分析Windows藍屏原因利器

1、Windbg-分析Windows藍屏原因利器先聲明下，雖然用windbg診斷藍屏之前網(wǎng)絡上已經(jīng)有人發(fā)過教程了，但就我而言， 學會使用windbg來診斷藍屏也算是自己的原創(chuàng)吧。以前看一個微軟專家的視頻（微軟專家張銀奎老師的如何診斷和調試藍屏錯誤），專家提到可以用 windbg來調試dump文件，當時我就想能不能只關注是什么文件導致的系統(tǒng)崩潰，然后對癥下藥。后來通過一系列的實驗，自己摸索出了用windbg診 斷藍屏的方法，成功解決了包括KIS7.0插件、QQ插件、迅雷插件導致的藍屏。廢話就不多說了，本文沒什么高深的技術，只是一些簡單的操作，但應該可以 讓身陷藍屏困擾中的朋友帶來些變化，起碼能讓你知

2、道是誰在搗亂！      直觀地說，藍屏是系統(tǒng)崩潰。操作系統(tǒng)在遇到致命錯誤導致崩潰時，并不是直接掛掉，而是會記錄下當時內存中的數(shù)據(jù)，將其存儲成為dump文件，并用一串藍屏代碼向用戶做出提示。      好了，大家跟我一起設置吧。      第一步，打開電腦的dump文件存儲功能。在“我的電腦”上右鍵屬性高級      選好后點確定，下次再出現(xiàn)藍屏時，系統(tǒng)就會存儲下dump文件，一般存放位置在系統(tǒng)盤的minidump文件夾下。（建議在該文

3、件夾上點右鍵屬性發(fā)送到桌面快捷方式，以后就能在桌面上找到該文件夾了） 第二步，下載安裝windbg 這個過程就不說了，隨便選一個下載，安裝時，一路“下一步”就行了。第三步，使用windbg診斷藍屏錯誤    上面兩步設好后，就想辦法開始“制造”藍屏吧，平時怎么用會出現(xiàn)藍屏就拼命用直到出現(xiàn)藍屏，嘿嘿。      藍屏后重啟，在minidump文件夾下會出現(xiàn)一個以日期為文件名的東東，那就是我們要的了。接下來打開windbg，點屏幕左下的 “開始”，如下圖：軟件啟動點FileOpen Crash Dump,如圖： 然后找到你的minidum

4、p文件夾，dump文件一般是"時間.dmp"如圖：打開后就會自動分析了。分析完后，看最下面，找到3.probably caused by這一行，如圖： 看，出來了吧那個myfault.sys文件就是罪魁禍首。 再補充點東西，導入dump文件分析完畢后，不要關閉，在后面輸入 !analyze -v ，這個命令可以查看dump文件的詳細情況，如圖：對普通用戶有用的還有下面一些信息：第一行 DEFAULT_BUCKET_ID: 錯誤類型，這個懂點編程和操作系統(tǒng)知識的朋友用得上點第 三行 PROCESS_NAME: XXX.exe 這個是導致錯誤的進程，查出是什么文件導致的藍屏后，

5、再看這里就知道是誰調用了錯誤文件，比如你查出123.sys導致藍屏，但你查不到123.sys是 哪個程序調用的，就可以用這個方法來看看，比如查出了是456.exe，你就可以在機子上或者網(wǎng)上搜索相關信息了。好了，到這里 相信大家已經(jīng)學會怎么找到導致系統(tǒng)藍屏的文件了，接下來怎么辦呢？上網(wǎng)查資料，把導致藍屏的那個文件名在網(wǎng)上搜索，基本就知道是什么文件了，一般網(wǎng)上也有 相關的解決辦法，看看要刪除些什么插件、打什么補丁或者重裝軟件等等。導致問題的不一定是.sys文件也有可能是.dll，這篇文章只能幫你找出導致藍屏 的元兇，具體的解決辦法得上網(wǎng)查。如果是查不到什么信息的.sys或者.dll就要當心了，有可

6、能是病毒或者rootkit附：windbg基本調試命令：r 可以顯示系統(tǒng)崩潰時的寄存器，和最后的命令狀態(tài)。dd 顯示當前內存地址，dd 參數(shù)：顯示參數(shù)處的內存。u 可以顯示反匯編的指令！analyze -v 顯示分析的詳細信息。kb 顯示call stack 內容.bugcheck 可以顯示出錯的代碼windbg診斷藍屏的一點補充導入dump文件分析完畢后，不要關閉，在后面輸入!analyze -v，這個命令可以查看dump文件的詳細情況，如圖：對普通用戶有用的還有下面一些信息：第一行 DEFAULT_BUCKET_ID: 錯誤類型，這個懂點編程和操作系統(tǒng)知識的朋友用得上點第 三行 PROCESS_NAME: XXX.exe 這個是導致錯誤的進程，查出是什么文件導致的藍屏后，再看這里就