使用windbg打开dump文件后需要使用命令分析具体蓝屏的原因,这里主要介绍windbg分析dump的相关命令1、!sym nosiy :查看符号文件时,加载的信息和提示会更详细(分析dump前可以先执行这个命令);
2、!analyze -v:如下图所示,执行!analyze -v查看当前异常的原因和详细信息,主要关注BUGCHECK_STR(异常错误代码)、PROCESS_NAME(导致异常的进程名称)、MODULE_NAME(导致异常的模块名称)、STACK_TEXT(异常的堆栈信息);
3、kb:显示当前异常的堆栈信息,如下图所示,nt是内核,windows系统自带的模块可以不关注,主要关注其他模块,比如:qutmdrv(360软件的驱动模块);
4、!lmi 模块名或者lmvm 模块名:查看具体的模块详细信息;如下图所示,不确认qutmdrv驱动是什么软件带的,可以使用lmvm qutmdrv找到文件路径后查看该驱动的签名和厂商信息来确认是什么软件带的这个驱动;
5、.reload -f:强制调试器加载字符表,需要可以连接外网时执行,执行后需要等待一段时间,自动下载字符表;
6、lm:显示当前系统的加载所有模块,输出包括模块字符表、模块名称等信息,只有微软本身的模块才显示字符表,没有字符表的模块就是第三方的,比如下图的sfvdi_minifilter(桌面云限制U盘读写的驱动);
7、!process :查看导致系统异常进程的详细信息, Image(导致异常的进程名);
!process 0 0 :列举当前系统加载的所有进程;
8、!dml_proc:显示系统当前加载的进程列表,并提供链接以获取关于流程的更详细信息;
9、 !running -it:查看当前蓝屏系统正在运行什么进程以及当前系统的详细信息;
!thread:查看当前的线程的详细信息、起始地址、当前堆栈等;
r:用于查看或者修改寄存器和伪寄存器信息;
以上就是分析windbg常用的需要掌握的命令。
