分析Windows藍(lán)屏原因利器

1、Windbg-分析Windows藍(lán)屏原因利器先聲明下，雖然用windbg診斷藍(lán)屏之前網(wǎng)絡(luò)上已經(jīng)有人發(fā)過(guò)教程了，但就我而言， 學(xué)會(huì)使用windbg來(lái)診斷藍(lán)屏也算是自己的原創(chuàng)吧。以前看一個(gè)微軟專家的視頻（微軟專家張銀奎老師的如何診斷和調(diào)試藍(lán)屏錯(cuò)誤），專家提到可以用 windbg來(lái)調(diào)試dump文件，當(dāng)時(shí)我就想能不能只關(guān)注是什么文件導(dǎo)致的系統(tǒng)崩潰，然后對(duì)癥下藥。后來(lái)通過(guò)一系列的實(shí)驗(yàn)，自己摸索出了用windbg診 斷藍(lán)屏的方法，成功解決了包括KIS7.0插件、QQ插件、迅雷插件導(dǎo)致的藍(lán)屏。廢話就不多說(shuō)了，本文沒什么高深的技術(shù)，只是一些簡(jiǎn)單的操作，但應(yīng)該可以 讓身陷藍(lán)屏困擾中的朋友帶來(lái)些變化，起碼能讓你知

2、道是誰(shuí)在搗亂！      直觀地說(shuō)，藍(lán)屏是系統(tǒng)崩潰。操作系統(tǒng)在遇到致命錯(cuò)誤導(dǎo)致崩潰時(shí)，并不是直接掛掉，而是會(huì)記錄下當(dāng)時(shí)內(nèi)存中的數(shù)據(jù)，將其存儲(chǔ)成為dump文件，并用一串藍(lán)屏代碼向用戶做出提示。      好了，大家跟我一起設(shè)置吧。      第一步，打開電腦的dump文件存儲(chǔ)功能。在“我的電腦”上右鍵屬性高級(jí)      選好后點(diǎn)確定，下次再出現(xiàn)藍(lán)屏?xí)r，系統(tǒng)就會(huì)存儲(chǔ)下dump文件，一般存放位置在系統(tǒng)盤的minidump文件夾下。（建議在該文

3、件夾上點(diǎn)右鍵屬性發(fā)送到桌面快捷方式，以后就能在桌面上找到該文件夾了） 第二步，下載安裝windbg 這個(gè)過(guò)程就不說(shuō)了，隨便選一個(gè)下載，安裝時(shí)，一路“下一步”就行了。第三步，使用windbg診斷藍(lán)屏錯(cuò)誤    上面兩步設(shè)好后，就想辦法開始“制造”藍(lán)屏吧，平時(shí)怎么用會(huì)出現(xiàn)藍(lán)屏就拼命用直到出現(xiàn)藍(lán)屏，嘿嘿。      藍(lán)屏后重啟，在minidump文件夾下會(huì)出現(xiàn)一個(gè)以日期為文件名的東東，那就是我們要的了。接下來(lái)打開windbg，點(diǎn)屏幕左下的 “開始”，如下圖：軟件啟動(dòng)點(diǎn)FileOpen Crash Dump,如圖： 然后找到你的minidum

4、p文件夾，dump文件一般是"時(shí)間.dmp"如圖：打開后就會(huì)自動(dòng)分析了。分析完后，看最下面，找到3.probably caused by這一行，如圖： 看，出來(lái)了吧那個(gè)myfault.sys文件就是罪魁禍?zhǔn)住?再補(bǔ)充點(diǎn)東西，導(dǎo)入dump文件分析完畢后，不要關(guān)閉，在后面輸入 !analyze -v ，這個(gè)命令可以查看dump文件的詳細(xì)情況，如圖：對(duì)普通用戶有用的還有下面一些信息：第一行 DEFAULT_BUCKET_ID: 錯(cuò)誤類型，這個(gè)懂點(diǎn)編程和操作系統(tǒng)知識(shí)的朋友用得上點(diǎn)第 三行 PROCESS_NAME: XXX.exe 這個(gè)是導(dǎo)致錯(cuò)誤的進(jìn)程，查出是什么文件導(dǎo)致的藍(lán)屏后，

5、再看這里就知道是誰(shuí)調(diào)用了錯(cuò)誤文件，比如你查出123.sys導(dǎo)致藍(lán)屏，但你查不到123.sys是 哪個(gè)程序調(diào)用的，就可以用這個(gè)方法來(lái)看看，比如查出了是456.exe，你就可以在機(jī)子上或者網(wǎng)上搜索相關(guān)信息了。好了，到這里 相信大家已經(jīng)學(xué)會(huì)怎么找到導(dǎo)致系統(tǒng)藍(lán)屏的文件了，接下來(lái)怎么辦呢？上網(wǎng)查資料，把導(dǎo)致藍(lán)屏的那個(gè)文件名在網(wǎng)上搜索，基本就知道是什么文件了，一般網(wǎng)上也有 相關(guān)的解決辦法，看看要?jiǎng)h除些什么插件、打什么補(bǔ)丁或者重裝軟件等等。導(dǎo)致問題的不一定是.sys文件也有可能是.dll，這篇文章只能幫你找出導(dǎo)致藍(lán)屏 的元兇，具體的解決辦法得上網(wǎng)查。如果是查不到什么信息的.sys或者.dll就要當(dāng)心了，有可

6、能是病毒或者rootkit附：windbg基本調(diào)試命令：r 可以顯示系統(tǒng)崩潰時(shí)的寄存器，和最后的命令狀態(tài)。dd 顯示當(dāng)前內(nèi)存地址，dd 參數(shù)：顯示參數(shù)處的內(nèi)存。u 可以顯示反匯編的指令！analyze -v 顯示分析的詳細(xì)信息。kb 顯示call stack 內(nèi)容.bugcheck 可以顯示出錯(cuò)的代碼windbg診斷藍(lán)屏的一點(diǎn)補(bǔ)充導(dǎo)入dump文件分析完畢后，不要關(guān)閉，在后面輸入!analyze -v，這個(gè)命令可以查看dump文件的詳細(xì)情況，如圖：對(duì)普通用戶有用的還有下面一些信息：第一行 DEFAULT_BUCKET_ID: 錯(cuò)誤類型，這個(gè)懂點(diǎn)編程和操作系統(tǒng)知識(shí)的朋友用得上點(diǎn)第 三行 PROCESS_NAME: XXX.exe 這個(gè)是導(dǎo)致錯(cuò)誤的進(jìn)程，查出是什么文件導(dǎo)致的藍(lán)屏后，再看這里就