Tutorial de minivolcado de Windbg: configuración y lectura de archivos de minivolcado

Este es un tutorial sobre cómo configurar y leer archivos de minivolcado cuando recibe una pantalla azul de muerte (BSOD) en un esfuerzo por obtener más información sobre la causa del problema. Primero lo primero. Descargue las herramientas de depuración más recientes del sitio web de Microsoft.

Luego vaya a iniciar / iniciar búsqueda. Tipo i

Esta arriba cataplasma.

Luego cambie los directorios a:

R: Herramientas de depuración de archivos de programa para Windows (x86)

Usando el comando:

cd c: herramientas de depuración de archivos de software para Windows (x86)

No distingue entre mayúsculas y minúsculas cuando se usa un archivo. CD ordenando

Luego escriba:

windbg.exe zc: windowsminidumpmini06190901.dmp c «!parse v»

Su archivo de minivolcado se encuentra en C:WindowsMinidumpMini06200901.dmp. Tendrá la forma de «MiniMMDDYY01.dmp».

Códigos de kernel incorrectos. Corrija los códigos para hacer el análisis.

Si en algún lugar de la salida del análisis de Bugcheck ve un error como:

Los códigos del núcleo son incorrectos. Corrija los códigos para hacer el análisis.

Entonces es probable que esté utilizando iconos anteriores e incompatibles, archivos dañados o que no tenga los iconos adecuados en la ubicación especificada cuando Windbg intentaba analizar el archivo de minivolcado. Así que lo que hice fue abrir el programa Windbg ubicado en C:\Program FilesDebugging Tools for Windows (x86) (en Vista creo que es la misma ubicación para XP).

Configuración de la ruta del archivo de símbolos a través de la línea de comando WINDBG:

Este es un paso importante, así que asegúrese de que su archivo de ruta de iconos esté configurado correctamente para que no obtenga iconos del kernel que sean un error u otro tipo de errores. Ahora establezca la ruta del archivo del icono (ruta del archivo/icono) en:

SRVe: Iconos[path to microsoft symbols path]

Sin embargo, por alguna razón, descubrí que para establecer la ruta del archivo del icono en el campo ‘ruta del archivo/icono’, no puede cambiarlo directamente usando el campo ‘ruta del archivo/icono’. Entonces, lo que encontré es que debe cambiarlo a través de la ventana de comandos de Windbg yendo a:

«oferta/pedido»

En la parte inferior de la ventana de comandos junto al mensaje «kd>», escriba esto:

.sympath SRVe: símbolos[path to microsoft symbols path].

La parte entre los asteriscos ( ) es donde se descargarán los íconos de los servidores de Microsoft. Es bastante grande (alrededor de 22 MB), así que asegúrese de tener suficiente espacio en disco.

Configuración de la ruta del archivo de símbolos en la variable de entorno:

Alternativamente, puede configurarlo en su variable de entorno en su sistema o en la variable de entorno del usuario. Para hacer esto, presione la tecla WINDOWS + e. LA TECLA WINDOWS es la tecla a la derecha de la tecla CTRL IZQUIERDA en su teclado. Esto abrirá el Explorador de Windows.

Luego haga clic en «Configuración avanzada del sistema» en la parte superior izquierda de la ventana. Este paso se aplica solo a Vista. Para usuarios de XP, simplemente haga clic en la pestaña Avanzado.

Luego haga clic en el botón «Variable de entorno» en la parte inferior de la ventana.

Luego haga clic en el botón Nuevo debajo de Variables del sistema. Nuevamente, puede crear el entorno como una variable de entorno de usuario en su lugar.

En «Nombre de variable» escriba:

_NT_SYMBOL_PATH

En el tipo de valor variable:

symsrvsymsrv.dll: símbolos[path to microsoft symbols path]

Si configura la ruta del archivo del icono como una variable de entorno del sistema, creo que tendrá que reiniciar su computadora para que surta efecto.

Salida del comando WINDBG

Entonces, el siguiente es mi resultado de bloqueo:

Versión del depurador de Microsoft (R) Windows 6.11.0001.404 X86

Derechos de autor (c) Microsoft Corporation. Reservados todos los derechos.

Descargar el archivo de volcado [c:windowsminidumpmini06260901.dmp]

Archivo de volcado de Mini Kernel: solo están disponibles los registros y los seguimientos de pila

La ruta de búsqueda de símbolos es: SRVe: símbolos[path to microsoft symbols]

La ruta de búsqueda del ejecutable es:

Windows Server 2008 / Windows Vista Kernel Versión 6001 (Service Pack 1) MP (2 procesos) Compatible con x86 gratuito

Producto: WinNt, Suite: TerminalServer SingleUserTS Personal

Construido por: 6001.18226.x86fre.vistasp1_gdr.0903021506

el nombre de la máquina:

Base del núcleo = 0x8201d000 PsLoadedModuleList = 0x82134c70

Hora de la sesión de corrección: Vie 26 Jun 16:25:11.288 2009 (GMT7)

Tiempo de actividad del sistema: 0 día 21:39:36.148

Descargar códigos del núcleo

……………………………………………. ………….

……………………………………………. …………..

……………………………………………. ………

Descargar códigos de usuario

Cargar la lista de unidades descargadas

……………………….

Análisis de comprobación de errores

¡usar! anal night v para obtener información detallada sobre la depuración.

Verificación de errores A, 8cb5bcc0, 1b, 1, 820d0c1f

No se pudo cargar la imagen SystemRootsystem32DRIVERSymIMv.sys, Win32 Error 0n2

Advertencia: no se pudo verificar la marca de tiempo de SymIMv.sys

Error: la carga del módulo se completó pero no se pudieron cargar los símbolos para SymIMv.sys

SystemRootsystem32DRIVERSNETw3v32.sys no se pudo cargar la imagen, error Win32 0n2

Advertencia: no se pudo verificar la marca de tiempo NETw3v32.sys

Error: la carga del módulo se completó pero no se pudieron cargar los símbolos para NETw3v32.sys

Procesando el comando inicial «v parse»

Esto puede deberse a: tdx.sys (tdx! TdxMessageTlRequestComplete + 94)

Seguir: propietario de la máquina

0: dinares>! v. análisis

Análisis de comprobación de errores

IRQL_NO_MENOS_O_IGUAL (a)

Se intentó acceder a una dirección paginada (o completamente inválida) en

El IRQL es demasiado alto. este es un habito

Porque los conductores usan direcciones incorrectas.

Si hay un depurador de kernel disponible, obtenga el seguimiento de la pila.

Argumentos:

Arg1: 8cb5bcc0, memoria referenciada

Arg2: 0000001b, IRQL

Arg3: 00000001, campo de bits:

Bit 0: valor 0 = operación de lectura, 1 = operación de escritura

Bit 3: Valor 0 = No es una operación para ejecutar, 1 = Ejecutando una operación (solo en chips que admiten este nivel de estado)

Arg4: 820d0c1f, la dirección que hacía referencia a la memoria

Detalles del parche:

WRITE_ADDRESS: GetPointerFromAddress: No se puede leer desde 8282154868

No se puede leer la memoria MiSystemVaType en 82134420

8cb5bcc0

CURRENT_IRQL: 1 segundo

IP_error:

¡Nuevo Testamento! KiUnwaitHilo +19

820d0c1f 890a MOV PUERTA PTR [edx]ecx

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: VISTA_DRIVER_FAULT

ERROR_STR: 0xA

PROCESS_NAME: Sistema

TRAMPA_MARCO: 4526c4 (.trampa 0xffffffff4526c4)

Código de error = 00000002

eax = 85c5d4d8 ebx = 00000000 ecx = 8cb5bcc0 edx = 8cb5bcc0 esi = 85c5d420 edi = ed9c7048

eip = 820d0c1f esp = 452738 ebp = 45274c iopl = 0 nv up ei pl nz na pe nc

cs = 0008 ss = 0010 ds = 0023 es = 0023 fs = 0030 gs = 0000 efl = 00010206

¡Nuevo Testamento! KiUnwaitSubproceso + 0x19:

820d0c1f 890a MOV PUERTA PTR [edx]ecx ds:0023: 8cb5bcc0 = ???????

Restablecer el rango predeterminado

LAST_CONTROL_TRANSFER: 820d0c1f a 82077d24

TEXTO_PILA:

4526c4 820d0c1f badb0d00 8cb5bcc0 87952ed0 no! KiTrap0E + 0x2ac

45274c 8205f486 00000002 85c5d420 ed9c7048 nuevo! KiUnwaitHilo + 0x19

452770 8205f52a ed9c7048 ed9c7008 00000000 nuevo! KiInsertColaApc + 0x2a0

452790 8205742b ed9c7048 00000000 00000000 nuevo!

4527c8 8f989cd0 e79e1e88 e79e1f70 00000000 nuevo! IopfSolicitud Completa + 0x438

4527e0 8a869ce7 00000007 00000000 00000007 tdx! TdxMessageTlRequestComplete + 0x94

452804 8a869d33 e79e1f70 e79e1e88 00000000 tcpip! UdpEndSendMessages + 0xfa

45281c 8a560c7f e79e1e88 00000001 00000000 tcpip! UdpSendMessagesDatagrams Complete + 0x22

COMANDO_PILA: KB

Hacer un seguimiento:

tdx! TdxMessageTlRequestComplete + 94

8f989cd0 6804010000 Pulsar 104 horas

SÍMBOLO_PILA_ÍNDICE: 5

NOMBRE_SÍMBOLO: ¡tdx! TdxMessageTlRequestComplete + 94

FOLLOWUP_NAME: propietario de la máquina

NOMBRE_MÓDULO: tdx

NOMBRE_IMAGEN: tdx.sys

DEBUG_FLR_IMAGE_TIMESTAMP: 479190ee

FAILURE_BUCKET_ID: 0xA_tdx! TdxMessageTlRequestComplete + 94

CUBO_ID: 0xA_tdx! TdxMessageTlRequestComplete + 94

Seguir: propietario de la máquina

Parece un montón de jeroglíficos gigantes. Sin embargo, si observa de cerca, puede obtener más información sobre el posible problema o su causa. PROCESS_NAME es un sistema que sugiere una operación del sistema. MODULE_NAME es tdx.

Orden de salida en dinares kuwaitíes: LMVM TDX

Se podía hacer clic en tdx para mí, lo que ejecuta el comando:

KD> lmvm tdx

como un comando kd. ‘lm’ se carga en el módulo ‘lmvm’. «v» es detallado. M es la coincidencia de patrones. Del manual del depurador chm dice:

estilo M

Especifica con qué estilo debe coincidir el nombre del módulo. Un estilo puede contener una variedad de comodines y delimitadores. Para obtener más información sobre la sintaxis de esta información, consulte Sintaxis de caracteres comodín de cadena.

Puede encontrar mucha información en la guía chm cuando descarga windbg de Microsoft. Estará ubicado aquí:

R: Archivos de programaHerramientas de depuración para Windows (x86) debugger.chm

La salida del comando anterior es:

0: KD > lmvm tdx

nombre del módulo de inicio

8f97f000 8f995000 tdx (códigos pdb) A: Herramientas de depuración de archivos de software para Windows (x86) symtdx.pdbCFB0726BF9864FDDA4B793D5E641E5531tdx.pdb

Archivo de imagen de icono cargado: tdx.sys

Archivo de imagen de memoria asignada: c:Archivos de programaHerramientas de depuración para Windows (x86) symtdx.sys479190EE16000tdx.sys

Ruta de la imagen: SystemRootsystem32DRIVERStdx.sys

Nombre de la imagen: tdx.sys

Marca de tiempo: viernes 18 de enero 21:55:58 2008 (479190EE)

Suma de comprobación: 0001391F

Tamaño de imagen: 00016000

Versión del archivo: 6.0.6001.18000

Versión del producto: 6.0.6001.18000

Indicadores de archivo: 0 (Máscara 3F)

Archivo sistema operativo: 40004 NT Win32

Tipo de archivo: 3.6 Controlador

Fecha de archivo: 00000000.00000000

Traducciones: 0409.04b0

Nombre de la empresa: Microsoft Corporation

Nombre del producto: Sistema operativo Microsoft® Windows®

Nombre interno: tdx.sys

Origen: Nombre de archivo: tdx.sys

Versión: 6.0.6001.18000

Versión: 6.0.6001.18000 (longhorn_rtm.0801181840)

Descripción del archivo: controlador de subtítulos TDI

Copyright legal: © Microsoft Corporation. Reservados todos los derechos.

Así recopilamos más información. Quién fabrica la unidad y la posible causa del problema.

Miro STACK_TEXT y hay referencias a tcpip y NETIO que parecen indicar un problema de red. Así que busqué en Google el problema de BSOD y tdx.sys y hay una revisión para este problema. Sin embargo, una gran advertencia: no descargue la revisión si este problema en particular no se aplica a usted. Microsoft sugiere utilizar los procedimientos de actualización de Microsoft que incluirán todas las revisiones.

Para obtener un enlace a la revisión para el problema de la red, busque en Google «Revisión 934611 microsoft».

No descargué esta revisión, pero opté por actualizar mi Service Pack. Actualmente, Vista se encuentra en el Service Pack 2. Solo tenía el Service Pack 1. Veré si esto soluciona el problema.

Para verificar qué paquete de servicios tiene instalado y la versión de bits (32 bits o 64 bits), vaya a:

«Inicio / Computadora». Haga clic derecho en Equipo y luego haga clic en Propiedades. Verá la información del paquete de servicio bajo el encabezado «Versión de Windows». Debajo de «Sistema» (más o menos en el medio de la página) verá «Tipo de sistema:» que mostrará si tiene instaladas versiones de 32 bits o de 64 bits.

Para Service Pack 2 para Vista Google «sp2 Vista Microsoft».

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *