三次蓝屏对内核崩溃日志的分析记录

最新推荐文章于 2024-05-27 17:17:39 发布
最新推荐文章于 2024-05-27 17:17:39 发布
阅读量8.3k 收藏 4
点赞数 3
分类专栏: 瞎几把写的东西 文章标签: 编辑器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a2311758/article/details/121058214
版权

下面的所有内容都是WinDBG的输出内容

//后跟的所有内容都是针对下一行具体项的具体解释

Microsoft ® Windows Debugger Version 6.12.0002.633 AMD64
Copyright © Microsoft Corporation. All rights reserved.

Loading Dump File [C:\Windows\Minidump\103021-8359-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: SRVC:\Symbolshttp://msdl.microsoft.com/download/symbols
Executable search path is:
// 内核的版本:可以看到Win10用的还是win7的内核只是进行了修改
Windows 7 Kernel Version 19041 MP (24 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 19041.1.amd64fre.vb_release.191206-1406
Machine Name:
Kernel base = 0xfffff80526800000 PsLoadedModuleList = 0xfffff8052742a3d0
Debug session time: Sat Oct 30 21:32:19.861 2021 (UTC + 8:00)
// 这一行就比较重要了: 系统的运行时间,可以看到我运行了差不多2h,OS蓝屏挂掉了
System Uptime: 0 days 1:56:51.634
Loading Kernel Symbols




Loading User Symbols
Loading unloaded module list

// 接下来的内容就是比较重要的信息内容,记载的是这次OS挂掉的系统错误检查分析

  •                                                                         *

  •                    Bugcheck Analysis                                    *

  •                                                                         *

Use !analyze -v to get detailed debugging information.

BugCheck D1, {0, 2, 1, fffff8053b56f00c}
// !!! 注意:第一个十分明显的错误警告出现了,无法加载NV的一个镜像 —> 错误产生条件+1 < NV镜像出错 >
// 解决方案:
// https://validedge.com/nvlddmkm-sys/#:~:text=How%20to%20Fix%20nvlddmkm.Sys%20Error%20on%20Windows%2010,…%206%20Method%20%236%20Update%20Your%20Windows.%20
// 这个网页上阐述了产生NV这个驱动文件缺失的六个解决方案
// C:\Windows\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_1c83a5d7cffd7bff
// NV这个模块来自上面的这个路径,尝试卸载驱动重新装一个
Unable to load image \SystemRoot\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_44dc4eefedc0d082\nvlddmkm.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for nvlddmkm.sys
*** ERROR: Module load completed but symbols could not be loaded for nvlddmkm.sys
*** WARNING: Unable to verify timestamp for win32k.sys
*** ERROR: Module load completed but symbols could not be loaded for win32k.sys
// 可能产生的错误的原因:内存损坏
Probably caused by : memory_corruption
Followup: memory_corruption

下面是具体的调试信息
DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.
If kernel debugger is available get stack backtrace.
Arguments:
Arg1: 0000000000000000, memory referenced
Arg2: 0000000000000002, IRQL
Arg3: 0000000000000001, value 0 = read operation, 1 = write operation
Arg4: fffff8053b56f00c, address which referenced memory
// 这里接下来是调试的详情信息
Debugging Details:
------------------

WRITE_ADDRESS: unable to get nt!MmSpecialPoolStart
unable to get nt!MmSpecialPoolEnd
unable to get nt!MmPoolCodeStart
unable to get nt!MmPoolCodeEnd
0000000000000000

CURRENT_IRQL: 2

FAULTING_IP:
// 看到这个mov我又想起了我那段学汇编的痛苦岁月 T_T
// NV模块(nvlddmkm)的名字在这里又出现了一次。NV+1
// 有一个很重要的问题,如果每次处理了之后依旧出现蓝屏的问题,注意留意一下这个驱动模块的每次偏移的地址是否一致
nvlddmkm+81f00c
fffff805`3b56f00c 458c03 mov word ptr [r11],es

CUSTOMER_CRASH_COUNT: 1
// 大概的意思就是这一块内存中出现了代码的损坏
DEFAULT_BUCKET_ID: CODE_CORRUPTION

BUGCHECK_STR: 0xD1
// 触发蓝屏的进程:系统
PROCESS_NAME: System
// 最后一次控制的转换地址
LAST_CONTROL_TRANSFER: from fffff80526c07d69 to fffff80526bf5e40
// 堆栈表
STACK_TEXT:
ffff8085332e57f8 fffff80526c07d69 : 000000000000000a 0000000000000000 0000000000000002 0000000000000001 : nt!KeBugCheckEx
ffff8085332e5800 0000000000000000 : 0000000000000000 0000000000000000 0000000000000000 0000000000000000 : nt!KiBugCheckDispatch+0x69

STACK_COMMAND: .bugcheck ; kb
// 这个!chkimg的调试命令是检查符号表与其他地方的符号表的差异来检查镜像中存在的错误
CHKIMG_EXTENSION: !chkimg -lo 50 -d !nt
fffff80526b9752f-fffff80526b97531 3 bytes - nt!MiFreeUltraMapping+33
[ 7d fb f6:6b d7 ae ]
fffff80526bf7198-fffff80526bf7199 2 bytes - nt!KiChainedDispatch+b8 (+0x5fc69)
[ 48 ff:4c 8b ]
fffff80526bf719f-fffff80526bf71a2 4 bytes - nt!KiChainedDispatch+bf (+0x07)
[ 0f 1f 44 00:e8 7c d2 61 ]
9 errors : !nt (fffff80526b9752f-fffff80526bf71a2)

MODULE_NAME: memory_corruption

IMAGE_NAME: memory_corruption

FOLLOWUP_NAME: memory_corruption

DEBUG_FLR_IMAGE_TIMESTAMP: 0

MEMORY_CORRUPTOR: LARGE

FAILURE_BUCKET_ID: X64_MEMORY_CORRUPTION_LARGE

BUCKET_ID: X64_MEMORY_CORRUPTION_LARGE

Followup: memory_corruption

第二份内核日志文件分析

!analyze -v
*******************************************************************************
* Bugcheck Analysis *
*******************************************************************************

DPC_WATCHDOG_VIOLATION (133)
The DPC watchdog detected a prolonged run time at an IRQL of DISPATCH_LEVEL
or above.
Arguments:
Arg1: 0000000000000001, The system cumulatively spent an extended period of time at
DISPATCH_LEVEL or above. The offending component can usually be
identified with a stack trace.
Arg2: 0000000000001e00, The watchdog period.
Arg3: fffff8051c8fb320
Arg4: 0000000000000000

Debugging Details:

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: CODE_CORRUPTION

BUGCHECK_STR: 0x133
// 导致蓝屏的程序:文件夹(对!我在打开文件夹的时候卡死了蓝屏了)
PROCESS_NAME: explorer.exe

CURRENT_IRQL: d

LAST_CONTROL_TRANSFER: from fffff8051c03ae42 to fffff8051bff5e40

STACK_TEXT:
ffffcc0169ad3e18 fffff8051c03ae42 : 0000000000000133 0000000000000001 0000000000001e00 fffff8051c8fb320 : nt!KeBugCheckEx
ffffcc0169ad3e20 0000000000000000 : 0000000000000000 0000000000000000 0000000000000000 0000000000000000 : nt!KeAccumulateTicks+0x1c8c42

STACK_COMMAND: kb

CHKIMG_EXTENSION: !chkimg -lo 50 -d !win32k
ffffcb5ba3ea4c6c-ffffcb5ba3ea4c71 6 bytes - win32k!NtUserCallHwndLock+10
[ ff 15 ee fc 06 00:e8 2f 56 09 00 90 ]
ffffcb5ba3ea4c90-ffffcb5ba3ea4c95 6 bytes - win32k!NtUserCallHwndLockSafe+10 (+0x24)
[ ff 15 ca fc 06 00:e8 0b 56 09 00 90 ]
ffffcb5ba3ea4cb4-ffffcb5ba3ea4cb9 6 bytes - win32k!NtUserCallHwndOpt+10 (+0x24)
[ ff 15 a6 fc 06 00:e8 e7 55 09 00 90 ]
ffffcb5ba3ea4cd8-ffffcb5ba3ea4cdd 6 bytes - win32k!NtUserCallHwndParam+10 (+0x24)
[ ff 15 82 fc 06 00:e8 c3 55 09 00 90 ]
ffffcb5ba3ea4cfc-ffffcb5ba3ea4d01 6 bytes - win32k!NtUserCallHwndParamLock+10 (+0x24)
[ ff 15 5e fc 06 00:e8 9f 55 09 00 90 ]
ffffcb5ba3ea4d20-ffffcb5ba3ea4d25 6 bytes - win32k!NtUserCallHwndParamLockSafe+10 (+0x24)
[ ff 15 3a fc 06 00:e8 7b 55 09 00 90 ]
ffffcb5ba3ea4d44-ffffcb5ba3ea4d49 6 bytes - win32k!NtUserCallHwndSafe+10 (+0x24)
[ ff 15 16 fc 06 00:e8 57 55 09 00 90 ]
ffffcb5ba3ea4d68-ffffcb5ba3ea4d6d 6 bytes - win32k!NtUserCallMsgFilter+10 (+0x24)
[ ff 15 f2 fb 06 00:e8 33 55 09 00 90 ]
48 errors : !win32k (ffffcb5ba3ea4c6c-ffffcb5ba3ea4d6d)

MODULE_NAME: memory_corruption

IMAGE_NAME: memory_corruption

FOLLOWUP_NAME: memory_corruption

DEBUG_FLR_IMAGE_TIMESTAMP: 0

MEMORY_CORRUPTOR: LARGE

FAILURE_BUCKET_ID: X64_MEMORY_CORRUPTION_LARGE

BUCKET_ID: X64_MEMORY_CORRUPTION_LARGE

Followup: memory_corruption

====================================================================================
第三份日志
!analyze -v

  •                                                                         *

  •                    Bugcheck Analysis                                    *

  •                                                                         *

CRITICAL_PROCESS_DIED (ef)
A critical system process died
Arguments:
Arg1: ffffa20db825d240, Process object
Arg2: 0000000000000000
Arg3: 0000000000000000
Arg4: 0000000000000000

Debugging Details:

PROCESS_OBJECT: ffffa20db825d240

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: CODE_CORRUPTION

BUGCHECK_STR: 0xEF

PROCESS_NAME: svchost.exe

CURRENT_IRQL: 0

LAST_CONTROL_TRANSFER: from fffff8035b706972 to fffff8035b1f5e40

STACK_TEXT:
fffffd8721214938 fffff8035b706972 : 00000000000000ef ffffa20db825d240 0000000000000000 0000000000000000 : nt!KeBugCheckEx
fffffd8721214940 0000000000000000 : 0000000000000000 0000000000000000 0000000000000000 0000000000000000 : nt!PspCatchCriticalBreak+0x10e

STACK_COMMAND: kb

CHKIMG_EXTENSION: !chkimg -lo 50 -d !nt
fffff8035b19752e-fffff8035b197531 4 bytes - nt!MiFreeUltraMapping+32
[ a0 7d fb f6:20 63 c6 8c ]
4 errors : !nt (fffff8035b19752e-fffff8035b197531)

MODULE_NAME: memory_corruption

IMAGE_NAME: memory_corruption

FOLLOWUP_NAME: memory_corruption

DEBUG_FLR_IMAGE_TIMESTAMP: 0

MEMORY_CORRUPTOR: LARGE

FAILURE_BUCKET_ID: X64_MEMORY_CORRUPTION_LARGE

BUCKET_ID: X64_MEMORY_CORRUPTION_LARGE

Followup: memory_corruption

总结:经过上面一大堆乱七八糟的崩溃日志的分析,其实每一次的蓝屏原因都是不尽相同的,第一次是因为NV的驱动模块导致了系统的进程崩溃,第二次是win32的模块,第三次是也是因为win32的模块,因为我的系统是新重装的,初步定位蓝屏的原因为内存损坏(指定是超频超过劲了 T T !

内存返厂保修中。。。。。。。

mapmapbear
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
WIN10蓝屏代码IRQL_NOT_LESS_OR_EQUAL MINIDUMP文件分析日志 求助
XiaoXiaoXIAOxxx的博客
04-09 865
WIN10蓝屏DMP分析
蓝屏日志分析工具
08-27
在IT领域,尤其是在系统维护和故障排查中,"蓝屏日志分析工具"是一个至关重要的概念。当Windows操作系统出现蓝屏错误(也称为蓝屏死亡或BSoD,即Blue Screen of Death)时,系统会生成一个名为.dmp的内存转储文件,...
电脑最近蓝屏dmp文件解析是memory corruption是磁盘内存坏了吗
AUCUS6的博客
07-08 1694
电脑最近蓝屏dmp文件解析是memory corruption是磁盘内存坏了吗
达梦运维初期常见错误
最新发布
weixin_52513368的博客
05-27 944
环境描述:操作系统:银河麒麟10(kylin-v10-sp3)达梦数据库版本:dm8更多常见问题请参考官方文档。
ddr4内存硬件故障导致win10蓝屏
boyStray的博客
12-05 1303
win10蓝屏之后会自动产生dmp文件,通过WinDbg工具可以分析dmp文件,找到报错码进一步分析。具体的步骤可以看下面的文章。在windbg的文件菜单下symbol file path里设置symbol search path。其中d:\mysymbol是自己创建的一个目录。然后就可以open crush dump来分析。搜索,都是建议用memtest64工具来检查内存。但是这个文章里面也有一定的问题,在国内访问不了,需要改成。结果是内存硬件错误。
请大佬看看这蓝屏是什么引起的,谢谢了
PACHONG12378的博客
09-09 1721
Microsoft (R) Windows Debugger Version 6.12.0002.633 X86 Copyright (c) Microsoft Corporation. All rights reserved. Loading Dump File [C:\Windows\Minidump\memory.dmp] Mini Kernel Dump File: Only registers and stack trace are available Symbol searc
服务器文件剪切后蓝屏,帮忙分析一下蓝屏文件已上传 - 综合技术讨论大区 - 死性不改BBS - 网维行业自由、中立的技术与信息交流平台 - Powered by Discuz!...
weixin_28829629的博客
08-04 821
Loading Dump File [C:\Users\Administrator\AppData\Local\Temp\HZ$D.585.4128\192.168.1.84_2016.5.16.23.27.20.dmp]Mini Kernel Dump File: Only registers and stack trace are availableSymbol search path is:...
蓝屏总结(一) ——基本分析方法
VinWqx的博客
07-20 9983
目录 一、蓝屏造成原因 二、通常的排查步骤 三、Debug步骤 四、使用Driver Verifier进行排查 五、Debug示例 1、分析示例 1 2、分析示例 2 一、蓝屏造成原因 关于停止错误(蓝屏或者错误检查)没有简单的解释,包含很多因素,目前大量研究表明停止错误通常不是由微软Windows组件导致的,而是厂商的硬件驱动或者三方软件的驱动,包括声卡、无线网卡、安全程序等等。 crash的根因一般都是由三方驱动代码引起的,另外一小部分是硬件问...
蓝屏日志分析,详细分析过程
09-07
2. **收集信息**:除了错误检查码,蓝屏日志还会显示一些关键信息,如内存转储文件(Minidump或Kerneldump)中的数据,这些文件记录崩溃时系统的状态。收集这些文件有助于进一步分析。 3. **使用工具**:WinDbg是...
Windows蓝屏日志查看工具.rar
05-19
此外,x64_dbg还支持插件扩展,这意味着你可以安装第三方插件以增强其功能,比如增加对特定格式文件的支持或者提供更高级的分析工具。 对于不熟悉调试工具的用户,x64_dbg的操作界面可能显得有些复杂,但它的设计...
联想工程师专用小工具 蓝屏分析诊断工具V2.52.1
05-30
联想工程师专用小工具 蓝屏分析诊断工具V2.52.1联想工程师专用小工具 蓝屏分析诊断工具V2.52.1联想工程师专用小工具 蓝屏分析诊断工具V2.52.1联想工程师专用小工具 蓝屏分析诊断工具V2.52.1联想工程师专用小工具 ...
Windows操作系统蓝屏代码分析指导书.docx
07-27
本文档将对常见的蓝屏错误代码进行分析,并提供相应的解决方法。 0x0000000A:安装了有缺陷或不兼容的硬件或驱动程序 蓝屏错误代码0x0000000A通常是由于安装了有缺陷或不兼容的硬件或驱动程序引起的。解决方法包括...
电脑休眠、待机一段时间后自动重启,系统日志提示系统已在未先正常关机的情况下重新启动。如果系统停止响应、发生崩溃或意外断电,则可能会导致此错误。
qq_51039001的博客
02-18 5463
电脑休眠、待机一段时间后自动重启解决方法,系统日志提示系统已在未先正常关机的情况下重新启动。如果系统停止响应、发生崩溃或意外断电,则可能会导致此错误。
不用驱动一行代码让自己蓝屏
KD的疯狂实验室
06-23 2682
蓝屏的钙好喝的钙
Deepfacelab的填坑之旅
去向前方的博客
05-28 1822
前言 楼主,最近在玩Deepfacelab,深感坑之多,特开此贴,方便自己,也方便后来人 目录 文章目录前言目录环境描述问题描述问题解决 环境描述 答主的环境是,i5-9400f和rtx2070的一个杂牌机。 deepfacelab的版本是2018.02的。 问题描述 在运行到视频人脸提取哪一步的时候,cmd界面报了下面这个错误: ”DeepFaceLab:NVML Shared Library Not Found ” 问题解决 本解决参照了这篇,但情况有所不同。 A、出现这个提示的原因原文 是安装后的原文
Windbg内核调试之四: Dump文件分析
fangchao918628的专栏
12-23 1303
Dump 文件分析很大程度上就是分析蓝屏产生的原因。这种系统级的错误算是Windows提示错误中比较严重的一种(更严重的还有启动黑屏等硬件或软件兼容性错误等等)。说它是比较严重,是因为毕竟Windows还提供了dump文件给用户分析,至少能比较容易的找到错误的原因。一般蓝屏要么是内核程序中的异常或违规,要么是数据结构的损坏,也有boot或shutdown的时候内核出错。有时候蓝屏是一闪而过,紧接着
蓝屏dump文件分析
08-22
蓝屏是指计算机在运行过程中发生了严重错误导致操作系统无法继续正常工作,屏幕显示一片蓝色,并在某些情况下自动重启。蓝屏常见问题有很多种原因,如硬件故障、驱动程序冲突、不稳定的系统内核等。 而dump文件是指计算机发生蓝屏时所生成的一个记录文件,它包含着计算机的内存快照,可以用来分析蓝屏原因。下面我们来介绍一下蓝屏dump文件分析的一般步骤: 1. 首先,我们需要查找dump文件的位置。通常情况下,dump文件会被保存在操作系统安装盘的Windows文件夹下的Minidump文件夹中。 2. 找到dump文件后,我们可以使用一些工具来分析它。其中最常用的是Windows自带的调试工具WinDbg,它可以加载dump文件并提供详细的分析报告。 3. 打开WinDbg后,我们需要加载dump文件。点击菜单中的"File",选择"Open Crash Dump",并选择要分析的dump文件。 4. 分析dump文件时,我们可以查看错误信息、堆栈跟踪等关键信息,以确定故障的原因。具体分析过程比较复杂,需要针对不同的蓝屏问题进行相应的分析方法。 5. 在分析过程中,我们还可以使用WinDbg提供的命令和工具来获取更详细的信息,比如查看线程信息、内存状态等。 6. 分析完成后,我们可以根据分析结果采取相应的措施来解决问题。比如更新驱动程序、修复操作系统、更换故障的硬件等。 总而言之,通过蓝屏dump文件的分析,我们可以定位并解决计算机蓝屏问题的原因。这需要一定的专业知识和经验,同时也需要耐心和细心进行分析。希望以上介绍对您有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值