Windows蓝屏分析

windows11 开启内存转储

Windows 蓝屏分析中首先要有转储文件，Windows11 转储文件设置方法如下图。

不同的转储设置对蓝屏信息的完整性不同，一般情况非特定专业需求选择核心内存转储即可，在遇到蓝屏情况多数重启解决一切，节省转储时间，完全内存转储需要消耗大量时间。

构造蓝屏

任务管理器结束系统进程造成蓝屏,Windows11可能已经不存在蓝屏问题，因为它变成了绿屏。下图为window10之前分析。

 蓝屏提示代码F4,查看错误原因：

蓝屏代码查询网址：https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/

表示对系统操作至关重要的进程或线程意外退出或终止。

错误信息查看：

问题签名:

  问题事件名称:                 BlueScreen

  OS 版本:                      6.1.7601.2.1.0.256.48

  区域设置 ID:                  2052

有关该问题的其他信息:

  BCCode:                                             f4

  BCP1:                                                  00000003      //进程

  BCP2:                                                  86810908      //终止对象

  BCP3:                                                  86810A74      //进程映像名

  BCP4:                                                  8405BCF0       //解释性报文

  OS Version:                                        6_1_7601

  Service Pack:                                     1_0

  Product:                                             256_1

事件查看器：

有助于描述该问题的文件:

  C:\Windows\Minidump\022019-8642-01.dmp

  C:\Users\OrinSH\AppData\Local\Temp\WER-11200-0.sysdata.xml

Windbg

配置

将符号表地址：SRV*C:\Symbols*http://msdl.microsoft.com/download/symbols粘贴在输入框中，点击确定即可

分析：进一步分析命令：!analyze -v

System Uptime: 0 days 0:14:23.581，意思是0天(days)0小时8时34分20秒347毫秒时出现蓝屏

造成蓝屏可能的原因：

Probaly caused by：提示smss.exe触发蓝屏

蓝屏代码及帮助文档：

显示触发蓝屏的应用程序，用户态程序无法导致蓝屏，蓝屏只有内核态程序才会导致蓝屏，因此这并不是真正导致蓝屏的原因。

导致真正蓝屏的栈信息。

查看导致奔溃的module，发现为PCHunter32ak.sys驱动模块导致内核层的崩溃。

普通用户在多次蓝屏情况下，可以借助辅助工具直接分析，多快好省，下面是联想蓝屏分析工具分析结果基本一致。