Windows 8 - ведение журнала Process Monitor / Explorer для диагностики причины BSOD

579
Zac

Я недавно начал испытывать BSOD каждый раз, когда я позволяю компьютеру бездействовать. Я получаю конкретные коды ошибок проверки ошибок (0x139 с параметром 1 = 3), которые, согласно этой странице поддержки Microsoft, особенно трудно диагностировать.

Не вдаваясь в подробности, инициируется некоторый процесс, который вызывает сбой Windows, и я хочу знать, что это за процесс.

Используя Process Monitor и Process Explorer, я вижу, что различные процессы запускаются непосредственно перед тем, как происходит сбой, но даже при использовании различных фильтров для уменьшения выходного объема я просто не могу читать так быстро, как мой компьютер может обновить дисплей ,

Предполагая, что у меня нет времени на ручное сохранение до того, как произойдет сбой, какие методы я могу использовать для автоматической записи вывода на диск? Есть ли способ автоматического входа из Process Monitor (или Explorer, если на то пошло)? Кроме того, есть ли альтернативные инструменты, которые могут сообщить мне эту информацию, которые поддерживают автоматическую регистрацию?

Если нет, есть ли инструмент захвата экрана, который может записывать видео напрямую в видеофайл, который не будет поврежден, если процесс записи будет прерван в результате сбоя?

Я предполагаю, что если худшее приходит к худшему, я могу снять свой экран с мобильного телефона - но я ожидаю, что это будет довольно болезненный метод для использования.

Заранее спасибо за любую помощь.

Ура, Зак

0
Вы должны смотреть на аварийный дамп для более подробной информации. Crash Dump можно найти в C: \ Windows \ Minidump \, и вы можете использовать свободно доступный windbg.exe (инструмент Microsoft) для анализа дампов. pun 8 лет назад 0
Спасибо, я уже читаю журналы минидампа через BlueScreenView. Он говорит мне, что процесс, запускаемый при возникновении сбоя, называется ntoskrnl.exe - однако на самом деле это не является причиной проблемы. Фактическая проблема (повреждение LIST_ENTRY) возникает в более раннее время, чем происходит сбой, и мини-дамп не может быть использован для ее идентификации (объяснено на странице, на которую я ссылался в вопросе выше). Следовательно, почему я пытаюсь регистрировать процессы во время, приводящее к сбою. Zac 8 лет назад 0
вот почему я никогда не использую bluescreenview или whocrash и т. д., независимо от причины сбоя, он всегда (если не для других) регистрируется в crashdump. Нигде не упоминается, что повреждение List_entry не может быть проанализировано с помощью windbg pun 8 лет назад 0
Ну, это правда - я сейчас читаю, как использовать windbg (никогда раньше не проводил такого рода исследования). Zac 8 лет назад 0
Всегда ли это происходит, когда вы оставляете его без дела в течение некоторого времени? Как и до того, как компьютер собирается перейти в спящий режим или в режим ожидания и т. Д., Потому что я видел много устройств (со старыми / поврежденными драйверами), которые могли изменять управление питанием компьютеров и вызывать сбой pun 8 лет назад 0
Да, это всегда через несколько минут (около 5 минут), но не точно в одно и то же время от одного сбоя к другому. Я установил Windows, чтобы она никогда не спала, когда она подключена к стене, поэтому я не думаю, что это вызвано сном (экран не гаснет до аварии) - хотя это не означает, что вызвано управлением питанием. Я также позаботился о том, чтобы все драйверы были обновлены (с помощью Win Update и Driver Reviver - хотя я не могу говорить о надежности более поздних версий, однако, казалось, что они работают так, как рекламируется). Zac 8 лет назад 0
BlueScreenView это дерьмо. Поделитесь файлами dmp, если вы не можете использовать Windbg правильно. Я посмотрю на это. magicandre1981 8 лет назад 0
Да, я просто заглянул в Windbg и понял, что это не то, что я пойму за ночь. Я заархивировал 5 последних dmp-файлов [здесь] (https://drive.google.com/open?id=0B0_YxU7xwOfdbjVaNldyVV9PcTA) - должен быть общедоступным, но дайте мне знать, если что-то не так со ссылкой. Zac 8 лет назад 0
@Zac Я отправил ответ. в следующий раз также используйте «@» перед моим именем, чтобы я получил уведомление о вашем ответе. magicandre1981 8 лет назад 0
@ magicandre1981 ах, спасибо за ответ и ссылку для скачивания. Я запустил исправление и посмотрю, решена ли проблема. Спасибо за ваше время на это, я действительно ценю это! И спасибо за комментарий - я предполагал, что пользователи, комментирующие ответ, будут уведомлены автоматически. Zac 8 лет назад 0

1 ответ на вопрос

1
magicandre1981

Ваш аварийный дамп показывает это:

KERNEL_SECURITY_CHECK_FAILURE (139) A kernel component has corrupted a critical data structure. The corruption could potentially allow a malicious user to gain control of this machine. Arguments: Arg1: 0000000000000003, A LIST_ENTRY has been corrupted (i.e. double remove). Arg2: ffffd0002054c2b0, Address of the trap frame for the exception that caused the bugcheck Arg3: ffffd0002054c208, Address of the exception record for the exception that caused the bugcheck Arg4: 0000000000000000, Reserved  Debugging Details: ------------------   SYSTEM_SKU: P09ABE.012.CP  SYSTEM_VERSION: P09ABE.012.CP  BIOS_DATE: 07/04/2013  BASEBOARD_PRODUCT: NP350V5C-A0EUK  BASEBOARD_VERSION: BOARD REVISION 00  BUGCHECK_P1: 3  BUGCHECK_P2: ffffd0002054c2b0  BUGCHECK_P3: ffffd0002054c208  BUGCHECK_P4: 0  TRAP_FRAME: ffffd0002054c2b0 -- (.trap 0xffffd0002054c2b0) NOTE: The trap frame does not contain all registers. Some register values may be zeroed or incorrect. rax=ffffe000a9a204e0 rbx=0000000000000000 rcx=0000000000000003 rdx=ffffe000aa8e64e0 rsi=0000000000000000 rdi=0000000000000000 rip=fffff801476dd699 rsp=ffffd0002054c440 rbp=ffffd0002054c4d9 r8=0000000000000000 r9=0000000000000002 r10=ffffe000acd2e620 r11=ffffe000ae13333c r12=0000000000000000 r13=0000000000000000 r14=0000000000000000 r15=0000000000000000 iopl=0 nv up ei pl nz na pe nc ndis!ndisNsiGetAllInterfaceInformation+0x25819: fffff801`476dd699 cd29 int 29h Resetting default scope  EXCEPTION_RECORD: ffffd0002054c208 -- (.exr 0xffffd0002054c208) ExceptionAddress: fffff801476dd699 (ndis!ndisNsiGetAllInterfaceInformation+0x0000000000025819) ExceptionCode: c0000409 (Security check failure or stack buffer overrun) ExceptionFlags: 00000001 NumberParameters: 1 Parameter[0]: 0000000000000003 Subcode: 0x3 FAST_FAIL_CORRUPT_LIST_ENTRY  CPU_COUNT: 4  CPU_MHZ: 9be  CPU_VENDOR: GenuineIntel  CPU_FAMILY: 6  CPU_MODEL: 3a  CPU_STEPPING: 9  CUSTOMER_CRASH_COUNT: 1  DEFAULT_BUCKET_ID: LIST_ENTRY_CORRUPT  BUGCHECK_STR: 0x139  PROCESS_NAME: svchost.exe  CURRENT_IRQL: 2  ERROR_CODE: (NTSTATUS) 0xc0000409 - Das System hat in dieser Anwendung den berlauf eines stapelbasierten Puffers ermittelt. Dieser berlauf k nnte einem b sartigen Benutzer erm glichen, die Steuerung der Anwendung zu bernehmen.  EXCEPTION_CODE: (NTSTATUS) 0xc0000409 - Das System hat in dieser Anwendung den berlauf eines stapelbasierten Puffers ermittelt. Dieser berlauf k nnte einem b sartigen Benutzer erm glichen, die Steuerung der Anwendung zu bernehmen.  EXCEPTION_PARAMETER1: 0000000000000003  ANALYSIS_VERSION: 10.0.10240.9 amd64fre  LAST_CONTROL_TRANSFER: from fffff802843ce7e9 to fffff802843c2ca0  STACK_TEXT:  00 nt!KeBugCheckEx 01 nt!KiBugCheckDispatch 02 nt!KiFastFailDispatch 03 nt!KiRaiseSecurityCheckFailure 04 ndis!ndisNsiGetAllInterfaceInformation 05 NETIO!NsiGetAllParametersEx 06 nsiproxy!NsippGetAllParameters 07 nsiproxy!NsippDispatch 08 nt!IopXxxControlFile 09 nt!NtDeviceIoControlFile 0a nt!KiSystemServiceCopyEnd 0b 0x0   FOLLOWUP_IP:  NETIO!NsiGetAllParametersEx+1f8 fffff801`474077d3 8bf0 mov esi,eax  SYMBOL_STACK_INDEX: 5  SYMBOL_NAME: NETIO!NsiGetAllParametersEx+1f8  FOLLOWUP_NAME: MachineOwner  MODULE_NAME: NETIO  IMAGE_NAME: NETIO.SYS  DEBUG_FLR_IMAGE_TIMESTAMP: 546029c5  IMAGE_VERSION: 6.3.9600.17485  BUCKET_ID_FUNC_OFFSET: 1f8  FAILURE_BUCKET_ID: 0x139_3_NETIO!NsiGetAllParametersEx  BUCKET_ID: 0x139_3_NETIO!NsiGetAllParametersEx  PRIMARY_PROBLEM_CLASS: 0x139_3_NETIO!NsiGetAllParametersEx

Эта ошибка в NETIO.sys - известная проблема, которую Microsoft уже исправила с помощью исправления KB3055343 .

Нажмите на « Исправление доступно для загрузки», введите адрес электронной почты, чтобы запросить исправление. Извлеките Exe, который связан в электронном письме, и установите исправление через Windows8.1-KB3055343-x64.msuфайл.

Ориентировочно, похоже, что исправление сработало. Еще раз спасибо за внимание ко мне, регулярные сбои сводят меня с ума и мешают моей работе, так что вы действительно спасли меня от этого ... Zac 8 лет назад 0
@Zac приятно слышать, что ваша проблема теперь исправлена ​​:) magicandre1981 8 лет назад 0
Microsoft теперь развертывает версию 2 обновления через WindowsUpdate для всех пользователей. magicandre1981 8 лет назад 0
Ах, отлично, спасибо за обновление. Zac 8 лет назад 0

Похожие вопросы