蓝屏问题另类处理思路

选择字号： 超大 标准 技术小哥 发布于2016年07月18日 属于 解决方案分享 栏目  0个评论 5593人浏览

【问题描述】

客户机出现A蓝屏，并且有抓到dump

【有dump分析dump】

果然不出意外，又是memory_corruption，内存损坏的dump。最近这种dump比较常见。

【技巧解读】

蓝屏dump需要看几个重要的信息

1、BUG Check （蓝屏的代码）

2、PROCESS_NAME （关键的进程名称）

3、IMAGE_NAME（映像名称）

【排查方法】

根据上述dump内容中得知是加载image E80DMWJeT.sys错误后发生蓝屏，得知进程名称是system，那么我们就用ProcessExplorer来去看下system进程加载的模块。果真在system下加载了很多随即9位名称的驱动文件，看看文件还是否存在，如果存在直接看驱动的签名信息即可知道是哪家公司（正常程序一般启动后都不会删除，可惜这类程序一般都是涉及增值相关启动后都删除了），如果找不到该文件就是需要用processmonitor工具来找到是哪个程序去wirefile这个驱动文件的，需要记下这个驱动的路径等会我们processmonitor的筛选器会加这个策略。

【思路解析】

1、这里面需要用到的是用windb去定位到蓝屏的驱动文件，但是并非所有蓝屏都能一眼直接看到蓝屏的驱动名称

2、用ProcessExplorer来查看下这个驱动文件还在不在，在的话看数字签名（因为win7 64位加载驱动需要数字签名的）

3、不在的话就用ProcessMonitor工具做开机启动来抓下驱动文件的创建，如果processmonitor抓不到那就是这个文件启动的比processmonitor早，一般你就顺着这个思路往上查，服务、计费这些都会比普通开机命令程序启动的要早。

4、processmonitor一定要设置启动期间不确认过滤设置参数，例如C:\ProcessMonitor.exe /Quiet，这样启动就不会弹出让你设置过滤器的过程了。也可以加一个最小化的参数！

5、我们查到驱动后解决的办法也比较多，可以参考我们之前组策略的禁止方法，把驱动文件提个证书出来禁止掉。这里面记得在组策略——强制中选择所有软件文件、指定的文件类型中添加.sys文件才可以有效的！

      5.1：提取方法，找到驱动文件点击右键选择属性——数字签名——查看证书——详细信息——复制到文件，再根据这个导出向导完成即可

      

      

6、禁止的时候多留意下，有的驱动是核心组件拦截会出现问题的。如果这样的话只能联系这个驱动的厂商处理了。

【参考资料】

文章案例dump附件下载

192.168.1.19_2016.7.15.13.31.8.rar

微软BUG Check代码一览表

ProcessMonitor工具使用技巧 | 网维大师帮助与支持

最后说一句，考驾照比解决蓝屏问题更难~o(∩_∩)o 

打赏

如果对你有帮助，快赞赏下作者吧。

标签：蓝屏

• 上一篇：关于windows快速关机的看法
• 下一篇：什么情况？客户机内存8G可用7.86G

猜你喜欢