Wie analysiert man einen Speicherabzug unter Windows nach einem Bluescreen-Fehler?

92031
bublegumm

Mein Computer, auf dem Windows 7 x64 ausgeführt wird, bricht von Zeit zu Zeit zusammen. Könnten Sie bitte ein Tool empfehlen, das bei der Analyse des Speicherabbilds hilfreich sein kann, oder auf mögliche Gründe und weitere Schritte zur Fehlerbehebung hinweisen?

Der Computer wurde nach einer Fehlerüberprüfung neu gestartet. Die Fehlerüberprüfung war: 0x0000003b (0x00000000c0000005, 0xfffff96000015de8, 0xfffff88007db9fb0, 0x0000000000000000). Ein Speicherauszug wurde gespeichert in: C: \ Windows \ MEMORY.DMP. Bericht-ID: 080210-24819-01.

Das Zitat aus dem Ergebnis von WinDbg wird ausgeführt

EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - Die Anweisung um 0x% 08lx referenzierte den Speicher um 0x% 08lx. Der Speicher konnte nicht% s sein.

...

DEFAULT_BUCKET_ID: VISTA_DRIVER_FAULT

BUGCHECK_STR: 0x3B

PROCESS_NAME: explorer.exe

...

MODULE_NAME: win32k

IMAGE_NAME: win32k.sys

Gibt es eine Möglichkeit zu verstehen, welcher Treiber ein Problem hat?

13
Siehe auch - http://superuser.com/questions/28448/how-to-diagnose-blue-screens-in-windows-7-64bit Nick Josevski vor 12 Jahren 0

3 Antworten auf die Frage

18
Leftium

Ich würde das Debugging-Tool von Microsoft verwenden: WinDbg . Es kann Speicherabbilder wie Ihre lesen und automatisch analysieren. (Der Befehl WinDbg ist treffend benannt: !analyze)

Das Tool ist mächtig, aber ziemlich komplex. Hier finden Sie eine detaillierte Anleitung .

Das gleiche Forum schlägt BlueScreenView vor . Ich habe es nicht ausprobiert; Es ist wahrscheinlich einfacher zu verwenden, gibt aber keine detaillierteren Informationen.

aktualisieren:

Gibt es eine Möglichkeit zu verstehen, welcher Treiber ein Problem hat?

Nach !analyzelaufen koder kd. Dadurch wird die Stapelverfolgung unmittelbar vor dem Absturz angezeigt. Die Stack-Ablaufverfolgung ist die Liste der Funktionsaufrufe, die direkt vor dem Absturz ausgeführt wurden, wobei sich der letzte an der Spitze befindet. Sie sollten zumindest in der Lage sein, die Dateinamen der beteiligten Module (DLLs) zu lernen.

Ich schlage vor, die vollständigen Ergebnisse !analyzeund / oder den Speicherauszug mit Personen zu teilen, die sich mit WinDbg auskennen und daran interessiert sind, zu helfen. Das zuvor verlinkte MajorGeeks-Forum sieht nach einem guten Ort aus.

Vielen Dank! Haben Sie Ideen, was der nächste Schritt ist? Ich fügte Ergebnisse von WinDbg hinzu bublegumm vor 14 Jahren 0
Der MajorGeeks Forum-Thread ist großartig und bietet Schritt für Schritt, wie man eine memory.dmp-Datei liest. russds vor 9 Jahren 1
Ohne tiefes Wissen, wenn man versucht, allein die `! Analysis -v'-Ausgabe zu verstehen (und BlueScreenView bietet meistens das), ist es fast sinnlos. Der Vorschlag, sich den Aufrufstack anzusehen, kann für StackOverflow sinnvoll sein, ist hier jedoch etwas dumm. Außerdem habe ich einen Teil des Post-Mortem-Windows-Treiber-Debuggings gemacht, und viele der Fälle sind bei weitem nicht so eindeutig, wie Sie es klingen lassen. 0xC0000022L vor 6 Jahren 0
1
jacob justin

Es gibt ein kostenloses Tool namens BlueScreenView, von dem aus die Dump-Dateien analysiert werden c:\windows\minidumpund ein grafisches Fenster angezeigt wird, sodass der Benutzer die Fehler erkennen kann

-1
Moab

Dies kann zu http://support.microsoft.com/kb/980932 führen (Verwenden Sie "Hotfix-Downloads anzeigen und anfordern" am Anfang der Seite, um den Hotfix anzufordern. Wenden Sie den Hotfix nicht an, wenn es sich nicht um 1394 Firewire handelt Problem)

Ansonsten ist es wahrscheinlich ein Videotreiber, der dies verursacht, scheint bei W7 üblich zu sein, aber auch andere Hardware kann dazu führen, dass schlechte Speichermodule ebenfalls sehr verdächtig sind.

Fehlerprüfung 0x3B: SYSTEM_SERVICE_EXCEPTION

http://msdn.microsoft.com/en-us/library/ff558949(v=VS.85).aspx

Die Fehlerprüfung SYSTEM_SERVICE_EXCEPTION hat den Wert 0x0000003B. Dies zeigt an, dass eine Ausnahme beim Ausführen einer Routine aufgetreten ist, die von nicht privilegiertem Code zu privilegiertem Code übergeht. Parameter

Die folgenden Parameter werden auf dem blauen Bildschirm angezeigt. ParameterDescription 1Die Ausnahme, die die Fehlerprüfung verursacht hat. 2Die Adresse des Ausnahmedatensatzes für die Ausnahme, die die Fehlerprüfung verursacht hat. 3Die Adresse des Kontextdatensatzes für die Ausnahme, die die Fehlerprüfung verursacht hat

Ursache

Dieser Fehler wurde mit einer übermäßigen Auslastung des ausgelagerten Pools in Verbindung gebracht und kann auf Benutzertreiber im Benutzermodus zurückzuführen sein, die fehlerhafte Daten überschreiten und an den Kernelcode übergeben.

Verwandte Probleme