Назад | Перейти на главную страницу

Как я могу интерпретировать анализ файлов dmp в Windows с помощью Windbg?

Я загрузил здесь полную версию отладки.

У меня есть 64-битная машина с Windows 7 RTM, которая периодически дает сбой, и мне удалось загрузить правильные символы и получить то, что кажется правильным анализом. Я не знаю, что делать дальше или решать проблему, поскольку, похоже, виноват tcpip.sys. Хотя я действительно не знаю, как читать этот вывод, следующие отрывки из WinDBG кажутся актуальными:

CURRENT_IRQL: 2

EXCEPTION_RECORD:  fffff80000b9c058 -- (.exr

0xfffff80000b9c058) ExceptionAddress: fffff80002abb2b6 (nt! RtlEnumerateEntryHashTable + 0x0000000000000080) ExceptionCode: c0000005 (Нарушение доступа) ExceptionFlags: 00000000 NumberParameters: 2 Параметр [0]: 0000000000000000 Параметр1: ffffffffffffffff Попытка чтения с адреса ffffffffffffffff

FOLLOWUP_IP: tcpip! IppFlushNeighborSet + ba fffff880`0186e22a 4885c0 test rax, rax

SYMBOL_STACK_INDEX: 8

SYMBOL_NAME: tcpip! IppFlushNeighborSet + ba

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: tcpip

IMAGE_NAME: tcpip.sys

DEBUG_FLR_IMAGE_TIMESTAMP: 4a5bc26e

FAILURE_BUCKET_ID: X64_0x1E_tcpip! IppFlushNeighborSet + ba

BUCKET_ID: X64_0x1E_tcpip! IppFlushNeighborSet + ba

Для действительно быстрого набора информации высокого уровня попробуйте:

! анализировать -v

Это даст вам множество связанной информации, включая подробную трассировку стека.

Блоги команды Windows - довольно полезные ресурсы, в статье по ссылке ниже подробно рассказывается о том, что делает эта конкретная команда:

http://blogs.technet.com/askperf/archive/2009/08/11/debug-101-what-does-analyze-do.aspx

Также посетите блог NTDebugging, где есть очень подробные статьи.

Ваш tcpip.sys может использовать неисправный сетевой драйвер. Попробуйте удалить его (или их) и посмотрите, что произойдет.

Также может глючить само: с проприетарным ПО никогда не знаешь, что на самом деле происходит :) Но на первый взгляд Attempt to read from address ffffffffffffffff очень странно: похоже на ошибку арифметики указателя.

Чтобы прочитать вывод, вам нужно знать WinAPI. Попробуйте поискать в Google функции, которые вам встречаются: например, IppFlushNeighborSet(). Это поможет вам понять, что происходит, и, возможно, на что-то укажет.

На самом деле, файл справки windbg (.chm) - очень полезный инструмент для определения подходов к отладке дампа ядра. http://www.dumpanalysis.org/ еще одно полезное место для поиска.

Вы захотите посмотреть на стек (как минимум) и посмотреть, сможете ли вы вернуться к образу tcpip.sys.

Прочитайте это блог для получения отличных руководств от эксперта по WinDBG.

Памятка по WinDbg / SOS