Дампы памяти и BSoD - Форум про інформаційну безпеку
Перейти до сторінки
Активний користувач
Причиною критичних помилок Windows, які супроводжуються синіми екранами (BSOD), часто є драйвер - знову встановлений або пошкоджений. Визначивши, який саме драйвер є причиною помилки, можна приступати до усунення проблеми: оновити драйвер, відкотитися до більш ранньої версії, перевстановити або видалити програму, яка встановила драйвер і т. д. Не завжди назва драйвера відображається на синьому екрані. Однак існує дуже простий спосіб, що дозволяє за допомогою дампа пам'яті визначити проблемний драйвер за кілька хвилин.
Крок 1 - Увімкнення запису дампів пам'яті
Спочатку потрібно переконатися, що запис дампів включено. Натисніть комбінацію клавіш
+Pause (де це?) --> [У Windows 7 та Vista клацніть посиланняДодаткові параметри системи] --> на вкладціДодатковонатисніть кнопкуПараметриу розділі "Завантаження та відновлення".
Малихдампів пам'яті має бути достатньо для наших цілей.
Зверніть увагу на шлях до папки, куди вони зберігатимуться у разі виникнення критичної помилки.
Тепер ви можете запакувати файл до архіву, прикріпити його до повідомлення у форумі та почекати, поки вам хтось повідомить назву проблемного драйвера. Але ви можете зробити це самостійно, не докладаючи великих зусиль.
Крок 2 - Завантаження та встановлення діагностичних засобів
Це не так страшно.
Є ще один варіант аналізу, трохи менш точний це програма BlueScreenView.
У будь-якому випадку потрібно знати, що видаляєш наприклад, якщо причиною випадуть файли:win32k.sysабоntkrnlmp.exeвони швидше за все не є причиною проблеми. В цьому випадкузнадобиться серйозний аналіз дампа.
У тому чи іншому випадку найкраще проконсультуватися з фахівцями перед виконанням оперативного втручання у систему (якщо немає достатніх знань).
Активний користувач
Обов'язково робимо копії тих файлів, з якими працюємо!
І читаємо додаткову документацію.
Активний користувач
Чому самеusbhub.sys? Чи це приклад конкретної нагоди?
Додано через 1 годину 4 хвилини 2 секундиНа моєму комп'ютері з Win7 32bit після BSOD нічого не показує.
Активний користувач
та це просто приклад.
це дивно. спробуйте поставити ключ-v: kdfe.cmd -v "шлях до файлу"
якщо не вийде, надсилайте дамп, розбиратимемося.
Активний користувач
Пізно, потер дампи через CCCleaner. Так-що до наступного BSOD. Але пам'ятаю, що виліт системи був при працюючих Firefox 4 і Aimp. Чи може Firefox 4 переповнив пам'ять?
Додано через 47 хвилин 3 секундиІ схоже, що не я один такий.
Активний користувач
ну що ж ви так.
так це цілком можливо. Firefox 4 тільки випустили і можуть виникати різні помилки.
Активний користувач
на мою думку, всі BSOD'и зводяться до одного -> адже для того щоб працювала жележка, для неї потрібно ПЗ
поправте мене якщо я не правий. буду вдячний..
Активний користувач
Активний користувач
Drongo, OKshef, я мабуть не правильно висловився. апаратна частина звичайно повинна бути справна.
BSoD з'являється, коли в коді ядра або драйвера, що виконується в режимі ядра, виникає непереборна помилка (найчастіше це спроба виконання драйвером неприпустимої операції).
абсолютно згоден, що при усуненні помилок (наприклад, на етапі завантаження) необхідно спочатку перевіряти апаратну частину.
тобто. перевіряти потрібно з нижнього рівня (спочатку залізо, потім все інше)
Активний користувач
Loading Dump File [C:\Windows\Minidump\041111-13556-01.dmp] Mini Kernel Dump File: Тільки registers and stack trace available
Symbol search path is: srv*C:\symbols*http://msdl.microsoft.com/download/symbols Executable search path is: srv*C:\symbols*http://msdl.microsoft.com/ download/symbols Windows 7 Kernel Version 7601 (Service Pack 1) MP (2 procs) Free x86 compatible Product: WinNt, suite: TerminalServer SingleUserTS Built by: 7601.17514.x86fre.win7sp15_rtm. Machine Name: Kernel base = 0x82a01000 PsLoadedModuleList = 0x82b4b850 Debug session time: Mon Apr 11 01:54:09.064 2011 (UTC + 3:00 :18.672 Loading Kernel Symbols . . . Loading User Symbols Loading unloaded module list . 0: kd> kd: Reading initial command '!analyze -v; q' ************************************************** ********************************** * * * Bugcheck Analysis * * * *************************************************** *********************************
KERNEL_MODE_EXCEPTION_NOT_HANDLED_M (1000008e) This is avery common bugcheck. Зазвичай exception address pinpoints driver/function that caused the problem. Всі знають, що це адреса як добре, як link date of driver/image that contains this address. Якщо інші проблеми є висновок коду 0x80000003. Цей засіб hard coded breakpoint або assertion був, але ця система була booted /NODEBUG. This is not supposed to happenоскільки розробники ніколи не повинні мати жорстко закодовані точки зупину в роздрібному коді, але . Якщо це станеться, переконайтеся, що налагоджувач підключено, а систему завантажено /DEBUG. Це дозволить нам зрозуміти, чому ця точка зупину відбувається. Аргументи: Arg1: c0000046, Код винятку, який не було оброблено Arg2: 82a829a0, Адреса, на якій стався виняток Arg3: abceb16c, Кадр перехоплення Arg4: 00000000
*** ПОПЕРЕДЖЕННЯ: Неможливо перевірити позначку часу для ULCDRHlp.sys *** ПОМИЛКА: Завантаження модуля завершено, але не вдалося завантажити символи для ULCDRHlp.sys *** ПОПЕРЕДЖЕННЯ: Неможливо перевірити позначку часу для PxHelp20.sys *** ПОМИЛКА: Завантаження модуля завершено, але не вдалося завантажити символи для PxHelp20.sys *** ПОПЕРЕДЖЕННЯ: Неможливо перевірити позначку часу для GEARAspiWDM.sys *** ПОМИЛКА: Завантаження модуля завершено, але символи не вдалося завантажити для GEARAspiWDM.sys
EXCEPTION_CODE: (NTSTATUS) 0xc0000046 -
FAULTING_IP: nt!KeReleaseMutant+215 82a829a0 cc int 3
TRAP_FRAME: abceb16c -- (.trap 0xffffffffabceb16c) ESP РЕДАГУВАНО! Новий esp=abceb51c ErrCode = 00000000 eax=c0000046 ebx=878af030 ecx=871e2500 edx=00000000 esi=871e25e4 edi=00000000 eip=82a829a 0 esp=abceb1e0 ebp=abceb554 iopl=0 nv up ei ng nz na po nc cs=0000 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00000282 nt!KeReleaseMutant+0x215: 82a829a0 cc int 3 Скидання області за замовчуванням
LAST_CONTROL_TRANSFER: від 82a82782 до 82a829a0
FOLLOWUP_IP: ULCDRHlp+313c 9a1f413c ?? .