使用WinDbg分析系统不正常关机的原因

Author: Insight
Blog: htttp://hi.baidu.com/insight/
Link:http://hi.baidu.com/insight/modify/blog/9d6cb64543431321cefca3fe

===========================
使用WinDbg分析系统蓝屏原因
===========================

1.http://www.microsoft.com/whdc/devtools/debugging/installx86.mspx

下载最新的dbg_x86_6.10.3.233.msi。

2. 安装。

3. 配置

File-Symbol File Path...

在Symbol Search Path 中填写如下内容：

srv*c:\Symbols*http://msdl.microsoft.com/download/symbols

4. 若%windir%下存在MEMORY.DMP文件，则在WinDbg主窗口中：

File-Open Crush Dump...（或直接按快捷键Ctrl + D），选择MEMORY.DMP文件并打开。

若%windir%下没有MEMORY.DMP文件或者想查看以前蓝屏的dmp文件，则要使用

%windir%\Minidump下的文件。

注：%windir%下的MEMORY.DMP文件是完全版本的出现问题时的dmp文件，系统只

保存最后一次出现问题时的dmp文件，以前保存的文件会被当前的dmp文件覆盖掉；

%windir%\Minidump下的文件是MEMORY.DMP文件的缩略版本，约80K左右，

每次出现问题时均会保存一个文件，不会覆盖掉以前的dmp文件。

5. 打开MEMORY.DMP文件后，可以看到类似

“Probably caused by : win32k.sys ( win32k!ESTROBJ::vInit+43 )”的文字，

此时，可以初步判断可能是由win32k.sys引起的。

6. 然后点击或输入“!analyze -v”命令来得到详细的信息。此时，要重点看一下

“STACK_TEXT”中的堆栈调用信息，确认引起问题的模块名，此例中为“win32k”。

此时，也要注意看一下是否和其他模块有冲突，确认相冲突的模块名。

7. 点击“win32k”链接或者使用“lmvm win32k”命令来看一下“win32k”模块的详细信息

8. 找到“win32k”的“Image path”和版本信息等相关信息，然后进一步去文件系统中

核实，看是否是最新的版本。

9. 确认引起问题的原因后，即可有针对性的展开解决问题的步骤，例如，更新到最新的

驱动程序，卸载相冲突的程序，更换引起问题的硬件等等。