Podrška za Windows Vista servisni paket 1 (SP1) završava 12 jula 2011 godine. Da prima sigurnosna ažuriranja za Windows, uverite se da pokrećete Windows Vista sa servisnim paketom 2 (SP2). Za više informacija, pogledajte ovu web stranicu u Microsoft: podrška se završava za neke verzije operativnog sistema Windows.
Rezime
Simbole za otklanjanje grešaka za Windows mora biti potvrđena nakon pokretanja u modul za otklanjanje grešaka jezgra (I386kd.exe | WinDbg.exe). korektor grešaka može da učita i predstavi odzivnik, ali ako simboli su netačne, buduće komande za otklanjanje grešaka ne referenciraju odgovarajuće funkcije i varijable, što dovodi do sporadičnih rezultate. Dole navedene su neke crvene zastave i nekoliko metoda za provjeru validnosti simbole.
Više informacija
Ovaj članak pretpostavlja da je modul za otklanjanje grešaka jezgra je pokrenut i je učitao datoteku Memory.dmp ili je povezan sa udaljenoj mašini. Komande predstavio nije u potpunosti dokumentovano i prikazani su samo isečke iz izlaz.
Sadržaj članka
-
Učitavanje u modul za otklanjanje grešaka jezgra
-
Proveravam datum nastanka sa! upravljačke programe
-
Koristite Link.exe da biste proverili datum nastanka
-
Unassembling funkcija
-
Service Pack simboli
Učitavanje u modul za otklanjanje grešaka jezgra
Gomila normalno u modul za otklanjanje grešaka jezgra prikazuje jedan od sledećih upite:
kd > Uniprocessor sistem 0: kd > sistemu sa više procesoraNa liniji, što je prikazano ispod označava da je simbol datoteka Ntoskrnl.exe datoteke neispravan. Provjerite da li da da odgovarajući višeprocesorskog ili uniprocessor jezgra i HAL se kopiraju u simbol drveta. Primer:Symbol search path is: C:\symbolskd: crash dump initialized [c:\dump\memory.dmp]could not determine the current processor, using zeroKernel Version 1057 Free loaded @ 0x80100000Bugcheck 0000001e : c0000005 80151d5b 00000000 00000001*** Contents Deleted ***16kd> Kada je modul za otklanjanje grešaka jezgra učitava datoteku Memory.dmp, Kernel verzije, kao i grof procesor je prikazan u nekoliko strofa. Potvrdi da je grof procesor odgovara sa odgovarajućim jezgra i HAL. Upravljački program simbol informacije se prikazuju kao ni simboli su učitani ili odložena. Uzorak opterećenje:Symbol search path is: C:\symbolskd: crash dump initialized [c:\dump\memory.dmp]Kernel Version 1057 Free loaded @ 0x80100000Bugcheck 0000001e : c0000005 80151d5b 00000000 00000001re-loading all kernel symbolsKD: unloading symbols for "ntoskrnl.exe"KD: deferring symbol load for "ntoskrnl.exe" at 80100000KD: Loaded (2248) fpo entries for image (ntoskrnl.exe)KD: "ntoskrnl.exe" loaded 4074 symbols (80100000-801bbb80)KD: loaded symbols for "ntoskrnl.exe"KD: deferring symbol load for "atapi.sys" at fc810000KD: deferring symbol load for "diskdump.sys" at fc800000KD: deferring symbol load for "hal.dll" at 80400000KD: deferring symbol load for "atapi.sys" at 80010000KD: deferring symbol load for "SCSIPORT.SYS" at 80013000KD: deferring symbol load for "Atdisk.sys" at 80001000KD: deferring symbol load for "Scsidisk.sys" at 8001b000KD: deferring symbol load for "Fastfat.sys" at 80372000Unable to read image header for Floppy.SYS at fc820000 - status c0000001*** Contents Deleted ***KD: deferring symbol load for "srv.sys" at fc9e0000KD: deferring symbol load for "ntdll.dll" at 77f80000finished re-loading all kernel symbolsNT!_PspUnhandledExceptionInSystemThread+0x18:80131ff8 b801000000 mov eax,0x1kd> Imajte na umu da je u modul za otklanjanje grešaka jezgra bila „Nije moguće pročitati slika zaglavlja za Floppy.sys u fc820000 - status c0000001”. Ovu poruku je normalno, jer u zaglavlju određeni upravljački program trenutno nije u memoriji.
Proveravam datum nastanka sa! upravljačke programe
Koristi se ! upravljačke programe komandu da biste naveli upravljački programi trenutno učitani u memoriju. Neka Napomena u datumima i vremenima upravljačke programe i da li su moguće učitati. (Šifra i veličinu podataka kolone u sledećem primeru su uklonjena da bi se uklopio u širinu u članku).kd> !driversBase Code Size Data Size Driver Name Creation Time80100000 Ntoskrnl.exe Fri May 26 18:18:36 199580400000 Hal.dll Thu May 11 13:54:18 199580010000 Atapi.sys Tue May 23 21:01:41 199580013000 Scsiport.sys Fri May 05 23:11:06 199580001000 Atdisk.sys Fri May 05 23:10:40 19958001b000 Scsidisk.sys Fri May 05 23:11:01 199580372000 Fastfat.sys Mon May 22 23:57:13 1995fc820000 Floppy.sys Header Paged Outfc830000 Scsicdrm.sys Wed May 10 21:57:03 1995fc840000 Fs_Rec.sys Header Paged Outfc850000 Null.sys Header Paged Outfc860000 Beep.sys Header Paged Outfc870000 I8042prt.sys Fri May 05 23:10:42 1995fc880000 Mouclass.sys Fri May 05 23:10:45 1995fc890000 Kbdclass.sys Fri May 05 23:10:44 1995fc8b0000 Videoprt.sys Fri May 05 23:10:05 1995fc8a0000 S3.sys Fri May 19 21:18:06 1995fc8c0000 Vga.sys Fri May 05 23:10:10 1995fc8d0000 Msfs.sys Fri May 05 23:11:57 1995fc8e0000 Npfs.sys Fri May 05 23:11:40 1995fc900000 Ndis.sys Mon May 22 20:23:18 1995fc8f0000 El59x.sys Fri Feb 10 16:18:09 1995fc940000 Tdi.sys Fri May 05 23:13:09 1995fc920000 Nbf.sys Mon May 08 15:00:47 1995fc950000 Netbios.sys Fri May 05 23:13:19 1995fc960000 Parport.sys Header Paged Outfc970000 Parallel.sys Header Paged Outfc980000 Serial.sys Fri May 05 23:11:20 1995fc990000 Afd.sys Header Paged Outfc9a0000 Rdr.sys Wed May 17 17:18:16 1995fc9e0000 Srv.sys Wed May 24 21:56:59 1995TOTAL: 1ab460 (1709 kb) 3b7c0 ( 237 kb) ( 0 kb 0 kb)kd> Imajte na umu vreme kreiranja datoteke, što je datum datoteka je preveden. Ovaj datum je blizu Date\Time markicu na stvarne datoteke prilikom prikazivanja u Winnt\System32\Drivers potfasciklu koristeći File Manager. Ako se pretplatite na Microsoft programeri Network (MSDN) ili imaju komplet upravljačkog programa Windows uređaja (DDK), alatka za Link.exe se može koristiti da biste potvrdili da Dbg datoteka ima istu datoteku koja je kreirana kada upravljački program je preveden. „Put oznaka datuma” u sledećem primeru se podudara sa „Kreiranje doba” Netbios.sys u izlazu iznad. Koristite Link.exe da biste proverili „put oznaka datuma” Dbg datoteke:
LINK - baciti - zaglavlja \symbols\sys\netbios.dbgMicrosoft (R) KOF binarna datoteka dupe verzija 3.00.5270 Copyright (C) Microsoft Corp 1992-1995. Sva prava zadržana. Deponiju od datoteku Netbios.dbg
4944 potpis 0 zastavice 14C mašina (i386) 306 karakteristikeOznake datuma vremena 2FAAE94F Fri May 05 23:13:19 1995 godine
Kontrolni zbir 8D0B od 10000 osnovnu sliku 70A0 veličina slike za sliku** Sadržaj izbrisano ** ako su ! upravljačke programe komanda proizvodi redove u kojim je to ovako da izgleda, je vazno sto na otpadu je oštećena. Dalja analiza deponiji možda neće biti moguće.
Nije moguće pročitati DosHeader u 0583002a - status 00000000 nije moguće pročitati DosHeader u 0587002a - status 00000000 nije moguće pročitati DosHeader u 0588002a - status 00000000 nije moguće pročitati DosHeader u 058a002a - status 00000000 nije moguće pročitati DosHeader u 058c002a - status 00000000
Unassembling funkcija
Simbol datoteke omogućiti kernel modul za otklanjanje grešaka za upućivanje funkcije i globalne varijable po imenu. Spot proveri par rastavljen funkcije da se uverim da izgledaju pristojno. Mnoge funkcije su prevodilac optimizovana i ne mora biti u skladu sa primerima koji slede. Prevodilac je optimizovana funkcije su identifikovani po FPO u zagradama u ime funkcije. Funkcije obično počinju u svakom „push ebp” ili „pok eax, fs [000000000]”. Osnovno znanje jezika mašina i iskustva će omogućiti jedan da prepozna ove funkcije.
-
Lista učitane module x *!
-
Lista simbola za određeni modul (na primer, Ntoskrnl.exe). x nt! *
-
Izaberite funkciju da unassemble tj ne prevodilac optimizovana. u NT! _NtUnlockFile
Dobri simboli
kd> u NT!_NtUnlockFileu NT!_NtUnlockFileNT!_NtUnlockFile:80156bd8 64a100000000 mov eax,fs:[00000000]80156bde 55 push ebp80156bdf 8bec mov ebp,esp80156be1 6aff push 0xff80156be3 68200d1080 push 0x80100d2080156be8 68304f1380 push 0x80134f3080156bed 50 push eax80156bee 64892500000000 mov fs:[00000000],espkd>
Unassembly funkcije treba da izgledaju slično tekst iznad; Međutim, u unassembly je promjenama. Ako se unassembly izgleda pristojno, mogu da pretpostavim da su simboli su učitani ispravno za ovaj modul. Sledeći unassembly počinje sa „jnz NT! _NTUnlockFile + 0x22”. Očigledno, na početak funkcija ne moћe da krene sa šifrom uputstvo za skok. Proverite simbol drveta još jednom.
Loše simboli
kd> u NT!_NTUnlockFileu NT!_NTUnlockFileNT!_NtUnlockFile:801574a4 7520 jnz NT!_NtUnlockFile+0x22 (801574c6)801574a6 6a00 push 0x0801574a8 8d45dc lea eax,[ebp-0x24]801574ab 50 push eax801574ac 53 push ebx801574ad ff356c361480 push dword ptr [NT!_CcNoDelay+0x4 (8014366c)]801574b3 6a01 push 0x1801574b5 ff7508 push dword ptr [ebp+0x8]
Service Pack simboli
Postoje trenuci kada je teško da se podudaraju se sa simbolima sa određenom instalacije. U nekom trenutku u vremenu, usluga dodat to zahteva kopiranje datoteka sa Windows instalacionog CD-ROM-a, koji je kopiran preko datoteke koje su ažurirane u servisni paket. Uverite se da ponovo primenite servisni paket i ima li podršku proizvođača diskova nakon promene instalacija sistema, koji kopira datoteke s CD-ROM za instalaciju operativnog sistema Windows. Simboli treba zatvoriti istim redosledom kao instalaciju.
DODATNE INFORMACIJE
Da biste pronašli serije jezgra za otklanjanje grešaka kako da od članaka, pretražite na ključnoj reči: debugref. WinDbg 2.0.x simbol tehnike U modul za otklanjanje grešaka verzije 2.0.x i veći od Microsoft Debuggers postoje dodatni simbol verifikacije koraci koji se mogu koristiti. Za više informacija pogledajte u sledećim Microsoft Web lokaciji:
