【DUMP】蓝屏终止

最新推荐文章于 2023-12-27 10:08:03 发布
最新推荐文章于 2023-12-27 10:08:03 发布
阅读量1k 收藏
点赞数
分类专栏: 自我修养 windows 调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36308972/article/details/99693377
版权
自我修养 同时被 3 个专栏收录
42 篇文章 0 订阅
订阅专栏
windows
14 篇文章 1 订阅
订阅专栏
调试
13 篇文章 1 订阅
订阅专栏
蓝屏

蓝屏是Windows中用于提示严重的系统级错误的一种方式,其出现时整个屏幕的背景为蓝色。
蓝屏一旦出现,Windows系统便宣告终止,只有重新启动才能恢复到桌面环境。因此蓝屏又被称为蓝屏终止(Blue Screen Of Death,BSOD)。

蓝屏机制的设计思想

将系统终止在导致错误的第一现场,并且把这个现场的信息显示给用户或永远保存下来(比如保存到转储文件),这样有力于更快地发现问题根源,解决bug。
蓝屏的另一种名字是错误检查(Bug Check),很多用于实现蓝屏机制的内核函数都带有BugCheck字样。

产生蓝屏的一些情况

因为产生蓝屏会终止整个系统的运行,所以,蓝屏是Windows中代价最高的错误提示方式。因此,只有在发生了及其严重(救都救不回来的那种)的错误,或者其他错误提示方式无法工作时,才会使用蓝屏来提示错误:

  1. 系统捕捉到内核代码中的未处理异常,或者检测到违反操作系统规则的情况。Windows信任内核代码(运行在内核态的驱动程序也包括在内),一旦内核代码出错了,它就用蓝屏的方式来“抗议”一下:)
  2. 系统检测到操作系统的数据结构、模块或进程遭到破坏。 比如CSRSS(Windows子系统的服务器进程)被终止会产生蓝屏。这个方法比较快捷,强行触发蓝屏可以用这个 |ू・ω・` )
  3. 在系统安装、启动或退出等边缘状态时发生错误。由于此时还不具备其他方式提示错误的能力,所以只能以蓝屏方式提示╮(╯▽╰)╭
蓝屏中有些啥?
  1. 错误信息。用以描述错误情况和错误原因的文字信息
  2. 解决错误的建议。对于同一版本的Windows,这段信息只要出现就是相同的,所以通常没啥实际意义 ︿( ̄︶ ̄)︿
  3. 技术信息。其格式为“STOP:停止码(参数1,参数2,参数3,参数4)”,其中,停止码代表了导致蓝屏的根本原因,是诊断蓝屏故障的重要技术资料。停止代码后面括号中的参数用来进一步描述错误原因,其含义因停止码不同而不同,代表了更深层次的错误信息。
  4. 显示内存转储(Dump)的过程和结果。
蓝屏的发起和产生过程

这个是内核代码用的,不深入研究了。。。
两个DDI(Device Driver Interface)用于提示蓝屏错误:
KeBugCheck
KeBugCheckEx

诊断蓝屏错误
  1. 根据蓝屏的停止码和蓝屏参数作初步的判断
  2. 分析转储文件。系统会默认蓝屏产生小型转储文件的默认位置为Windows目录的MiniDump文件夹,文件名为:MMDDYY-???-XX.dmp,其中MMDDYY(月日年)是蓝屏发生的日期,XX是序号,从01开始,依次递增。比如:081719-20687-01.dmp

用WinDbg分析内核模式Dump文件:

可以使用WinDbg来分析内核模式内存转储文件。运行WinDbg的处理器平台和Windows版本不需要和生成dump文件的机器一样。

启动WinDbg
和-z 命令行选项一起启动WinDbg来分析dump文件:

windbg -y SymbolPath -i ImagePath -z DumpFileName 

-v选项(详细模式)也很有用。关于这些选项的完整列表,查看WinDbg命令行选项。

如果WinDbg已经在运行并且处于静止模式,可以通过File | Open Crash Dump菜单命令或按下CTRL+D快捷键来打开dump文件。当Open Crash Dump 对话框出现后,在File name 文本框输入dump文件的全路径和名字,或使用对话框来选择合适的路径和文件名。选定需要的文件后,点击Open。

可以在调试器已经运行之后使用.opendump (Open Dump File)命令后跟g (Go)命令来打开dump文件。

可以同时调试多个dump文件。可以通过在命令行中包含多个-z 开关(每个后跟一个不同的文件名),或者使用.opendump 将更多的dump文件作为调试目标。关于如何控制多目标调试会话的信息,查看调试多个目标。

Dump文件一般是以.dmp 或.mdmp扩展名结尾的。可以使用网络共享或通用命名约定(Universal Naming Convention (UNC))的名字来命名内存dump文件。

Dump文件也经常被打包为CAB文件。如果在-z选项或.opendump 命令后指定了文件名(包含.cab扩展名),调试器可以直接从CAB中读取dump文件。但是,如果单个CAB包中存在多个dump文件,调试器一次只能读取它们中的一个。调试器不会在CAB中读取任何其他文件,即使有和dump文件关联的符号文件或其他文件。

分析Dump文件
如果分析内核Dump或小内存Dump,需要设置可执行映像路径以指向所有在崩溃时加载到内存中的可执行文件。查看可执行映像路径获取详细信息。

分析dump文件和分析其他活动调试会话类似。查看调试器命令参考小节来获得调试内核模式dump文件时可用命令的详细信息。

大多数情况下,应该首先使用!analyze。这个扩展命令可以对dump文件进行自动分析,并且常常会给出很多有用信息。

.bugcheck (Display Bug Check Data)显示错误检查代码和它的参数。查看错误检查代码参考获得关于特定错误的信息。

下面这些调试器扩展命令对于分析内核模式崩溃转储也非常有用:

!drivers 
!kdext*.locks 
!memusage 
!vm 
!errlog 
!process 0 0 
!process 0 7 


关于从dump文件中读取特定种类信息的技术,查看从Dump文件中获取信息。
小菜鸡今天学习了嘛
关注
专栏目录
使用Windbg分析dump文件的一般步骤及要点详解
dvlinker的技术专栏
05-25 4万+
通过一个问题实例详细讲解使用Windbg静态分析dump文件的完整过程。
【排查过程】计算机蓝屏重启问题
用来学习的地方
04-23 9082
问题: - 每次蓝屏的时间段范围在[15,30] 分钟;即平均每隔半个小时蓝屏一次; - 蓝屏提示代码:DRIVER_IRQL_NOT_LESS_OR_EQUAL(或其他代码) 我的电脑具体情况: - 电脑是原装系统 - 去年的第四季度,系统蓝屏过3次左右,每次相隔一个月左右; - 今年,每隔一周,蓝屏一次,时间都固定在每周三,15:24,会蓝屏重启; - 在某天,系统蓝屏5次左右;继日开始,每隔半小时蓝屏一次; 总结该电脑的问题,先写在前面,在后文就不提了: 我的电脑为何每隔一...
BlueScreenView蓝屏dump文件查看工具
04-10
BlueScreenView蓝屏dump文件查看分析工具,内核开发好助手
蓝屏dump分析教程
l799623787的专栏
08-23 3470
http://support.icafe8.com/technologynews/focus/932.html   一、WinDbg是什么?它能做什么?   WinDbg是在windows平台下,强大的用户态和内核态调试工具。它能够通过dmp文件轻松的定位到问题根源,可用于分析蓝屏、程序崩溃(IE崩溃)原因,是我们日常工作中必不可少的一个有力工具,学会使用它,将有效提升我们的问题解决效率和准
手动生成的蓝屏Dump信息分析
DO
04-08 2805
对于一些软件操作过程中导致进程挂死,无法结束进程且无法通过其他方式生成dump信息,采用手动蓝屏获取信息。1、重启后按住ctrl+alt,Scroll Lock两次即可蓝屏:USB:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\kbdhid\Parameters] "WorkNicely"=dword:00000000 "CrashOn...
CrashDumpAnalyzer蓝屏分析工具v1.0.0.2绿色免费版
07-30
Crash Dump Analyzer是一个界面化的蓝屏分析工具。软件操作简单、分析蓝屏文件速度快、分析结果可以导出HTML,EXECL格式参考。 Crash Dump Analyzer1.0.0.2更新内容: 1、添加了蓝屏驱动数据库,并提供解决方案输出。 2、添加了对 F4,EA 蓝屏代码的智能分析。 3、添加了蓝屏代码统计图。 4、添加了蓝屏文件\目录拖放自动分析功能。
Windows蓝屏之后,DUMP分析教程
skyyx2002的博客
07-15 6893
对于运维人员而言,非常有必要了解一下.dmp文件的分析,可以帮助我们快速定位问题
蓝屏解决办法,及介绍。(装逼或学习)
Wumija的博客
05-11 6747
快速蓝屏win+R 输入taskkill /f /im wininit.exe bat代码:for /f %%I in (‘wmic process get Name’)do (wmic process where Name="%%I" delete) 当您在运行Microsoft Windows 2000/XP/Server 2003、Microsoft Windows Vista/Server 2008、Microsoft Windows 7操作系统时,Windows可能会突然停止正常运行,并显示一副含
windows蓝屏代码
weixin_30888413的博客
12-02 3456
原始链接 引用自 https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/bug-check-code-reference2浏览器中 浏览器中 ctrl+F 调出查找即可 代码姓名 0x00000001 APC_INDEX_MISMATCH 0x00000002 DEVI...
Visual C++中实现异常程序自动保存dump文件的封装类
它通常在程序发生异常终止(如崩溃或蓝屏)时生成,被用来记录程序执行到某个时刻的内存数据。通过分析dump文件,开发者可以查看程序崩溃前后的内存状态,调试器可以根据这些信息确定出错的位置和原因。 4. 生成...
WIN10电脑手动抓蓝屏dump
mmthr的博客
06-22 1686
手动触发蓝屏设置
查找/分析Windows蓝屏DMP文件
热门推荐
Jair's Technical Blog
10-17 11万+
当电脑出现蓝屏时,Windows系统会自动生成一个蓝屏错误DMP文件,这个文件保存在系统哪个位置,哪个目录下面,怎么获取到这个蓝屏错误DMP文件呢?若没有经过人为更改,蓝屏错误DMP文件一般默认会保存在系统根目录下,如C:\Windows\或C:\Windows\Minidump文件夹下,这是因为Windows系统版本不同而不同。 在Windows文件下找到了DMP文件,但是怎么打开DMP文件呢,...
使用dump文件分析系统蓝屏原因
weixin_34060299的博客
11-08 774
目录 1 什么是dump文件... 1 2 如何让系统在崩溃时记录dump文件... 1 3 使用Debugging Tools for Windows (windebug)来分析dump文件... 2 3.1 什么是windebug. 2 3.2 windebug最新版安装方法(此方法为在线安装)... 2 3.3 windebug的symbol符号...
系统蓝屏解决方案
u012821124的博客
12-02 639
最近不知道为什么,先是老的笔记本电脑主板坏,然后接着是老笔记本启动按键坏了,修了两次总算修好,但总感觉风险很高,于是从公司新申请了一台电脑,公司电脑配置还挺高的,本以为可以开心的堆代码了,可不知道是今年电脑跟我过不去还是咋的,新笔记本也频繁出现了蓝屏,好在我是搞IT的,这点难不倒我,先是拆机从电脑中取出硬盘备份资料,然后重装系统,本以为可以解决,结果还是不断蓝屏,我使用windlg打开dump文件检查发现,蓝屏的各种原因都出现了,包括: 1、system service exception 2、irql n
高级软件工程师带你学习windows操作系统蓝屏错误日志分析日志通用方法全网唯一程序员必学技能
最新发布
nasen512的博客
12-27 1万+
我们平常用的开发电脑以及游戏电脑时不时会遇到操作系统突然蓝屏,一般情况下都是一团雾水,只能重装系统,或者是插拔内存,或者插拔显卡,或者是更新所有驱动,我们不能比较准确的定位到底是那个软件或者是硬件引起的核心问题,作为一个老软件工程师,我决定写一篇文章,来教大家通用的排查方法。这些方法跟JAVA内存分析,包括数据库事故分析的解决思路的都差不多!我拿自己实际解决自己开发电脑蓝屏作为一个案例来讲!希望能帮到更多的朋友,蓝屏这事我觉得不管什么工作,都会遇到!
如何使用WinDbg查找蓝屏原因
生活需要深度
11-10 5144
点击后,需要连接服务器,稍等片刻,在对话框中输入。一开始我这边一直没弹出对话框,我还以为出了什么问题,后面等了一会就出来了。虽然找到了原因,但为啥使用PPTP的vpn网络连接会在关机时导致蓝屏这就不得而知了。导致的蓝屏,一度怀疑是新装 了机械硬盘导致的,因为以前在深圳没有出现过这种问题。后面查找了一下资料,发现可以使用WinDbg来分析dmp文件来查找蓝屏的原因。出现这个界面的时候,是在连接服务器,需要稍等片刻,出现如下的界面。至此我也明白了,是因为我配置了PPTP的VPN网络连接导致的。
蓝屏总结(二)——系统蓝屏及转储方法
VinWqx的博客
07-23 6563
一、前言 系统崩溃(system crash)也称为bugcheck或者停止错误,会在系统无法正常工作时发生蓝屏,通过CrashDump机制在系统下生成崩溃转储文件,称为系统崩溃转储文件。其中CrashDump是一种操作系统调用存储适配器驱动程序将内存内容写入转储文件的机制,在系统崩溃时相关进程会捕获系统内存记录生成内核或者完全内存转储文件(Kernel or memory dump file),这些文件通常用于crash问题的排查。 关于系统蓝屏,分自动...
WinDbg分析蓝屏dump原因
Finder_Way
02-12 2万+
大多数人或许都经历过系统蓝屏问题,然而大多数人不清楚该怎么处理蓝屏问题,这里主要对系统蓝屏做一些解释,同时介绍下蓝屏问题分析工具WinDbg分析蓝屏问题的一般步骤。 微软官方对蓝屏的定义是,当系统遇到一些可能会威胁系统安全的情况时,系统会停止工作,这时的状态(即蓝屏)叫做Bugcheck, 即bug检查。 一般导致蓝屏的原因可能是:系统崩溃,系统内核出错,或者别的程序导致系统停止工作。 系统蓝屏其...
使用Windbg分析Windows蓝屏dump文件教程
"dump文件查看与分析蓝屏原因" 在Windows操作系统中,当系统遇到严重的错误导致蓝屏时,为了帮助诊断问题,系统会生成一种称为dump文件的数据快照。dump文件包含了系统崩溃时内存中的关键信息,这对于故障排查至关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值