Standardowym wsparciem przy tej operacji jest oprogramowanie WindowsDebugger. Chciałbym jednak przedstawić alternatywne oprogramowanie oraz sposób na przygotowanie plików MiniDump do analizy. Zatem do dzieła!
Etap 1 – wymuszenie na systemie zrzucania zawartości pamięci oraz jądra systemu do plików MiniDump.
W tym celu należy kliknąć prawym klawiszem myszy na ikonę MÓJ KOMPUTER, wybrać WŁAŚCIWOŚCI.
Następnie przechodzimy do zakładki ZAAWANSOWANE i w grupie URUCHAMIANIE I ODZYSKIWANIE wchodzimy w USTAWIENIA.
Etap 2 – Uruchomienie Menedżera weryfikatora sterowników
Oprogramowanie nazywa się “verifier.exe”. Przechodzimy w menu START –> URUCHOM i wpisujemy podaną nazwę programu.
Wybieramy USTAWIENIA Standardowe
A następnie wymuszamy analizę wszystkich sterowników : AUTOMATYCZNIE WYBIERZ WSZYSTKIE STEROWNIKI (…).
Klikamy ZAKOŃCZ. W obecnej konfiguracji jakakolwiek niestabilność sterownika spowoduje BlueScreen. Uruchamiamy ponownie komputer i zbieramy zrzuty pamięci i jądra systemu.
UWAGA (!) Komputer z powodu błędów może restartować się kilka razy. Jeśli po tych kilku razach nie będziemy mogli go uruchomić , wybieramy klawisz F8 podczas uruchamiania systemu. Z dostępnego menu interesuje nas opcja załadowania ostatniej poprawnej konfiguracji. Wtedy nie powinniśmy mieć problemów z poprawnym załadowaniem systemu.
Standardowo znajdują się one w systemie w lokalizacji C:\Windows\Minidump.
Zajmijmy się teraz analizą zebranych plików.
Etap 3 – analiza plików MiniDump
Spośród dostępnych narzędzi proponuję WhoCrashed oraz BlueScreenView.
Każdy z nich wyświetli nam informację o pliku oraz kodzie błędu, który wygenerował krytyczny wyjątek systemu.
Program WhoCrashed tworzy nam nawet zapytanie, jakie należy wpisać w Google aby znaleźć serwisy traktujące o danym błędzie. Wystarczy, że klikniemy w link.
Przykład wyniku z programu WhoCrashed:
On Fri 2013-02-22 00:22:05 GMT your computer crashed
crash dump file: C:\Windows\Minidump\022213-23680-01.dmp
This was probably caused by the following module: nvlddmkm.sys (nvlddmkm+0x161326)
Bugcheck code: 0x1000007F (0x8, 0xFFFFFFFF801E5000, 0x0, 0x0)
Error: UNEXPECTED_KERNEL_MODE_TRAP_M
file path: C:\Windows\system32\drivers\nvlddmkm.sys
product: NVIDIA Windows Kernel Mode Driver, Version 314.07
company: NVIDIA Corporation
description: NVIDIA Windows Kernel Mode Driver, Version 314.07
Bug check description: This indicates that a trap was generated by the Intel CPU and the kernel failed to catch this trap.
This appears to be a typical software driver bug and is not likely to be caused by a hardware problem. This problem might be caused by a thermal issue.
A third party driver was identified as the probable root cause of this system error. It is suggested you look for an update for the following driver: nvlddmkm.sys (NVIDIA Windows Kernel Mode Driver, Version 314.07 , NVIDIA Corporation).
Google query: NVIDIA Corporation UNEXPECTED_KERNEL_MODE_TRAP_M
Bardzo zbliżonym w działaniu jest BlueScreenView od nirsoft. Różnica polega na tym, że jest bardziej techniczny, mniej opisowy od poprzednika.
Tak wygląda zrzut ekranu z odczytanymi MiniDumpami:
Znając już problematyczny driver nie pozostaje nam nic innego jak zadanie zapytania do wujka Google 🙂