windbg教程蓝屏dump阐发教程 利用WinDbg阐发东西
合理再给大师一些阐发:
那么是什么导致蓝屏的呢?接下来我们就要留意第二个环节消息了!
第二个环节消息:Probaly caused by(形成蓝屏可能的缘由)
接下来用一个简单的例子来进修简单的dmp阐发,下图中System Uptime: 0 days 0:14:23.581,意义是0天(days)0小时14分23秒581毫秒时呈现蓝屏了,看来是上机没多久就蓝屏了,这位顾客很悲催
运转!process号令后获得的消息:
看了这么多消息之后,这个蓝屏dmp到底是怎样回事呢?按照dmp给出的消息,该当是:顾客上机0天(days)0小时14分23秒581毫秒时,一个名为PinyinUp.exe触发了KiMsgProtect.sys这个驱动的一个Bug,导致蓝屏。
vDiskBus+da6c这个蓝屏消息是指网维大师蓝屏硬盘的dmp捕获机制,这并不是蓝屏缘由,有良多伴侣由于文章看到一半就去,成果得出一些错误结论,所以这里特地提示下大师,看到vDiskBus+da6c这个消息之后,就不要再判断错误了,这个消息能够的消息是:这个dmp文件是通过网维大师蓝屏鹰眼捕获到的,且是在网维无盘客户机上捕获到的,其它的就不克不及代表什么了。
当你打开一个dmp文件后,可能由于太多消息,让你无所适从,不外不妨,我们只需要关心几个环节消息即可。
注:红色字体为符号表当地存储径,固定径,可避免符号表反复下载。
那么PinyinUp.exe和KiMsgProtect.sys都是哪个厂商的?一般要晓得这个消息,只能去用户的机械上找了,我去找了之后发觉PinyinUp.exe是搜狗输入法的主动升级法式,KiMsgProtect.sys是恒信一这个计费软件的驱动,所以这个dmp暗示出来的意义看上去是搜狗拼音和恒信一搞在一路,出了问题!当然解除方式很简单,把搜狗输入法的主动升级法式删除掉,再看看能否仍然有蓝屏问题发生就ok了!
五、通过简单的几个步调学会阐发一些dmp文件。分享一个8E蓝屏dmp案例的阐发过程:
一、WinDbg是什么?它能做什么?WinDbg是在windows平,强大的用户态和内核态调试东西。它可以或许通过dmp文件轻松的定位到问题根源,可用于阐发蓝屏、法式解体(IE解体)缘由,是我们日常工作中必不成少的一个无力东西,学会利用它,将无效提拔我们的问题处理效率和精确率。
至此,简单的WinDbg利用你已会了!
2、将符号表地址:SRVC:\Symbols粘贴在输入框中,点击确定即可。
x64位版本下载:【微软安装版】
其实,对于阐发蓝屏dmp并不是每次命运都那么好,假如方才打开dmp文件未看到明白的蓝屏缘由时,我们就需要借助一个号令来进一步阐发dmp,这个号令就是:!analyze -v,这个号令可以或许主动阐发绝大部门蓝屏缘由。当初步阐发没有成果时,能够利用该号令进一步阐发毛病缘由,当然你也能够间接点击链接样式的!analyze -v来进行施行该号令,为了让大师更直观的看懂里面的消息,大师能够间接看图片中的正文消息。
括号中驱动文件名后面的+号代表的是偏移地址,假如多个dmp文件的驱动文件名一样,且偏移地址也一样,则问题缘由极有可能是统一个,这个偏移地址与汇编相关,这里不多做引见。
并不必然每个dmp文件都能够阐发出有用的结论,因而阐发dmp并不需要对每个dmp文件的成果过度纠结,其实蓝屏dmp阐发也是察看一个纪律或者规模的问题定位方式罢了。例如你阐发了10个dmp,有5个dmp都指向统一个蓝屏缘由,别的5个dmp的消息八门五花时,那么你完全能够先处置掉5次蓝屏,统一个缘由的问题,由于处理了这个问题之后,后面的问题可能就都处理了!
这个消息是相对比力主要的一个消息,若是你命运好的话,通过这个消息根基上能够看到导致蓝屏的驱动或者法式名称了,就像下图一样,初步的阐发曾经有告终果,Probaly caused by后面显示的是一个名为KiMsgProtect.sys的驱动文件导致蓝屏,这个文件就是恒信一的一个环节驱动。因而蓝屏则很有可能和一相关。
通过察看这个时间你就能够晓得问题是在什么时候呈现的,例如时间小于1分钟根基能够定位为开机蓝屏,反之大于一分钟则可证明是上机后或玩的过程中呈现问题了。
四、学会打开第一个dmp文件!
学到这里,根基上曾经能够阐发绝大部门dmp文件了,可是阐发蓝屏dmp要比力隆重,对消息需要从头验证一次才愈加安全,验证方式很简单,在WinDbg的号令输入框内,输入!process号令,就能够验证触发蓝屏的法式到底能否准确了。
三、设置符号表:符号表是WinDbg环节的“数据库”,若是没有它,WinDbg根基上就是个废料,无法阐发出更多问题缘由。所以利用WinDbg设置符号表,是必必要走的一步。
当你想打开第二个dmp文件时,可能由于上一个阐发记实未断根,导致无法间接阐发下一个dmp文件,此时你能够利用快速键【Shift+F5】来封闭上一个dmp阐发记实。
二、WinDbg6.12.0002.633下载:x86位版本下载:【微软安装版】
1、运转WinDbg软件,然后按【Ctrl+S】弹出符号表设置窗
第一个环节消息:System Uptime(开机时间):
至此,控制以上几个简单的阐发方式之后,根基上绝大大都dmp大师都能够阐发了,当然WinDbg是个强大的东西,同时蓝屏的缘由也有良多,若是想阐发的足够精确,那么就只要多学多练,多去阐发,由于WinDbg阐发除了懂得几个号令之外,经验愈加主要!
当你拿到一个dmp文件后,可利用【Ctrl+D】快速键来打开一个dmp文件,或者点击WinDbg界面上的【File=Open Crash Dump...】按钮,来打开一个dmp文件。第一次打开dmp文件时,可能会收到如下提醒,呈现这个提醒时,勾选“Dont ask again in this WinDbg session”,然后点否即可。