Min værktøjskasse: WinDbg

Skrevet af Thomas Huulbæk Andersen
http://www.spywarefri.dk/images/nyheder/windbg.png
  
Vi tager et kig ned i min værktøjskasse og starter med et avanceret et af slagsen: WinDbg


Mange brugere henvender sig i vores forum, fordi de har mistanke om, at de er blevet inficeret af malware. Symptomerne kan være mange - de mest åbenlyse skærme, der indikerer virus, men også bare langsom computer - og i mange, mange tilfælde, er der slet ikke tale om virus. Denne artikelserie handler om de værktøj, som jeg bruger dagligt i mit job som IT-supporter.

WinDbg er nok et lidt underligt program at starte med, fordi det hører til i den mere avancerede ende, men da jeg besluttede at skrive en lille artikelserie, var jeg netop inde i programmet. Samtidig er det nok et program, som de færreste almindelige brugere nogensinde ønsker at stifte bekendskab med, men det er et af de mest nyttige til fejlsøgning af de frygtede blå skærm (også kendt som BSOD - Blue Screen of Death) i Windows.

WinDbg er ikke som standard inkluderet i Windows, så det skal hentes fra Microsoft.

Når Windows fejler med blå skærme, så bliver der gemt information om fejlene i såkaldte crashdumps. Vi kigger her på de små af dem, som næsten altid er tilgængelige: Minidumps. Hvis du har haft BSOD, så ligger de typisk i mappen C:\Windows\Minidump.


Analyse af et minidump i WinDbg

Eksempel på brug af WinDbg

Når du har installeret WinDbg, starter du programmet op. Herefter går du i menuen File og vælger Open Crash Dump. Så skal du navigere til mappen med crashdumps og åbne et af dem.

Lige når du har åbnet dumpet, bliver det vist noget grundlæggende information. Der er allerede her stor forskel på, om du analyserer dit eget personlige dump fra samme computer eller en andens. Hvis du vil analysere dit eget, så er der ingen problemer, fordi crashdumpet referer til de samme filer, som der er på din computer. Hvis der er tale om en anden computers dump, så skal programmet først instrueres i at hente symboler for den korrekte version af Windows.

Lyder det kompliceret? Det er slet ikke så galt, som det lyder. Hvis der er tale om din egen, så kan du allerede nu starte analyse ved at skrive kommandoen

!analyze -v

i det nederste felt i vinduet, hvor der står kd>. Programmet vil derefter hurtigt give dig resultatet.

Hvis der ikke er tale om din egen, så skriver du i stedet

.sympath SRV*e:\symbols*http://msdl.microsoft.com/download/symbols

og derefter

.reload /f

Kommandoen sætter gang i download af korrekte symboler fra Microsoft, og det kan altså godt tage lidt tid - ofte mellem 5 og 10 minutter. Når den er færdig, kan du så skrive førstnævnte kommando for at analysere.

Analysesvaret

Et svar kunne fx se sådan ud:

******************************************************************************* Bugcheck Analysis ******************************************************************************* MEMORY_MANAGEMENT (1a) # Any other values for parameter 1 must be individually examined. Arguments: Arg1: 0000000000041201, The subtype of the bugcheck. Arg2: fffff6800002e120 Arg3: 0000000000000001 Arg4: fffffa80056ca590 Debugging Details: ------------------ BUGCHECK_STR: 0x1a_41201 CUSTOMER_CRASH_COUNT: 1 DEFAULT_BUCKET_ID: VISTA_DRIVER_FAULT PROCESS_NAME: chrome.exe CURRENT_IRQL: 0 LAST_CONTROL_TRANSFER: from fffff80002cf8d0e to fffff80002c9cfc0 STACK_TEXT: fffff880`093e59b8 fffff800`02cf8d0e : 00000000`0000001a 00000000`00041201 fffff680`0002e120 00000000`00000001 : nt!KeBugCheckEx fffff880`093e59c0 fffff800`02c67f61 : ffffe3d9`746c6644 fffff880`00961000 00000000`00000000 00000000`00000001 : nt! ?? ::FNODOBFM::`string'+0x136f2 fffff880`093e5a00 fffff800`02c67bc3 : fffffa80`056ca590 fffffa80`0662e380 fffffa80`0662e380 00000000`05c24000 : nt!MiQueryAddressState+0x2b1 fffff880`093e5a50 fffff800`02f73284 : 00000000`00000000 00000000`05c25000 fffffa80`056ca590 00000000`00000000 : nt!MiQueryAddressSpan+0x73 fffff880`093e5ac0 fffff800`02c9c253 : ffffffff`ffffffff fffffa80`036c8b50 00000000`002fdce8 00000000`001ae228 : nt!NtQueryVirtualMemory+0x382 fffff880`093e5bb0 00000000`779f154a : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13 00000000`001ae208 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x779f154a STACK_COMMAND: kb FOLLOWUP_IP: nt! ?? ::FNODOBFM::`string'+136f2 fffff800`02cf8d0e cc int 3 SYMBOL_STACK_INDEX: 1 SYMBOL_NAME: nt! ?? ::FNODOBFM::`string'+136f2 FOLLOWUP_NAME: MachineOwner MODULE_NAME: nt IMAGE_NAME: ntkrnlmp.exe DEBUG_FLR_IMAGE_TIMESTAMP: 503f82be FAILURE_BUCKET_ID: X64_0x1a_41201_nt!_??_::FNODOBFM::_string_+136f2 BUCKET_ID: X64_0x1a_41201_nt!_??_::FNODOBFM::_string_+136f2 Followup: MachineOwner ---------

Den første markering viser bugcheck - altså, i praksis den fejl, der fik det hele til at gå ned. Her er der fx tale om MEMORY_MANAGEMENT (1a). Den kan så slås op hos Microsoft, for at få lidt mere information. I dette tilfælde er det desværre lidt svært at finde mere information for undertypen 41201, men så er Google selvfølgelig din ven.

Fejlkoden er desværre for generel til, at vi kan konkludere noget fornuftigt. Vi ved kun, at hukommelsen fejler - men det kan være flere slags hukommelse; på bundkortet, grafikkortet eller harddisken. Vi kan også se, at det er Google Chrome browseren, der får det til at ske og at det måske er en driverfejl (VISTA_DRIVER_FAULT). Hvis der er flere dumps tilgængelige, vil det være nødvendigt at kigge på dem også. Hvis det er samme fejl på de andre, så er det sandsynligt, at Chrome på en eller anden måde er skyld i fejlhandlingen.

Men lad os så sige, at det er Chrome - hvis den er opdateret, hvad får den så til at fejle og hvad kan vi gøre? Her kommer en anden kommando i WinDbg til vores hjælp:

lmtn

som producerer følgende resultat:

start end module name fffff800`00bd5000 fffff800`00bdf000 kdcom kdcom.dll Sat Feb 05 17:52:49 2011 (4D4D8061) fffff800`02c1e000 fffff800`03206000 nt ntkrnlmp.exe Thu Aug 30 17:11:58 2012 (503F82BE) fffff800`03206000 fffff800`0324f000 hal hal.dll Sat Nov 20 14:00:25 2010 (4CE7C669) fffff880`00c00000 fffff880`00cc0000 CI CI.dll Sat Nov 20 14:12:36 2010 (4CE7C944) fffff880`00cc0000 fffff880`00cd1000 blbdrive blbdrive.sys Tue Jul 14 01:35:59 2009 (4A5BC4DF) fffff880`00cd9000 fffff880`00ce6000 mcupdate_AuthenticAMD mcupdate_AuthenticAMD.dll Tue Jul 14 03:29:09 2009 (4A5BDF65) fffff880`00ce6000 fffff880`00cfa000 PSHED PSHED.dll Tue Jul 14 03:32:23 2009 (4A5BE027) fffff880`00cfa000 fffff880`00d58000 CLFS CLFS.SYS Tue Jul 14 01:19:57 2009 (4A5BC11D) fffff880`00d58000 fffff880`00db4000 volmgrx volmgrx.sys Sat Nov 20 10:20:43 2010 (4CE792EB) fffff880`00db4000 fffff880`00dde000 ataport ataport.SYS Sat Nov 20 10:19:15 2010 (4CE79293) fffff880`00dde000 fffff880`00df5000 amd_sata amd_sata.sys Fri Jan 28 23:35:25 2011 (4D4344AD) fffff880`00e00000 fffff880`00e57000 ACPI ACPI.sys Sat Nov 20 10:19:16 2010 (4CE79294) fffff880`00e57000 fffff880`00e60000 WMILIB WMILIB.SYS Tue Jul 14 01:19:51 2009 (4A5BC117) fffff880`00e60000 fffff880`00e6a000 msisadrv msisadrv.sys Tue Jul 14 01:19:26 2009 (4A5BC0FE) fffff880`00e6a000 fffff880`00e9d000 pci pci.sys Sat Nov 20 10:19:11 2010 (4CE7928F) fffff880`00e9d000 fffff880`00eaa000 vdrvroot vdrvroot.sys Tue Jul 14 02:01:31 2009 (4A5BCADB) fffff880`00eaa000 fffff880`00ebf000 partmgr partmgr.sys Sat Mar 17 06:06:09 2012 (4F641BC1) fffff880`00ebf000 fffff880`00ec8000 compbatt compbatt.sys Tue Jul 14 01:31:02 2009 (4A5BC3B6) fffff880`00ec8000 fffff880`00ed4000 BATTC BATTC.SYS Tue Jul 14 01:31:01 2009 (4A5BC3B5) fffff880`00ed4000 fffff880`00ee9000 volmgr volmgr.sys Sat Nov 20 10:19:28 2010 (4CE792A0) fffff880`00ee9000 fffff880`00ef9000 PCIIDEX PCIIDEX.SYS Tue Jul 14 01:19:48 2009 (4A5BC114) fffff880`00efc000 fffff880`00fbe000 Wdf01000 Wdf01000.sys Thu Jul 26 04:25:13 2012 (5010AA89) fffff880`00fbe000 fffff880`00fce000 WDFLDR WDFLDR.SYS Thu Jul 26 04:29:04 2012 (5010AB70) fffff880`00fce000 fffff880`00fe8000 mountmgr mountmgr.sys Sat Nov 20 10:19:21 2010 (4CE79299) fffff880`00fe8000 fffff880`00ff1000 atapi atapi.sys Tue Jul 14 01:19:47 2009 (4A5BC113) fffff880`00ff1000 fffff880`00ffc000 msahci msahci.sys Sat Nov 20 11:33:58 2010 (4CE7A416) fffff880`01000000 fffff880`0105e000 msrpc msrpc.sys Sat Nov 20 10:21:56 2010 (4CE79334) fffff880`0105e000 fffff880`010d0000 cng cng.sys Sat Jun 02 05:25:51 2012 (4FC987BF) fffff880`010d0000 fffff880`010f2000 tdx tdx.sys Sat Nov 20 10:21:54 2010 (4CE79332) fffff880`010f8000 fffff880`0115b000 storport storport.sys Fri Mar 11 05:30:23 2011 (4D79A55F) fffff880`0115b000 fffff880`01168000 amd_xata amd_xata.sys Fri Jan 28 23:35:28 2011 (4D4344B0) fffff880`01168000 fffff880`01173000 amdxata amdxata.sys Fri Mar 19 17:18:18 2010 (4BA3A3CA) fffff880`01173000 fffff880`011bf000 fltmgr fltmgr.sys Sat Nov 20 10:19:24 2010 (4CE7929C) fffff880`011bf000 fffff880`011d3000 fileinfo fileinfo.sys Tue Jul 14 01:34:25 2009 (4A5BC481) fffff880`011d3000 fffff880`011f1000 dfsc dfsc.sys Sat Nov 20 10:26:31 2010 (4CE79447) fffff880`01200000 fffff880`0120d000 TDI TDI.SYS Sat Nov 20 10:22:06 2010 (4CE7933E) fffff880`0120d000 fffff880`0121c000 discache discache.sys Tue Jul 14 01:37:18 2009 (4A5BC52E) fffff880`0121f000 fffff880`013c2000 Ntfs Ntfs.sys Fri Aug 31 17:14:14 2012 (5040D4C6) fffff880`013c2000 fffff880`013dd000 ksecdd ksecdd.sys Sat Jun 02 04:50:23 2012 (4FC97F6F) fffff880`013dd000 fffff880`013ee000 pcw pcw.sys Tue Jul 14 01:19:27 2009 (4A5BC0FF) fffff880`013ee000 fffff880`013f8000 Fs_Rec Fs_Rec.sys Thu Mar 01 04:41:06 2012 (4F4EEFD2) fffff880`01400000 fffff880`01460000 NETIO NETIO.SYS Wed Aug 22 17:11:28 2012 (5034F6A0) fffff880`01460000 fffff880`0148a000 ksecpkg ksecpkg.sys Sat Jun 02 05:27:11 2012 (4FC9880F) fffff880`0148a000 fffff880`01498000 vga vga.sys Tue Jul 14 01:38:47 2009 (4A5BC587) fffff880`01498000 fffff880`014bd000 VIDEOPRT VIDEOPRT.SYS Tue Jul 14 01:38:51 2009 (4A5BC58B) fffff880`014bd000 fffff880`014cd000 watchdog watchdog.sys Tue Jul 14 01:37:35 2009 (4A5BC53F) fffff880`014cd000 fffff880`014d6000 RDPCDD RDPCDD.sys Tue Jul 14 02:16:34 2009 (4A5BCE62) fffff880`014d6000 fffff880`014df000 rdpencdd rdpencdd.sys Tue Jul 14 02:16:34 2009 (4A5BCE62) fffff880`014df000 fffff880`014e8000 rdprefmp rdprefmp.sys Tue Jul 14 02:16:35 2009 (4A5BCE63) fffff880`014e8000 fffff880`014f3000 Msfs Msfs.SYS Tue Jul 14 01:19:47 2009 (4A5BC113) fffff880`014f3000 fffff880`015e5000 ndis ndis.sys Wed Aug 22 17:11:46 2012 (5034F6B2) fffff880`015e5000 fffff880`015f6000 Npfs Npfs.SYS Tue Jul 14 01:19:48 2009 (4A5BC114) fffff880`01600000 fffff880`0162a000 cdrom cdrom.sys Sat Nov 20 10:19:20 2010 (4CE79298) fffff880`0162d000 fffff880`0182e000 tcpip tcpip.sys Wed Oct 03 17:09:34 2012 (506C552E) fffff880`0182e000 fffff880`01878000 fwpkclnt fwpkclnt.sys Wed Aug 22 17:10:49 2012 (5034F679) fffff880`01878000 fffff880`018c4000 volsnap volsnap.sys Sat Nov 20 10:20:08 2010 (4CE792C8) fffff880`018c4000 fffff880`018cc000 spldr spldr.sys Mon May 11 18:56:27 2009 (4A0858BB) fffff880`018cc000 fffff880`01906000 rdyboost rdyboost.sys Sat Nov 20 10:43:10 2010 (4CE7982E) fffff880`01906000 fffff880`01918000 mup mup.sys Tue Jul 14 01:23:45 2009 (4A5BC201) fffff880`01918000 fffff880`01921000 hwpolicy hwpolicy.sys Sat Nov 20 10:18:54 2010 (4CE7927E) fffff880`01921000 fffff880`0195b000 fvevol fvevol.sys Sat Nov 20 10:24:06 2010 (4CE793B6) fffff880`0195b000 fffff880`01971000 disk disk.sys Tue Jul 14 01:19:57 2009 (4A5BC11D) fffff880`01971000 fffff880`019a1000 CLASSPNP CLASSPNP.SYS Sat Nov 20 10:19:23 2010 (4CE7929B) fffff880`019a1000 fffff880`019a9000 AtiPcie64 AtiPcie64.sys Wed Mar 10 15:33:45 2010 (4B97ADC9) fffff880`019eb000 fffff880`019f4000 Null Null.SYS Tue Jul 14 01:19:37 2009 (4A5BC109) fffff880`019f4000 fffff880`019fb000 Beep Beep.SYS Tue Jul 14 02:00:13 2009 (4A5BCA8D) fffff880`0343e000 fffff880`03491000 nwifi nwifi.sys Tue Jul 14 02:07:23 2009 (4A5BCC3B) fffff880`03491000 fffff880`034a4000 ndisuio ndisuio.sys Sat Nov 20 11:50:08 2010 (4CE7A7E0) fffff880`034a4000 fffff880`034bc000 rspndr rspndr.sys Tue Jul 14 02:08:50 2009 (4A5BCC92) fffff880`034bc000 fffff880`03585000 HTTP HTTP.sys Sat Nov 20 10:24:30 2010 (4CE793CE) fffff880`03585000 fffff880`0358f000 vwifimp vwifimp.sys Tue Jul 14 02:07:28 2009 (4A5BCC40) fffff880`0358f000 fffff880`035ad000 bowser bowser.sys Wed Feb 23 05:55:04 2011 (4D649328) fffff880`035ad000 fffff880`035c5000 mpsdrv mpsdrv.sys Tue Jul 14 02:08:25 2009 (4A5BCC79) fffff880`035c5000 fffff880`035f2000 mrxsmb mrxsmb.sys Wed Apr 27 04:40:38 2011 (4DB78226) fffff880`03a00000 fffff880`03a46000 dxgmms1 dxgmms1.sys Sat Nov 20 10:49:53 2010 (4CE799C1) fffff880`03a46000 fffff880`03a6a000 HDAudBus HDAudBus.sys Sat Nov 20 11:43:42 2010 (4CE7A65E) fffff880`03a6a000 fffff880`03ad0000 Rt64win7 Rt64win7.sys Tue Nov 30 07:01:28 2010 (4CF49338) fffff880`03ad5000 fffff880`03bc9000 dxgkrnl dxgkrnl.sys Sat Nov 20 10:50:50 2010 (4CE799FA) fffff880`03bc9000 fffff880`03be7000 i8042prt i8042prt.sys Tue Jul 14 01:19:57 2009 (4A5BC11D) fffff880`03be7000 fffff880`03bf6000 kbdclass kbdclass.sys Tue Jul 14 01:19:50 2009 (4A5BC116) fffff880`03e00000 fffff880`03e51000 rdbss rdbss.sys Sat Nov 20 10:27:51 2010 (4CE79497) fffff880`03e51000 fffff880`03e5d000 nsiproxy nsiproxy.sys Tue Jul 14 01:21:02 2009 (4A5BC15E) fffff880`03e64000 fffff880`03eed000 afd afd.sys Wed Dec 28 04:59:20 2011 (4EFA9418) fffff880`03eed000 fffff880`03f32000 netbt netbt.sys Sat Nov 20 10:23:18 2010 (4CE79386) fffff880`03f32000 fffff880`03f3b000 wfplwf wfplwf.sys Tue Jul 14 02:09:26 2009 (4A5BCCB6) fffff880`03f3b000 fffff880`03f61000 pacer pacer.sys Sat Nov 20 11:52:18 2010 (4CE7A862) fffff880`03f61000 fffff880`03f77000 vwififlt vwififlt.sys Tue Jul 14 02:07:22 2009 (4A5BCC3A) fffff880`03f77000 fffff880`03f86000 netbios netbios.sys Tue Jul 14 02:09:26 2009 (4A5BCCB6) fffff880`03f86000 fffff880`03fa1000 wanarp wanarp.sys Sat Nov 20 11:52:36 2010 (4CE7A874) fffff880`03fa1000 fffff880`03fb5000 termdd termdd.sys Sat Nov 20 12:03:40 2010 (4CE7AB0C) fffff880`03fb5000 fffff880`03fc0000 mssmbios mssmbios.sys Tue Jul 14 01:31:10 2009 (4A5BC3BE) fffff880`03fc0000 fffff880`03fc8000 fsvista fsvista.sys Tue Mar 18 07:37:07 2008 (47DF6313) fffff880`03fc8000 fffff880`03fdcda0 fsdfw fsdfw.sys Wed Oct 28 15:57:21 2009 (4AE85BD1) fffff880`03fdd000 fffff880`03fe63a0 fses fses.sys Tue Mar 09 12:37:48 2010 (4B96330C) fffff880`03fe7000 fffff880`03ff37e0 fshs fshs.sys Fri Jul 03 13:48:07 2009 (4A4DEFF7) fffff880`04000000 fffff880`04023000 AtiHdmi AtiHdmi.sys Thu May 06 11:20:39 2010 (4BE289E7) fffff880`04023000 fffff880`04060000 portcls portcls.sys Tue Jul 14 02:06:27 2009 (4A5BCC03) fffff880`04060000 fffff880`04082000 drmk drmk.sys Tue Jul 14 03:01:25 2009 (4A5BD8E5) fffff880`040c5000 fffff880`040eb000 tunnel tunnel.sys Sat Nov 20 11:51:50 2010 (4CE7A846) fffff880`040eb000 fffff880`04100000 amdppm amdppm.sys Tue Jul 14 01:19:25 2009 (4A5BC0FD) fffff880`04100000 fffff880`0414e000 atikmpag atikmpag.sys Mon Feb 28 17:17:18 2011 (4D6BCA8E) fffff880`0414e000 fffff880`0416f000 raspptp raspptp.sys Sat Nov 20 11:52:31 2010 (4CE7A86F) fffff880`0416f000 fffff880`04181000 umbus umbus.sys Sat Nov 20 11:44:37 2010 (4CE7A695) fffff880`04181000 fffff880`041db000 usbhub usbhub.sys Fri Mar 25 04:29:25 2011 (4D8C0C15) fffff880`041db000 fffff880`041f0000 NDProxy NDProxy.SYS Sat Nov 20 11:52:20 2010 (4CE7A864) fffff880`04200000 fffff880`0420e000 usbfilter usbfilter.sys Mon Nov 29 10:50:21 2010 (4CF3775D) fffff880`0420e000 fffff880`0421f000 usbehci usbehci.sys Fri Mar 25 04:29:04 2011 (4D8C0C00) fffff880`04223000 fffff880`04392000 rtl8192Ce rtl8192Ce.sys Tue Mar 13 07:39:05 2012 (4F5EEB89) fffff880`04392000 fffff880`0439f000 vwifibus vwifibus.sys Tue Jul 14 02:07:21 2009 (4A5BCC39) fffff880`0439f000 fffff880`043f5000 RtsPStor RtsPStor.sys Wed Jan 12 08:32:49 2011 (4D2D5921) fffff880`043f5000 fffff880`04400000 usbohci usbohci.sys Fri Mar 25 04:29:03 2011 (4D8C0BFF) fffff880`04400000 fffff880`04424000 rasl2tp rasl2tp.sys Sat Nov 20 11:52:34 2010 (4CE7A872) fffff880`04424000 fffff880`04430000 ndistapi ndistapi.sys Tue Jul 14 02:10:00 2009 (4A5BCCD8) fffff880`04430000 fffff880`04431480 swenum swenum.sys Tue Jul 14 02:00:18 2009 (4A5BCA92) fffff880`0443b000 fffff880`04598000 SynTP SynTP.sys Fri Dec 17 03:20:50 2010 (4D0AC902) fffff880`04598000 fffff880`04599f00 USBD USBD.SYS Fri Mar 25 04:28:59 2011 (4D8C0BFB) fffff880`0459a000 fffff880`045a9000 mouclass mouclass.sys Tue Jul 14 01:19:50 2009 (4A5BC116) fffff880`045a9000 fffff880`045ad500 CmBatt CmBatt.sys Tue Jul 14 01:31:03 2009 (4A5BC3B7) fffff880`045ae000 fffff880`045b7000 wmiacpi wmiacpi.sys Tue Jul 14 01:31:02 2009 (4A5BC3B6) fffff880`045b7000 fffff880`045c7000 CompositeBus CompositeBus.sys Sat Nov 20 11:33:17 2010 (4CE7A3ED) fffff880`045c7000 fffff880`045ccf80 clwvd clwvd.sys Wed Jul 28 03:13:47 2010 (4C4F844B) fffff880`045cd000 fffff880`045d2200 ksthunk ksthunk.sys Tue Jul 14 02:00:19 2009 (4A5BCA93) fffff880`045d3000 fffff880`045e9000 AgileVpn AgileVpn.sys Tue Jul 14 02:10:24 2009 (4A5BCCF0) fffff880`045e9000 fffff880`045fd000 amdiox64 amdiox64.sys Thu Feb 18 16:17:53 2010 (4B7D5A21) fffff880`04800000 fffff880`04843000 ks ks.sys Sat Nov 20 11:33:23 2010 (4CE7A3F3) fffff880`04843000 fffff880`04872000 ndiswan ndiswan.sys Sat Nov 20 11:52:32 2010 (4CE7A870) fffff880`04872000 fffff880`0488d000 raspppoe raspppoe.sys Tue Jul 14 02:10:17 2009 (4A5BCCE9) fffff880`0488d000 fffff880`048a7000 rassstp rassstp.sys Tue Jul 14 02:10:25 2009 (4A5BCCF1) fffff880`048a9000 fffff880`051a3000 atikmdag atikmdag.sys Mon Feb 28 17:46:24 2011 (4D6BD160) fffff880`051a3000 fffff880`051f9000 USBPORT USBPORT.SYS Fri Mar 25 04:29:12 2011 (4D8C0C08) fffff880`05400000 fffff880`0540b000 secdrv secdrv.SYS Wed Sep 13 15:18:38 2006 (4508052E) fffff880`0540b000 fffff880`0543c000 srvnet srvnet.sys Fri Apr 29 05:05:35 2011 (4DBA2AFF) fffff880`0543c000 fffff880`0544e000 tcpipreg tcpipreg.sys Wed Oct 03 18:07:26 2012 (506C62BE) fffff880`0544e000 fffff880`054b7000 srv2 srv2.sys Fri Apr 29 05:05:46 2011 (4DBA2B0A) fffff880`054e3000 fffff880`05531000 mrxsmb10 mrxsmb10.sys Sat Jul 09 04:46:28 2011 (4E17C104) fffff880`05531000 fffff880`05555000 mrxsmb20 mrxsmb20.sys Wed Apr 27 04:39:37 2011 (4DB781E9) fffff880`05555000 fffff880`055fb000 peauth peauth.sys Tue Jul 14 03:01:19 2009 (4A5BD8DF) fffff880`06c00000 fffff880`06c36000 fastfat fastfat.SYS Tue Jul 14 01:23:28 2009 (4A5BC1F0) fffff880`06c36000 fffff880`06c44000 crashdmp crashdmp.sys Tue Jul 14 02:01:01 2009 (4A5BCABD) fffff880`06c44000 fffff880`06c4e000 dump_diskdump dump_diskdump.sys Fri Apr 22 22:04:32 2011 (4DB1DF50) fffff880`06c4e000 fffff880`06c65000 dump_amd_sata dump_amd_sata.sys Fri Jan 28 23:35:25 2011 (4D4344AD) fffff880`06c65000 fffff880`06c78000 dump_dumpfve dump_dumpfve.sys Tue Jul 14 01:21:51 2009 (4A5BC18F) fffff880`06c78000 fffff880`06c84000 Dxapi Dxapi.sys Tue Jul 14 01:38:28 2009 (4A5BC574) fffff880`06c84000 fffff880`06c92000 monitor monitor.sys Tue Jul 14 01:38:52 2009 (4A5BC58C) fffff880`06c92000 fffff880`06cb5000 luafv luafv.sys Tue Jul 14 01:26:13 2009 (4A5BC295) fffff880`06cb5000 fffff880`06cca000 lltdio lltdio.sys Tue Jul 14 02:08:50 2009 (4A5BCC92) fffff880`06cfe000 fffff880`06d81000 stwrt64 stwrt64.sys Fri Dec 17 10:48:24 2010 (4D0B31E8) fffff880`06d81000 fffff880`06d9e000 usbccgp usbccgp.sys Fri Mar 25 04:29:14 2011 (4D8C0C0A) fffff880`06d9e000 fffff880`06dcb280 usbvideo usbvideo.sys Sat Nov 20 11:44:34 2010 (4CE7A692) fffff880`0845c000 fffff880`084f4000 srv srv.sys Fri Apr 29 05:06:06 2011 (4DBA2B1E) fffff880`084f4000 fffff880`08528000 fsgk fsgk.sys Tue Jul 05 17:48:27 2011 (4E13324B) fffff880`08599000 fffff880`085a4000 asyncmac asyncmac.sys Tue Jul 14 02:10:13 2009 (4A5BCCE5) fffff960`000e0000 fffff960`003f6000 win32k win32k.sys Thu Nov 22 04:26:12 2012 (50AD9B54) fffff960`004c0000 fffff960`004ca000 TSDDD TSDDD.dll unavailable (00000000) fffff960`006a0000 fffff960`006c7000 cdd cdd.dll Sat Nov 20 13:55:34 2010 (4CE7C546) fffff960`00830000 fffff960`00891000 ATMFD ATMFD.DLL Sun Dec 16 15:45:03 2012 (50CDDE6F)

Phew, meget data! Det vi leder efter her, er gamle drivere. Vi kan hurtigt se, at der findes en "ældgammel" af slagsen - fsvista.sys fra 2008. En hurtig søgning viser os, at der er tale om F-Secure og det næste logiske skridt er derfor at installere en nyere version. Vi kan også se, at der er nogle ATI-drivere (grafikkortet), som er fra 2011, så de skal også opdateres, da Chrome selvfølgelig bruger grafikkortet en del.

I det konkrete eksempel lykkedes det faktisk at stoppe BSOD ved at fjerne F-Secure, installere et alternativ og opdatere grafikkortet.

Jeg lover, at næste artikel bliver lidt mere spiselig! Den kommer til at handle om to simple programmer: HWMonitor og CPUStabTest.

Dette var bare et simpelt eksempel på WinDbg - der er rigtig, rigtig mange muligheder. Hvis du har gode råd eller spørgsmål, så skriv en kommentar herunder.

Kommentarer
Skrevet af: Thov TeamSpywarefri den 14. Feb 2013 12:41

Hvis et program kun går i baglås, ikke crasher, får man ingen dump fil at analysere.
Det kan der rådes bod på, ved at man selv genererer een.
Fra og med Vista åbnes ‘Windows jobliste’med tasterne <Ctrl><Shift><Esc>.
Her klikker man på fanen Processer, højreklikker på programmet som hænger
og vælger ‘Opret dump-fil’.
Herefter køres WinDbg som normalt.

Fryser hele systemet bare, kan man køre REGEDIT og klikke ned til nøglen:
‘HKEY LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters’. 
Her oprettes en DWORD nøgle som skal hedde CrashOnCtrlScroll og med værdien 1.
Efter en genstart af systemet, er det bare at vente på næste frysning.
Når det sker, holdes højre <Ctrl> tast nede og <Scr Lk> (Scroll Lock) trykkes to gange.
Windows tvinges nu til at crashe og dermed generere en dump fil..
Dump’en kan så analyseres med ‘lanalyze -v -hang’ eller de sædvanlige andre kommandoer.

Thov TeamSpywarefri's billede
Skrevet af: Thomas Huulbæk Andersen den 19. Feb 2013 09:42

Godt fif, Thov smile

Thomas Huulbæk Andersen's billede
Skriv kommentar

Du skal være logget ind for at kommentere...

Senest i forum
hjælp har pop ups,overtaget sider
1 år, 4 måneder, 5 dage, 17 timer, 3 minutter siden
Meget langsom PC
1 år, 4 måneder, 1 uge, 2 dage, 4 timer, 49 minutter siden
Problemer med Google
1 år, 4 måneder, 1 uge, 3 dage, 7 timer, 54 minutter siden
Kan man Fjerne Crypt0L0cker !!!
1 år, 4 måneder, 1 uge, 4 dage, 21 timer, 32 minutter siden
Langsom opstart og ikonerne på skrivebordet…
1 år, 4 måneder, 1 uge, 5 dage, 3 timer, 4 minutter siden
Seneste artikler
Ringet op af Microsoft?

Et par brugere har gjort os opmærksomme på et svindelnummer, som det er en god idé at være opmærksom på - et skoleeksempel på social engineering.

IT-sikkerhed når du spiller poker

Hvad gør pokersiderne for at beskytte deres spillere mod svindlere og malware - og hvad kan du selv gøre?

Min værktøjskasse: Sysinternals

Værktøjskassen får en opdatering - vi kigger på Sysinternals fra Microsoft, som er en samling af nyttige værktøj.

Min værktøjskasse: PhotoRec

Vi kigger på PhotoRec, der kan bruges til at redde data fra harddisken.

Min værktøjskasse: HDDScan

HDDScan er et gratis og meget simpelt værktøj, som jeg ofte bruger til at undersøge fysiske fejl på harddiske i Windows.

Seneste nyt
Vigtig information!

Denne side opdateres ikke længere; vi er ved at flytte det bevaringsværdige. Du skal i stedet besøge denne side, som er vores nye hjem.

IT-sikkerhed når du spiller poker

Hvad gør pokersiderne for at beskytte deres spillere mod svindlere og malware - og hvad kan du selv gøre?

Min værktøjskasse: Sysinternals

Værktøjskassen får en opdatering - vi kigger på Sysinternals fra Microsoft, som er en samling af nyttige værktøj.

Min værktøjskasse: PhotoRec

Vi kigger på PhotoRec, der kan bruges til at redde data fra harddisken.

Min værktøjskasse: HDDScan

HDDScan er et gratis og meget simpelt værktøj, som jeg ofte bruger til at undersøge fysiske fejl på harddiske i Windows.