系统蓝屏⽇志DMP⽂件分析⼯具WinDbg及教程
⼀、是什么?它能做什么?
WinDbg是在windows平台下,强⼤的⽤户态和内核态调试⼯具。它能够通过轻松的定位到问题根源,可⽤于分析蓝屏、程序崩溃(IE崩溃)原因,是我们⽇常⼯作中必不可少的⼀个有⼒⼯具,学会使⽤它,将有效提升我们的问题解决效率和准确率。
⼆、WinDbg6.12.0002.633下载:
三、设置符号表:
符号表是WinDbg关键的“数据库”,如果没有它,WinDbg基本上就是个废物,⽆法分析出更多问题原因。所以使⽤WinDbg设置符号表,是必须要⾛的⼀步。
1、运⾏WinDbg软件,然后按【Ctrl+S】弹出符号表设置窗
2、将符号表地址:SRV*C:\Symbols*msdl.microsoft/download/symbols粘贴在输⼊框中,点击确定即可。
注:红⾊字体为符号表本地存储路径,建议固定路径,可避免符号表重复下载。
四、学会打开第⼀个dmp⽂件!
当你拿到⼀个dmp⽂件后,可使⽤【Ctrl+D】快捷键来打开⼀个dmp⽂件,或者点击WinDbg界⾯上的【File=>Open 】按钮,来打开⼀个dmp⽂件。第⼀次打开dmp⽂件时,可能会收到如下提⽰,出现这个提⽰时,勾选“Don't ask again in this WinDbg session”,然后点否即可。
当你想打开第⼆个dmp⽂件时,可能因为上⼀个分析记录未清除,导致⽆法直接分析下⼀个dmp⽂件,此时你可以使⽤快捷键
【Shift+F5】来关闭上⼀个dmp分析记录。
⾄此,简单的WinDbg使⽤你已经学会了!
五、通过简单的⼏个步骤学会分析⼀些dmp⽂件。
分享⼀个8E蓝屏dmp案例的分析过程:
当你打开⼀个dmp⽂件后,可能因为太多信息,让你⽆所适从,不过没关系,我们只需要关注⼏个关键信息即可。
第⼀个关键信息:System Uptime(开机时间):
通过观察这个时间你就可以知道问题是在什么时候出现的,例如时间⼩于1分钟基本可以定位为开机蓝屏,反之⼤于⼀分钟则可证明是上机后或玩的过程中出现问题了。
接下来⽤⼀个简单的例⼦来学习简单的dmp分析,下图中System Uptime: 0 days 0:14:23.581,意思是0天(days)0⼩时14分23秒581毫秒时出现蓝屏了,看来是上机没多久就蓝屏了,这位顾客很悲催……
那么是什么导致蓝屏的呢?接下来我们就要注意第⼆个关键信息了!
第⼆个关键信息:Probaly caused by(造成蓝屏可能的原因)
这个信息是相对⽐较重要的⼀个信息,如果你运⽓好的话,通过这个信息基本上可以看到导致蓝屏的驱动或者程序名称了,就像下图⼀样,初步的分析已经有了结果,Probaly caused by后⾯显⽰的是⼀个名为KiMsgProtect.sys的驱动⽂件导致蓝屏,这个⽂件就是恒信⼀卡通的⼀个关键驱动。因此蓝屏则很有可能和⼀卡通有关。
括号中驱动⽂件名后⾯的+号代表的是偏移地址,假如多个dmp⽂件的驱动⽂件名⼀样,且偏移地址也⼀样,则问题原因极有可能是同⼀个,这个偏移地址与汇编有关,这⾥不多做介绍。
其实,对于分析蓝屏dmp并不是每次运⽓都那么好,假如刚刚打开dmp⽂件未看到明确的蓝屏原因时,
我们就需要借助⼀个命令来进⼀步分析dmp,这个命令就是:!analyze -v,这个命令能够⾃动分析绝⼤部分蓝屏原因。当初步分析没有结果时,可以使⽤该命令进⼀步分析故障原因,当然你也可以直接点击链接样式的!analyze -v来进⾏执⾏该命令,为了让⼤家更直观的看懂⾥⾯的信息,⼤家可以直接看图⽚中的注释信息。
看了这么多信息之后,这个蓝屏dmp到底是怎么回事呢?根据dmp给出的信息,应该是:顾客上机0天(days)0⼩时14分23秒581毫秒时,⼀个名为触发了KiMsgProtect.sys这个驱动的⼀个Bug,导致蓝屏。
crash是什么意思
那么和KiMsgProtect.sys都是哪个⼚商的?⼀般要知道这个信息,只能去⽤户的机器上了,我去了之后发现是搜狗输⼊法的⾃动升级程序,KiMsgProtect.sys是恒信⼀卡通这个计费软件的驱动,所以这个dmp表⽰出来的意思看上去是搜狗拼⾳和恒信⼀卡通搞在⼀起,出了问题!当然排除⽅法很简单,把搜狗输⼊法的⾃动升级程序删除掉,再看看是否仍然有蓝屏问题发⽣就ok了!
学到这⾥,基本上已经可以分析绝⼤部分dmp⽂件了,但是分析蓝屏dmp要⽐较谨慎,对信息需要重新验证⼀次才更加保险,验证⽅法很简单,在WinDbg的命令输⼊框内,输⼊!process命令,就可以验证触发蓝屏的程序到底是否正确了。
运⾏!process命令后得到的信息:
⾄此,掌握以上⼏个简单的分析⽅法之后,基本上绝⼤多数dmp⼤家都可以独⽴分析了,当然WinDbg是个强⼤的⼯具,同时蓝屏的原因也有很多,如果想分析的⾜够准确,那么就只有多学多练,多去分析,因为WinDbg分析除了懂得⼏个命令之外,经验更加重要!
六、合理再给⼤家⼀些分析建议:
并不⼀定每个dmp⽂件都可以分析出有⽤的结论,因此分析dmp并不需要对每个dmp⽂件的结果过分纠结,其实蓝屏dmp分析也是观察⼀个规律或者规模的问题定位⽅法⽽已。例如你分析了10个dmp,有5个dmp都指向同⼀个蓝屏原因,另外5个dmp的信息五花⼋门时,那么你完全可以先处理掉5次蓝屏,同⼀个原因的问题,因为解决了这个问题之后,后⾯的问题可能就都解决了!
vDiskBus+da6c这个蓝屏信息是指⽹维⼤师蓝屏硬盘的dmp捕捉机制,这并不是蓝屏原因,有很多朋友因为⽂章看到⼀半就去折腾,结果得出⼀些错误结论,所以这⾥特意提醒下⼤家,看到vDiskBus+da6c这个信息之后,就不要再判断错误了,这个信息可以证实的信息是:这个dmp⽂件是通过⽹维⼤师蓝屏鹰眼捕捉到的,且是在⽹维⽆盘客户机上捕捉到的,其它的就不能代表什么了。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。