藍屏分析簡要記錄
起因
自從去年更換了一台工作站筆記本以來,電腦總是莫名奇妙的報出藍屏故障,總以為是雙固态硬碟的其中一塊遊戲盤發熱量大造成的,好在藍屏的出現頻率大概兩三個月才發生一次,便也就覺得不會影響使用。
今天幫助使用者分析一台永恒之藍漏洞攻擊引起藍屏的dump檔案時,在這台電腦上安裝了windbg,借此機會驗證一下之前的猜測。
分析過程
Windows記錄了4次藍屏事件,我的電腦是被設定過的,是以生成的是minidump檔案,隻生成了3-4MB大小的dump檔案,可以說是相當節約檔案系統的。
今天分析的永恒之藍檔案有1.5GB,在足夠分析的前提下還是minidump會比較受歡迎,設定的方法可以參考下圖:
設定minidump
windbg的安裝稍微有些麻煩。要到微軟的官網下載下傳合适的winsdk安裝程式,我下載下傳的是ISO鏡像離線安裝,檔案名稱是22621.1778.230511-2102.ni_release_svc_prod3_WindowsSDK.iso。
安裝好之後打開windbg(x64)就可以見到界面,開始隻需要兩個操作:
1.配置符号檔案路徑和下載下傳連結,按Ctrl+s快捷鍵,設定為SRV*e:\Symbols*https://msdl.microsoft.com/download/symbols
符号檔案
2.導入dump檔案,按快捷捷ctrl+d,選擇檔案,這裡需要注意,不能在windows的安裝目錄中打開dump檔案,會告訴你權限不足。解決方法有兩個,推薦第一個:第一種方法,提前把檔案從Windows目錄中複制到其他盤的其他路徑,再導入Windbg;第二種方法,以管理者身份運作windbg程式。
導入檔案之後windbg一路狂飚,左下角顯示busy的時候,什麼也做不了,隻能等待。出到kb的提示後,開始總體分析 !analyze -v:
分析1
真相1
看到這一段代碼的時候,問題已經很明顯,原來是它啊,msedge.exe不就是微軟的Edge浏覽器嘛。
再細看一下哪裡的問題:
中斷點
dxgmms2是directx的驅動程式。原來産生藍屏是Edge和顯示卡驅動,要想解決這個問題,有2個思路,我還得慢慢去試:
1.更新顯示卡驅動
2.把電腦對雙顯示卡的驅動管理切換成自定義配置,不讓系統自己管理
結語
給一點時間,我還得慢慢去試,不一定能解決,現在問題并不是我一開始想的那樣,遇到問題少猜測,多分析才是正道。