windbg分析dmp蓝屏文件_莫名其妙的蓝屏分析

最新推荐文章于 2024-05-21 17:31:26 发布
最新推荐文章于 2024-05-21 17:31:26 发布
阅读量727 收藏
点赞数 1
文章标签: windbg分析dmp蓝屏文件

v2-cdc6ba89dff5e3be606b97a65ebbe883_1440w.jpg?source=172ae18b

大量设备升级Win10 后经常出现蓝屏重启。重装系统正常,安装软件后即随机蓝屏。

使用windbg进行蓝屏原因分析。软件地址:

Download Debugging Tools for Windows - WinDbg - Windows drivers​docs.microsoft.com
v2-fa769ba2fd25c9bdd269a736e0942218_ipico.jpg

安装后:

  1. 打开File菜单,选择 Symbol Path.
  2. Symbol Search Path 写入如下代码:srv*c:cache*http://msdl.microsoft.com/download/symbols;

在:kd> 后输入.symfix;.reload 来载入symbol

小内存转储文件的默认路径为“%SystemRoot%Minidump”,即“C:windowsMinidump”文件夹中,文件后缀为dmp。 核心内存转储文件的默认路径为“%SystemRoot%MEMORY.DMP”,即“C:windowsMEMORY.DMP

导入 dump文件,

在:kd>后输入 !analyze -v 开始分析。

Debugging Details:
------------------

Unable to load image HV1351UM.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for HV1351UM.sys
*** ERROR: Module load completed but symbols could not be loaded for HV1351UM.sys

EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - The instruction at 0x%p referenced memory at 0x%p. The memory could not be %s.

FAULTING_IP: 
HV1351UM+35ba
8cfd25ba ??              ???

EXCEPTION_RECORD:  8ef349f8 -- (.exr 0xffffffff8ef349f8)
ExceptionAddress: 8cfd25ba (HV1351UM+0x000035ba)
   ExceptionCode: c0000005 (Access violation)
  ExceptionFlags: 00000000
NumberParameters: 2
   Parameter[0]: 00000000
   Parameter[1]: 0000000c
Attempt to read from address 0000000c

CONTEXT:  8ef345d0 -- (.cxr 0xffffffff8ef345d0)
eax=00000000 ebx=00000000 ecx=8ef34a94 edx=00000000 esi=89820910 edi=89820858
eip=8cfd25ba esp=8ef34ac0 ebp=8ef34acc iopl=0         nv up ei pl zr na pe nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010246
HV1351UM+0x35ba:
8cfd25ba ??              ???
Resetting default scope

CUSTOMER_CRASH_COUNT:  1

DEFAULT_BUCKET_ID:  VISTA_DRIVER_FAULT

PROCESS_NAME:  System

CURRENT_IRQL:  0

ERROR_CODE: (NTSTATUS) 0xc0000005 - The instruction at 0x%p referenced memory at 0x%p. The memory could not be %s.

EXCEPTION_PARAMETER1:  00000000

EXCEPTION_PARAMETER2:  0000000c

READ_ADDRESS: GetPointerFromAddress: unable to read from 82fb1850
Unable to read MiSystemVaType memory at 82f90780
 0000000c 

FOLLOWUP_IP: 
HV1351UM+35ba
8cfd25ba ??              ???

BUGCHECK_STR:  0x7E

LAST_CONTROL_TRANSFER:  from 85ed6778 to 8cfd25ba

STACK_TEXT:  
WARNING: Stack unwind information not available. Following frames may be wrong.
8ef34abc 85ed6778 00000002 89820858 8ef34ae8 HV1351UM+0x35ba
8ef34acc 8cfd1de5 89820858 85ed6778 85ed6950 0x85ed6778
8ef34ae8 82e7b129 8982091c 85ed6778 8ef34b8c HV1351UM+0x2de5
8ef34b00 83021108 863c26a8 85e9d690 863c26a8 nt!IofCallDriver+0x63
8ef34b34 83110068 863c26a8 8ef34b68 00000000 nt!IopSynchronousCall+0xba
8ef34b90 82f210c2 863c26a8 00000002 c5783678 nt!IopRemoveDevice+0xd5
8ef34bbc 83107db3 0000000a c5783678 00000000 nt!PnpRemoveLockedDeviceNode+0x16c
8ef34bd0 83108067 00000002 0000000a 00000000 nt!PnpDeleteLockedDeviceNode+0x2d
8ef34c04 8310ba3f 863c26a8 c5783678 00000002 nt!PnpDeleteLockedDeviceNodes+0x4c
8ef34cc4 82ff937f 8ef34cf4 00000000 ccacef10 nt!PnpProcessQueryRemoveAndEject+0x946
8ef34cdc 8300748c 00000000 894240e8 85d11648 nt!PnpProcessTargetDeviceEvent+0x38
8ef34d00 82ec237b 894240e8 00000000 85d11648 nt!PnpDeviceEventWorker+0x216
8ef34d50 830514ef 00000001 aeb27142 00000000 nt!ExpWorkerThread+0x10d
8ef34d90 82ef5a19 82ec226e 00000001 00000000 nt!PspSystemThreadStartup+0x9e
00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x19


SYMBOL_STACK_INDEX:  0

SYMBOL_NAME:  HV1351UM+35ba

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: HV1351UM

IMAGE_NAME:  HV1351UM.sys

DEBUG_FLR_IMAGE_TIMESTAMP:  4ba9c3dc

STACK_COMMAND:  .cxr 0xffffffff8ef345d0 ; kb

FAILURE_BUCKET_ID:  0x7E_HV1351UM+35ba

BUCKET_ID:  0x7E_HV1351UM+35ba

Followup: MachineOwner
---------

分析结束,发现是HV1351UM.sys和内核有冲突,分析结束。

weixin_39835158
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
驱动蓝屏后简单的分析dump文件
Tinna_zhang的专栏
01-09 1万+
1: kd> !analyze–v Debugging Details: ------------------   *** ERROR: Moduleload completed but symbols could not be loaded for ntnfapi.sys   EXCEPTION_CODE:(NTSTATUS) 0xc0000005 - 0x%08lx   FAU
半路出家windbg(先搞清楚自己分析出来的参数都是什么意思)
hnzwx888的专栏
06-22 1504
转载自:http://www.pianshen.com/article/441457919/ 资料:https://download.csdn.net/download/ma_hong_kai/10757143(资源链接) 大牛博客:http://www.dbgtech.net/blog/ 参考文章: DUMP文件分析2:一个最简单的DUMP分析示例 (https://blog.cs...
windows收集dump文件windbg分析
最新发布
minping9101的博客
05-21 675
在exe程序发生闪退crash时,脱离了ide时,不知道crash原因,本文介绍如何抓取dump文件并进行调用堆栈分析
【DUMP】系统转储文件
qq_36308972的博客
08-19 937
分类 完整转储 内核转储 小型内存转储 以上三种类型的文件大小依次递减,包含的信息量也是依次递减。 完整转储包含产生转储时物理内存中的所有数据,其文件大小通常比物理内存的容量还要大 内核转储去除了用 ...
windows 蓝屏 DMP文件分析
第四类人
08-02 7586
windbg 更详细请看http://support.icafe8.com/technologynews/focus/932.html   在蓝屏瞬间,系统会形成一个存储器转储文件——死机瞬间的内存映像,通常是C:WINDOWSMinidmp 目录下的DMP文件,它就是我们要找的救星,分析它就能查找到问题所在。 “救星”帮忙,看清 DMP文件需要使用MS提供的WinDbg工具来分析:第一步
WinDbg蓝屏分析入门
VinWqx的博客
12-25 4万+
一、WinDbg介绍 WinDbg,英文全称为Windows Debugger,Windows调试程序。 WinDbg是Windows平台下面的一款调试工具,通过dmp文件蓝屏、程序崩溃原因进行分析,定位问题根源。官方描述WinDbg功能为以下三点: 调试内核模式和用户模式代码 分析故障转储 在代码执行时检查 CPU 寄存器。 微软官方文档学习资料:https://docs.microsoft.com/zh-cn/windows-hardware/dr...
windbg_X64蓝屏分析工具
02-07
打开Windbg,加载DMP文件,然后使用`.loadby sos kernel32`命令加载 sos 扩展,它可以帮助分析托管代码的问题。通过`!analyze -v`命令,可以获得详细的崩溃分析报告。 总之,Windbg_X64是诊断和修复Windows蓝屏问题...
蓝屏dmp文件分析-易语言
06-14
在IT行业中,尤其是在系统调试和故障排查领域,"蓝屏dmp文件分析"是一个重要的环节。蓝屏(Blue Screen of Death,简称BSoD)是Windows操作系统遇到严重错误时显示的一种错误界面,它通常伴随着系统崩溃。dmp文件,...
蓝屏文件分析
12-23
3. **使用工具分析**:有许多工具可以帮助分析“MEMORY.DMP文件,如微软的“WinDbg”调试器。WinDbg是一款强大的调试工具,可以解析内存转储文件并提供有关引发蓝屏的驱动程序和进程的信息。此外,还有第三方软件...
蓝屏dump分析教程 使用WinDbg分析工具.docx
09-27
分析蓝屏dmp文件时,如果刚刚打开dmp文件未看到明确的蓝屏原因时,我们可以使用!analyze -v命令来进一步分析dmp文件。这个命令能够自动分析绝大部分蓝屏原因。当初步分析没有结果时,可以使用该命令进一步分析故障...
翻译:通往WinDbg的捷径(二)
weixin_30896763的博客
07-21 260
通往WinDbg的捷径(二)原文:http://www.debuginfo.com/articles/easywindbg2.html译者:arhat时间:2006年4月14日关键词:CDBWinDbg保存dumps在我们调试不容易重现的问题时,可能想把应用程序状态的快照(内存内容,打开名柄的列表,等等)保存起来,以便日后分析。例如,当我怀疑当前的状态可能包含我试图解决的问题的关键点,而...
WinDbg分析电脑蓝屏文件
cxin917的专栏
05-02 9894
有时Windows 系统经常意外的蓝屏,一个很好的蓝屏故障解决办法和大家一起分享。   首先在讲解之前先做几个名词解释,以便大家理解本文(windows XP为例):    第一步:打开“小内存转储”功能  右键点击“我的电脑”,选“属性→高级→启动和故障恢复→设置”,打开“启动和故障恢复”选项卡,在“写入调试  信息”下拉列表中选中“小内存转储(64KB)”选项,如图
使用WinDbg Preview解决Win10系统蓝屏问题
水向东流时间怎么偷
01-29 1万+
前段时间,新组装的台式机经常出现如下图所示的蓝屏现象,而且终止代码也很奇怪,每次一蓝屏都是这个界面,收集信息的进度一直为0%,刚开始以为系统或者是组装的有问题,于是重装了系统,并且拆开机箱重新检查了各个组件的连接线,然而蓝屏还是依旧,很无奈,想着新装的台式机怎么还没用就一直不稳定,经过了多次蓝屏之后下定决心一定把这个问题解决了。查找了各种方法来解决此问题,这里分享最终的解决方法。 蓝屏代码如下图所示: 终止代码为:WEHA_UNCONRRECTABLE_ERROR,意思就是不可修复??这下可犯难了,
使用Windbg解析dump文件
热门推荐
沧海一粟的专栏
12-28 7万+
第一章 常用的Windbg指令 ①!analyze -v  ②kP                            可以看函数的入参 ③!for_each_frame dv /t         可以看函数中的局部变量 ④dc                            产看某一内存中的值    可以直接接变量名 不过可能需要回溯栈 ⑤!threads
三次蓝屏对内核崩溃日志的分析记录
无情的搬砖人的Blog
10-30 8626
下面的所有内容都是WinDBG的输出内容 //后跟的所有内容都是针对下一行具体项的具体解释 Microsoft ® Windows Debugger Version 6.12.0002.633 AMD64 Copyright © Microsoft Corporation. All rights reserved. Loading Dump File [C:\Windows\Minidump\103021-8359-01.dmp] Mini Kernel Dump File: Only register
windbg 调试崩溃
tuan8888888的博客
01-21 1633
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 windbg 是非常强大的调试工具,但是在使用windbg 进修调试时候,很多的命令不知道如何使用。文章简单介绍如何使用windbg进行调试 https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/debugger-download..
NTSTATUS状态码 详细解说
08-18 1万+
返回值/代码 描述 0x00000000 状态成功 手术顺利完成。 0x00000000 状态等待_0 调用方为WaitType指定WaitAny,对象数组中的Dispatcher对象之一已设置为已发出信号的状态。 0x00000001 状态等待_1 调用方...
windbg分析dmp 时STACK_TEXT什么意思
06-03
Windbg中,当分析dmp文件时,STACK_TEXT是一个常用的命令,用于显示当前线程的函数调用堆栈。其中,STACK_TEXT命令会显示每个函数调用的返回地址、调用地址以及函数名等信息,以帮助我们了解程序崩溃时的执行流程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值