How can I interpret a windows dmp file analysis using Windbg?

Question

How can I interpret a windows dmp file analysis using Windbg?

У меня есть 64-битная машина Windows 7 RTM, которая периодически дает сбой, и мне удалось загрузить правильные символы и получить то, что кажется правильным анализом. Я не знаю, куда идти дальше или исправлять проблему, так как она, кажется, обвиняет ее в tcpip.sys. Хотя я действительно не знаю, как читать этот вывод, следующие выдержки из WinDBG кажутся уместными:

CURRENT_IRQL: 2
EXCEPTION_RECORD:  fffff80000b9c058 -- (.exr
0xfffff80000b9c058) Исключительный адрес: fffff80002abb2b6 (нет!RtlEnumerateEntryHashTable+0x0000000000000080) ExceptionCode: c0000005 (нарушение доступа)
FOLLOWUP_IP: tcpip!IppFlushNeighborSet+ba fffff880`0186e22a 4885c0 тест ракс, rax
SYMBOL_STACK_INDEX: 8
SYMBOL_NAME: tcpip! IppFlushNeighborSet + ba
FOLLOWUP_NAME: MachineOwner
MODULE_NAME: tcpip
IMAGE_NAME: tcpip.sys
DEBUG_FLR_IMAGE_TIMESTAMP: 4a5bc26e
FAILURE_BUCKET_ID: X64_0x1E_tcpip! IppFlushNeighborSet + ba
BUCKET_ID: X64_0x1E_tcpip! IppFlushNeighborSet + ba

1

windows-7 analysis windbg

Источник

14 ноя '09 в 16:49

4 ответа

Другие вопросы по тегам windows-7 analysis windbg

mmDonuts 14 ноя '09 в 21:30 2009-11-14 21:30 · Answer 1 · 2009-11-14 21:30

Для действительно быстрого набора информации высокого уровня попробуйте:

! проанализировать -v

Это даст вам кучу связанной информации, включая подробную трассировку стека.

Блоги команды Windows - довольно полезные ресурсы, статья по ссылке ниже содержит некоторые подробные сведения о том, что делает эта конкретная команда:

http://blogs.technet.com/askperf/archive/2009/08/11/debug-101-what-does-analyze-do.aspx

Также проверьте блог NTDebugging для чрезвычайно подробных статей.

kolypto 14 ноя '09 в 20:14 2009-11-14 20:14 · Answer 2 · 2009-11-14 20:14

Ваш 'tcpip.sys' может использовать сетевой драйвер с ошибками. Попробуйте удалить его (или их) и посмотрите, что произойдет.

Также это может быть ошибкой: с проприетарным программным обеспечением вы никогда не узнаете, что на самом деле происходит:) Но на первый взгляд Attempt to read from address ffffffffffffffff очень странно: похоже на ошибку арифметики указателя.

Чтобы прочитать вывод, вам нужно знать WinAPI. Попробуйте Google для функций, которые вы встречаете: как IppFlushNeighborSet(), Это может помочь вам понять, что происходит, и, возможно, это будет указывать на что-то.

14 ноя '09 в 21:33 2009-11-14 21:33 · Answer 3 · 2009-11-14 21:33

Прочитайте этот блог, чтобы найти отличные учебные материалы от эксперта WinDBG.

Шпаргалка WinDbg / SOS

0

Источник

14 ноя '09 в 21:33

14 ноя '09 в 21:01 2009-11-14 21:01 · Answer 4 · 2009-11-14 21:01

На самом деле, файл справки windbg (.chm) - очень полезный инструмент для выяснения того, как подойти к отладке дампа ядра. http://www.dumpanalysis.org/ - еще одно полезное место для поиска.

Вы захотите посмотреть на стек (как минимум) и посмотреть, сможете ли вы вернуться к образу tcpip.sys.

0

Источник

14 ноя '09 в 21:01