WinDbg是在windows平臺(tái)下，強(qiáng)大的用戶態(tài)和內(nèi)核態(tài)調(diào)試工具。它能夠通過(guò)dmp文件輕松的定位到問(wèn)題根源，可用于分析藍(lán)屏、程序崩潰（IE崩潰）原因，是我們?nèi)粘９ぷ髦斜夭豢缮俚囊粋€(gè)有力工具，學(xué)會(huì)使用它，將有效提升我們的問(wèn)題解決效率和準(zhǔn)確率。

x86位版本下載：【微軟官方安裝版】

Windbg藍(lán)屏分析修復(fù)工具32位 v6.12 英文綠色免費(fèi)版

• 類型：優(yōu)化設(shè)置
• 大小：13.2MB
• 語(yǔ)言：英文軟件
• 時(shí)間：2015-01-16

查看詳情

x64位版本下載：【微軟官方安裝版】

Windbg藍(lán)屏分析修復(fù)工具 X64 v6.12 英文綠色免費(fèi)版

• 類型：優(yōu)化設(shè)置
• 大?。?/span>12.5MB
• 語(yǔ)言：英文軟件
• 時(shí)間：2015-01-16

查看詳情

　　符號(hào)表是WinDbg關(guān)鍵的“數(shù)據(jù)庫(kù)”，如果沒(méi)有它，WinDbg基本上就是個(gè)廢物，無(wú)法分析出更多問(wèn)題原因。所以使用WinDbg設(shè)置符號(hào)表，是必須要走的一步。
1、運(yùn)行WinDbg軟件，然后按【Ctrl+S】彈出符號(hào)表設(shè)置窗
2、將符號(hào)表地址：SRV*C:\Symbols*http://msdl.microsoft.com/download/symbols粘貼在輸入框中，點(diǎn)擊確定即可。
注：紅色字體為符號(hào)表本地存儲(chǔ)路徑，建議固定路徑，可避免符號(hào)表重復(fù)下載。

　　當(dāng)你拿到一個(gè)dmp文件后，可使用【Ctrl+D】快捷鍵來(lái)打開(kāi)一個(gè)dmp文件，或者點(diǎn)擊WinDbg界面上的【File=>Open Crash Dump...】按鈕，來(lái)打開(kāi)一個(gè)dmp文件。第一次打開(kāi)dmp文件時(shí)，可能會(huì)收到如下提示，出現(xiàn)這個(gè)提示時(shí)，勾選“Don't ask again in this WinDbg session”，然后點(diǎn)否即可。

　　當(dāng)你想打開(kāi)第二個(gè)dmp文件時(shí)，可能因?yàn)樯弦粋€(gè)分析記錄未清除，導(dǎo)致無(wú)法直接分析下一個(gè)dmp文件，此時(shí)你可以使用快捷鍵【Shift+F5】來(lái)關(guān)閉上一個(gè)dmp分析記錄。

　　至此，簡(jiǎn)單的WinDbg使用你已經(jīng)學(xué)會(huì)了！

分享一個(gè)8E藍(lán)屏dmp案例的分析過(guò)程：
　　當(dāng)你打開(kāi)一個(gè)dmp文件后，可能因?yàn)樘嘈畔?，讓你無(wú)所適從，不過(guò)沒(méi)關(guān)系，我們只需要關(guān)注幾個(gè)關(guān)鍵信息即可。

第一個(gè)關(guān)鍵信息：System Uptime（開(kāi)機(jī)時(shí)間）：

　　通過(guò)觀察這個(gè)時(shí)間你就可以知道問(wèn)題是在什么時(shí)候出現(xiàn)的，例如時(shí)間小于1分鐘基本可以定位為開(kāi)機(jī)藍(lán)屏，反之大于一分鐘則可證明是上機(jī)后或玩的過(guò)程中出現(xiàn)問(wèn)題了。

接下來(lái)用一個(gè)簡(jiǎn)單的例子來(lái)學(xué)習(xí)簡(jiǎn)單的dmp分析，下圖中System Uptime: 0 days 0:14:23.581，意思是0天(days)0小時(shí)14分23秒581毫秒時(shí)出現(xiàn)藍(lán)屏了，看來(lái)是上機(jī)沒(méi)多久就藍(lán)屏了，這位顧客很悲催……

　　那么是什么導(dǎo)致藍(lán)屏的呢？接下來(lái)我們就要注意第二個(gè)關(guān)鍵信息了！

第二個(gè)關(guān)鍵信息：Probaly caused by（造成藍(lán)屏可能的原因）

　　這個(gè)信息是相對(duì)比較重要的一個(gè)信息，如果你運(yùn)氣好的話，通過(guò)這個(gè)信息基本上可以看到導(dǎo)致藍(lán)屏的驅(qū)動(dòng)或者程序名稱了，就像下圖一樣，初步的分析已經(jīng)有了結(jié)果，Probaly caused by后面顯示的是一個(gè)名為KiMsgProtect.sys的驅(qū)動(dòng)文件導(dǎo)致藍(lán)屏，這個(gè)文件就是恒信一卡通的一個(gè)關(guān)鍵驅(qū)動(dòng)。因此藍(lán)屏則很有可能和一卡通有關(guān)。

括號(hào)中驅(qū)動(dòng)文件名后面的+號(hào)代表的是偏移地址，假如多個(gè)dmp文件的驅(qū)動(dòng)文件名一樣，且偏移地址也一樣，則問(wèn)題原因極有可能是同一個(gè)，這個(gè)偏移地址與匯編有關(guān)，這里不多做介紹。

　　其實(shí)，對(duì)于分析藍(lán)屏dmp并不是每次運(yùn)氣都那么好，假如剛剛打開(kāi)dmp文件未看到明確的藍(lán)屏原因時(shí)，我們就需要借助一個(gè)命令來(lái)進(jìn)一步分析dmp，這個(gè)命令就是：!analyze -v，這個(gè)命令能夠自動(dòng)分析絕大部分藍(lán)屏原因。當(dāng)初步分析沒(méi)有結(jié)果時(shí)，可以使用該命令進(jìn)一步分析故障原因，當(dāng)然你也可以直接點(diǎn)擊鏈接樣式的!analyze -v來(lái)進(jìn)行執(zhí)行該命令，為了讓大家更直觀的看懂里面的信息，大家可以直接看圖片中的注釋信息。

　　看了這么多信息之后，這個(gè)藍(lán)屏dmp到底是怎么回事呢？根據(jù)dmp給出的信息，應(yīng)該是：顧客上機(jī)0天(days)0小時(shí)14分23秒581毫秒時(shí)，一個(gè)名為PinyinUp.exe觸發(fā)了KiMsgProtect.sys這個(gè)驅(qū)動(dòng)的一個(gè)Bug，導(dǎo)致藍(lán)屏。 

　　那么PinyinUp.exe和KiMsgProtect.sys都是哪個(gè)廠商的？一般要知道這個(gè)信息，只能去用戶的機(jī)器上找了，我去找了之后發(fā)現(xiàn)PinyinUp.exe是搜狗輸入法的自動(dòng)升級(jí)程序，KiMsgProtect.sys是恒信一卡通這個(gè)計(jì)費(fèi)軟件的驅(qū)動(dòng)，所以這個(gè)dmp表示出來(lái)的意思看上去是搜狗拼音和恒信一卡通搞在一起，出了問(wèn)題！當(dāng)然排除方法很簡(jiǎn)單，把搜狗輸入法的自動(dòng)升級(jí)程序刪除掉，再看看是否仍然有藍(lán)屏問(wèn)題發(fā)生就ok了！

　　學(xué)到這里，基本上已經(jīng)可以分析絕大部分dmp文件了，但是分析藍(lán)屏dmp要比較謹(jǐn)慎，對(duì)信息需要重新驗(yàn)證一次才更加保險(xiǎn)，驗(yàn)證方法很簡(jiǎn)單，在WinDbg的命令輸入框內(nèi)，輸入!process命令，就可以驗(yàn)證觸發(fā)藍(lán)屏的程序到底是否正確了。

運(yùn)行!process命令后得到的信息：

　　至此，掌握以上幾個(gè)簡(jiǎn)單的分析方法之后，基本上絕大多數(shù)dmp大家都可以獨(dú)立分析了，當(dāng)然WinDbg是個(gè)強(qiáng)大的工具，同時(shí)藍(lán)屏的原因也有很多，如果想分析的足夠準(zhǔn)確，那么就只有多學(xué)多練，多去分析，因?yàn)閃inDbg分析除了懂得幾個(gè)命令之外，經(jīng)驗(yàn)更加重要！

合理再給大家一些分析建議：

　　并不一定每個(gè)dmp文件都可以分析出有用的結(jié)論，因此分析dmp并不需要對(duì)每個(gè)dmp文件的結(jié)果過(guò)分糾結(jié)，其實(shí)藍(lán)屏dmp分析也是觀察一個(gè)規(guī)律或者規(guī)模的問(wèn)題定位方法而已。例如你分析了10個(gè)dmp，有5個(gè)dmp都指向同一個(gè)藍(lán)屏原因，另外5個(gè)dmp的信息五花八門時(shí)，那么你完全可以先處理掉5次藍(lán)屏，同一個(gè)原因的問(wèn)題，因?yàn)榻鉀Q了這個(gè)問(wèn)題之后，后面的問(wèn)題可能就都解決了！

　　vDiskBus+da6c這個(gè)藍(lán)屏信息是指網(wǎng)維大師藍(lán)屏硬盤的dmp捕捉機(jī)制，這并不是藍(lán)屏原因，有很多朋友因?yàn)槲恼驴吹揭话刖腿フ垓v，結(jié)果得出一些錯(cuò)誤結(jié)論，所以這里特意提醒下大家，看到vDiskBus+da6c這個(gè)信息之后，就不要再判斷錯(cuò)誤了，這個(gè)信息可以證實(shí)的信息是：這個(gè)dmp文件是通過(guò)網(wǎng)維大師藍(lán)屏鷹眼捕捉到的，且是在網(wǎng)維無(wú)盤客戶機(jī)上捕捉到的，其它的就不能代表什么了。

最新評(píng)論