关,这里不多做介绍。

     

    其实,对于分析蓝屏dmp并不是每次运气都那么好,假如刚刚打开dmp文件未看到明确的蓝屏原因时,我们就需要借助一个命令来进一步分析dmp,这个命令就是:!analyze -v,这个命令能够自动分析绝大部分蓝屏原因。当初步分析没有结果时,可以使用该命令进一步分析故障原因,当然你也可以直接点击链接样式的!analyze -v来进行执行该命令,为了让大家更直观的看懂里面的信息,大家可以直接看图片中的注释信息。

    看了这么多信息之后,这个蓝屏dmp到底是怎么回事呢?根据dmp给出的信息,应该是:顾客上机0天(days)0小时14分23秒581毫秒时,一个名为PinyinUp.exe触发了KiMsgProtect.sys这个驱动的一个Bug,导致蓝屏。 

    那么PinyinUp.exe和KiMsgProtect.sys都是哪个厂商的?一般要知道这个信息,只能去用户的机器上找了,我去找了之后发现PinyinUp.exe是搜狗输入法的自动升级程序,KiMsgProtect.sys是恒信一卡通这个计费软件的驱动,所以这个dmp表示出来的意思看上去是搜狗拼音和恒信一卡通搞在一起,出了问题!当然排除方法很简单,把搜狗输入法的自动升级程序删除掉,再看看是否仍然有蓝屏问题发生就ok了!

    学到这里,基本上已经可以分析绝大部分dmp文件了,但是分析蓝屏dmp要比较谨慎,对信息需要重新验证一次才更加保险,验证方法很简单,在WinDbg的命令输入框内,输入!process命令,就可以验证触发蓝屏的程序到底是否正确了。

    运行!process命令后得到的信息:

    至此,掌握以上几个简单的分析方法之后,基本上绝大多数dmp大家都可以独立分析了,当然WinDbg是个强大的工具,同时蓝屏的原因也有很多,如果想分析的足够准确,那么就只有多学多练,多去分析,因为WinDbg分析除了懂得几个命令之外,经验更加重要!

    合理再给大家一些分析建议:

    并不一定每个dmp文件都可以分析出有用的结论,因此分析dmp并不需要对每个dmp文件的结果过分纠结,其实蓝屏dmp分析也是观察一个规律或者规模的问题定位方法而已。例如你分析了10个dmp,有5个dmp都指向同一个蓝屏原因,另外5个dmp的信息五花八门时,那么你完全可以先处理掉5次蓝屏,同一个原因的问题,因为解决了这个问题之后,后面的问题可能就都解决了!

    vDiskBus+da6c这个蓝屏信息是指网维大师蓝屏硬盘的dmp捕捉机制,这并不是蓝屏原因,有很多朋友因为文章看到一半就去折腾,结果得出一些错误结论,所以这里特意提醒下大家,看到vDiskBus+da6c这个信息之后,就不要再判断错误了,这个信息可以证实的信息是:这个dmp文件是通过网维大师蓝屏鹰眼捕捉到的,且是在网维无盘客户机上捕捉到的,其它的就不能代表什么了。

     

     

    本文转载自:

    https://www.helup.com/331.hmtl

     

    转载于:https://www.cnblogs.com/zoneofmine/p/10071739.html

    展开全文
  • https://blog.csdn.net/Tinna_zhang/article/details/18048389?utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromMachineLearnPai2%7Edefault-1.control&depth_1-utm_source=...

    https://blog.csdn.net/Tinna_zhang/article/details/18048389?utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromMachineLearnPai2%7Edefault-1.control&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromMachineLearnPai2%7Edefault-1.control

    展开全文
  • Loading Dump File [D:\Desktop\061815-9546-01.dmp] Mini Kernel Dump File: Only registers and stack trace are available Symbol search path is: SRV*C:\Symbols*http://msdl.microsoft.com/download/symbols ...
  • 从应用商店安装WinDbg Preview 1.登陆应用商店,搜索... 2.选择获取,我的Windows 10 系统已经安装过了 3.在启动菜单可以找到WinDbg Preview ...4.找到蓝屏文件,并选择使用WinDbg Preview 打开dump文件 ...

    从应用商店安装WinDbg Preview

    1.登陆应用商店,搜索WinDbg Preview

    2.选择获取,我的Windows 10 系统已经安装过了

    3.在启动菜单可以找到WinDbg Preview

    4.找到蓝屏文件,并选择使用WinDbg Preview 打开dump文件

    展开全文
  • Windows蓝屏dump文件查看器

    千次阅读 2013-03-13 09:30:26
    Windbg-分析Windows蓝屏原因利器[转] 下载地址 先声明下,虽然用windbg诊断蓝屏之前网络上已经有人发过教程了,但就我而言, 学会使用windbg来诊断蓝屏也算是自己的原创吧。以前看一个微软专家的视频(微软专家...
  • 以前看一个微软专家的视频(微软专家张银奎老师的《如何诊断和调试蓝屏错误》),专家提到可以用 windbg来调试dump文件,当时我就想能不能只关注是什么文件导致的系统崩溃,然后对症下药。后来通过一系列的实验,...
  • 蓝屏dump分析教程

    千次阅读 2014-10-17 13:36:20
    云更新目前能够收集32位客户机系统(XP和win7 32位)产生的蓝屏DMP文件到服务端DUMP文件夹,我们可以通过分析蓝屏曰志来确定到底是什么导致了客户机蓝屏。 一、WinDbg是什么?它能做什么?  WinDbg是在...
  • 然后将dump文件拖入WinDbg窗口等待片刻即有分析结果,dump文件在C:\Windows\Minidump目录。 输入!analyze -v查看详细分析结果: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28...
  • windows蓝屏dump分析方法

    千次阅读 2018-08-13 17:29:31
    一、WinDbg是什么?它能做什么?  WinDbg是在windows平台下,强大的用户态和内核态调试工具。它能够通过dmp文件轻松的定位到问题根源,可用于分析蓝屏、程序崩溃(IE崩溃)原因,是我们日常工作...蓝屏Dump分析工...
  • WinDbg分析蓝屏dump原因

    万次阅读 多人点赞 2019-02-12 10:34:25
    大多数人或许都经历过系统蓝屏问题,然而大多数人不清楚该怎么处理蓝屏问题,这里主要对系统蓝屏做一些解释,同时介绍下蓝屏问题分析工具WinDbg分析蓝屏问题的一般步骤。 微软官方对蓝屏的定义是,当系统遇到一些...
  • WinDBG工具配置及蓝屏dump简单分析

    千次阅读 2015-01-19 14:26:46
    它能够通过dmp文件轻松的定位到问题根源,可用于分析系统蓝屏、程序崩溃原因,是我们日常工作中必不可少的一个有利工具,学会使用它,将有效提升我们的问题解决效率和准确率。 二、WinDBG工具备份路径: X86:\\...
  • 我们以收集一款收费软件引起windows系统蓝屏为例子,进行讲解。   常规报错需收集日志信息: 1、计费服务端日志:服务端安装目录下手动创建wxlog和wxpluglog两个文件夹,分别获取计费日志及插件日志。若网吧...
  • 它能够通过dmp文件轻松的定位到问题根源,可用于分析蓝屏、程序崩溃(IE崩溃)原因,是我们日常工作中必不可少的一个有力工具,学会使用它,将有效提升我们的问题解决效率和准确率。 二、WinDbg下载: ...
  • 蓝屏dump分析教程,附分析工具WinDbg

    万次阅读 2014-11-07 16:00:30
    它能够通过dmp文件轻松的定位到问题根源,可用于分析蓝屏、程序崩溃(IE崩溃)原因,是我们日常工作中必不可少的一个有力工具,学会使用它,将有效提升我们的问题解决效率和准确率。 二、WinDbg6.12.0002.633下载...
  • Loading Dump File [C:\Users\admin\Desktop\Memory.dmp] Mini Kernel Dump File: Only registers and stack trace are available <p>Symbol search path is: SRV*C:\Symbols*...
  • 微软调试器组件,可以用来查看分析蓝屏dump文件
  • 大多数人或许都经历过系统蓝屏问题,然而大多数人不清楚该怎么处理蓝屏问题,这里主要对系统蓝屏做一些解释,同时介绍下蓝屏问题分析工具WinDbg分析蓝屏问题的一般步骤。 微软官方对蓝屏的定义是,当系统遇到一些...
  • WinDbg分析蓝屏dump教程

    千次阅读 2014-07-15 09:08:44
    它能够通过dmp文件轻松的定位到问题根源,可用于分析蓝屏、程序崩溃(IE崩溃)原因,是我们日常工作中必不可少的一个有力工具,学会使用它,将有效提升我们的问题解决效率和准确率。 二、WinDbg6.12.0002.633下载:...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,350
精华内容 540
关键字:

蓝屏dump文件分析