Скачать BlueScreen(64 КБ)
Введение
Одним из самых страшных цветов в МИРЕ NT является синий. Печально известный синий экран смерти (BSOD) появится в системе NT всякий раз, когда что-то пошло ужасно неправильно. Синий экран — это заставка, которая не только имитирует BSOD, но имитирует экраны запуска, отображаемые во время загрузки системы.
- При установке NT 4.0 он имитирует chkdsk дисков с ошибками!
- В Windows 2000, Windows 95 и Windows 98 он представляет экран запуска Windows 2000, в комплекте с вращающимся диапазоном хода выполнения и обновлениями управления ходом выполнения!
- В Windows XP и Windows Server 2003 отображается экран запуска XP/Server 2003 с индикатором хода выполнения!
Синие экранные циклы между разными синим экранами и имитируемыми загрузками каждые 15 секунд. Практически все сведения, отображаемые на BSOD Bluescreen и начальном экране системы, получены из конфигурации системы. Ее точность будет обманывать даже передовых разработчиков NT. Например, номер сборки NT, редакция процессора, загруженные драйверы и адреса, характеристики диска и размер памяти взяты из системного bluescreen.
Do this if your PC Blue Screens BSOD
Используйте синий экран, чтобы поразить ваших друзей и напугать ваших врагов!
Установка и использование
Примечание. Перед запуском Bluescreen в Windows 95 или 98 необходимо скопировать winntsystem32ntoskrnl.exe из системы Windows 2000 в каталог Windows. Просто скопируйте Sysinternals BLUESCRN. SCR в каталог system32, если в каталоге Windows NT/2K или WindowsSystem, если в Windows 95 или 98. Щелкните правой кнопкой мыши рабочий стол, чтобы открыть диалоговое окно «Параметры отображения», а затем перейдите на вкладку «Заставка экрана».
Используйте раскрывающийся список, чтобы найти «Sysinternals Bluescreen» и применить его в качестве нового заставки экрана. Нажмите кнопку «Параметры», чтобы включить фиктивную активность диска, которая добавляет дополнительное прикосновение к реализму!
Дополнительные сведения
Вы можете узнать, как создаются реальные голубые экраны, и какие сведения на синем экране означают в моем столбце Windows ITPro Magazine NT Internals в декабре 1997 года «, «Внутри синего экрана».
Примечание. Некоторые сканеры вирусов помечают заставку экрана Bluescreen как вирус. Если это так с сканером вирусов, возможно, вы не сможете использовать этот заставку экрана.
Скачать BlueScreen(64 КБ)
Выполняется в:
- Клиент: Windows Vista и более поздние версии.
- Сервер: Windows Server 2008 и более поздних версий.
Источник: learn.microsoft.com
Синий Экран Смерти (BSoD). Узнаем причину с помощью ДАМПА памяти Windows
Утилита BlueScreenView: как узнать причину синего экрана смерти Windows
Причин, вызывающих синий экран смерти (BSoD), много: это аппаратные неполадки компьютера, конфликт комплектующих, сбой в работе драйверов, установка несоответствующих конфигурации компьютера ПО или игр, повреждение важных системных файлов вирусами, неудачное обновление и пр. Как узнать причину появления синего экрана смерти в конкретном случае? Если таковой не имеет следствием полную неработоспособность Windows с необходимостью ее переустановки, если сбой системы происходит периодически, для устранения проблемы нужно установить ее причину.
1. Как узнать причину синего экрана смерти?
Информация о причине появления синего экрана смерти указывается в нем самом. При его появлении необходимо запомнить и записать текстовое название ошибки и так называемые стоп-коды в виде подборки буквенных и цифровых символов, как указано на скриншоте ниже.
По этим данным затем можно будет отыскать информацию в Интернете. Однако этот совет идеален лишь в теории. На деле запомнить эти данные, не говоря о том, чтобы записать тих, за те несколько секунд, пока отображается синий экран смерти до перезагрузки, нереально. Разве что под рукой будет фотоаппарат или мобильное устройство с камерой на борту.
Реальным и более удобным способом узнать причину синего экрана смерти будет ее извлечение из минидампов памяти — файлов «.dmp», сохраненных на жесткий диск аварийных снимков содержимого оперативной памяти с кодами ошибок и прочей информацией по сбою системы. В перезагрузившейся после сбоя системе это можно сделать с помощью специальных программных средств. Как узнать причину синего экрана смерти с помощью штатных средств Windows, уже описывалось на страницах сайта. В этой статье рассмотрим сторонний инструмент, помогающий определить причину BSoD – утилиту BlueScreenView.
2. О BlueScreenView
BlueScreenView – это небольшая портативная утилита, являющая собой удобный интерфейс для чтения информации, сохраненной в аварийных минидампах памяти, и предлагающая некоторый функционал для удобства выявления причин синего экрана смерти.
3. Скачивание и русификация BlueScreenView
Скачать BlueScreenView можно бесплатно на официальном сайте ее разработчиков. Для поддержки утилитой русского языка ниже ссылок скачивания инсталляторов нужно дополнительно выбрать в таблице файл русификации, скачать его, разархивировать и поместить в папку с утилитой.
4. Информация о синем экране смерти
При запуске BlueScreenView просканирует содержимое минидампов памяти, созданных при появлении синего экрана смерти, и по итогу отобразит информацию в своем окне. В верхней части окна утилиты содержатся все обнаруженные файлы минидампов памяти с указанием даты, времени сбоя системы и прочих данных по существу уже самого сбоя. В нижней части окна представлен перечень системных компонентов и драйверов устройств компьютера, задействованных в момент сбоя. Проблемные – те, что вызвали синий экран смерти – отображаются с пометкой розовым маркером.
Детальная информация по синему экрану представлена в верхней части окна утилиты, в таблице, но, сделав двойной клик на интересующем минидампе, получим эту же информацию, только в удобочитаемом компактном окошке свойств.
На какие данные необходимо обратить внимание? В первую очередь это графы «Драйвер причины», «Описание файла» и «Название продукта». Содержимое этих граф укажет на конкретный системный компонент, драйвер или устройство, что стали причиной сбоя работы Windows.
Извлечение детальной информации по синему экрану с помощью BlueScreenView далеко не в каждом случае будет окончательным этапом в процессе поиска причины системного сбоя. Тестируемый случай, данные по которому отображены на скриншотах выше – один немногих, когда не потребовались ни анализ минидампа, ни справки в сети, поскольку причина сбоя изначально была очевидной: синий экран появился тотчас же после запуска сторонней программы, реализующей в среде Windows эмулятор другой операционной системы, а такого рода софт часто вызывает сбой. Это был конфликт ПО, и об этом свидетельствует указание в графе «Драйвер причины» системный компонент ntoskrnl.exe. Но этот компонент, и он не единственный, без очевидной предыстории появления синего экрана смерти может указывать на довольно широкий спектр предполагаемых причин проблемы. Что конкретно вызвало сбой, возможно, придется дополнительно узнавать в Интернете путем мониторинга информации с указанием драйвера причины, текстового описания BSoD или стоп-кодов, значащихся в графах окна свойств минидампа «Текст ошибки», «Код ошибки», «Параметр №№».
5. Готовые решения для получения справки или помощи
Данные любых граф окна свойств минидампа можно скопировать для вставки в поисковик или сообщение при обращении за помощью к специалисту, в сообщество Microsoft, на компьютерный форум, сайт и т.п. Но можно прибегнуть и к функциям утилиты, реализованным в контекстном меню на минидампе. Создатель BlueScreenView позаботился о возможности извлечения информации в универсальные форматы и даже продумал момент с генерированием поисковых запросов. Опция «Сохранить выбранные элементы» сохраняет всю информацию по выбранному синему экрану в файл TXT. Опция «HTML-отчет…» сохраняет все или выбранные элементы (минидампы, строки системных компонентов и драйверов) таблицей в файл HTML. А три опции «Найти в Google…» открывают поисковик в окне браузера с уже сгенерированным поисковым запросом, в который включены соответствующие данные:
- просто текстовое описание (код ошибки),
- текстовое описание и имя системного компонента или драйвера (код ошибки + драйвер),
- текстовое описание и стоп-код (код ошибки + параметр 1).
Плюс к этому, сообщить суть проблемы людям, которые могут помочь в ее решении, можно скриншотом, представив информацию по синему экрану смерти в его оригинальном виде, правда, только в формате Windows XP.
Такой формат отобразится в нижней части окна утилиты при нажатии клавиши F8. Для возврата в исходный формат отображения данных по минидампам нужно жать F6.
Источник: windowstips.ru
BlueScreenView — анализ аварийного дампа памяти
Данная статья продолжает серию публикаций по обзору инструментов анализа аварийных дампов системы. И сегодня мы рассмотрим пожалуй наиболее автономное средство в арсенале специалиста, утилиту с говорящим названием BlueScreenView. Чем это средство так уникально?
Не тем, что алгоритм работы программы в какой то степени отличается от алгоритмов программ подобного класса (скорее всего всё крутится вокруг одних и тех же схем), а более из-за того, что программа не использует отладочные символы, что делает её полностью независимой. BlueScreenView представляет собой бесплатное программное обеспечение, которое анализирует содержимое файлов дампов, создаваемых при критическом сбое системы (BSOD, синий экран смерти), и предоставляет информацию пользователю в виде легко интерпретируемой результирующей таблицы.
В дополнение ко всему прочему, утилита предоставляет расширенную информацию по свойствам дампов памяти системы. Как уже отмечалось, BlueScreenView полностью автономна и не требует для своей работы никаких дополнительных дынных, как то символы либо отладчики. Скачал, запустил, проанализировал! Автором программы является Nier Sofer, хотел бы сказать спасибо ему огромное за предоставленную чрезвычайно полезную утилиту.
Скачать BlueScreenView можно по вот этой ссылке. При этом, что действительно удобно, так это то, что скачать утилиту можно не только в виде классического установщика (зачем мне инсталлировать временный софт на сервер?), но и в форме отдельного переносимого (portable) приложения (пункт Download BlueScreenView (in Zip file)). Распаковал из архива и запустил, что еще надо? Опять же, это позволяет держать утилиту в наборе своих «инструментов на каждый день». BlueScreenView доступна в двух вариантах кода — в 32- и 64-битном.
Интерфейс BlueScreenView
После старта утилита BlueScreenView сканирует стандартное местоположение дампов памяти:
и находит все дампы, которые располагаются в каталоге по-умолчанию, далее для каждого дампа (по своему собственному алгоритму) перечисляет адреса памяти внутри стека момента сбоя и определяет все драйвера/модули которые могут быть причиной критической ситуации.
По умолчанию BlueScreenView ищет дампы в каталоге %SystemRoot%Minidump . Однако, данное положение может быть изменено редактированием параметра «Load from the following MiniDump folder» в разделе «Options» — «Advanced Options» ( Ctrl + O ). В дополнение, вид окна программы легко и удобно настраивается, что позволяет показывать/скрывать определенные столбцы.
Верхнее окно интерфейса программы BluScreenView по-умолчанию выглядит несколько иначе. На моем скриншоте я замаскировал (скрыл) четыре столбца под названием «Parameter 1», «Parameter 2», «Parameter 3», «Parameter 4», которые являются четырьмя аргументами функции KeBugCheckEx .
Как можно наглядно увидеть из скриншота, интерфейс программы разбит на две основные части: список файлов дампов (сверху) и список драйверов, находящихся в ядре на момент сбоя (снизу).
В верхней части интерфейса BlueScreenView отображает список обнаруженных в системе дампов памяти. Здесь я перечислю только основные столбцы верхнего фрейма программы:
| Dump File | Файл дампа памяти, найденный утилитой в заданной директории. Хранит различную информацию о состоянии системы на момент критической ошибки. |
| Bug Check String | Символическое имя или описание критической ошибки (Bug Check) по классификации Microsoft. В нашем примере это BAD_POOL_HEADER . |
| Caused By Driver | Драйвер или модуль, который, предположительно и вызвал сбой. BluScreenView пытается вычислить драйвер/модуль по стеку момента критического сбоя, который присутствует в дампе. В нашем случае RtkHDAud.sys . Помните, что механизм определения сбойного модуля/драйвера не может со 100% вероятностью определить виновника, и необходимо анализировать более расширенный список в нижнем фрейме окна программы, выделенный розовым цветом. Сам автор предупреждает нас об этом на странице утилиты. |
| Bug Check Code | Идентификатор кода BugCheck или STOP-ошибка. Например, STOP 0x00000019 . |
| Caused By Address | Тоже самое что и колонка «Caused By Driver», однако показывает относительный адрес инструкций, вызвавшей сбой. Относительно начала модуля в котором произошел сбой. В нашей ситуации RtkHDAud.sys+1f93fc . |
| File Description | Описание проблемного файла. |
| Crash Address | Адрес по которому и случилась ошибка. Содержимое регистров EIP/RIP на момент сбоя. В некоторых случаях идентичен адресу из колонки «Caused By Address», в других адрес не совпадает. Пример: ntoskrnl.exe+22f5f . |
В нижней части интерфейса BlueScreenView отображает список всех драйверов режима ядра, которые в момент сбоя находились в памяти. И маркирует розовым цветом все драйвера, которые найдены в стеке сбоя. Перечислю в таблице лишь основные столбцы:
| Filename | Имя драйвера/модуля. |
| Address In Stack | Адрес памяти драйвера, который найден в стеке. |
| From Address | Смещение первого байта драйвера в адресном пространстве ядра. Пара значений From Address / To Address показывает адресное пространство, занимаемое драйвером. |
| To Address | Смещение последнего байта драйвера в адресном пространстве ядра. Пара значений From Address / To Address показывает адресное пространство, занимаемое драйвером. |
| Size | Размер драйвера в памяти. |
| Product Name | Имя продукта, в состав которого входит драйвер. Загружается из поля ресурсов? |
| File Description | Описание файла драйвера. Загружается из поля ресурсов? |
| File Version | Версия файла драйвера. Загружается из поля ресурсов? |
| Company | Имя компании. Загружается из поля ресурсов?. |
| Full Path | Полный путь до файла драйвера в файловой системе. |
В один прекрасный момент, анализируя очередной дамп памяти при помощи программы BlueScreenView я обратил внимание на одну интересную особенность. Если Вы внимательно посмотрите на столбец в верхнем фрейме программы под названием «Caused by Address», то увидите, что в нем присутствуют имена модулей/драйверов и относительный адрес инструкции. Так вот, почему же там присутствуют голые числовые значения смещений, но не имена? Причина проста и как мы уже отмечали:
BlueScreenView не использует отладочные символы и не нуждается в них.
То есть он ничего не знает о сопоставлении адресов реальным функциям. Конечно, это не позволяет программисту получить более детальную информацию, однако это абсолютно не нужно рядовому пользователю, которому для решения задачи достаточна и более общая информация о сбое, обобщенная до указания на модуль/драйвер. Как это сказывается на точности определения причины критической ошибки, спросите Вы? Пока что ответить на этот вопрос для меня сложновато, но могу предположить что никак не отражается, поскольку точность определения зависит от корректности работы внутреннего алгоритма BlueScreenView, который опирается на адреса памяти, но никак не зависит от наличия/отсутствия символов системы/модулей/драйверов. Символы нужны для дополнительной информации по внутренним функциям.
Анализ результатов
Собственно, вкратце, общий алгоритм поиска причины сбоя следующий:
- (в верхней части окна) ставим курсор на имя интересующего нас минидампа, тем самым выделяя (выбирая) его. Нижняя часть окна автоматически заполняется результатом анализа.
- (в верхней части окна) смотрим столбец Caused By Driver , видим там наименование проблемного модуля/драйвера (для нашего случая это RtkHDAud.sys ).
- (в нижней части окна) находим этот же драйвер/модуль (столбец Filename), ставим курсор на эту строку и опять перемещаем ползунок вправо, чтобы посмотреть значения в столбцах Product Name , File Description и Full Path . По значениям этих полей мы сможем определить принадлежность модуля/драйвера. Если же поля нам не дали никакой информации, то вбиваем имя модуля/драйвера RtkHDAud.sys в поисковик и ищем информацию уже в Сети.
Изредка встречаются случаи, когда указываемый в верхнем фрейме программой BlueScreenView драйвер не является источником проблемы. Да, ведь сам автор, как я писал уже выше, предупреждает от том, что невозможно сделать точный вывод по сбою в 100% случаев. Однако, не стоит отчаиваться, поскольку драйвер/модуль, который является истинным виновником сбоя, наверняка присутствует среди списка, подсвеченного красным цветом в нижней части окна программы. У нас это: ks.sys , ntoskrnl.exe , portcls.sys , sysaudio.sys , wdmaud.sys . Исходя из отсутствия 100% гарантии определения, в исследовании аварийных дампов я бы не ограничивался применением только лишь утилиты BlueScreenView, а использовал бы и другие продукты для анализа проблемы.
Похожие записи:
- STOP 0x000000F4
- WinDbg — анализ аварийного дампа памяти
- Аварийный дамп памяти Windows
- BSOD — Синий экран смерти
- STOP 0x000000ED
Источник: datadump.ru