windbg工具使用讲述.docxVIP

网维大师目前能够收集32位客户机系统（XP和win7 32位）产生的蓝屏DMP文件到服务端DUMP文件夹，我们可以通过分析蓝屏曰志来确定到底是什么导致了客户机蓝屏。一、WinDbg是什么？它能做什么？　　WinDbg是在windows平台下，强大的用户态和内核态调试工具。它能够通过dmp文件轻松的定位到问题根源，可用于分析蓝屏、程序崩溃（IE崩溃）原因，是我们日常工作中必不可少的一个有力工具，学会使用它，将有效提升我们的问题解决效率和准确率。二、WinDbg6.12.0002.633下载：x86位版本下载：【微软官方安装版】 HYPERLINK /download/A/6/A/A6AC035D-DA3F-4F0C-ADA4-37C8E5D34E3D/setup/WinSDKDebuggingTools/dbg_x86.msi \t _blank /do ... ngTools/dbg_x86.msix64位版本下载：【微软官方安装版】 HYPERLINK /download/A/6/A/A6AC035D-DA3F-4F0C-ADA4-37C8E5D34E3D/setup/WinSDKDebuggingTools_amd64/dbg_amd64.msi \t _blank /do ... amd64/dbg_amd64.msi三、设置符号表：　　符号表是WinDbg关键的“数据库”，如果没有它，WinDbg基本上就是个废物，无法分析出更多问题原因。所以使用WinDbg设置符号表，是必须要走的一步。1、运行WinDbg软件，File- Symbol File Path【Ctrl+S】弹出符号表设置窗。2、将符号表地址：SRV*C:\Symbols* HYPERLINK /download/symbols \t _blank /download/symbols粘贴在输入框中，点击确定即可。3、保存设置，点击File- Save Workspace即可，否则每次运行windbg都要重新填写symbol search path。? ?????四、打开一个dump：当你拿到一个dmp文件后，可使用【Ctrl+D】快捷键来打开一个dmp文件，或者点击WinDbg界面上的【File=Open Crash Dump...】按钮，来打开一个dmp文件? ?????第一次打开dmp文件时，可能会收到如下提示，出现这个提示时，勾选“Dont ask again in this WinDbg session”，然后点否即可。? ?????当你想打开第二个dmp文件时，可能因为上一个分析记录未清除，导致无法直接分析下一个dmp文件，此时你可以使用工具栏stop debugging按钮【Shift+F5】来关闭上一个dmp分析记录。? ?????至此，简单的WinDbg使用你已经学会了！五、通过简单的几个步骤学会分析一些dmp文件：第一个关键信息：System Uptime（开机时间）：　　通过观察这个时间你就可以知道问题是在什么时候出现的，例如时间小于1分钟基本可以定位为开机蓝屏，反之大于一分钟则可证明是上机后或玩的过程中出现问题了。接下来用一个简单的例子来学习简单的dmp分析，下图中System Uptime: 0 days 0:14:23.581，意思是0天(days)0小时14分23秒581毫秒时出现蓝屏了，看来是上机没多久就蓝屏了，这位顾客很悲催……? ?? ???那么是什么导致蓝屏的呢？接下来我们就要注意第二个关键信息了！第二个关键信息：Probaly caused by（造成蓝屏可能的原因）这个信息是相对比较重要的一个信息，如果你运气好的话，通过这个信息基本上可以看到导致蓝屏的驱动或者程序名称了，就像下图一样，初步的分析已经有了结果，Probaly caused by后面显示的是一个名为KiMsgProtect.sys的驱动文件导致蓝屏，这个文件就是恒信一卡通的一个关键驱动。因此蓝屏则很有可能和一卡通有关。括号中驱动文件名后面的+号代表的是偏移地址，假如多个dmp文件的驱动文件名一样，且偏移地址也一样，则问题原因极有可能是同一个，这个偏移地址与汇编有关，这里不多做介绍。Kdump.sys这个蓝屏信息是指云更新的dmp捕捉机制，这并不是蓝屏原因。? ?? ???其实，对于分析蓝屏dmp并不是每次运气都那么好，假如刚刚打开dmp文件未看到明确的蓝屏原因时，我们就需要借助一个命令来进一步分析dmp，这个命令就是：!analyze -v，这个命令能够自动分析绝大部分蓝屏原因。当初步分析没有结果时，可以使用该命令进一步分析故障原因，当然你也可以直接点击链接样式