打开转储文件
查找转储文件在Windows系统转储文件位于两个地方,这取决于哪种类型你打开:
- 所有转储文件,除了小型转储:C:\ WINDOWS \ MEMORY.DMP
- 小型转储:C:\ WINDOWS \内存转储\ [内存转储名称有所不同]
需要注意的是,不同的命名MEMORY.DMP其他转储文件,小型转储将自动单独命名,使以前的文件不会被覆盖,这是很好的,因为他们是如此之小。
打开转储文件要打开您选择的文件,去
选择File |打开崩溃转储
如果你看到下面,停:
***警告:无法验证时间戳的ntoskrnl.exe***错误:模块加载完成,但符号无法加载用于NTOSKRNL.EXE这个很重要。当你看到从附近的WinDbg输出的开始这两个消息,这意味着你不会得到你所需要的分析。这证实了“检测错误分析”会自动运行后,显示下面的信息。
|
*****内核符号是错误的。请修正的符号做分析
可能的原因如下:
- 没有路径/走错了路;该符号文件的路径尚未设置或路径不正确(找错别字,如空白空间)。检查符号路径(看到设置符号文件路径以上。)
- 连接失败;检查您的网络连接,以确保其工作正常。
- 访问被封锁的;防火墙阻止访问符号文件或文件检索过程中被损坏。看到,没有防火墙阻止访问msdl.microsoft.com(它可以仅允许访问www.microsoft.com)。
请注意,如果防火墙最初从网上下载一个符号表块的WinDbg,它会导致损坏的文件。如果疏通防火墙并尝试重新下载符号文件不能正常工作;文件遗体损坏。最快的解决方法是关闭的WinDbg,删除符号文件夹(你最有可能定在C:\符号),和开启防火墙。接下来,重新打开的WinDbg和转储文件。调试器将重新创建该文件夹并重新下载符号。直到更正此问题不要去进一步与您的分析。
如果你看到下面的错误,无后顾之忧:
***警告:无法验证时间戳myfault.sys***错误:模块加载完成,但符号无法加载用于myfault.sys
这意味着调试器上寻找myfault.sys信息。然而,因为它是一个第三方的驱动程序有没有它的符号,因为微软并没有存储所有的第三方驱动程序(OK,myfault.sys由Sysinternals的制作,这是微软的产品,但它肯定是不一个普通的微软产品,并为我们的目的,它代表了一个第三方的驱动程序)。问题的关键是,你可以忽略此错误消息。供应商通常不附带符号文件司机和他们不需要你的工作;你可以找出问题的驱动程序没有他们。
