沈厅野史

WinDbg蓝屏分析【xī】修复工具是是【shì】微软公司发布的一款免【miǎn】费GUI的调试器，因此对于修复蓝屏也不在话下，一般情况WinDbg会结合GUI和命令行进【jìn】行操作。

沈厅野史

WinDbg是在windows平【píng】台下，强大的用户态和内核态【tài】调试工具。它能够通过dmp文件轻松的【de】定位到问题根源，可用于分析蓝屏、程序崩溃（IE崩溃）原因，是我们【men】日常工作中【zhōng】必不可少的一个有力工具，学会使用它，将有【yǒu】效提升我们的问题解决效【xiào】率和准确率。

沈厅野史

1.查看版本信息：version、vertarget
2.查看模块信息：lm、!dlls、!lmvi等
3.调用栈：用k命令显示调用栈，用.frames命令切换栈帧
4.内存操作：读内存用d命令，写内存用e命令
5.自动分析：!analyze、!owner等
6.符号命令【lìng】：.reload加载符号, .sympath设置符号路径, !sym设置符号选项【xiàng】
7.进程线程：!process显示进程信【xìn】息； .process显示当前进程，或用.process /i 切换当前进程；!peb显示进程环境【jìng】块内容；~命令显示线程列表，用~n s可切换当前线【xiàn】程，n表示【shì】线程【chéng】号；.thread显示当前【qián】线程。

沈厅野史

1.下载包解压后，安装“dbg_x86_6.7.05.1.exe”

2.将汉化补丁文件夹内【nèi】的“ha_windbg.exe”放到程序安装的主目录下【xià】

沈厅野史

一、设置符号表

符号表【biǎo】是WinDbg关键【jiàn】的“数据库”，如果没有它，WinDbg基本上就是【shì】个废物，无法分析出更多问题原因。所以使用WinDbg设置符号表，是必须要走的一步。
1、运行WinDbg软件，然【rán】后【hòu】按【Ctrl+S】弹出符号表设置窗
2、将符号表地址：SRV*C:\Symbols*http://msdl.microsoft.com/download/symbols粘贴在输入框中，点击确定即可。
注：红色字体为符号表本地存储路径，建议固【gù】定【dìng】路径，可避免【miǎn】符号表重复下载。

二、学会打开第一个dmp文件！

当【dāng】你拿到一个dmp文件后，可使用【Ctrl+D】快捷键来打开一个dmp文件，或者点击WinDbg界面上的【File=>Open Crash Dump...】按钮【niǔ】，来打【dǎ】开一个dmp文【wén】件。第一次打开dmp文件时【shí】，可能会收到如【rú】下提示，出现这个提示时，勾选“Don't ask again in this WinDbg session”，然【rán】后点否即可。

当你【nǐ】想打开第二个dmp文件时，可能因为上一个分析记录未清除，导【dǎo】致无法直接分析【xī】下一【yī】个dmp文件，此时你【nǐ】可以使用快捷键【Shift+F5】来关闭上一个【gè】dmp分析记录。

至此，简单的WinDbg使用你已经学会了！

三、通过简单的几个步骤学会分析一些dmp文件。

分享一个8E蓝屏dmp案例的分析过程：

当你打开一个dmp文件后，可能因为太多信息，让你【nǐ】无所适从，不【bú】过没关系，我们只需要关注几个关【guān】键【jiàn】信息即可。

第一个关键信息：System Uptime（开机时间）：

通过观察这个时间你就【jiù】可以知道问【wèn】题是在什么【me】时【shí】候出现的，例如时间小于1分钟基本可以定【dìng】位为开机蓝屏，反之大于一分钟则可证明是上机后或玩的过程中出【chū】现问题了。

接下来用一个简单【dān】的例子来学习【xí】简单的dmp分析，下图中System Uptime: 0 days 0:14:23.581，意思是0天【tiān】(days)0小时14分23秒581毫秒时出现蓝【lán】屏了，看来是上机没多久就蓝【lán】屏了，这位顾客很悲催【cuī】……

那么是什么导致蓝屏的呢？接下来我们就要注意第二个关键信息了！

第二个关键信【xìn】息：Probaly caused by（造成蓝屏可能的原因）

这个信息是相对比较重要的一个信息，如果你运气好的话，通过这个信息基本上可以看到导致蓝屏【píng】的驱动或者程序名称了，就像下图一样【yàng】，初【chū】步的分析已经【jīng】有【yǒu】了结果，Probaly caused by后面显示的是【shì】一个名为KiMsgProtect.sys的驱动【dòng】文件导致蓝屏，这个文件就是恒信【xìn】一卡通的一个关键驱动。因此蓝屏则很有可能和一卡通有关。

括号中驱动文件名后面的+号【hào】代表的是偏移地址，假如多个dmp文件【jiàn】的驱动文件名一样，且偏移地【dì】址也一样，则【zé】问题原因极有可能是同一个，这个偏【piān】移地址与汇编有关，这里不多做介绍。

其实，对于分析蓝屏【píng】dmp并不是每次运气都那么好，假如刚刚打开dmp文件未看到明确的蓝屏原因【yīn】时，我【wǒ】们就需要借助一个【gè】命令来进一步分析dmp，这个命【mìng】令就是：!analyze -v，这个命令能够自动分析绝大部分蓝屏原【yuán】因。当初步分析没有结果【guǒ】时，可以使用该命令进【jìn】一步分析故障原【yuán】因，当然你也可以【yǐ】直接点击链接样式的!analyze -v来进行执行该【gāi】命令【lìng】，为了让大家更直【zhí】观【guān】的看懂里面的信息，大家可以直接看图片中的注释信息。

看了这么多信息之后，这个蓝【lán】屏dmp到底是怎么回【huí】事呢？根【gēn】据dmp给【gěi】出的信息，应该是：顾客【kè】上机0天(days)0小时14分23秒581毫秒时，一个名为PinyinUp.exe触发了KiMsgProtect.sys这个驱动的一个Bug，导致蓝屏。 

那么PinyinUp.exe和KiMsgProtect.sys都是哪个厂商的？一般【bān】要知道这个【gè】信息，只能去用户的机器上找了，我去找了之后发现PinyinUp.exe是搜狗输入法的自动升级【jí】程序，KiMsgProtect.sys是恒信一卡通这个计【jì】费软件【jiàn】的驱动，所以这个dmp表示【shì】出来的【de】意思看上去是搜狗拼音和恒信一卡通搞【gǎo】在一起，出了问题！当然【rán】排除方法很简单，把搜狗输入法的自动升级程序删【shān】除掉，再看看【kàn】是否仍然有蓝屏问题发生就ok了！

学到这里，基本上已经可以分析绝大部分dmp文件了，但是【shì】分析蓝屏dmp要比较谨慎【shèn】，对信息需要重新验证【zhèng】一次【cì】才更加保险，验证方法很简单【dān】，在WinDbg的命令输入框内，输入!process命令，就【jiù】可以验证触发蓝屏的程序到底【dǐ】是否正确【què】了。

运行!process命令后得到的信息：

至此，掌握以上几个简单的分析方法之后，基本上绝大多数dmp大家都可以独立分析了【le】，当然WinDbg是个强大【dà】的工具，同时蓝屏的原因也有很多【duō】，如果【guǒ】想分析的足够准确，那么就只有多学多【duō】练，多去分析【xī】，因【yīn】为WinDbg分析除了懂得几个命令【lìng】之外，经验【yàn】更加重要！