最近拿WinDbg查看一些藍底白字的Log,順便做一下筆記:
ㄧ般藍屏看到下面的描述如下:
STOP : 0x000000D1 (0x00000080 , 0x0000001d , 0x00000001,0x83c74674)
當Dumpfile從WinDbg中開啟並查看所看到的描述如下:
DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1) <--錯誤代碼
Arg1: 00000080, memory referenced <--參考的記憶體位址
Arg2: 0000001d, IRQL <--目前的IRQL
Arg3: 00000001, value 0 = read operation, 1 = write operation <--讀/寫發生問題
Arg4: 83c74674, address which referenced memory <--有問題的Code的記憶體位址
從下面範例可以得知,記憶體位址83c74674h的地方是要把EAX值寫入到某個記憶體位址中,而這個記憶體位址在0x0023:0x00000080的地方,而寫入時發生錯誤:
83c74674 0100 add dword ptr [eax],eax ds:0023:00000080=????????
另外還可以看到下面的描述:
FOLLOWUP_IP: mssmbios!SMBiosACPIProcessACPIData+f2
8ce6b6f0 85c0 test eax,eax
結論1: 看起來是mssmbios.sys 出錯,錯誤的原因可能是ACPI code的寫入問題,所以要查看看BIOS是否有去動態更新ACPI table或是ACPI 出錯而造成這個藍屏。
另一個案例
SYSTEM_THREAD_EXCEPTION_NOT_HANDLED (7e)
Arg1: c0000005, The exception code that was not handled
Arg2: fac41750, The address that the exception occurred at
Arg3: fafb4430, Exception Record Address
Arg4: fafb 412c , Context Record Address
IMAGE_NAME: intelppm.sys
fac41750 0f 32 rdmsr
結論2:看樣子是RDMSR造成的問題。
使用WinDbg開啟Dump file的方式如下:
開啟後鍵入!analyze -v ,就可以查看相關資訊,另外要注意的事情是要安裝好symbol files,相關的WinDbg指令/安裝/設定方式請參考微軟網站說明。
Reference
微軟網站
1 則留言:
請問一下symbol files的檔案是要安裝發生問題的機器上的版本嗎? 例如問題事發生在Win7.就裝Win7的symbol files package. 還是是裝分析的機器?
例如我拿Win XP的機器去分析dump file.
張貼留言