标签:
WinDbg蓝屏分析修复工具是是微软公司发布的一款免费GUI的调试器,因此对于修复蓝屏也不在话下,一般情况WinDbg会结合GUI和命令行进行操作。
WinDbg是在windows平台下,强大的用户态和内核态调试工具。它能够通过dmp文件轻松的定位到问题根源,可用于分析蓝屏、程序崩溃(IE崩溃)原因,是我们日常工作中必不可少的一个有力工具,学会使用它,将有效提升我们的问题解决效率和准确率。
1.查看版本信息:version、vertarget
2.查看模块信息:lm、!dlls、!lmvi等
3.调用栈:用k命令显示调用栈,用.frames命令切换栈帧
4.内存操作:读内存用d命令,写内存用e命令
5.自动分析:!analyze、!owner等
6.符号命令:.reload加载符号, .sympath设置符号路径, !sym设置符号选项
7.进程线程:!process显示进程信息; .process显示当前进程,或用.process /i 切换当前进程;!peb显示进程环境块内容;~命令显示线程列表,用~n s可切换当前线程,n表示线程号;.thread显示当前线程。
1.下载包解压后,安装“dbg_x86_6.7.05.1.exe”
2.将汉化补丁文件夹内的“ha_windbg.exe”放到程序安装的主目录下
一、设置符号表
符号表是WinDbg关键的“数据库”,如果没有它,WinDbg基本上就是个废物,无法分析出更多问题原因。所以使用WinDbg设置符号表,是必须要走的一步。
1、运行WinDbg软件,然后按【Ctrl+S】弹出符号表设置窗
2、将符号表地址:SRV*C:\Symbols*http://msdl.microsoft.com/download/symbols粘贴在输入框中,点击确定即可。
注:红色字体为符号表本地存储路径,建议固定路径,可避免符号表重复下载。
二、学会打开第一个dmp文件!
当你拿到一个dmp文件后,可使用【Ctrl+D】快捷键来打开一个dmp文件,或者点击WinDbg界面上的【File=>Open Crash Dump...】按钮,来打开一个dmp文件。第一次打开dmp文件时,可能会收到如下提示,出现这个提示时,勾选“Don't ask again in this WinDbg session”,然后点否即可。
当你想打开第二个dmp文件时,可能因为上一个分析记录未清除,导致无法直接分析下一个dmp文件,此时你可以使用快捷键【Shift+F5】来关闭上一个dmp分析记录。
至此,简单的WinDbg使用你已经学会了!
三、通过简单的几个步骤学会分析一些dmp文件。
分享一个8E蓝屏dmp案例的分析过程:
当你打开一个dmp文件后,可能因为太多信息,让你无所适从,不过没关系,我们只需要关注几个关键信息即可。
第一个关键信息:System Uptime(开机时间):
通过观察这个时间你就可以知道问题是在什么时候出现的,例如时间小于1分钟基本可以定位为开机蓝屏,反之大于一分钟则可证明是上机后或玩的过程中出现问题了。
接下来用一个简单的例子来学习简单的dmp分析,下图中System Uptime: 0 days 0:14:23.581,意思是0天(days)0小时14分23秒581毫秒时出现蓝屏了,看来是上机没多久就蓝屏了,这位顾客很悲催……
那么是什么导致蓝屏的呢?接下来我们就要注意第二个关键信息了!
第二个关键信息:Probaly caused by(造成蓝屏可能的原因)
这个信息是相对比较重要的一个信息,如果你运气好的话,通过这个信息基本上可以看到导致蓝屏的驱动或者程序名称了,就像下图一样,初步的分析已经有了结果,Probaly caused by后面显示的是一个名为KiMsgProtect.sys的驱动文件导致蓝屏,这个文件就是恒信一卡通的一个关键驱动。因此蓝屏则很有可能和一卡通有关。
括号中驱动文件名后面的+号代表的是偏移地址,假如多个dmp文件的驱动文件名一样,且偏移地址也一样,则问题原因极有可能是同一个,这个偏移地址与汇编有关,这里不多做介绍。
其实,对于分析蓝屏dmp并不是每次运气都那么好,假如刚刚打开dmp文件未看到明确的蓝屏原因时,我们就需要借助一个命令来进一步分析dmp,这个命令就是:!analyze -v,这个命令能够自动分析绝大部分蓝屏原因。当初步分析没有结果时,可以使用该命令进一步分析故障原因,当然你也可以直接点击链接样式的!analyze -v来进行执行该命令,为了让大家更直观的看懂里面的信息,大家可以直接看图片中的注释信息。
看了这么多信息之后,这个蓝屏dmp到底是怎么回事呢?根据dmp给出的信息,应该是:顾客上机0天(days)0小时14分23秒581毫秒时,一个名为PinyinUp.exe触发了KiMsgProtect.sys这个驱动的一个Bug,导致蓝屏。
那么PinyinUp.exe和KiMsgProtect.sys都是哪个厂商的?一般要知道这个信息,只能去用户的机器上找了,我去找了之后发现PinyinUp.exe是搜狗输入法的自动升级程序,KiMsgProtect.sys是恒信一卡通这个计费软件的驱动,所以这个dmp表示出来的意思看上去是搜狗拼音和恒信一卡通搞在一起,出了问题!当然排除方法很简单,把搜狗输入法的自动升级程序删除掉,再看看是否仍然有蓝屏问题发生就ok了!
学到这里,基本上已经可以分析绝大部分dmp文件了,但是分析蓝屏dmp要比较谨慎,对信息需要重新验证一次才更加保险,验证方法很简单,在WinDbg的命令输入框内,输入!process命令,就可以验证触发蓝屏的程序到底是否正确了。
运行!process命令后得到的信息:
至此,掌握以上几个简单的分析方法之后,基本上绝大多数dmp大家都可以独立分析了,当然WinDbg是个强大的工具,同时蓝屏的原因也有很多,如果想分析的足够准确,那么就只有多学多练,多去分析,因为WinDbg分析除了懂得几个命令之外,经验更加重要!
厂商名称:
奥维互动地图免安装版最新版59.0M3648人在玩奥维互动地图是一款跨平台地图浏览器,支持iOS(iPhone、iPad)、Android、Windows、WindowsPhone、Web五大平台。集多种知名地图与一体,拥有强大的设计功能与地理信息展现技术,可满足各行各业地理信息规划的需求。欢迎下载使用。
下载沪拍拍(沪牌拍牌软件)147.3M1人在玩沪拍拍(沪牌拍牌软件)是一款专业的拍牌助手软件,它的功能十分强大,可以帮助用户竞拍沪牌,保证价格对有七成把握能中标,想要拍牌的朋友一定不要错过了,欢迎大家下载体验。
下载谷歌地球最新版2021(google earth)63.4M8188人在玩谷歌地球(GoogleEarth,GE)是一款谷歌公司开发的虚拟地球仪软件,它把卫星照片、航空照相和GIS布置在一个地球的三维模型上。有需要的朋友不要错过了,欢迎下载使用。
下载护眼宝电脑版3.6M131人在玩眼睛是心灵的窗户,现在有很多的小孩子很小就戴着眼镜了,护眼宝是一款护眼app,护眼宝需要在pc端安装靠谱助手才行的,有需要的亲们赶快的来体验吧!
下载金山流量监控独立版3.2M1676人在玩直接运行netmon.exe即可,如果安装不好用的话有可能安装过金山卫士,里面有卸载,卸载之后重新运行,一定要重新启动电脑,要不不好用。
下载Tampermonkey脚本(Chrome扩展)1.3M2395人在玩Tampermonkey是第一个可以用来让Chrome支持更多UserScript的Chrome扩展,它可以加入更多的Chrome本身不支持的用户脚本功能,比如GM_registerMenuCommand和GM_xmlhttpRequest这两个函数。安装该扩展之后,再安装Userscript的时候还会拦截原来的对话框
下载精易模块885M2227人在玩精易模块是由精易论坛发布的一款易语言模块,使用精易模块,可以更好的编写易语言程序,精易模块目前是以开源的形式存在,完全免费使用,是易语言开发者的必备模块。精易模块的由来:最初开始成立精易论坛时,并没有精易模块的,是自己在平常编写程序时,自己封
下载沙盘sandboxie软件5.0M172人在玩沙盘Sandboxie允许你在沙盘环境中运行浏览器或其他程序,因此运行所产生的变化可以随后删除。可用来消除上网、运行程序的痕迹,也可用来还原收藏夹、主页、注册表等。即使在沙盘进程中下载的文件,也会随着沙盘的清空而删除。此软件在系统托盘中运行,如果想启动一
下载渲梦工厂(3dsmax插件)100.2M117人在玩渲梦工厂(RenderDreamFactory)简称RDFactory,这款软件是一款3dsmax插件工具,它用于3D动画及效果图辅助设计,其功能包括建模、场景、材质、灯光,动画、构图。渲染等功能,这款插件操作简单,功能强大,由于功能越来越丰富,所以新版本已经从起初的综合版分化成
下载法人一证通协卡助手21.9M21人在玩法人一证通协卡助手是上海市法人一证通需要使用到的一款专门用于驱动修复和一键激活法人一证通的软件,通过法人一证通协卡助手用户能够更好的管理自己的UKEY并激活自己的法人一证通,有需要的可以下载使用。
下载
支持( 0 ) 盖楼(回复)