很多时候,我们会发现机器很不稳定,经常蓝屏,不知道如何去处理?
重装系统后,好了几天,有出现同样的问题,这么头疼的问题,怎么办?怀疑硬件问题,但怎么看都不像是硬件的故障。 可能大家束手无策的时候,有一个Windows Debug工具,
能够通过分析Dump文件来确定机器BSOD的原因,从而轻松解决蓝屏问题。
一、当遇到Windows兰屏或不稳定时,用DSET工具收集系统的日志,来具体分析:是不是有兰屏?机器有没有生成Dump文件?
1,在DSET的Logs中打开system Uptime,可以发现机器关机的几种类型:Shutdown(正常关机)、Abnormal shutdown(非正常关机)、Blue Screen(兰屏);
2,在Environment中的Kernel Dump中可以发现是否已经生成了Dump文件:Minidump、Complete dump;
二,这些文件存放在目录C:\windows\minidump中,所有的文件都只有64K。
假如没有发现这些minidump文件,建议您检查windows关于Dump文件的设置是否正确:
三,用windows debug工具来分析这些Dump文件;
1, 安装windows debug工具,最新版的工具可以直接从Microsoft下载: http://msdl.microsoft.com/download/symbols/debuggers/dbg_x86_6.6.03.5.exe
2,下载对应操作系统的符号文件库,不同的操作系统会对应不同的符号文件:windows2003和windows 2003SP1就有不同的符号库,同样,windows2000SP2和windowsSP4也有各
自的符号库,这些符号库可以在微软的网站下载:
http://msdl.microsoft.com/download/symbols/packages
3, 在windows debug中设置好符号库文件的路径,以便分析时能调用到正确的符号库文件;
系统符号文件的更新方法
系统符号文件指 Windows 操作系统依赖的那几个重要的 DLL/SYS 和可执行文件对应的符号文件,常见的比如:gdi32.dll、Kernel32.dll、Kerberos.dll、psapi.dll、user32.dll等,使用 WinDbg 调试时,你就会发现系统符号文件(PDB)有多重要,这些文件都与本地的 OS 密切相关,比如,Windows 2000 打了SP补丁的话,那么必须更新系统符号文件才能进行相关调试,原来的符号文件与打补丁后的系统就会不匹配,怎么办呢? 可以通过网络来更新!象下面这样在 WinDbg 的 Symbols Path 里面输入路径:
SRV*D:\Symbols\websymbols*http://msdl.microsoft.com/download/symbols
(斜体部分是你在本地保存符号文件的路径)
如果你不是通过代理上网,那么在你用 WinDbg 打开一个被调试程序后,输入 symchk 回车,WinDbg 就会自动的连到微软的网站根据你的机器的情况更新的 PDB 文件,并将它保存在上面斜体部分指定的本地路径里,这样你就可以确保你的符号文件版本和你机器上的文件版本一致。
4,打开你要分析的windows Minidump文件:File-----open crash dump;
5,打开Dump文件后,屏幕会出现windows的Debug窗口,在窗口的底部会出现命令行,输入 ‘!analyze -v’命令即可开始兰屏的分析,剩下来的工作就是等这个工具给你一个
满意的答案:某个驱动文件引起的兰屏。
你还可以验证这个驱动程序是不是在机器的的内存中,键入‘lm’就可以列出所有驻留在内存中的程序;
命令:‘lmvm sentinel’可以查到这个驱动文件所在目录:
6, 你可以将你找到的这个驱动程序在Googel或者Baidu上搜索以下,很快你就会发现这个驱动是哪个第三方的应用程序,这个例子中的SENTINEL.SYS 是金蝶软件加密狗的软件
模拟驱动。
说明:实际情况中可能会有很多分析的结果会显示是windows的内核文件引起的兰屏,这是因为windows debug无法从Minidump中分析出具体是内核文件调用了哪个驱动程序后引起
的兰屏。这时就需要提供更全面的完全内存转储文件或内核转储文件,通过更多的命令行来分析具体的原因了。更多的命令的介绍,可以参看安装好后的debuging help。
另外,通过在以下的联接中输入兰屏代码,如:0x000000ab,你也可以找到一些微软关于这样的出错的解释和解决方案。
http://support.microsoft.com
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/611609/viewspace-683802/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/611609/viewspace-683802/