- 积分
- 14
- 下载分
- 分
- 威望
- 点
- 原创币
- 点
- 下载
- 次
- 上传
- 次
- 注册时间
- 2015-9-10
- 精华
|
马上注册,获取阅读精华内容及下载权限
您需要 登录 才可以下载或查看,没有帐号?注册
x
WinDbg 分析蓝屏dmp 文件
WinDbg 是在windows 平台下,强大的用户态和内核态调
试工具。相比较于Visual Studio,它是一个轻量级的调试
工具,所谓轻量级指的是它的安装文件大小较小,但是其调
试功能,却比VS 更为强大。它的另外一个用途是可以用来
分析dump 数据。
WinDbg 是Microsoft 公司免费调试器调试集合中的GUI
的调试器,支持Source 和Assembly 两种模式的调试。WinDbg
不仅可以调试应用程序,还可以进行Kernel Debug。结合
Microsoft 的Symbol Server,可以获取系统符号文件,便
于应用程序和内核的调试。WinDbg 支持的平台包括X86、IA64、
AMD64。
虽然winDbg 也提供图形界面操作,但它最强大的地方
还是有着强大的调试命令,一般情况会结合GUI 和命令行进
行操作,我们重点看一下WinDbg 对dump 文件的调试。它能
够通过dump 文件轻松的定位到问题根源,可用于分析蓝屏、
程序崩溃(IE 崩溃)等原因,是我们日常工作中必不可少的
一个有力工具,学会使用它,将有效提升我们的问题解决效
率和准确率。
1. 初识WinDbg,如下图示:
WinDbg 提供了图形界面和命令行两种运行方式。这里介绍
使用图形界面的WinDbg 来调试应用程序: File->Open
Executable->可以选择一个可执行文件进行调试;
File->Attach to a Process->可以选择一个运行中的进程,
并对其进行调试;
这样,我们就可以在下图中用红色方框标记的文本框中输入
各个功能指令了(有关指令的帮助文档,可以参 考:
Help->Contents->Debugging Tools for
Windows->Debuggers->Debugger Reference,该目录下列集
了所有指令机器功能说明!)。
2. 设置符号表
符号表是WinDbg 关键的“数据库”,如果没有它,WinDbg
基本上就是个废物,无法分析出更多问题原因。所以使用
WinDbg 设置符号表,是必须要走的一步。
(1)运行WinDbg 软件,然后按【Ctrl+S】弹出符号表设置
窗
(2)将符号表地址:
SRV*C:\Symbols*http://msdl.microsoft.com/download
/symbols 粘贴在输入框中,点击确定即可。
注:红色字体为符号表本地存储路径,建议固定路径,可
避免符号表重复下载。
有时让WinDbg 从ms 下载symbols,不会成功,也可以这样:
http://www.microsoft.com/whdc/devtools/debugging/sy
mbolpkg.mspx,下载相应操作系统所对应的完整的Symbol
安装包,并进行安装。
3. 学会打开第一个dump 文件
当你拿到一个dmp 文件后,可使用【Ctrl+D】快捷键来打开
一个dmp 文件,或者点击WinDbg 界面 上的【File=>Open
Crash Dump...】按钮,来打开一个dmp 文件。第一次打开
dmp 文件时,可能会收到如下提示,出现这个提示时,勾选
“Don't ask again in this WinDbg session”,然后点否
即可。
当你想打开第二个dmp 文件时,可能因为上一个分析记
录未清除,导致无法直接分析下一个dmp 文件,此时你可以
使用快捷键【Shift+F5】来关闭上一个dmp 分析记录。
4.通过简单的几个步骤学会分析一些dmp 文件。
分享一个济南驾道科技ITA-1710 出现0X44 代码蓝屏dmp 案
例的分析过程:
当你打开一个dmp 文件后,可能因为太多信息,让你无
所适从,不过没关系,我们只需要关注几个关键信息即可。
第一个关键信息:System Uptime(开机时间):
第二个关键信息:Probaly caused by(造成蓝屏可能的原
因)
这个信息是相对比较重要的一个信息,如果你运气好的
话,通过这个信息基本上可以看到导致蓝屏的驱动或者程序
名称了。如下图,Probably caused by 后面显示的是一个名
为hbdrv.sys 的驱动文件导致蓝屏。
括号中驱动文件名后面的+号代表的是偏移地址,假如多个
dmp 文件的驱动文件名一样,且偏移地址也一样,则问题原
因极有可能是同一个。
!analyze -v,这个命令能够自动分析绝大部分蓝屏原因。
当初步分析没有结果时,可以使用该命令进一步分析故障原
因,当然你也可以直接点击链接样式的!analyze -v 来进行
执行该命令,如下图。
从以上分析看出:客户在开机1 小时53 分43 秒484 毫秒时,
系统空闲进程Idle 触发了hbdrv.sys 这个驱动的一个bug,
导致蓝屏。这样,我们就基本上可以分析绝大多数的dmp 文件
从而节省更多的时间来让我们去做之后的维修。
写完了发现软件太大放不上去了,大家从网上下一下吧,
发个链接,复制网址直接下载,软件大小16M。
http://11.gddx.crsky.com/200811/DebuggingTools-v6.10.rar
|
评分
-
查看全部评分
|
[复制链接]
/1 
狗仔卡
发表于 2015-12-4 13:54:20
支持!
反对!
收藏
分享
帖子提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
