用友股份-LE服务支持部技术方案--《Windows系统崩溃分析》建立日期:2013-01-01修改日期:xxxx-xx-xx文档属性:客户文控编号:LE-DY-JS-2013-00052/9文档控制创建记录审阅人姓名所属部门职位审阅签字发布人姓名所属部门发布时间日期作者所属部门邮件地址版本2013-01-01V1.03目录1.启用和获取转储文件................................................................................................42.分析工具DebuggingTools的配置和使用................................................................54在MicrosoftWindows2000/XP/Server2003、MicrosoftWindowsVista/Server2008、MicrosoftWindows7操作系统突然停止正常运行时,会进入蓝色背景错误信息画面一般简称为“蓝屏(BlueScreen)”或“停止屏(StopErrorScreen)”,它可能会长时间停留在显示屏;也可能会在短时间显示之后自动重新启动计算机。为了回溯追踪该故障的原因,可对操作系统生成的内存转储文件进行分析,以下简单介绍如何启用和获取转储文件,如何使用分析工具,如何读取分析结果。1.启用和获取转储文件可以在“控制面板”中打开“系统”属性,切换至“高级”选项卡(如果是WindowsVista及以上版本的Windows请在“系统”属性左上方的工具栏中选择“高级系统设置”,确认用户帐户控制(UAC)安全提示,然后再切换至“高级”选项卡),在“高级”选项卡中打开“启动与故障恢复”。您可以在“启动与故障恢复”的选项中找到“自动重新启动”复选框,如果此复选框没有选中,Windows遇到“蓝屏”故障后“蓝屏”错误信息就将长时间停留在显示屏(Windows2000的默认设置);如果此复选框被选中,“蓝屏”错误信息就将在短时间显示之后自动重新启动计算机(WindowsXP及后续版本的Windows的默认设置)。内存转储文件是一种扩展名为.DMP的文件。其中,“小内存转储”文件保存在Windows\Minidump文件夹、文件大小为64KB,它只记录发生“蓝屏”故障时的关键信息;“核心内存转储”与“完全内存转储”文件则保存在Windows文件夹%SystemRoot%中,5文件名为MEMORY.DMP,它们分别记录有发生“蓝屏”故障时的核心内存信息或完整的内存信息。如果使用默认的配置,则可以通过“运行”对话框中输入%SystemRoot%进入该文件夹找寻并获取MEMORY.DMP进行本机或者异机分析。2.分析工具DebuggingTools的配置和使用WinDbg是微软发布的一款相当优秀的源码级(source-level)调试工具,可以用于Kernel模式调试和用户模式调试,还可以调试Dump文件。本例中仅用来做dump分析(1)WinDbg下载InstallDebuggingToolsforWindows32-bitVersionhttp://msdn.microsoft.com/zh-cn/windows/hardware/gg463016InstallDebuggingToolsforWindows64-bitVersionshttp://msdn.microsoft.com/zh-cn/windows/hardware/gg463012(2)windowssymbols下载如果进行异机分析需要根据分析对象的操作系统下载完整的symbols包下载地址为http://msdn.microsoft.com/en-us/windows/hardware/gg463028.aspx必须下载与目标系统(待分析系统)版本一致的symbols包,例如2003serversp2操作系统对应的文件为WindowsServer2003-KB933548-v1-x64-symbols-NRL-ENU.exe(3)安装windbg安装过程均为图形化操作,过程描述从简(4)安装windowssymbols6安装过程均为图形化操作,过程描述从简,但是需要注意将安装地址放在非系统文件夹,比如安装在D:\Windows\Symbols目录下,(5)配置WinDbgWinDbg提供了图形界面和命令行两种运行方式。这里介绍使用图形界面的WinDbg来调试应用程序运行WinDbg->菜单->File->SymbolFilePath->按照下面的方法设置_NT_SYMBOL_PATH变量:在弹出的框中输入7“D:\Windows\Symbols;SRV*D:\Windows\Symbols*http://msdl.microsoft.com/download/symbols”(按照这样设置,WinDbg将先从本地文件夹D:\Windows\Symbols中查找Symbol,如果找不到,则自动从MS的SymbolServer上下载Symbols)。(6)使用WinDbg分析dump文件WinDbg提供了图形界面和命令行两种运行方式。这里介绍使用图形界面的WinDbg来调试应用程序程序会自动对dmp文件内容进行分析并生成概要内容如下:8详细分析可在下方命令输入框里输入“!analyze-v”回车执行内存使用内容分析可在下方命令输入框里输入“!vm”回车执行(7)读取分析结果可注意其中的相关细节如下:9在做完详细分析后注意:可见到引起系统崩溃的程序或者类库,根据这个可再去查询该程序或者类库来自什么软件。
