电脑蓝屏

电脑蓝屏 电电电屏百科名片 电电电～又叫电死机屏屏 电(Blue Screen of Death,写电～指的是微:BSoD) 电操作系电在Windows 无法一系电电电中恢电从个 电电所电示的幕电像。来屏 目电电藏[] 引电1 屏解电故? 1. 障电电信息? 推操作荐2 2. ? 电电端口3 3. ? 原理分析到底什电是“电电”,4 ? 1. ? 电什电一定要电“电电”,您5 2. ? 怎电电出“电电”,6 3. ? 电理方法重启7 ? 1. ? 新硬件8 2. ? 新电电和新服电9 3. ? 电电病毒10 4. ? 电电 和硬件兼容性11 5. BIOS ? 运行“12 6. sfc /scannow”? 电电系电日志13 7. ? 电电停机电14 8. ? 最后一次正配置确15 9. ? 安最新的系电电丁和装 16 10. Service Pack? 在不同版本下 电原因屏 windows ? 代电含电和解决代电一电表17 ? 1. ? 相电解方案决18 2. ? 原因分析? 引电解电屏故障电电信息19 ? 1. ? 推操作荐20 2. ? 电电端口21 3. ? 原理分析到底什电是“电电”,22 ? 1. ? 电什电一定要电“电电”,您23 2. ? 怎电电出“电电”,24 3. ? 电理方法重启25 ? 1. ? 新硬件26 2. ? 新电电和新服电27 3. ? 电电病毒28 4. ? 电电 和硬件兼容性29 5. BIOS ? 运行“30 6. sfc /scannow”? 电电系电日志31 7. ? 电电停机电32 8. ? 最后一次正配置确33 9. ? 安最新的系电电丁和装 34 10. Service Pack? 在不同版本下 电原因屏 windows ? 代电含电和解方案决代电一电表35 ? 1. ? 相电解方案决36 2. ? 原因分析? 　　 电电本段引电解电屏[] 故障电电信息1. 　　***STOP 0x0000001E(0xC0000005,0xFDE38AF9,0x0000001,0x7E8B0EB4) 电电电屏 其中电电的第一部分是停机电也就是KMODE_EXCEPTION_NOT_HANDLED ***(Stop Code) 用于电电已电生电电的电型电电第二部分是被括括起的四字集号来个数表示随STOP 0x0000001E, , , 机的电电人电定电的参数电电于普通用电根本无法理解个参数只有电电程序电者或者微电操作系电写(, 的电电人电才懂第三部分是电电名信息第一行通常用电电生电电电的电电程序或者电电来电电信息多数). . . 很电电但停机电可以作电搜索电在微电知电电和其他技电电料中使用 , 推操作荐2. 　　电第二部分是推用电电行的操作信息屏荐有电推的操作电电是一般性的建电荐比如到电售. , (: 商站电网找的更新等有电也就是电示一前电电相电的提示条与当一般电来惟一的建电就是BIOS ); , . , 重启. 电电端口3. 　　电电端口告电用电存电电映像是否到磁电上了内写使用内存电电映像可以定电生电电的性电确电会, , 告电用电电电信息是否被电到一台电电上另以及使用了什电端口完成电次通电不电电里的信息电于普, . , 通用电电来没有什电意电有电保电科可以电利的电到是生电小电的电电哪个会确哪在第一部分明电告是, ., 个文件犯的电但常常也只能电大范电它个概而无法明指明电电所在确由于工全面被迫停止厂, , . , 只有重新整电电工有电那生电小电意电到电电 个会不再重犯但有电仍然电电哄电零件会于是电电厂, , , . , 不得不重电停工定决不能电电示电电信息启并屏或在电行相同操作电再次出电电屏(, ). 电电本段原理分析[] 　　人有的电候都电情电～更何是机器。会况呢有电候也我电电电情电～小电 会跟Windows 电电电屏 是“电用程序遇到电电需 要电电”～不好电可能电搞 您电色看看。但是～电电色 可不是电的白的～而是 一电“电电”～电电电,首您 先～我电介电以下三重个 要的电电, 到底什电是“电电”,1. 　　电里指的就是大家电 常之电“电”、“系电崩电”之电的电西～外人又叫称屏国它。电电的从BSOD(Blue Screen of Death) 角度电～电一电电被定电电“是指当崩电或停止电行;由于电性的电电或者部灾内Microsoft Windows 条运屏件阻止系电电电行下去,电所电示的电色幕”。而我电平常所电的“系电崩电或(system crash)” 者“核电电内抑或“停止电电的电电电电电“程序电电电电。 (kernel error)”(Stop error)”(Bug Check)”电什电一定要电“电电”,您2. 　　一旦遇上系电电崩电～大多的人都以电屏数会不行了所以就电电了～有点罪魁电首Windows 是或者不电强悍、不电电定的意思。可是～在默默地喊知道电,冤您WindowsWindowsWindows要知道～每有核模式电电电电程序或者子系电引电了一非法常～当内个异就面电电电电会个Windows的抉电～电然最电电是电电了崩电～但是电不代表就不能电忽略电常～电电电电电程序或者并它异Windows 子系电电电往下电行。之所以要电电“亡我”～是因电不知道电电电是否能被隔出而它离来从Windows 不电害系电的其程序据～或者电电件是否能电恢电正常～而且～它与数将来深知～电个异Windows常更有可能 来 电电电屏 源于更深电的电电～比如 由于存的常电破内坏 ～(General Corruption) 或者由于硬件电电不能正 常工作。允电系电电电行运 可能电致更多的常～异 而且～存电在磁电或其他 外电中的据可能也数会 遭受破。坏意电到～电电做的电电太大了～电了的程序、据安全完整～电了的电您数与将您Windows 失在第一电电小至最低～减于是忍痛做出了自我电牲…… Windows 怎电电出“电电”,3. 　　系电电电到引电崩电的致命电电电～当自己电行崩电函“数。电函数接受WindowsKeBugCheckEx”一停止代电个～也电电电电电电“称,～以及四根据停止代电解电个来(STOP CodeBug Check Code”的参数下文中有电会例。在电用之后～首先电系电所有电理器上的所有中被断将()KeBugCheckEx 屏将蔽～然后系电电示器切电到低分辨率的电形模式;因电电是所有平台电卡均支VGAWindows持的通用模式,～电制一电色个并跟断帮背景～然后电示此停止代电～且后面电一些电用电电电电有助的电电信息。最后～电用所有已注册数的电电电电程序电电电电回电函电电回电函通电电数KeBugCheckEx(用函数来册注～而电电从运它些电电程序停止行电所支配的电电有KeRegisterBugCheckCallback)(系电据电已电被破得太电重以至于电都电示不出的可能性,。 数构坏屏来 电电本段电理方法[] 　　电信息非常多屏无法在一篇文章中全面电解但他电电生的原因往往 Windows 2K/XP, , 电电电屏 集中在不兼容的硬件 和电电程序、有电电的电件、 病毒等因此首先电大家, 提供了一些常电的解决 方案在遇到电电电电屏电, , 先电照电些方案电行排除～ 下列电正在使用或的用电也有帮助Windows VistaWindows 7. 重启1. 　　有电只是某个程序或电电程序一电犯电重后他电启会改电自新注意此电电第参八章电电电停机电 , .(:新硬件2. 　　首先电电电电新硬件是否插牢电被电多人忽电的电电往往引电电多个会莫名其妙的故障如果确电, , . 没有电电将其拔下然后电个插槽电电并装安最新的电电程序同电电电电照微电站的硬件兼容电电电电网, , , . 一下硬件是否与操作系电兼容如果你没的硬件有在表中那电就得到硬件商站电行电电厂网或. , , 者电打他电的咨电电电. 新电电和新服电3. 　　如果电安完装个某硬件的新电电或安了装个某电件而又在系电服电中它添加了相电电目比如, , (:电毒电件、降温电件、防火电电件等在重或使用中出电了电故障启屏电到安全模式来卸电或禁CPU ), , 用它电. 电电病毒4. 　　比如电冲会波和振电波等病毒有电电致电死机屏因此电电病毒必不可少Windows, . 电电电屏 同电一些木电电电电件也会 引电电屏所以最好再用, 相电工具电行电描电电. 电电和硬件兼容5.BIOS 性 　　电于新的电电电常出装 电电电电屏电电电电并升电到最新版本同电电电其中的存相电电内比如电存和映射另外 电电电电照微, BIOS, , :. 电的硬件兼容列表电电自己的硬件电有就是如果主板无法支持大容量硬电也电致电会屏. , BIOS, 需要电其电行升电. 运行“6.sfc /scannow” 　　行“运来装来电电系电文件是否被替电～然后用系电安电电恢电　　小提示sfc /scannow”. : 的电存和映射电 　　电电映射　　BIOSVideo BIOS Shadowing (BIOS) Shadowing address 映射地址列　　系电电冲　　电ranges() System BIOS Cacheable(BIOS) Video BIOS Cacheable( 电电冲　　电电存电内冲BIOS) Video RAM Cacheable() 电电系电日志7. 　　在电始运行中电入回电出电事件电看器注意电电其中的系电日志和电用-->:EventVwr.msc, "", """程序日志中表明电电的电""". 电电停机电8. 　　把电中屏密密麻麻的文电下来接着到其他电电中上网电入微电帮与网助支持站 E, , 电电电屏 在左上角的搜索知电"( 电中电入停机电如果搜)", 索电果没有适合信息可, 以电电英文知电电在搜索"" 一遍一般情下况会在. , 电里到有用的解案找决例另外在、等搜索引擎中使用电的停机电或者后面的电屏. , baiduGoogle 明文字电电电电搜索往往也有会收电, . 最后一次正配置确9. 　　一般情下况电都是在硬件电电或新屏并装加硬件安电电后电电提供的最后, , Windows 2K/XP"一次正配置确就是解电电的决屏快捷方式重系电启在出电电启菜电电按下电就出电会启高电电电电". , F8 菜电接着电电最后一次正配置确, "". 安最新的系电电丁和装10.Service Pack 　　有些电是屏本身存在缺陷造成的电此可通电安最新的系电电丁和装Windows, Service Pack来决解. 电电本段在不同版本下电原因屏[]windows 　　默电情下～电死机的电示是电况屏或底白或字。电示的信息包(0x01#0000AA)(0x0F#FFFFFF)括了前的存电以及当内很个屏寄存器电。微电公司电有幽默感地加入了一可以电用电自行修改电死机的电置的工具。 　　电电电电微的电件电电出电电～电然程序当依然可能崩电～但由于新系system.ini 电中更好的存内并会个真屏管理～电似电电不电害到整操作系电。在电些系电中～“正的”电死机只在整操作系电崩电电才出电。 　　电死机最个会屏早出电在中。外～在微电另游电主机 Windows 2.0 出电的面不是电色～而是电色。 　　电于画的死机～电死机;屏XBOX Windows VistaRed screen ～电写,有可能取代部分电死机～成电“正的”死机;屏当真of deathRSoDReally Bad ,提示面。 画Errors 电电本段代电含电和解方案决[] 代电一电表1. 　　不正的函。 　　确数系电不到指定的案。 　　找档1 0×00000001 2 0×00000002 3 系电不到指定的找径路。 　　系电无法电案。 　　启档0×00000003 4 0×00000004 5 拒电存取。 　　无效的代电。 　　电存体区控制电已毁。0×00000005 6 0×00000006 7 0×00000007 　　电存体空电不足无法电理电指个令。 　　电存体区控制电地址8 0×00000008 ,9 0×00000009 无效。 　　电境不正。 　　确电电加电一个格式电电的程序。 10 0×0000000A 11 0×0000000B 存取电电电。 　　电料电电。 　　电存体空电不电无12 0×0000000C 13 0×0000000D 14 0×0000000E ,法完成电电作电。 　　系电不到指定的磁电电电器。 　　找无法移除15 0×0000000F 16 0×00000010 目电。 　　系电无法案将档它移到其的磁电电电器。 　　没有任何17 0×00000011 18 0×00000012 档案。 　　电存媒体写状电保电电电。 　　系电不到指定的置。找装 19 0×00000013 20 0×00000014 装尚置未就电。 　　装置无法电电指令。 　　电21 0×00000015 22 0×00000016 23 0×00000017 料电电 　　程序电出一电度电电的指个令。 　　(cyclic redundancy check) 24 0×00000018 25 磁电电电器在磁电不到 找区持定的扇或磁道。 　　指定的磁电或磁电0×00000019 26 0×0000001A 无法存取。 　　磁电电电器不到要找区求的扇。 　　打印机没27 0×0000001B 28 0×0000001C 有电。 　　系电无法电料将写入指定的磁电电电器。 　　系电无法电29 0×0000001D 30 0×0000001E 取指定的置。 　　装电接到系电的某个装没置有作用。 　　31 0×0000001F 32 0×00000020 　　The process cannot access the file because it is being used by another process. 33 档份案的一部被电定电在无法存取。 　　磁电电电器的磁电不正。电确0×00000021 ,34 0×00000022 将,,插入磁电机,。 　　电的分启档数享案量2 (Volume Serial Number: 3) 136 0×00000024 太多。 　　到案电达档尾。 　　磁电已电。 　　38 0×00000026 39 0×00000027 50 0×00000032 不支持电电电要网求。 　　电程电算机无法使用。 　　网称电名重电。51 0×00000033 52 0×00000034 　　网径找电路不到。 　　网电忙碌中。 　　53 0×00000035 54 0×00000036 55 0×00000037 　　The specified network resource or device is no longer available. 56 0×00000038 The network 　　网卡电配接电生电电。 　　BIOS command limit has been reached. 57 0×00000039 58 指定的服电器无法电行要求的作电。 　　网电电生意外电电。 　　0×0000003A 59 0×0000003B 60 电程配接卡不兼容。 　　打印机电列已电。 　　服0×0000003C 61 0×0000003D 62 0×0000003E 电器的空电无法电存等候打印的案。 　　档等候打印的案已电电档除。 　　63 0×0000003F 64 指定的电名无法使用。 　　网称拒电存取网电。 　　0×00000040 65 0×00000041 66 网电电源电型电电。 　　网称找电名不到。 　　超电区0×00000042 67 0×00000043 68 0×00000044 域电算机电配网卡称接的名限制。 　　超电电 网作电电段的限制。 　　69 0×00000045 BIOS 70 电程服电器已电电停或者正在起始中。 　　由于电机目已上数达限此0×00000046 71 0×00000047 ,电无法再电机到电台电程电算机。 　　指定的打印机或磁电置已电电停作用。装 72 0×00000048 档案已电存在。 　　无法建立目电或案。 　　档80 0×00000050 82 0×00000052 83 0×00000053 失电 　　电理电电要求的电存无法使用。 　　体近端置装INT 24 84 0×00000054 85 0×00000055 名已电在使用中。 　　称指定的电网密电电电。 　　参数电电。 86 0×00000056 87 0×00000057 网写电电生电料入电电。 　　此电系电无法电行其行程。 它88 0×00000058 89 0×00000059 相电解方案决2. 　　使用出电电色幕是电常的屏清来装事～而且每每因电不楚电电的源而电繁重新安系电～windows 电神电电。下列收集了一些死机密电～供大家参考。 windows 、　　?电电分析主要是由电电的电电程序、有缺陷10x0000000A:IRQL_NOT_LESS_OR_EQUAL : 或不兼容的硬件电件与造成的从技电角度电表明在内核模式中有电电电程电求电电其有电没. . (IRQL)限电电的存地内址　　?解方案决电用前面介电的解方案中的决、、、、方案电电排除. :23589. 、　　?电电分析如果遇到电电电信息个那电不很幸电20x00000012:TRAP_CAUSE_UNKNOWN :, , 电分析的电果是电电原因 　　未知　　?解方案决既帮然微电都不上忙就得靠KeBudCheck. :, 自己了电仔电回想电电电是什电电候出电的个第一次电生电电系电做了你哪些操作电生电正在电行什电操, ; ; 作从找电些信息中出可能的原因从决而电电相电解方案电电排除. , . 、　　?电电分析电存个内管理电电往往是由硬件引30x0000001A:MEMORY_MANAGEMENT : 起的比如新安的硬件、存本装内身有电电等　　?解方案决如果是在安装电出电, : . :Windows, 有可能是由于的电电不到安你达装的最小存和内磁电要求Windows. 、　　?电电分析内核电电到一40x0000001E:KMODE_EXCEPTION_NOT_HANDLED :Windows个非法或者未知的电程指令～电停机电一般是由电电的存或是前面个内与相似的原0x0000000A因造成的　　?解方案决　　硬件兼容有电电电电照前面提到的最新硬件兼容性列表电看. : (1):, 所有硬件是否包含在电列表中　　有电电的电电电电、系电服电或存内冲断冲突和中突如果在电屏. (2): 信息中出电了电电程序的名字电电着在安模式或者故障恢电装控制台中禁用或电除电电程序并禁用, , 所有电安的电电和电件装如果电电出电在系电电电程中启电电入安全模式将屏电电信息中所电明的文件. , , 重命名或者电除　　如果电电信息中明指出确很有可能是第三方电程控制电件. (3)Win32K.sys: 造成的需要故障恢电从将控制台中电电电件的服电电电　　在安装后第一次重电出启, . (4)Windows电最大嫌疑可能电系电分的磁电区空电不足或兼容有电电　　如果是在电电某个电件电出电的:BIOS. (5):很有可能电电件本生存在电电缺陷电升电或电电卸它　　、, . 50x00000023:FAT_FILE_SYSTEM 　　?电电分析通常电生在电写或者0x00000024:NTFS_FILE_SYSTEM :0x00000023FAT16 文件系电的系电分电区而电是由于文件出电电电电电电文件的作用是个FAT32, 0x00000024NTFS.sys( 容电系电电使用 写文件系电的磁电电电电电电有可能是磁电本两个屏很坏身存在物理电电或是中.(NTFS). , 断要求封包电而电致的坏其他原因电包括硬电磁电碎片电多文件电操作电于电写繁并数且据(IRP). :; , 量非常大或者是由于一些磁电电像电件或电毒电件引起的解方案决　　第一步首先打电命令. ?: :行提示符运行注不是感电象电个但是电所指的容是不一电的它内命, "Chkdsk /r"(:CHKDISK, , )令电电并修电硬电电电如果电告存在道坏电使用硬电商提厂供的电电工具电行电电和修电, (Bad Track), . 第二步接着禁用所有使电即描文件的电件比如电毒电件、防火电或电份工具　　第三步右电:, :. : 文件电电并属性电看其版本是否前系电所使用的与当C:\winnt\system32\drivers\fastfat.sys"", 版本相符合注如果是电电是　　第四Windows.(:XP, C:\windows\system32\drivers\fastfat.sys) 步安最新的装主板电电程序特电电电如果你的光电、可移电存电器也提供有电电程序最好将它:, IDE. , 电升电至最新版　　、　　?电电分析电电电电生的原因电个很. 60x00000027:RDR_FILE_SYSTEM : 判断不电内很会个存管理出了电电可能电致电停机电的出电　　?解方案决如果是内, Windows. :存管理的电故通常增加内会决存解电电　　、　　?电电分析, . 70x0000002EATA_BUS_ERROR :系电存存电器内奇偶校电电生电电通常是因电有缺陷的存内包括物理存、二电电存或者内电卡电存电电电, ()电电程序电电不存在的存地内址等原因引起的另外硬电被病毒或者其他电电所电电以出电电停机电个. , , 　　?解方案决　　电电病毒 　　使用命令电电所有磁电分区　　用 : (1)(2)"chkdsk /r". (3) 等存电电电件电电存内内　　电电硬件是否正安确装比如是否牢固、金手指是否有电Memtest86. (4), : 电　　、　　?电电分析从字面上理解电. 80x00000035:NO_MORE_IRP_STACK_LOCATIONS :, 电电电电程序或某些电件出电堆电电电其电电故障的正原因电电电电电程序本生存在电电个真或是存有电内量. , 电电　　?解方案决电使用前面介电的常电解方案中电电程序和存相电的方案电行决与内排除. :. 、　　?电电分析一系电存个与内管理相电的电电比如90x0000003F:NO_MORE_SYSTEM_PTES :, :由于电行了大量的电入电出操作造成存内管理出电电电有缺陷的电电程序不正地使用存电源确内/, : ; 某个电用程序比如电电件份被分配了大量的核存等内内　　?解方案决卸装电所有最新安(:). : 的电件特电是哪些增强磁电性能的电用程序和电毒电件和电电程序(). 、　　?电电分析通常是由硬件电电100x00000044:MULTIPLE_IRP_COMPLIETE_REQUESTS :程序引起的　　?解方案决卸装电最近安的电电程序电故障个很少出电目前已电知道的是在. :. , , 使用 电家公司的某些电件电出电会其中的罪魁就是文件作者电道不怕嘛吃官司把, Falstaff.sys.(, 公司址公布网　　、　　?电电分析) 110x00000050: PAGE_FAULT_IN_NONPAGED+AREA :有电电的存内包括物理存、二电电存、电存内、不兼容的电件主要是电程控制和电毒电件、电的坏()() 卷以及有电电的硬件比如插卡坏本身已电等都引电电电电会个　　?解方案决电使用NTFS(: PCI). :前面介电的常电解方案中存、电件、硬件、硬电等相电的方案电行决与内排除　　如果电电中安有装. ;或是用的电电,也可以在命启令模式下直接电除电的电面文件。 maxdosmaxdosC 、120x00000051:REGISTRY_ERROR 　　?电电分析电停机电电明个注册表或系电配置管理器出电电电由于硬电本身有物理电或文件系坏:, 电存在电电从册而造成在电取注文件电出电电入电出电电　　?解方案决使用电电并修电磁, /. :"chkdsk /r"电电电　　、　　?电电分析电明在容电集的主电电电生. 130x00000058:FTDISK_INTERNAL_ERROR : 电电　　?解方案决首先电电重电电看是否能解电电启决如果不行电电电最后一次正配置确电行. ? :, , ""解决　　、　　?电电分析某个非常重要的系电. 140x0000005E:CRITICAL_SERVICE_FAILED : 服电电电电启造成的　　?解方案决如果是在安了装个某新硬件后出新的可以先移除电硬件. :, , 并网它与通电上列表电电是否兼容接着启电电电如果电电是出电屏电使用最后一Windows 2K/XP, , , "次正配置确来启电如果电电电是失电建电电行修电安或是重装装"Windows, , . 、　　?电电分析电电电通常出电在个150x0000006F:SESSION3_INITIALIZATION-FAILED : 启电电一般是由有电电的电电程序或电的系电文件引起的坏　　?解方案决建电使用Windows, . : 安装装光电电系电电行修电安　　、Windows. 160x00000076ROCESS_HAS_LOCKED_PAGES ?电电分析通常是因电某个电电程序在完成了一次电入电出操作后没确内有正电放所占有的存 :/, ?解方案决　　第一步点电电始运行找到: :-->:regedt32, [HKLM\SYSTEM\Currentcontrol 在右电新建字电电双电电set\control\session manager\memory management], "TrackLockedPages", 1. 电电便会跟哪个在电电再次出电电踪到是电电程序的电电第二步如果再次出电电屏那电电电信息Windows.:, 会电成:STOP:0x0000000CB(0xY,0xY,0xY,0xY)DRIVER_LEFT_LOCKED_PAGES_IN_PROCESS 其中第四个会电示电电电电电程序的名字接着电其电行更新或电除第三步电入注册表电除添加"0xY", .:, 的　　、　　?电电分"TrackLockedPages". 170x00000077:KERNEL_STACK_INPAGE_ERROR 析电明需要使用的核据有在电存或内数没虚内内找物理存中电到电电电常常是磁电有电电个相电数:. , 据电或受到病毒坏侵电　　?解方案决使用电毒电件电描系电使用命令电电并修电磁电电. :; "chkdsk /r"电如不行电使用磁电商提厂供的工具电电修电, . 、　　?电电分析电电电往往是电电存中的个虚内180x0000007A:KERNEL_DATA_INPAGE_ERROR : 内数内核据无法电入存造成的原因可能是电存电面文件中存在电虚内坏簇病毒、磁电控制器出电、. 内存有电电　　?解方案决首先用升电电最新病毒电电毒电件电电病毒如果信息中电有. :, 或代电那电表示是坏簇造成的并且系电的磁电电电工具无法自电修电电0xC000009C0xC000016A, , , 电要电入故障恢电控制台用命令电行手电修电"", "chkdsk /r". 、　　?电电分析在电电程中无法电电启190x0000007B:INACESSIBLE_BOOT_DEVICE :Windows系电分或电区启卷一般电生在更电主板后第一次电电启主要是因电新主板和旧主板的控制器. , IDE 使用了不同芯片电造成的有电也可能是病毒或硬电电电所引起的　　?解方案决一般只要用. . :安装启光电电电电然后电行修电安可解电电装即决电于病毒电可使用版的电毒电件电行电电有, . DOS ( 版下电如果是硬电本身存在电电电其安到其他电电中将装然后使用来电电kv2005DOS). , , "chkdsk /r"并修电磁电电电　　、. 200x0000007E:SYSTEM_THREAD_EXCEPTION_NOT_HANDLED ?电电分析系电电程电生电电但电电电理器无法捕电其电生原因多很包括硬件兼容性、有电电:, Windows. , : 的电电程序或系电服电、 或者是某些电件　　?解方案决电使用事件电看器来电取更多的信息. :"", 从中电电电电根源电电好像不是解决哦看电里大家要自来力更生了.(, !) 、　　?电电分析一般是由于有电电的210x0000007F:UNEXPECTED_KERNEL_MOED_TRAP : 硬件比如内存或某些电件引起的有电超电也电生电电电会个　　?解方案决用电电电件比(:). . :(如电电存内如果电行了超电电取消超电将硬件插卡从插来主板槽拔下或更电插:Memtest86), , . PCI, 槽另外有些主板比如主板在电行超电后南电芯片电电也电致电会屏此电电电芯片电独增. , (:nForce2), , 加散电片往往可以有效解电电决　　、　　?电电. 220x00000080:NMI_HARDWARE_FAILURE 分析通常是有硬件引起的似乎电硬件电电有不解之电屏与　　?解方案决如果最近安了装:.() : 新硬件电其将移除然后电电更电插装槽和安最新的电电程序如果升电了电电程序电恢电后原的版来, , , , 本电电存内坏金手指是否有电染和电电描病毒运行电电并修电磁电电电电电所有硬件插卡; ; ; "chkdsk /r"; 已电插牢如果以上电电都无效果就得电电的电电电找帮修公司电求助了. , . 、　　?电电分析内核电电用230x0000008E:KERNEL_MODE_EXCEPTION_NOT_HANDLED :程序电生了电电但电电电理器有没捕电通常是硬件兼容性电电　　?解方案决升电电电程, Windows. . :序或升电　　、　　?电电分析通常是BIOS. 240x0000009C:MACHINE_CHECK_EXCEPTION :硬件引起的一般是因电超电或是硬件存在电电内存、、电电、电 　　源　　?解方案决如果. (CPU). :电行了超电电降下原电来率电电硬件, CPU, . 、　　?电电分析往往电源有电系与常常电生250x0000009DRIVER_POWER_STATE_FAILURE :, 在电源相电的操作与比如电机、待机或休睡　　?解方案决重系电装如果不能解决电更电电源, :. :, , .　　、　　?电电分析通常是因电主板不能全面支 260x000000A5:ACPI_BIOS_ERROR :BIOS持电范　　?解方案决如果没有相电升电那电可在安装电当出ACPI. :BIOS, Windows 2K/XP, 电提示电按下电电电"press F6 if you need to install a third-party SCSI or RAID driver", F7, Windows 便会装自电禁止安而安 装ACPI HAL, Standard PC HAL. 、270x000000B4:VIDEO_DRIVER_INIT_FAILURE　　?电电分析电停止信息表示个因电不能电电电电电启卡从而无法电入电形界面通常是电:Windows, . 卡的电电或者是存在电的硬件电与卡冲突比如与并冲行或串行端口突　　?解方案决电入安, (:). :全模式电看电电是否解决如果可以电升电最新的电电电程序卡如果电不行电可能是电行端很卡与并, , , , 口存在冲突需要在安全模式按下电合电打电系电性属在硬件电电管理器中到找, WIN+break"", --> 并双电电接打印的端口的电电在电源电电中卡取消使用自电配置的勾电然后将电入电出范LPT1, """", "/电的改电""03BC""0378". 、280x000000BE:ATTEMPTED_WRITE_TO_READONLY_MEMORY　　?电电分析某个电电程序电电向只电存内写数入据造成的通常是在安了新的电电程序装系电服:. , 电或升电了电电的固件程序后　　?解方案决如果在电电信息中包含有电电程序或者服电文件名称. :, 电根据电信息新安的电电程序或电件电或个将装卸禁用. 、　　?电电分析一核电的电程或电电程序电电地电电电个内内入290x000000C2:BAD_POOL_CALLER : 存操作通常是电电程序或存在的电件造成的　　?解方案决电参决考前面介电的常电解. BUG . : 方案相电电目电行排除. 、300x000000CERIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERATIONS ?电电分析通常是由有电电的电电程序或系电服电造成的　　?解方案决电参决考前面介电的常电解:. : 方案相电电目电行排除　　、　　?电电. 310x000000D1RIVER_IRQL_NOT_LESS_OR_EQUAL 分析通常是由有电电的电电程序引起的比如电技鼠电的和版电电程:(Logitech MouseWare 9.109.24序引电电故障会个同电有缺陷的存、 电的电电存文件、 内坏虚内某些电件比如多媒体电件、电毒电件). ,( 电电件、份播放电件等也电致电电电会个　　?解方案决电电最新安或装升电的电电程序如果电DVD). :(屏中出电等电似文件名可以非常肯定是电电程序电电和电件电电存是否存在电电内电入故"acpi.sys", ); ; "障恢电控制台电到电电存电面文件虚内所在分区电行命令将电面文", Pagefile.sys, "del pagefile.sys", 件电除然后在电面文件所在分电行区命令电入后重新电置电电存虚内如果在; "chkdsk /r";Windows.上电遇到电电电网个屏而你数恰恰又在电行大量的据下电和上电比如网电游电、下电那电电电是网, (:BT ), 卡电电的电电需要升电其电电程序　　、, . 320x000000EA:THREAD_STUCK_IN_DEVICE_DRIVER ?电电分析通常是由电或电电电程序引电的卡卡　　?解方案决先升电最新的电电电卡如果不行电:. :, , 需要更电电电电故障是否卡依然电生　　、. 330x000000ED:UNMOUNTABLE_BOOT_VOLUME ?电电分析一般是由于磁电存在电电电致的有电也建电电电硬电电电是否接触不良或是有使用没合乎电:, , 硬电电电电格的电接电例如仍使用的电接电电低速硬电无所电但高速硬电支持, ATA-100ATA-33, , ( 以上的要求电电格电格不电的电电有电也引起电电电法电机的故障会没如果在修电后电是电常ATA-66), . , 出电电电电个很坏可能是硬电电的前兆　　?解方案决一般情下况重解电电启会决不管怎电电都, . :, , 建电电行命令来电电修电硬电 　　、"chkdsk /r"340x000000F2:HARDWAREINTERRUPT_STORM ?电电分析内断核电电电到系电出电中电电比如某个没断电电在完成操作后有电放所占用的中通常电:, :. 是由缺陷的电电程序造成的　　?解方案决升电或电最新安的硬件电电程序卸装. :. 、　　?电电分析通常表示某个坏文件电失或已电电350x00000135:UNABLE_TO_LOCATE_DLL :,或者是注册表出电电电　　?解方案决如果是文件电失或电坏在电信息中通常电示相电的文屏会 . :, 件名你网找可以通电电或是其他电电到相电的文件并将其电制到系电文件电下的子文, , SYSTEM32件电中如果没有电示文件名那就有可能是很册坏注表电电利用系电电原或是以前的注册份表电电. , , 行恢电　　、　　?电电分析用. 360x0000021A:STATUS_SYSTEM_PROCESS_TERMINATED :电模式子系电例如或客服服电行电子系电;运,已电坏所以无法再保电安全性, WinlogonCSRSS, , 电致系电无法电启有电当号系电管理电电电地修改了用电电电限电致其无法电电系电文件和文件电. , , . ?解方案决使用最后一次正的配置确如果无效可使用安装装光电电行修电安:"", , . 、　　?电电分析通常是37STOP 0xC0000221 or STATUS_IMAGE_CHECKSUM_MISMATCH :由于电电程序或系电文件电坏造成的一般情下况在电中出电 　　文件名 　　屏会称 DLL . , .sys文件～ 　　将其重命名～如,～ 　　重。启 3. XXXintelppm.sys4. ----------------------------------------------- 电电本段原因分析[] 　　以下情引电系电电崩电, 　　电 况会屏、行在核模式下的电电电电程序或者操作系电函运内数1 引电了一个异内写个个当未被电理的常～比如存电电电例;由于企电一只电电面或者企电电一前未被映射的存地内址即无效地址而引起,。 　　电 、电用一核个内支持例程电致了重新电度～比()2 如中电当断求电电电电电或更高电电电等待一电电电需要等个待的电度电象。 　　电 (IRQL)DPC/Dispatch 、在电电或更高的电电电由于据存在于电面文件或存映数内射文件中而电生了3DPC/DispatchIRQL 电面电电。;电要将内个求存管理器必电等待一操作电生。但正如上面一电所电～在(Page Fault)I/O 电电或更高电电上不能电电行等待～因电那要将求一次重新电度,。 　　电 、当DPC/DispatchIRQL4电电到一部电表明据已遭受破或者在保电据不被破的情下系电无法电电电行电～电电个内状数坏数坏况 电电程序或操作系电函明地要数确数求系电崩电;通电电用系电函,。 　　电 、电生KeBugCheckEx5硬件电电～比如电理器的电算机电电常异功能电告有常或者电生不可异屏断蔽中(Machine Check) 。 　　在了解以上三点知电之后～相信电您的大无畏电牲精神会会有所电电～也(NMI)Windows 原电的“电电”了。其电～在电大多情下它数况均是第三方电电电电程序电致了的崩电。电于Windows 用电提交电微电在电崩电分析站点Windows XP(Microsoft OCA, Microsoft Online Crash Analysis) 的存电电文件～微电电引起崩电的原因电行了电电分电～如下电所示,;据于内数年月份生20044成,。 　　然既向我电露出了无奈的“电电”～我电就电电打破沙电电到底～尽将早引电系Windows 电崩电的罪魁电首电拿电案～电我电的系电早日康电。下面～我电看看来想通电电电“电电”告电我Windows电些什电。 　　如上电所示～电是一电电示了所有的电电像。然～我电所遇到的电电像之参数屏当屏与 可能存在差异它～比如少了一些信息等～但是大致是相同的～我电就以电例电行全面地电述。 首先～我电看看电中用字数电注的区域～电里列出了电电电函的停止代电和四数1KeBugCheckEx个参数。此电中的停止代电电～四电后面括的用个参数号内号逗分隔的四段电制0x000000D116数来来数字～接下～我电看看电中用字电注的区域～电里电示的是电停止代电电电的20x000000D1英文解电～最后～我电看看电中用字数电注的区个区当当个参数域～电域且电停止代电的四中的3 一个参数会内包含了操作系电或电电电电程序代电的地址电才电示～电示的容电、电地址所电模电的基地址以及日期戳。如此例中～电电电电电程序的文件名电“。 　　电些信息电我电排电有何作myfault.sys”用,如呢区果上电中的域出电了～那是最好的电果了～因电您——直接就看到了罪魁电首3 “文件。但是～区域往往是不出电的～那电我电就要在的在电帮助和支myfault.sys”3Microsoft持中电电停止代电等信息或者使用我电的利器找——电行手电分析了。者推后者～因电同笔荐WinDbg 一停止代电可能由个并称各电各电的电电程序电电造成～得到了停止代电不等于得到了电电文件名～另帮外～微电的在电助和支持中不是所有的电电都能电搜索到～而正好克服了电两个弱WinDbg点～直接能电出罪魁电首文件～电痛抓您将快其电首。 　　是免电电件～其微电官方下电地WinDbg 址考参体电展电电～具电目电。 　　使用Install Debugging Tools for Windows 32/64-bit Version 分析崩电电的存电电文件的前提是要电系电在崩电电自电生成一存电电文件～做法如内您个内WinDbg 下, 　　、电电电始～然后电电行。 　　运、电入 　　电制代电 　　～然后电电12control sysdm.cpl 确您将会属卡定。打电系电性～电切电到高电电电。电果如下电所示, 　　、在高电电电上～在电和卡启3 故障恢电部分中电电电置。电将启框打电电和故障恢电电电～如下电所示, 　　、在写入电电信息列表中～4 电电“小存电电内或“核心内将会内存电电”～电电系电在崩电电自电生成电电的存电电文件。如果(64 KB)” 您屏清它您启清不想电电只电电一下～而是想看楚直到手电重新电电算机～电除系电失电部分中自电重 新电启电目前的电电。然后电电定。 　　框确、在电和故障恢电电电中～电电定。 　　启框确、电电确(R)56定电电系电性电电。 　　属框、在系电电置更改电电中～如框即启果要立重新电电算机～电电电是～如果7 要稍后重新电电启算机～电电电否。 　　注,电 　　用电电电似操作。电 电于原版操作系电～以上Vista 电置是默电的除了禁止自电重新电启。电 电于第点中的写内参入电电信息列表容～电电出以下照电电,()4 　　;以上三电电电文件的大小依次增大～电于三者的比电不在本文电电范电之～者电推电置内笔荐电“小存电电”或者“核内内内心存电电”～一般性电电“小存电电”就足电了～如不能完好分析电电电“核心内数丰您内笔荐存电电”。电了据的富性～也可以直接电电“核心存电电”～但者强烈不推完全存电电。, 　　电得内确内您启虚内注意的是～电了保崩电电自电生成存电电文件～可能电电用电电存电面文件。特电地～电电电电核当您内您启虚内心存电电电～必电用电存电面文件～而且由于核内心电存电电文件的大小取决内内数于电机器上操作系电和所有活电电电程序已电分配的核模式存的量～因此没很来内有好的电法电电核存电电的大小。下表电电出电情下的内况参虚内考电电存大小电置电, 另内外～除了电面文件占用的磁电空电～存电电文件的生成位置所在的磁电电要有足电的空(*.DMP) 电空电提来个会取电电电文件～否电一电“生成不了”电电上是电失了。 　　电置好电些之后～一旦您() 的系电电生电崩电～系电就在以上电置中电中的相电存电电文件电型下电电的目电电生成电电文件。屏会内您 所要做的就是立刻拿出利器电——启电行分析。 　　者在笔将个此电合一电例电行电电电明～WinDbg 电程中包含了电电电用到的一屏将些命令～电些命令不再电外整理～电于电电电程中注意电电。 WinDbg 首先～要配置您将号要使用的电电符文件的位置。什电是电电符号呢文件,WinDbg(Symbol File)符号随文件文件或者文件建立电电生～提供包含在可电行文件和电电电接电 中的DLLEXE(DLL) 函的数号达数当占位空电。此外～符文件电可以表示到失电点的函电用路电电。我电使用各电 工具电电电用程序电～必电电有符号确信息～电电才能正分析出电电根源。那我电电如何电置电电Microsoft 符号呢既从网号文件的位置,我电可以微电官下电完整的符文件包同位于下电电面～(WinDbg)也可以使用微电的符号文件服电器。者推后者～因电一次分析所笔荐(Microsoft Symbol Server)要用到的符号几个既文件局限于有限的而已～使用后者可以电程序自电下电～电省电电～又可以确号并确保符文件是最新的且是正的。在中点电“菜电～电电“WinDbgFile”Symbol File Path ～在打电的电电中电框入 　　电制代电 　　后点电“按电可。然～电有一即当步就是再次点…”OK” 电“菜电～电电“来当号您保存前的电置。 　　电置了符文件之后～就可以电File”Save Workspace” 行存电电文件的分析了。同电点电“内菜电～电次要电电“～然后通电文件File”Open Crash Dump …”打电电电框内内打电生成的待分析的存电电文件。本例中电置的是核心存电电电型～于是电电定位至“即系电电文件电下～打电文件。但是者已电笔事先%SystemRoot%”(Windows)MEMORY.DMP 将其电移至“～因此在后电的电片中～看到的是电地您个址。E:\Memory Dump\MEMORY.DMP” 此电会并会挂从号电电电示一些信息且稍有起的感电～直到微电符文件服电器下电完分析电WinDbg 个号个窗崩电文件所需要的所有符文件。 　　在上电中～我电看到就是电打电的电电器命令口 已电将号符文件加电完电～待命～我电先看看位于底部的区域(Debugger Command Window)() ～电小的电方就是个条的命令电入电～又分电它两个区域～左电电示6WinDbg(Command Entry)“的是提示～区区区当个窗号尚右电空白是命令电入。电打电电口而符文件未下电加电完电电～0: kd>”/提示区会区将域什电都不电示～而命令电入域电示“。直到符加号电完电～Debuggee not connected”窗口中电示出最后一行“才电电会状状它将与空电电。在空电电电～电示电上Followup: MachineOwner”电中电似的模电。电什电电电似呢个,因电电空电待命提示根据电电电型、电算机电理器硬件配置不同～比如此例中～电行的是核电电～于是电示“内～系电电多核电理器～因此在“kd>”(kernel debug)()kd>”之前电电示一“个～表明前当号位于电电的电理器。在电行了某个命令之后～如果命令需要电0:”0 理的任电电多如“～提示区将状域电示电忙碌电的“～一旦电示电电电～个状(!analyze -v”)*BUSY*”您会即状区不电电入什电命令都不立电行～而是等待电电空电电电延电电行。 　　如上电所示～电中域1电电示将个内区打电的电存电电文件的物理路电～域电电示的电是前当号加电的符文件的位置～本例2 中表明是微电服电器下电从区～域共有三行～电示的电系电信息～第一行表明了系电电3Windows ～核版本电内～多电理器电～位～第二行表明了系电电型电系电～客电端系电～XP2600(SP3)(2)32NT第三行表明系电的电电版本电电～域区共两内行～第一行表明电存电电文件生成的电电～也就是系电4 崩电的具体电电～本例中电是去年月得到的一崩电电电文件～电用作本个例电行电明电星期六(12) ～月日～～年～格林尼治电准电电电八区～第二行电示(Sat)12(Dec)2722:56:31.0622008(GMT+8)的是崩电电自系电电以～系电启来运共行了天小电分秒。区域是电电的电电信息～很它04515.7975 的第一行电在加电符号它文件遇到电电电电示～此例中～告电我电“电于文件～模电已电BaseTDI.SYS加电完电但却不能电电其加电符号确号径文件”～如果之前配置了正的符文件路～电就告电我电 不是微电公司的文件～而是第三方电电程序文件～电可能是引起电电的原因～电得很BaseTDI.SYS 电注但电电一步分析。区域的第二行是自电分析的电果～告电我电～引起崩电的原因它5WinDbg 很可能是文件。一般情下～电就是引起电电的罪魁电首了～况(Probably caused by:)HookUrl.sys 但是也有不少的例外～最典型的就是电示一微电自己的文件在个您此电～可要注意了～电了避免枉电无辜～最好电一步分析看看都有来哪扯些模电电在崩电的最后一刻～电电就能电保电电判无电了,电一步分析的命令可以“从电始。 　　我电可以在命既区令电入域手电电入命令 　　!analyze -v”! 　　电制代电 　　～也可以在上电中的区域所示位置电电电色的电命个令。之后～提analyze -v 7 示区将域电示电“～将将并状分析一段电电直到电果电示完电再次电电空电电。下面我*BUSY*”WinDbg 电根据一电例电电电电行“后电示的各电电果, 　　电电自电的分析～可能电示上会!analyze -v”WinDbg 电中区域电所示第一行的电电电电电明～而第二行电电出了电电的解电～电从1(Bug Check Interpretation)中信息看得出～此例电电由于“电电程序在电列工作电目完成之前电”卸个造成的。电“就电电是电示DRIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERATIONS” 在电上方的电电电明字电～后面的屏就是电电停止代电后面的四。电中屏个参数区域Arguments1~42所示的是中分了电电的电电电电的一电～此例中电～也BUGCHECK_STRWinDbg(Bug Check)0xCE是停止代电的分电电～我电在命写区令电入电行 　　　　电制代电 　　命令～可以得到.bugcheck 停止代电及其～电和上电的参数区域、电上的信息是一致的。本屏例中可以得到如下电果, 1 　　　　0: kd> .bugcheck Bugcheck code 000000CE Arguments bacb0a4e 00000008 bacb0a4e 　　我电在电前电上“就可以得到电上的信息“屏00000000 Bugcheck code0x”***STOP: 。然～电于电电电如当个您果想了解更多～0x000000CE (bacb0a4e, 00000008, bacb0a4e, 00000000)” 一是可以在微电在电个帮网助和支持站上搜索字符串“～再就是可以利用上电中0x000000CE”区域的电“电行 　　　　电制代电 　　命令～2BUGCHECK_STR0xCE”.hh bug check 0xCE 在打电的口窗左电右下角点电“按电。如果要在中电示一停止代电或者电电电电电的个Display”WinDbg 电电电明以此电电电例～电入命令 　　　　电制代电 　　或者 　　()!analyze -show 0x000000CE ! 　　电制代电 　　～也可以是 　　　　电制代电 analyze -show 000000CE !analyze -show 0xCE 。区域中电示的就是二电判决——框内的重要信息电程堆电信息。特电注意电色的部分～第一行是3 “意思就是WARNING: Frame IP not in any known module. Following frames may be wrong.” “警告,堆电电～电电理器～用于定电的决堆电回朔的指令指电不存在于任何IP(InstructionPtrx86)已知的模电中～下面的电可能出电电电”。电意思的解电已个笔超出本文电电范电～者电告电大家～电行文字下面的一行右电的模电是系电电崩电电屏个刻使用的最后一模电除了内核最后电用(Windows 电牲自己～就是警告文字上方的三行～往往就是引起了崩电它来,我电电看。大KeBugCheckEx) 家如果了解了堆电的据电或是数构内存分配机制就电电知道～电 电程分配电外WindowsWindows内从区存电是高地指向低地址电行的～就是电～电色域中的堆电信息我电得倒电由下往上看～来3 电电才是系电崩电之前的一刻内数况内体核电函的电用和电电情～比如此例～系电核电行即(nt!, 通电函数电用了～然后又电用了Ntoskrnl.exe)IopfCallDriverBaseTDIBaseTDI 字电表示未加电～再然后就电了。那电在电最后一屏两个刻就涉及到了非HookUrl.sys(Unloaded_) 内——核的模电以及。之所以要电行电“二电个决判”～就是要避免WindowsBaseTDIHookUrl.sys 一电情况——万一与是自来两个两个公司或者电件的模电～而最后加电的HookUrl.sysBaseTDI 是有电电的～出电是因电没电电电了格式电电或者已被破的、或坏HookUrl.sysBaseTDIHookUrl.sys 者非法的信息～参数接受此无效数据而引电了崩电。如果我电不看电程电～就根据之HookUrl.sys 前的“,电行判决很遥～我电有可能枉电无辜而电凶手逍法外。只Probably Cause byHookUrl.sys” 有通电电程电我电才能电电一电电程序另个也被电电电。来在电用程序崩电不致系电崩电的电电分析BaseTDI( 中～由于电于用电电～自电分析电果中的“,”几乎都是电电的。在电电情WinDbgProbably Cause by况下～使用命令是不能电示出任何信息的～因电电命个内令电电核电的崩电电电有效～然而!thread 命令也电示不出有用的信息～只有用“来电示电电的全部电程电才可能电电电电根源～有的电kb~*kb” 候电需配合其他命令～本文不作电电　　然～如当您没果熟电以后～电得有必要使用“) !analyze 命令的电～可以直接使用 　　　　电制代电 　　或者 　　　　电制代电 　　命-v”!thread kb 令电示出核心的电程电信息二电来决判。电在好了～犯罪嫌疑人目电电定在和BaseTDIHookUrl.sys身上。电在～我电看看电来它哪个哪个究竟是什电、是公司、程序的模电。从从之前不能电自电微电服( 电器电他电加电符号它文件就可以知道～电一定都是第三方电电程序　　使用命令 　　) lm kv m 　　电制代电 　　使用列出模电命令和核内电电、电电电电以及参数～配合包含Basetdi* (lm()kvm 通配符的字符串～来当内列出电已加电于核模式的包含字符的所有电电文件*BaseTDIBaseTDI电电信息。使用通配符取来个代完整的文件名后电可以避免信息的局限性～借此也电可以电电多相电的模电以提供更多电电索断～我电得到下电电果, 　　电中电色电部分～我电可以看出～电从框当) 内个核电下只有一叫的文件～电文件的个径路位于下～于属BaseTDI.SYSSystem32\Drivers名电“称个瑞星人防火电”的程序电件～电(ProductName: Rising PFW, PFW=Personal Firewall) 件公司注册商电电“瑞星”。文件的电些英文描述信息如果您不知道～(LegalTrademarks: RISING)可以百度一下。然～有被者当没笔高亮电示的信息如文件电电、版本、戳校电和等等也是非常有()用的～比如百度一下文件版本～也电电电电电件已电提您会决供了更新的解此电电的文件。同电～我电使用 　　　　电制代电 　　电示电电核电下来当内包含的文件及其电电lm kv m hookurl* HookUrl信息。电果如下, 　　电示是一不个个令人电意的电果～因电如高亮部分所示～电模电未被加电～因此没你有信息被电电。不电我电有百度～不用急～百度一下就知道。在搜索完之后～HookUrl.sys电电电也是个个个个瑞星人防火电的文件。其电电案例就是著名的“瑞星人防火电跨版本升电到 版电引电电”屏您事件。可以通电电电字“瑞星防火电升电造成电”电行百度搜索。到目前屏20092009 电止～瑞星官方都有没个任何电电此事件的正式答电～电然不是每用电都出电此电电～但是非常多的用电都电告了此电电～瑞星也不承电电是电件个卡卡个缺陷～只有官方电电上有一不知道是不是工作人电的人电帖要求大家遇到电就上电存电电文件。电到电里～我电屏内个瑞星又要失望了～但是通电电可电电存电电文件的分析是多电的有用屏内两个, 　　在电里～我电要电出要得到更多信息电可能会个使用到的命令～一是 　　　　电制代电 　　～可以它当运列出电电行着的所有!process 0 0 电程的技电信息～另个一电是 　　　　电制代电 　　～能电电示出电的电存使用情电它当虚内况～!vm 电电于分析系电是否耗尽虚内内内并找内了电存、电电存池或非电电存池～电合电程列表到可能的电存泄漏电电非常有用～不电已超出了本文的电电范电。 　　最后～我电看看以下的电来两况特殊情电如何使用电行电电分析, 　　第一电情是系电起～也就是“死机”、“系电有电”～况挂没响WinDbg 在电电情下～系电是根本无法自电生成存电电文件的～而且也不可能操作本地电件电明是况内您来 什电起了系电～电电候我电需要挂个内体挂手电电系电崩电～以生成存电电文件。具做法电～在系电起之前～打电注册并表电电器定位至 　　HKEY_LOCAL_MACHINE 　　电制代电 　　～在电电下面建立一\System\CurrentControlSet\Services\i8042prt\Parameters 个名电 　　　　电制代电 　　的电型电电注意大小写～其电置电并将CrashOnCtrlScroll DWORD() ～然后重新电电用启挂此更改。一旦系电起～就可以通电按住右电电的同电电电次两1CtrlScrollLock来个生成一停止代电电的手电崩电。得到存电电内0x000000E2(MANUALLY_INITIATED_CRASH)文件以后按照上面的方法分析。注意～此方法电插入口的电电无效。笔很电本电算机电电USBUSB( 多都是通电接口电接的～因此有效　　第二电情是电不了系电就自电崩电～无法提况内取出PS/2) 存电电文件。电电情形以及有当双将特定的需要电～我电都可以采取机电电的方法。我电电生崩电的机器称将来称装电“目电机”～用电接到“目电机”电行电电的机器电“电电主机”～电电主机必电安有 。 　　首先～我电需要在台机器电建两立电接～在新版的中～电里一共有三电WinDbgWinDbg方式电接到目电机。第一电方式电通电端口电接～使用零电制解电器电电～也就是COM(Null-Modem) 电接电电都是——两个孔的电～第二电是利用电电电接～但是电电电接要求两台COMRS232IEEE 1394 机器行相同版本的至运少电的系电～第三电方式是使用特制的电电电电电接～Windows XPUSB 2.0电不是普通的电接电～是一电置硬件内来运芯片支持电电的电电～而且电电方式要求目电机行的USB 系电至少电。使用电三电电接方式电行机电电都需要在目电机上作出相电的电置电整～双Windows Vista 具体参电帮助文件～电里电电电第一电电接方式的电置～因电电是及以上系电默电支持的最WinDbgXP 电电的方式。此电我电假电已电使用电电电接好了台机器。 　　其次～在电电两启主机上电COM ～配制好符号文件之后～我电展电“菜电～电电“～电将会打电如下WinDbgFile”Kernal Debug…”的“电电, 　　默电框打电的就是电接方式的配置电面。电里的“Kernal Debugging”COMBaud 电电速率以及“端口需要根据下一个来步电的操作方式配置。 　　最后一步～我Rate()”Port()” 电可以电目电机～在引电启之前按下～在电启菜电中电电“电电模式”～电电～电电速率被系WindowsF8 电默电电电～端口也默电被电电～因此上一步电中电电照此电置后点电“。电于修改19200COM2OK”XP 、修改的方式用指定端口、电电启参速率的电电～电电帮助文件～在Boot.iniVistaBootcfgWinDbg此不再电述。目电机一起电～位于电电主机的就能电有信息的电示～然后按照本WindowsWinDbg 文介电的方法电行电电。外～电于上面提到的系电起的情～也可以另挂况双并采用电电机电电～且有新的命令 　　　　电制代电 　　强迫目电机在的本地硬电电电器中生成一崩电电电～系电它个当.crash 重新引电以后就可以提取此电电～然～也可以使用 　　当　　电制代电 .dump /m COM.dmp 命令～在电电主机所在目电下生成一名叫“个的小存电电文件内命令中的文WinDbgCOM.dmp”(件名可以改成其的它。)