Windbg分析Windows蓝屏原因的方法
用WinDBG捉住winddows蓝屏死机的幕后真凶
用WinDBG捉住winddows蓝屏死机的幕后真凶蓝屏死机(英语:Blue Screen of Death,缩写为:BSoD)指的是微软Windows操作系统在无法从一个系统错误中恢复过来时所显示的屏幕图像。
Windows中有两个图像都被称为蓝屏死机,其中一个要比另一个严重得多。
蓝屏死机时会留下类似以下文字:A problem has been detected and Windows has been shut down to prevent damageto your computer.PAGE_FAULT_IN_NONPAGED_AREAIf this is the first time you’ve seen this error screen,restart your computer. If this screen appears again, followthese steps:Check to make sure any new hardware or software is properly installed.If this is a new installation, ask your hardware or software manufacturerfor any Windows updates you might need.If problems continue, disable or remove any newly installed hardwareor software. Disable BIOS memory options such as caching or shadowing.If you need to use Safe Mode to remove or disable components, restartyour computer, press F8 to select Advanced Startup Options, and thenselect Safe Mode.Technical information:*** STOP: 0×00000050 (0×00000000, 0×00000000, 0×00000000, 0×00000000)Beginning dump of physical memory蓝屏电脑自动重启的大致成因微软对引起系统崩溃的原因进行的统计分析,结果如下图所示:从图中我们可以知道,电脑崩溃自动蓝屏死机的绝大多数原因是第三方设备驱动程序导致的。
蓝屏故障诊断工具WindowsDebugger
蓝屏故障诊断⼯具WindowsDebugger
1. 我的电脑点右键点属性->⾼级->启动,最下⾯的内存调试选最后⼀项的全部,确定后重新启动
2. 蓝屏后不要急着重启,系统会保存整个内存内容,然后会⾃动重启(如果没有⾃动重启,可能是由于您的设置,请⼿动重新启动)
3. 找到C:/Windows/Minidump/
4. 安装后创建⼀个临时⽬录,例如 c:/temp
5. 启动 Windbg
6. Windbg界⾯: file->Symbol File Path (Ctrl+S) 输⼊:
然后确定
7. Windbg界⾯: file->Open Crash Dump(Ctrl+D),打开9. 打开例如C:/Windows/Minidump/Mini122208-01.dmp(该⽂件名是随着⽇期变⽽不⼀样的,在你电脑⾥显⽰出来肯定和我不⼀样的,当然⽂件也是类似的)后,等待提⽰
当出现 Use !analyze -v to get detailed debugging information. 字样后,在下⾯输⼊框
!analyze -v
8. 等待分析完毕,可以知道什么导致的出错。
如何利用windbg分析蓝屏
如何利用windbg分析蓝屏
电脑蓝屏经常遇见,但是发生蓝屏后我们千万别慌,其实我们可以利用蓝屏分析工具来分析蓝屏,下面就由店铺跟大家分享如何利用windbg分析蓝屏吧,希望对大家有所帮助~
利用windbg分析蓝屏步骤
Windbg蓝屏分析工具,也叫Windows Debugging Tool,结合微软官网知识库中的案列来处理问题,比较靠谱一些。
用WinDBG工具分析、处理蓝屏问题,要确保系统有生成内存转储文件。
开始→控制面板→系统→高级→启动和故障恢复→设置→写入调试信息→小内存转储→确定
蓝屏相关文件会保存在C:\Windows\MiniDump目录下面。
所以,出现蓝屏后,先检查系统中有没有C:\Windows\Memory(按照日期命名的文件).dmp这个文件。
其次,不同的操作系统需要使用不同的版本(32位、64位),下载、解压文件之后,将汉化文件复制(Ctrl+C)、黏贴(Ctrl+V)到和当前操作系统的位数相匹配的文件夹中即可使用。
选一个临时目录存放Symbol文件。
比如,在系统盘根目录建立一个C:\Temp临时文件夹。
打开分析工具之后,需要配置一下:文件→符号文件路径
在其中输入:SRV*c:\temp*/download/symbols →确定
以后,遇到蓝屏,使用该工具打开.dmp(扩展名)的文件,保持联网即可分析了。
WIN10系统蓝屏怎么办?怎么查看蓝屏的原因?
WIN10系统蓝屏怎么办?怎么查看蓝屏的原因?电脑蓝屏大家或多或少的都遇到过,今天就WIN10蓝屏问题,给大家初步简单讲解一下。
电脑蓝屏,又叫蓝屏死机,简称BSOD,是微软的Windows 系列操作系统在无法从一个系统错误中恢复过来时,为保护电脑数据文件不被破坏而强制显示的屏幕图像。
Windows 10系统蓝屏信息非常多,无法在一篇文章中全面讲解,但它们产生的原因往往集中在不兼容的硬件和驱动程序有问题的软件、病毒等造成的,所以原因太多了!我无法知道大家每个人的蓝屏是因为什么什么样的问题而造成,但是万变不离其宗,我针对一些常见的两种WIN10蓝屏案例一一分析解决!常见案例一:Win10蓝屏出现错误的代码,提示CRITICAL_STRUCTURE_CORRUPTION的问题1、在安装Win10之前有没有电脑不稳定迹象,蓝屏重启等。
如果出现这种情况,请检查内存主板。
2、检查你的win10安装盘来源是否安全,是否官网镜像或是可靠的网站下载的,有无精简。
如果系统不是原装的话!很多用户会安装精简版以及Ghost系统,小七认为这两种系统一出现蓝屏,大家可以安装原版系统!3、查看蓝屏之前的Win10运行环境,是否有运行什么特定软件,如果有,先不使用,观察是否会出现蓝屏。
4、安装Win10系统之后在没有安装任何软件的情况下,是否有蓝屏出现?如果没有,那么请卸载你电脑上的软件以排除软件冲突的问题。
5、显卡驱动不稳定。
在出现代码之前也曾经无故蓝屏等现象都有可能是这个原因。
解决方法:下载显卡驱动之后重新安装就能修复!6、如实在无法排查那么建议分析Dump文件(Win10获取dump 日志文件的方法)查看到详细信息后再判断。
打开管理员命令提示符界面,在输入框中输入以下命令:sfc/scannow 。
输入无误之后使用回车键来执行该命令,此时系统就会开始自动修复故障了!管理员命令提示符的打开方式:使用鼠标右键单击左下角的开始菜单图标,在弹出的选项中就可以找到管理员命令提示符了。
windows系统蓝屏分析修复工具WinDbg(32位64位)及教程
windows系统蓝屏分析修复工具WinDbg(32位/64位)及教程Windbg是一款经典的windows系统蓝屏分析修复工具,可以通过对dmp文件的分析和定位,分析并解决蓝屏、程序崩溃(IE崩溃)等问题,有了Windbg大家不会再对蓝屏茫然无措了,如果你遇到了头疼的蓝屏问题,试试这个windows系统蓝屏分析修复工具这个绿色软件吧。
windows系统蓝屏分析修复工具使用注意事项:符号表是Windbg关键的“数据库”,如果没有它,WinDbg基本上就是个废物,无法分析出更多问题原因。
所以使用Windbg设置符号表,是必须要走的一步。
1、运行Windbg软件,然后按【Ctrl+S】弹出符号表设置窗2、将符号表地址:SRV*C:\Symbols*/download /symbols粘贴在输入框中,点击确定即可。
温馨提示:红色字体为符号表本地存储路径,建议固定路径,可避免符号表重复下载。
windows系统蓝屏分析修复工具简单的使用教程简介:当你拿到一个dmp文件后,可使用【Ctrl+D】快捷键来打开一个dmp文件,或者点击WinDbg界面上的【File=>Open Crash Dump...】按钮,来打开一个dmp 文件。
第一次打开dmp文件时,可能会收到如下提示,出现这个提示时,勾选“Don't ask again in this WinDbg session”,然后点否即可。
当你想打开第二个dmp文件时,可能因为上一个分析记录未清除,导致无法直接分析下一个dmp文件,此时你可以使用快捷键【Shift+F5】来关闭上一个dmp分析记录。
到这里关于windows系统蓝屏分析修复工具的使用已经介绍完了,简单的Windbg使用相信大家已经没有任何问题了。
蓝屏修复工具Windbg使用教程
蓝屏修复工具Windbg使用教程电脑蓝屏原因很多,但是大都是硬件和驱动程序不兼容所引起的,要想修复蓝屏问题我们通过Windbag来对蓝屏原因进行定位,Windbg 是一款强大的调试工具,可能有很多小伙伴还不知道Windbg工具的使用方法,那就来看一下使用Windbg进行蓝屏原因定位的使用教程吧。
蓝屏修复工具Windbg使用教程1、要使用Windbg,首先要设置好蓝屏转储,这样当蓝屏时系统会以.dmp文件方式保留蓝屏故障原因。
右键单击桌面计算机图标--选择属性,单击高级系统设置,在启动和故障恢复栏中单击设置,在写入调试信息栏中选择小内存转储(如果已经设置了可忽略此步骤),小转储目录为%SystemRoot%\\Minidump(蓝屏文件存放位置),也就是C:\\Windows\\Minidump文件夹。
2、搜索下载安装Windbg。
3、安装成功后,启动Windbg。
4、先为Windbg软件设置符号表路径,作为蓝屏原因分析数据库,否则软件将没有作用。
单击File--选择Symbol File Path。
5、在弹出的对话框Symbol Path文本框中输入SRV*C:\\Symbols*/download/symbols,单击OK。
6、设置完毕后单击File--选择Open Crash Dump来打开蓝屏文件,在弹出的对话框中点选到C:\\Windows\\Minidump文件夹,单击我们要分析的蓝屏文件,单击打开。
7、接下来就是对文件进行分析,这需要一定的经验和知识。
这里我们着重可以看一下System Uptime(开机时间)和Probably Caused By(可能引起故障的原因是)。
8、需要进一步分析,可以单击!analyze -v9、可以从中提取到蓝屏错误代码和引起蓝屏的程序名称,再通过网络搜索这些程序名和代码等方式弄清原因。
以上就是蓝屏修复工具Windbg使用教程的全部内容,通过使用Windbg,我们就能比较容易的确定导致电脑蓝屏的原因了。
用WinDbg解决计算机蓝屏问题
一般大家遇到计算机蓝屏问题,看到如此长的一串错误代码,往往不知所云。
就算把错误代码放到百度上搜索,也众说纷纭,最后无奈重装系统。
我最近也遇到了这样的困扰,我们的序号服务器近期来,时不时蓝屏,并且蓝屏的几率越来越大,最严重的情况下,一天蓝屏3次之多。
我也根据蓝屏的错误代码到网上看,有的说是驱动问题,有的说是主机散热问题,还有的说是内存条质量不好,我晕倒。
无奈和信管商量,准备重装系统,如果还不行,就咨询硬件厂商来解决问题。
结果我在重装系统的时候,又反复蓝屏,造成系统无法重装,这可如何是好!我就咨询服务器厂商技术人员,他让我将%SystemRoot%\Minidump目录下面的文件发给他看,我就传了邮件给他,结果等了半天也没有信息反馈。
于是我就就是网上用关键字“minidump”找相关的资料,后来搜索了一番,找到了一个很好的解决计算机蓝屏的方法,与大家分享。
步骤如下:1)确保你计算机在蓝屏的时候,能够将信息进行存储方法如下:右键点击“计算机”,在“高级选项页”里面,点击“启动和故障恢复“选项,在弹出的窗体里面查看“写入调试信息”下拉框,一般“选择小内存转储”或“核心内存转储”即可,在如下图所示:这样,后续出现蓝屏错误的时候,就会在%SystemRoot%\Minidump目录下,产生错误文件。
说明:内存转储文件是一个扩展名为.DMP 的文件。
“小内存转储”文件保存在Windows\Minidump 文件夹,文件大小为64KB,它只记录有发生蓝屏故障时的关键信息;“核心内存转储”与“完全内存转储”文件则保存在Windows 文件夹中,文件名为MEMORY.DMP,它们分别记录有发生蓝屏故障时的核心内存信息与完整的内存信息。
为了节省硬盘空间,通常我们可以选择“小内存转储”2)下载WINDbg 工具网址如下,附件里面有我下好的压缩包。
/whdc/devtools/debugging/installx86.mspx这里注意的是下载对应的版本,不要下错。
笔记本电脑蓝屏的原因及解决方法
笔记本电脑蓝屏的原因及解决方法笔记本电脑蓝屏的原因及解决方法很多用户都遇见过笔记本蓝屏问题,笔记本蓝屏很多时候都是过热引起的或是驱动程序不对引起的,还有就是病毒引起的呢,下面就来看看使用Windbg来查看笔记本蓝屏的原因。
1、下载安装WinDbg程序下载安装WinDbg程序,这是微软的调试分析软件。
软件有32位版和64位版,根据自己所用的系统选用即可。
对于64位系统来说,如果用32位版的WinDbg问题也不大。
下载调试分析软件2、运行WinDbg程序安装后运行WinDbg,点击File菜单,进入“Symbol File Path”,输入sympath SRV *D:symbolsDown*/download/symbols。
其中D:symbolsDown是自己创建的文件夹,这个可以更改,后面的链接则不能更改。
运行WinDbg程序3、寻找查看蓝屏信息文件从系统的WindowsMinidump文件夹中找到dmp文件,这是系统蓝屏后,保存下来的小内存转储文件,里面包含了重要的内存信息。
如果有多个文件,不妨看下文件名,例如mini091611-06这个文件名,意思为mini(小内存转储)+日期(格式月+日+年),“-”后面跟随的是蓝屏次数,像6就是说明蓝屏了6次,这是第6次的文件。
找到蓝屏信息文件4、自动分析蓝屏原因运行WinDbg后,使用“Open Crash Dump”打开dmp文件,或者直接把dmp文件拖放到软件窗口中,接下来软件自动进行分析。
对于初学者来说,其他的可以不用看,只需要看下“Probably caused by : usbhub.sys ( usbhub!USBH_FlushPortChange+112 )”这一行就可以了。
如果没有“Probably caused by”,可能需要点击一下蓝色的“!analyze”字。
分析导致蓝屏的原因小贴士:这里需要特别说明,有不少情况下,显示为“Probably caused by : ntoskrnl.exe”。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windbg 分析Windows蓝屏原因的方法蓝屏是系统崩溃。
操作系统在遇到致命错误导致崩溃时,并不是直接挂掉,而是会记录下当时内存中的数据,将其存储成为dump文件,并用一串蓝屏代码向用户做出提示。
一、如何获取DUMP文件右键点击“我的电脑”,选“属性→高级→启动和故障恢复→设置”,打开“启动和故障恢复”选项卡,在“写入调试信息”下拉列表中选中“小内存转储(64KB)”选项,如图1。
选好后点确定,下次再出现蓝屏时,系统就会存储下dump文件,一般存放位置在系统盘的minidump文件夹下。
(建议在该文件夹上点右键——属性——发送到——桌面快捷方式,以后就能在桌面上找到该文件夹了)小知识:小内存转储内存转储是用于系统崩溃时,将内存中的数据转储保存在转储文件中,供给有关人员进行排错分析使用。
小内存转储,就是只保存内存前64KB的基本空间数据的内存转储文件。
这样可以节省磁盘空间,也方便文件的查看。
选好后点“确定”,这样操作系统在下次出现蓝屏时,就会记录下当时内存中的数据,并存储为dump文件,该文件存放在系统盘的minidump文件夹下。
小知识:Dump文件Dump文件是用来给驱动程序编写人员调试驱动程序用的,这种文件必须用专用工具软件打开,比如使用WinDbg打开。
第二步,下载安装windbg并安装/whdc/devtools/debugging/installx86.mspx第三步,使用windbg诊断蓝屏错误遇到计算机蓝屏后重启,在minidump文件夹下会出现一个以日期为文件名的文件,那就是我们要的了。
接下来打开windbg软件启动,File—>Open Crash Dump,如图:然后找到你的minidump文件夹,dump文件一般是"时间.dmp"打开后就会自动分析了。
分析完后,看最下面,找到probably caused by这一行,如图:那个360AntiArp.sys文件就是问题所在(举例,仅供参考),根据相关的文件名,在硬盘内查找和该文件相关的程序,排除该程序的影响后,确认是否还有蓝屏问题出现。
【注】导入dump文件分析完毕后,不要关闭,在命令行里面输入!analyze -v,这个命令可以查看dump文件的详细情况,对普通用户有用的还有下面一些信息:0:000>!analyze -v******************************************************************************** ** Exception Analysis ** *********************************************************************************** WARNING: Unable to verify checksum for testflash.exe*** ERROR: Module load completed but symbols could not be loaded for testflash.exe*** WARNING: Unable to verify checksum for flashgame.dll*** ERROR: Symbol file could not be found. Defaulted to export symbols for flashgame.dll - *** WARNING: Unable to verify checksum for yyyclient.dll*** ERROR: Symbol file could not be found. Defaulted to export symbols for yyyclient.dll - *** ERROR: Symbol file could not be found. Defaulted to export symbols for SKCHUI.DLL -*** ERROR: Module load completed but symbols could not be loaded for xpsp2res.dll*** ERROR: Symbol file could not be found. Defaulted to export symbols for MSOXMLMF.DLL - *** ERROR: Symbol file could not be found. Defaulted to export symbols for RTXOLAss.dll - *** WARNING: Unable to verify checksum for DS40xxSDK.dll*** ERROR: Symbol file could not be found. Defaulted to export symbols for DS40xxSDK.dll - *** WARNING: Unable to verify checksum for ClientPlayM4.dll*** ERROR: Symbol file could not be found. Defaulted to export symbols for ClientPlayM4.dll -*** ERROR: Symbol file could not be found. Defaulted to export symbols for rsaenh.dll -*** ERROR: Symbol file could not be found. Defaulted to export symbols for safemon.dll - *** ERROR: Module load completed but symbols could not be loaded for shdoclc.dll*** ERROR: Symbol file could not be found. Defaulted to export symbols for sysfer.dll -*** ERROR: Symbol file could not be found. Defaulted to export symbols for mswsock.dll - *** ERROR: Symbol file could not be found. Defaulted to export symbols for psapi.dll -*** ERROR: Symbol file could not be found. Defaulted to export symbols for user32.dll -**************************************************************************** ****** ****** Your debugger is not using the correct symbols ****** ****** In order for this command to work properly, your symbol path ****** must point to .pdb files that have full type information. ****** ****** Certain .pdb files (such as the public OS symbols) do not ****** contain the required information. Contact the group that ****** provided you with these symbols if you need this command to ****** work. ****** ****** Type referenced: IMAGE_NT_HEADERS32 ****** ****************************************************************************WARNING: lient overlaps testflashWARNING: lient overlaps flashgameWARNING: lient overlaps yyyclientWARNING: lient overlaps SKCHUIWARNING: lient overlaps xpsp2resWARNING: lient overlaps MSOXMLMFWARNING: lient overlaps RTXOLAssWARNING: lient overlaps Flash10WARNING: lient overlaps DS40xxSDKWARNING: lient overlaps ClientPlayM4WARNING: lient overlaps rsaenhWARNING: lient overlaps safemonWARNING: lient overlaps shdoclc*** WARNING: Unable to verify timestamp for lient.dll*** ERROR: Module load completed but symbols could not be loaded for lient.dll **************************************************************************** ****** ****** Your debugger is not using the correct symbols ****** ****** In order for this command to work properly, your symbol path ****** must point to .pdb files that have full type information. ****** ****** Certain .pdb files (such as the public OS symbols) do not ****** contain the required information. Contact the group that ****** provided you with these symbols if you need this command to ****** work. ****** ****** Type referenced: kernel32!pNlsUserInfo ****** ******************************************************************************************************************************************************** ****** ****** Your debugger is not using the correct symbols ****** ****** In order for this command to work properly, your symbol path ****** must point to .pdb files that have full type information. ****** ****** Certain .pdb files (such as the public OS symbols) do not ****** contain the required information. Contact the group that ****** provided you with these symbols if you need this command to ****** work. ****** ****** Type referenced: kernel32!pNlsUserInfo ****** ****************************************************************************FAULTING_IP:lient+528d8730528d914 8a08 mov cl,byte ptr [eax]EXCEPTION_RECORD: ffffffff -- (.exr 0xffffffffffffffff)ExceptionAddress: 0528d914 (lient+0x0528d873)ExceptionCode: c0000005 (Access violation)ExceptionFlags: 00000000NumberParameters: 2Parameter[0]: 00000000Parameter[1]: 07889000Attempt to read from address 07889000DEFAULT_BUCKET_ID: INVALID_POINTER_READPROCESS_NAME: testflash.exe【略】---------在上面显示的详细分析数据中:DEFAULT_BUCKET_ID: 错误类型,这个需要编程和操作系统内核知识的工程师用得上;PROCESS_NAME: XXX.exe这个是导致错误的进程,查出是什么文件导致的蓝屏后,再看这里就知道是谁调用了错误文件,比如你查出testflash.sys导致蓝屏,但你查不到testflash.sys是哪个程序调用的,就可以用这个方法来看看,比如查出了是testflash.exe,你就可以在机子上或者网上搜索相关信息了。