win7蓝屏分析与解决方法

本文格式为Word版，下载可任意编辑——win7蓝屏分析与解决方法菜单->File->SymbolFilePath->依照下面的方法设置_NT_SYMBOL_PATH变量：

在弹出的框中输入“C:\\MyCodesSymbols;

SRV*C:\\MyLocalSymbols*/download/symbols〞(依照这样设置，WinDbg将先从本地文件夹C:\\MyCodesSymbols中查找Symbol，假使找不到，则自动从MS的SymbolServer

上下载Symbols)。另一种做法是从这个Symbol下载地址中

http://./whdc/devtools/debugging/symbolpkg.mspx，下载相应操作系统所需要的完整的Symbol安装包，并进行安装，例如我将其安装在D:\\WINDOWS\\Symbols，在该框中输入“D:\\WINDOWS\\Symbols〞。（这里要注意下载的Symbols的版本一定要正确，在我的Win2023+Sp1上，我曾经以为安装Win2023+Sp2的Symbols可能会牛×点，但结果证明我错了，用WinDbg开启可执行文件时，提醒“PDBsymbolformscorwks.dllnotloaded;Defaultedtoexportsymbolsfor

ntdll.dll〞的错误，我有重新装上Win2023+Sp1的Symbols,现在一切运行正常^_^）

实例分析：

最近一台联想R630G7总是自动重启,由于在出现〞自动重启〞故障前曾更换过内存,因此首先报给联想800,

确定不是硬件问题。问题出在哪里现在我们只能根据日志文件和DUMP文件进行分析了

DUMP文件位置：

windowsmemory.dmp

分析全过程：

1.下载安装windwos的debugtools,软件名为windbg;

2.安装后创立一个临时目录，我创立的为c:temp;

3.启动windbg

4.在windbg界面设定符号文件路径

file->symbolfilepath输入:

SRV*c:temp*/download/symbols,然后确定5.windbg界面:file->opencrashdump，开启memory.dmp文件；

6.开启后，等待提醒，当出现Use!analyze-vtogetdetaileddebugginginformation.字样

后，在下面输入框!analyze-v;r;kv;lmtn;.logclose;

7.分析完毕，可以知道什么导致的故障.请注意下面的windbg输出内容中的红字部分。分析得出sptd.sys(虚拟光驱软件dametools使用的驱动文件)这个驱动模块出错，导致win2023

自动重启。解决方法:

卸载dametools或使用第三方软件(如autoruns)禁用sptd.sys驱动。我

直接卸载dametools，问题解决

windbg输出内容(很长)：

LoadingDumpFile[C:DocumentsandSettingsAdministratorLocalSettingsTempDWRCCDownloadsMEMORY.DMP]

KernelSummaryDumpFile:Onlykerneladdressspaceisavailable

Symbolsearchpathis:

SRV*c:temp*/download/symbolsExecutablesearchpathis:

WindowsServer2023KernelVersion3790(ServicePack2)MP(8procs)Freex86compatible

Product:Server,suite:EnterpriseTerminalServerSingleUserTSBuiltby:3790.srv03_sp2_gdr.090319-1204MachineName:

Kernelbase=0x80800000PsLoadedModuleList=0x808a6ea8Debugsessiontime:SunJul2612:01:56.6562023(GMT+8)SystemUptime:7days5:44:46.856

WARNING:Processdirectorytablebase7FBED8A0doesn'tmatchCR3005BF000

WARNING:Processdirectorytablebase7FBED

win7蓝屏分析与解决方法-windbg使用教程(2)

8A0doesn'tmatchCR3005BF000

LoadingKernelSymbols

LoadingUserSymbols

PEBispagedout(Peb.Ldr=7ffd400c).Type\

Loadingunloadedmodulelist

*******************************************************************************

***BugcheckAnalysis*

**

*******************************************************************************

Use!analyze-vtogetdetaileddebugginginformation.

BugCheck7F,{8,f774ffe0,0,0}

***ERROR:Moduleloadcompletedbutsymbolscouldnotbeloadedforsptd.sys

***ERROR:Moduleloadcompletedbutsymbolscouldnotbeloadedfor

SYMEVENT.SYS

***ERROR:Moduleloadcompletedbutsymbolscouldnotbeloadedforsavrt.sys

PEBispagedout(Peb.Ldr=7ffd400c).Type\dbgerr001\fordetailsPEBispagedout(Peb.Ldr=7ffd400c).Type\dbgerr001\fordetailsProbablycausedby:sptd.sys(sptd+148a8)

Followup:MachineOwner

5:kd>!analyze-v;r;kv;lmtn;.logclose;

*******************************************************************************

**

*Bugcheck

Analysis*

**

win7蓝屏分析与解决方法-windbg使用教程(3)

*******************************************************************************

UNEXPECTED_KERNEL_MODE_TRAP(7f)

Thismeansatrapoccurredinkernelmode,andit'satrapofakindthatthekernelisn'tallowedtohave/catch(boundtrap)orthatisalwaysinstantdeath(doublefault).Thefirstnumberinthebugcheckparamsisthenumberofthetrap(8=doublefault,etc)ConsultanIntelx86familymanualtolearnmoreaboutwhatthesetrapsare.Hereisa*portion*ofthosecodes:IfkvshowsataskGate

use.tssonthepartbeforethecolon,thenkv.Elseifkvshowsatrapframeuse.traponthatvalueElse

.trapontheappropriateframewillshowwherethetrapwastaken(onx86,thiswillbetheebpthatgoeswiththeprocedureKiTrap)

Endif

kbwillthenshowthecorrectedstack.Arguments:

Arg1:00000008,EXCEPTION_DOUBLE_FAULTArg2:f774ffe0Arg3:00000000Arg4:00000000

DebuggingDetails:

PEBispagedout(Peb.Ldr=7ffd400c).Type\dbgerr001\fordetailsPEBispagedout(Peb.Ldr=7ffd400c).Type\dbgerr001\fordetails

BUGCHECK_STR:0x7f_8

TSS:00000028--(.tss0x28)

eax=00000080ebx=8080159cecx=00000000edx=00000002esi=00000080edi=808a6240

eip=80a61a6eesp=b7c96000ebp=b7c96008iopl=0nvupeiplzrnapenc

cs=0008ss=0010ds=0023es=0023fs=0030gs=0000efl=00010