蓝屏dump分析教程，附分析工具WinDbg下载

转载自:http://support.icafe8.com/technologynews/focus/932.html

1、WinDbg是什么？它能作什么？

　　WinDbg是在windows平台下，强大的用户态和内核态调试工具。它可以经过dmp文件轻松的定位到问题根源，可用于分析蓝屏、程序崩溃（IE崩溃）缘由，是咱们平常工做中必不可少的一个有力工具，学会使用它，将有效提高咱们的问题解决效率和准确率。

2、WinDbg6.12.0002.633下载：

x86位版本下载：【微软官方安装版】

蓝屏Dump分析工具WinDbg(x86).rar    32,035 次

x64位版本下载：【微软官方安装版】

蓝屏Dump分析工具WinDbg(x64).rar    32,560 次

3、设置符号表：

　　符号表是WinDbg关键的“数据库”，若是没有它，WinDbg基本上就是个废物，没法分析出更多问题缘由。因此使用WinDbg设置符号表，是必需要走的一步。
一、运行WinDbg软件，而后按【Ctrl+S】弹出符号表设置窗
二、将符号表地址：SRV*C:\Symbols*http://msdl.microsoft.com/download/symbols粘贴在输入框中，点击肯定便可。
注：红色字体为符号表本地存储路径，建议固定路径，可避免符号表重复下载。

4、学会打开第一个dmp文件！

　　当你拿到一个dmp文件后，可以使用【Ctrl+D】快捷键来打开一个dmp文件，或者点击WinDbg界面上的【File=>Open Crash Dump...】按钮，来打开一个dmp文件。第一次打开dmp文件时，可能会收到以下提示，出现这个提示时，勾选“Don't ask again in this WinDbg session”，而后点否便可。

　　当你想打开第二个dmp文件时，可能由于上一个分析记录未清除，致使没法直接分析下一个dmp文件，此时你可使用快捷键【Shift+F5】来关闭上一个dmp分析记录。

　　至此，简单的WinDbg使用你已经学会了！

5、经过简单的几个步骤学会分析一些dmp文件。

分享一个8E蓝屏dmp案例的分析过程：
　　当你打开一个dmp文件后，可能由于太多信息，让你无所适从，不过不要紧，咱们只须要关注几个关键信息便可。

第一个关键信息：System Uptime（开机时间）：

　　经过观察这个时间你就能够知道问题是在何时出现的，例如时间小于1分钟基本能够定位为开机蓝屏，反之大于一分钟则可证实是上机后或玩的过程当中出现问题了。

接下来用一个简单的例子来学习简单的dmp分析，下图中System Uptime: 0 days 0:14:23.581，意思是0天(days)0小时14分23秒581毫秒时出现蓝屏了，看来是上机没多久就蓝屏了，这位顾客很悲催……

　　那么是什么致使蓝屏的呢？接下来咱们就要注意第二个关键信息了！

第二个关键信息：Probaly caused by（形成蓝屏可能的缘由）

　　这个信息是相对比较重要的一个信息，若是你运气好的话，经过这个信息基本上能够看到致使蓝屏的驱动或者程序名称了，就像下图同样，初步的分析已经有告终果，Probaly caused by后面显示的是一个名为KiMsgProtect.sys的驱动文件致使蓝屏，这个文件就是恒信一卡通的一个关键驱动。所以蓝屏则颇有可能和一卡通有关。

括号中驱动文件名后面的+号表明的是偏移地址，假如多个dmp文件的驱动文件名同样，且偏移地址也同样，则问题缘由极有多是同一个，这个偏移地址与汇编有关，这里很少作介绍。

　　其实，对于分析蓝屏dmp并非每次运气都那么好，假如刚刚打开dmp文件未看到明确的蓝屏缘由时，咱们就须要借助一个命令来进一步分析dmp，这个命令就是：!analyze -v，这个命令可以自动分析绝大部分蓝屏缘由。当初步分析没有结果时，可使用该命令进一步分析故障缘由，固然你也能够直接点击连接样式的!analyze -v来进行执行该命令，为了让你们更直观的看懂里面的信息，你们能够直接看图片中的注释信息。

　　看了这么多信息以后，这个蓝屏dmp究竟是怎么回事呢？根据dmp给出的信息，应该是：顾客上机0天(days)0小时14分23秒581毫秒时，一个名为PinyinUp.exe触发了KiMsgProtect.sys这个驱动的一个Bug，致使蓝屏。 

　　那么PinyinUp.exe和KiMsgProtect.sys都是哪一个厂商的？通常要知道这个信息，只能去用户的机器上找了，我去找了以后发现PinyinUp.exe是搜狗输入法的自动升级程序，KiMsgProtect.sys是恒信一卡通这个计费软件的驱动，因此这个dmp表示出来的意思看上去是搜狗拼音和恒信一卡通搞在一块儿，出了问题！固然排除方法很简单，把搜狗输入法的自动升级程序删除掉，再看看是否仍然有蓝屏问题发生就ok了！

　　学到这里，基本上已经能够分析绝大部分dmp文件了，可是分析蓝屏dmp要比较谨慎，对信息须要从新验证一次才更加保险，验证方法很简单，在WinDbg的命令输入框内，输入!process命令，就能够验证触发蓝屏的程序究竟是否正确了。

 

运行!process命令后获得的信息：

　　至此，掌握以上几个简单的分析方法以后，基本上绝大多数dmp你们均可以独立分析了，固然WinDbg是个强大的工具，同时蓝屏的缘由也有不少，若是想分析的足够准确，那么就只有多学多练，多去分析，由于WinDbg分析除了懂得几个命令以外，经验更加剧要！

合理再给你们一些分析建议：

　　并不必定每一个dmp文件均可以分析出有用的结论，所以分析dmp并不须要对每一个dmp文件的结果过度纠结，其实蓝屏dmp分析也是观察一个规律或者规模的问题定位方法而已。例如你分析了10个dmp，有5个dmp都指向同一个蓝屏缘由，另外5个dmp的信息五花八门时，那么你彻底能够先处理掉5次蓝屏，同一个缘由的问题，由于解决了这个问题以后，后面的问题可能就都解决了！

　　vDiskBus+da6c这个蓝屏信息是指网维大师蓝屏硬盘的dmp捕捉机制，这并非蓝屏缘由，有不少朋友由于文章看到一半就去折腾，结果得出一些错误结论，因此这里特地提醒下你们，看到vDiskBus+da6c这个信息以后，就不要再判断错误了，这个信息能够证明的信息是：这个dmp文件是经过网维大师蓝屏鹰眼捕捉到的，且是在网维无盘客户机上捕捉到的，其它的就不能表明什么了。