本文介绍如何使用WinDbg工具分析Windows系统的蓝屏问题,包括安装配置、符号路径设置、打开内存转储文件及具体分析步骤。
Author: Insight
Blog: htttp://hi.baidu.com/insight/
Link: http://hi.baidu.com/insight/modify/blog/9d6cb64543431321cefca3fe
===========================
使用WinDbg分析系统蓝屏原因
===========================
1. http://www.microsoft.com/whdc/devtools/debugging/installx86.mspx
下载最新的dbg_x86_6.10.3.233.msi。
2. 安装。
3. 配置
File-Symbol File Path...
在Symbol Search Path 中填写如下内容:
srv*c:\Symbols*http://msdl.microsoft.com/download/symbols
4. 若%windir%下存在MEMORY.DMP文件,则在WinDbg主窗口中:
File-Open Crush Dump...(或直接按快捷键Ctrl + D),选择MEMORY.DMP文件并打开。
若%windir%下没有MEMORY.DMP文件或者想查看以前蓝屏的dmp文件,则要使用
%windir%\Minidump下的文件。
注:%windir%下的MEMORY.DMP文件是完全版本的出现问题时的dmp文件,系统只
保存最后一次出现问题时的dmp文件,以前保存的文件会被当前的dmp文件覆盖掉;
%windir%\Minidump下的文件是MEMORY.DMP文件的缩略版本,约80K左右,
每次出现问题时均会保存一个文件,不会覆盖掉以前的dmp文件。
5. 打开MEMORY.DMP文件后,可以看到类似
“Probably caused by : win32k.sys ( win32k!ESTROBJ::vInit+43 )”的文字,
此时,可以初步判断可能是由win32k.sys引起的。
6. 然后点击或输入“!analyze -v”命令来得到详细的信息。此时,要重点看一下
“STACK_TEXT”中的堆栈调用信息,确认引起问题的模块名,此例中为“win32k”。
此时,也要注意看一下是否和其他模块有冲突,确认相冲突的模块名。
7. 点击“win32k”链接或者使用“lmvm win32k”命令来看一下“win32k”模块的详细信息
8. 找到“win32k”的“Image path”和版本信息等相关信息,然后进一步去文件系统中
核实,看是否是最新的版本。
9. 确认引起问题的原因后,即可有针对性的展开解决问题的步骤,例如,更新到最新的
驱动程序,卸载相冲突的程序,更换引起问题的硬件等等。
Blog: htttp://hi.baidu.com/insight/
Link: http://hi.baidu.com/insight/modify/blog/9d6cb64543431321cefca3fe
===========================
使用WinDbg分析系统蓝屏原因
===========================
1. http://www.microsoft.com/whdc/devtools/debugging/installx86.mspx
下载最新的dbg_x86_6.10.3.233.msi。
2. 安装。
3. 配置
File-Symbol File Path...
在Symbol Search Path 中填写如下内容:
srv*c:\Symbols*http://msdl.microsoft.com/download/symbols
4. 若%windir%下存在MEMORY.DMP文件,则在WinDbg主窗口中:
File-Open Crush Dump...(或直接按快捷键Ctrl + D),选择MEMORY.DMP文件并打开。
若%windir%下没有MEMORY.DMP文件或者想查看以前蓝屏的dmp文件,则要使用
%windir%\Minidump下的文件。
注:%windir%下的MEMORY.DMP文件是完全版本的出现问题时的dmp文件,系统只
保存最后一次出现问题时的dmp文件,以前保存的文件会被当前的dmp文件覆盖掉;
%windir%\Minidump下的文件是MEMORY.DMP文件的缩略版本,约80K左右,
每次出现问题时均会保存一个文件,不会覆盖掉以前的dmp文件。
5. 打开MEMORY.DMP文件后,可以看到类似
“Probably caused by : win32k.sys ( win32k!ESTROBJ::vInit+43 )”的文字,
此时,可以初步判断可能是由win32k.sys引起的。
6. 然后点击或输入“!analyze -v”命令来得到详细的信息。此时,要重点看一下
“STACK_TEXT”中的堆栈调用信息,确认引起问题的模块名,此例中为“win32k”。
此时,也要注意看一下是否和其他模块有冲突,确认相冲突的模块名。
7. 点击“win32k”链接或者使用“lmvm win32k”命令来看一下“win32k”模块的详细信息
8. 找到“win32k”的“Image path”和版本信息等相关信息,然后进一步去文件系统中
核实,看是否是最新的版本。
9. 确认引起问题的原因后,即可有针对性的展开解决问题的步骤,例如,更新到最新的
驱动程序,卸载相冲突的程序,更换引起问题的硬件等等。
扫一扫
430
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
