Min værktøjskasse: WinDbg


(Thomas Huulbæk) #1

Mange brugere henvender sig i vores forum, fordi de har mistanke om, at de er blevet inficeret af malware. Symptomerne kan være mange - de mest åbenlyse skærme, der indikerer virus, men også bare langsom computer - og i mange, mange tilfælde, er der slet ikke tale om virus. Denne artikelserie handler om de værktøj, som jeg bruger dagligt i mit job som IT-supporter.

WinDbg er nok et lidt underligt program at starte med, fordi det hører til i den mere avancerede ende, men da jeg besluttede at skrive en lille artikelserie, var jeg netop inde i programmet. Samtidig er det nok et program, som de færreste almindelige brugere nogensinde ønsker at stifte bekendskab med, men det er et af de mest nyttige til fejlsøgning af de frygtede blå skærm (også kendt som BSOD - Blue Screen of Death) i Windows.

WinDbg er ikke som standard inkluderet i Windows, så det skal hentes fra Microsoft.

Når Windows fejler med blå skærme, så bliver der gemt information om fejlene i såkaldte crashdumps. Vi kigger her på de små af dem, som næsten altid er tilgængelige: Minidumps. Hvis du har haft BSOD, så ligger de typisk i mappen C:\Windows\Minidump.

Eksempel på brug af WinDbg

Når du har installeret WinDbg, starter du programmet op. Herefter går du i menuen File og vælger Open Crash Dump. Så skal du navigere til mappen med crashdumps og åbne et af dem.

Lige når du har åbnet dumpet, bliver det vist noget grundlæggende information. Der er allerede her stor forskel på, om du analyserer dit eget personlige dump fra samme computer eller en andens. Hvis du vil analysere dit eget, så er der ingen problemer, fordi crashdumpet referer til de samme filer, som der er på din computer. Hvis der er tale om en anden computers dump, så skal programmet først instrueres i at hente symboler for den korrekte version af Windows.

Lyder det kompliceret? Det er slet ikke så galt, som det lyder. Hvis der er tale om din egen, så kan du allerede nu starte analyse ved at skrive kommandoen

!analyze -v

i det nederste felt i vinduet, hvor der står kd>. Programmet vil derefter hurtigt give dig resultatet.

Hvis der ikke er tale om din egen, så skriver du i stedet

.sympath SRV*e:\symbols*http://msdl.microsoft.com/download/symbols

og derefter

.reload /f

Kommandoen sætter gang i download af korrekte symboler fra Microsoft, og det kan altså godt tage lidt tid - ofte mellem 5 og 10 minutter. Når den er færdig, kan du så skrive førstnævnte kommando for at analysere.

Analysesvaret

Et svar kunne fx se sådan ud:

MEMORY_MANAGEMENT (1a)
# Any other values for parameter 1 must be individually examined.
Arguments:
Arg1: 0000000000041201, The subtype of the bugcheck.
Arg2: fffff6800002e120
Arg3: 0000000000000001
Arg4: fffffa80056ca590

Debugging Details:
------------------

BUGCHECK_STR:  0x1a_41201

CUSTOMER_CRASH_COUNT:  1

DEFAULT_BUCKET_ID:  VISTA_DRIVER_FAULT

PROCESS_NAME:  chrome.exe

CURRENT_IRQL:  0

LAST_CONTROL_TRANSFER:  from fffff80002cf8d0e to fffff80002c9cfc0

STACK_TEXT:  
fffff880`093e59b8 fffff800`02cf8d0e : 00000000`0000001a 00000000`00041201 fffff680`0002e120 00000000`00000001 : nt!KeBugCheckEx
fffff880`093e59c0 fffff800`02c67f61 : ffffe3d9`746c6644 fffff880`00961000 00000000`00000000 00000000`00000001 : nt! ?? ::FNODOBFM::`string'+0x136f2
fffff880`093e5a00 fffff800`02c67bc3 : fffffa80`056ca590 fffffa80`0662e380 fffffa80`0662e380 00000000`05c24000 : nt!MiQueryAddressState+0x2b1
fffff880`093e5a50 fffff800`02f73284 : 00000000`00000000 00000000`05c25000 fffffa80`056ca590 00000000`00000000 : nt!MiQueryAddressSpan+0x73
fffff880`093e5ac0 fffff800`02c9c253 : ffffffff`ffffffff fffffa80`036c8b50 00000000`002fdce8 00000000`001ae228 : nt!NtQueryVirtualMemory+0x382
fffff880`093e5bb0 00000000`779f154a : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13
00000000`001ae208 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x779f154a

STACK_COMMAND:  kb

FOLLOWUP_IP: 
nt! ?? ::FNODOBFM::`string'+136f2
fffff800`02cf8d0e cc              int     3

SYMBOL_STACK_INDEX:  1

SYMBOL_NAME:  nt! ?? ::FNODOBFM::`string'+136f2

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: nt

IMAGE_NAME:  ntkrnlmp.exe

DEBUG_FLR_IMAGE_TIMESTAMP:  503f82be

FAILURE_BUCKET_ID:  X64_0x1a_41201_nt!_??_::FNODOBFM::_string_+136f2

BUCKET_ID:  X64_0x1a_41201_nt!_??_::FNODOBFM::_string_+136f2

Followup: MachineOwner
---------

Den første markering viser bugcheck - altså, i praksis den fejl, der fik det hele til at gå ned. Her er der fx tale om MEMORY_MANAGEMENT (1a). Den kan så slås op hos Microsoft, for at få lidt mere information. I dette tilfælde er det desværre lidt svært at finde mere information for undertypen 41201, men så er Google selvfølgelig din ven.

Fejlkoden er desværre for generel til, at vi kan konkludere noget fornuftigt. Vi ved kun, at hukommelsen fejler - men det kan være flere slags hukommelse; på bundkortet, grafikkortet eller harddisken. Vi kan også se, at det er Google Chrome browseren, der får det til at ske og at det måske er en driverfejl (VISTA_DRIVER_FAULT). Hvis der er flere dumps tilgængelige, vil det være nødvendigt at kigge på dem også. Hvis det er samme fejl på de andre, så er det sandsynligt, at Chrome på en eller anden måde er skyld i fejlhandlingen.

Men lad os så sige, at det er Chrome - hvis den er opdateret, hvad får den så til at fejle og hvad kan vi gøre? Her kommer en anden kommando i WinDbg til vores hjælp:

lmtn

som producerer følgende resultat:

start             end                 module name
fffff800`00bd5000 fffff800`00bdf000   kdcom    kdcom.dll    Sat Feb 05 17:52:49 2011 (4D4D8061)
fffff800`02c1e000 fffff800`03206000   nt       ntkrnlmp.exe Thu Aug 30 17:11:58 2012 (503F82BE)
fffff800`03206000 fffff800`0324f000   hal      hal.dll      Sat Nov 20 14:00:25 2010 (4CE7C669)
fffff880`00c00000 fffff880`00cc0000   CI       CI.dll       Sat Nov 20 14:12:36 2010 (4CE7C944)
fffff880`00cc0000 fffff880`00cd1000   blbdrive blbdrive.sys Tue Jul 14 01:35:59 2009 (4A5BC4DF)
fffff880`00cd9000 fffff880`00ce6000   mcupdate_AuthenticAMD mcupdate_AuthenticAMD.dll Tue Jul 14 03:29:09 2009 (4A5BDF65)
fffff880`00ce6000 fffff880`00cfa000   PSHED    PSHED.dll    Tue Jul 14 03:32:23 2009 (4A5BE027)
fffff880`00cfa000 fffff880`00d58000   CLFS     CLFS.SYS     Tue Jul 14 01:19:57 2009 (4A5BC11D)
fffff880`00d58000 fffff880`00db4000   volmgrx  volmgrx.sys  Sat Nov 20 10:20:43 2010 (4CE792EB)
fffff880`00db4000 fffff880`00dde000   ataport  ataport.SYS  Sat Nov 20 10:19:15 2010 (4CE79293)
fffff880`00dde000 fffff880`00df5000   amd_sata amd_sata.sys Fri Jan 28 23:35:25 2011 (4D4344AD)
fffff880`00e00000 fffff880`00e57000   ACPI     ACPI.sys     Sat Nov 20 10:19:16 2010 (4CE79294)
fffff880`00e57000 fffff880`00e60000   WMILIB   WMILIB.SYS   Tue Jul 14 01:19:51 2009 (4A5BC117)
fffff880`00e60000 fffff880`00e6a000   msisadrv msisadrv.sys Tue Jul 14 01:19:26 2009 (4A5BC0FE)
fffff880`00e6a000 fffff880`00e9d000   pci      pci.sys      Sat Nov 20 10:19:11 2010 (4CE7928F)
fffff880`00e9d000 fffff880`00eaa000   vdrvroot vdrvroot.sys Tue Jul 14 02:01:31 2009 (4A5BCADB)
fffff880`00eaa000 fffff880`00ebf000   partmgr  partmgr.sys  Sat Mar 17 06:06:09 2012 (4F641BC1)
fffff880`00ebf000 fffff880`00ec8000   compbatt compbatt.sys Tue Jul 14 01:31:02 2009 (4A5BC3B6)
fffff880`00ec8000 fffff880`00ed4000   BATTC    BATTC.SYS    Tue Jul 14 01:31:01 2009 (4A5BC3B5)
fffff880`00ed4000 fffff880`00ee9000   volmgr   volmgr.sys   Sat Nov 20 10:19:28 2010 (4CE792A0)
fffff880`00ee9000 fffff880`00ef9000   PCIIDEX  PCIIDEX.SYS  Tue Jul 14 01:19:48 2009 (4A5BC114)
fffff880`00efc000 fffff880`00fbe000   Wdf01000 Wdf01000.sys Thu Jul 26 04:25:13 2012 (5010AA89)
fffff880`00fbe000 fffff880`00fce000   WDFLDR   WDFLDR.SYS   Thu Jul 26 04:29:04 2012 (5010AB70)
fffff880`00fce000 fffff880`00fe8000   mountmgr mountmgr.sys Sat Nov 20 10:19:21 2010 (4CE79299)
fffff880`00fe8000 fffff880`00ff1000   atapi    atapi.sys    Tue Jul 14 01:19:47 2009 (4A5BC113)
fffff880`00ff1000 fffff880`00ffc000   msahci   msahci.sys   Sat Nov 20 11:33:58 2010 (4CE7A416)
fffff880`01000000 fffff880`0105e000   msrpc    msrpc.sys    Sat Nov 20 10:21:56 2010 (4CE79334)
fffff880`0105e000 fffff880`010d0000   cng      cng.sys      Sat Jun 02 05:25:51 2012 (4FC987BF)
fffff880`010d0000 fffff880`010f2000   tdx      tdx.sys      Sat Nov 20 10:21:54 2010 (4CE79332)
fffff880`010f8000 fffff880`0115b000   storport storport.sys Fri Mar 11 05:30:23 2011 (4D79A55F)
fffff880`0115b000 fffff880`01168000   amd_xata amd_xata.sys Fri Jan 28 23:35:28 2011 (4D4344B0)
fffff880`01168000 fffff880`01173000   amdxata  amdxata.sys  Fri Mar 19 17:18:18 2010 (4BA3A3CA)
fffff880`01173000 fffff880`011bf000   fltmgr   fltmgr.sys   Sat Nov 20 10:19:24 2010 (4CE7929C)
fffff880`011bf000 fffff880`011d3000   fileinfo fileinfo.sys Tue Jul 14 01:34:25 2009 (4A5BC481)
fffff880`011d3000 fffff880`011f1000   dfsc     dfsc.sys     Sat Nov 20 10:26:31 2010 (4CE79447)
fffff880`01200000 fffff880`0120d000   TDI      TDI.SYS      Sat Nov 20 10:22:06 2010 (4CE7933E)
fffff880`0120d000 fffff880`0121c000   discache discache.sys Tue Jul 14 01:37:18 2009 (4A5BC52E)
fffff880`0121f000 fffff880`013c2000   Ntfs     Ntfs.sys     Fri Aug 31 17:14:14 2012 (5040D4C6)
fffff880`013c2000 fffff880`013dd000   ksecdd   ksecdd.sys   Sat Jun 02 04:50:23 2012 (4FC97F6F)
fffff880`013dd000 fffff880`013ee000   pcw      pcw.sys      Tue Jul 14 01:19:27 2009 (4A5BC0FF)
fffff880`013ee000 fffff880`013f8000   Fs_Rec   Fs_Rec.sys   Thu Mar 01 04:41:06 2012 (4F4EEFD2)
fffff880`01400000 fffff880`01460000   NETIO    NETIO.SYS    Wed Aug 22 17:11:28 2012 (5034F6A0)
fffff880`01460000 fffff880`0148a000   ksecpkg  ksecpkg.sys  Sat Jun 02 05:27:11 2012 (4FC9880F)
fffff880`0148a000 fffff880`01498000   vga      vga.sys      Tue Jul 14 01:38:47 2009 (4A5BC587)
fffff880`01498000 fffff880`014bd000   VIDEOPRT VIDEOPRT.SYS Tue Jul 14 01:38:51 2009 (4A5BC58B)
fffff880`014bd000 fffff880`014cd000   watchdog watchdog.sys Tue Jul 14 01:37:35 2009 (4A5BC53F)
fffff880`014cd000 fffff880`014d6000   RDPCDD   RDPCDD.sys   Tue Jul 14 02:16:34 2009 (4A5BCE62)
fffff880`014d6000 fffff880`014df000   rdpencdd rdpencdd.sys Tue Jul 14 02:16:34 2009 (4A5BCE62)
fffff880`014df000 fffff880`014e8000   rdprefmp rdprefmp.sys Tue Jul 14 02:16:35 2009 (4A5BCE63)
fffff880`014e8000 fffff880`014f3000   Msfs     Msfs.SYS     Tue Jul 14 01:19:47 2009 (4A5BC113)
fffff880`014f3000 fffff880`015e5000   ndis     ndis.sys     Wed Aug 22 17:11:46 2012 (5034F6B2)
fffff880`015e5000 fffff880`015f6000   Npfs     Npfs.SYS     Tue Jul 14 01:19:48 2009 (4A5BC114)
fffff880`01600000 fffff880`0162a000   cdrom    cdrom.sys    Sat Nov 20 10:19:20 2010 (4CE79298)
fffff880`0162d000 fffff880`0182e000   tcpip    tcpip.sys    Wed Oct 03 17:09:34 2012 (506C552E)
fffff880`0182e000 fffff880`01878000   fwpkclnt fwpkclnt.sys Wed Aug 22 17:10:49 2012 (5034F679)
fffff880`01878000 fffff880`018c4000   volsnap  volsnap.sys  Sat Nov 20 10:20:08 2010 (4CE792C8)
fffff880`018c4000 fffff880`018cc000   spldr    spldr.sys    Mon May 11 18:56:27 2009 (4A0858BB)
fffff880`018cc000 fffff880`01906000   rdyboost rdyboost.sys Sat Nov 20 10:43:10 2010 (4CE7982E)
fffff880`01906000 fffff880`01918000   mup      mup.sys      Tue Jul 14 01:23:45 2009 (4A5BC201)
fffff880`01918000 fffff880`01921000   hwpolicy hwpolicy.sys Sat Nov 20 10:18:54 2010 (4CE7927E)
fffff880`01921000 fffff880`0195b000   fvevol   fvevol.sys   Sat Nov 20 10:24:06 2010 (4CE793B6)
fffff880`0195b000 fffff880`01971000   disk     disk.sys     Tue Jul 14 01:19:57 2009 (4A5BC11D)
fffff880`01971000 fffff880`019a1000   CLASSPNP CLASSPNP.SYS Sat Nov 20 10:19:23 2010 (4CE7929B)
fffff880`019a1000 fffff880`019a9000   AtiPcie64 AtiPcie64.sys Wed Mar 10 15:33:45 2010 (4B97ADC9)
fffff880`019eb000 fffff880`019f4000   Null     Null.SYS     Tue Jul 14 01:19:37 2009 (4A5BC109)
fffff880`019f4000 fffff880`019fb000   Beep     Beep.SYS     Tue Jul 14 02:00:13 2009 (4A5BCA8D)
fffff880`0343e000 fffff880`03491000   nwifi    nwifi.sys    Tue Jul 14 02:07:23 2009 (4A5BCC3B)
fffff880`03491000 fffff880`034a4000   ndisuio  ndisuio.sys  Sat Nov 20 11:50:08 2010 (4CE7A7E0)
fffff880`034a4000 fffff880`034bc000   rspndr   rspndr.sys   Tue Jul 14 02:08:50 2009 (4A5BCC92)
fffff880`034bc000 fffff880`03585000   HTTP     HTTP.sys     Sat Nov 20 10:24:30 2010 (4CE793CE)
fffff880`03585000 fffff880`0358f000   vwifimp  vwifimp.sys  Tue Jul 14 02:07:28 2009 (4A5BCC40)
fffff880`0358f000 fffff880`035ad000   bowser   bowser.sys   Wed Feb 23 05:55:04 2011 (4D649328)
fffff880`035ad000 fffff880`035c5000   mpsdrv   mpsdrv.sys   Tue Jul 14 02:08:25 2009 (4A5BCC79)
fffff880`035c5000 fffff880`035f2000   mrxsmb   mrxsmb.sys   Wed Apr 27 04:40:38 2011 (4DB78226)
fffff880`03a00000 fffff880`03a46000   dxgmms1  dxgmms1.sys  Sat Nov 20 10:49:53 2010 (4CE799C1)
fffff880`03a46000 fffff880`03a6a000   HDAudBus HDAudBus.sys Sat Nov 20 11:43:42 2010 (4CE7A65E)
fffff880`03a6a000 fffff880`03ad0000   Rt64win7 Rt64win7.sys Tue Nov 30 07:01:28 2010 (4CF49338)
fffff880`03ad5000 fffff880`03bc9000   dxgkrnl  dxgkrnl.sys  Sat Nov 20 10:50:50 2010 (4CE799FA)
fffff880`03bc9000 fffff880`03be7000   i8042prt i8042prt.sys Tue Jul 14 01:19:57 2009 (4A5BC11D)
fffff880`03be7000 fffff880`03bf6000   kbdclass kbdclass.sys Tue Jul 14 01:19:50 2009 (4A5BC116)
fffff880`03e00000 fffff880`03e51000   rdbss    rdbss.sys    Sat Nov 20 10:27:51 2010 (4CE79497)
fffff880`03e51000 fffff880`03e5d000   nsiproxy nsiproxy.sys Tue Jul 14 01:21:02 2009 (4A5BC15E)
fffff880`03e64000 fffff880`03eed000   afd      afd.sys      Wed Dec 28 04:59:20 2011 (4EFA9418)
fffff880`03eed000 fffff880`03f32000   netbt    netbt.sys    Sat Nov 20 10:23:18 2010 (4CE79386)
fffff880`03f32000 fffff880`03f3b000   wfplwf   wfplwf.sys   Tue Jul 14 02:09:26 2009 (4A5BCCB6)
fffff880`03f3b000 fffff880`03f61000   pacer    pacer.sys    Sat Nov 20 11:52:18 2010 (4CE7A862)
fffff880`03f61000 fffff880`03f77000   vwififlt vwififlt.sys Tue Jul 14 02:07:22 2009 (4A5BCC3A)
fffff880`03f77000 fffff880`03f86000   netbios  netbios.sys  Tue Jul 14 02:09:26 2009 (4A5BCCB6)
fffff880`03f86000 fffff880`03fa1000   wanarp   wanarp.sys   Sat Nov 20 11:52:36 2010 (4CE7A874)
fffff880`03fa1000 fffff880`03fb5000   termdd   termdd.sys   Sat Nov 20 12:03:40 2010 (4CE7AB0C)
fffff880`03fb5000 fffff880`03fc0000   mssmbios mssmbios.sys Tue Jul 14 01:31:10 2009 (4A5BC3BE)
fffff880`03fc0000 fffff880`03fc8000   fsvista  fsvista.sys  Tue Mar 18 07:37:07 2008 (47DF6313)
fffff880`03fc8000 fffff880`03fdcda0   fsdfw    fsdfw.sys    Wed Oct 28 15:57:21 2009 (4AE85BD1)
fffff880`03fdd000 fffff880`03fe63a0   fses     fses.sys     Tue Mar 09 12:37:48 2010 (4B96330C)
fffff880`03fe7000 fffff880`03ff37e0   fshs     fshs.sys     Fri Jul 03 13:48:07 2009 (4A4DEFF7)
fffff880`04000000 fffff880`04023000   AtiHdmi  AtiHdmi.sys  Thu May 06 11:20:39 2010 (4BE289E7)
fffff880`04023000 fffff880`04060000   portcls  portcls.sys  Tue Jul 14 02:06:27 2009 (4A5BCC03)
fffff880`04060000 fffff880`04082000   drmk     drmk.sys     Tue Jul 14 03:01:25 2009 (4A5BD8E5)
fffff880`040c5000 fffff880`040eb000   tunnel   tunnel.sys   Sat Nov 20 11:51:50 2010 (4CE7A846)
fffff880`040eb000 fffff880`04100000   amdppm   amdppm.sys   Tue Jul 14 01:19:25 2009 (4A5BC0FD)
fffff880`04100000 fffff880`0414e000   atikmpag atikmpag.sys Mon Feb 28 17:17:18 2011 (4D6BCA8E)
fffff880`0414e000 fffff880`0416f000   raspptp  raspptp.sys  Sat Nov 20 11:52:31 2010 (4CE7A86F)
fffff880`0416f000 fffff880`04181000   umbus    umbus.sys    Sat Nov 20 11:44:37 2010 (4CE7A695)
fffff880`04181000 fffff880`041db000   usbhub   usbhub.sys   Fri Mar 25 04:29:25 2011 (4D8C0C15)
fffff880`041db000 fffff880`041f0000   NDProxy  NDProxy.SYS  Sat Nov 20 11:52:20 2010 (4CE7A864)
fffff880`04200000 fffff880`0420e000   usbfilter usbfilter.sys Mon Nov 29 10:50:21 2010 (4CF3775D)
fffff880`0420e000 fffff880`0421f000   usbehci  usbehci.sys  Fri Mar 25 04:29:04 2011 (4D8C0C00)
fffff880`04223000 fffff880`04392000   rtl8192Ce rtl8192Ce.sys Tue Mar 13 07:39:05 2012 (4F5EEB89)
fffff880`04392000 fffff880`0439f000   vwifibus vwifibus.sys Tue Jul 14 02:07:21 2009 (4A5BCC39)
fffff880`0439f000 fffff880`043f5000   RtsPStor RtsPStor.sys Wed Jan 12 08:32:49 2011 (4D2D5921)
fffff880`043f5000 fffff880`04400000   usbohci  usbohci.sys  Fri Mar 25 04:29:03 2011 (4D8C0BFF)
fffff880`04400000 fffff880`04424000   rasl2tp  rasl2tp.sys  Sat Nov 20 11:52:34 2010 (4CE7A872)
fffff880`04424000 fffff880`04430000   ndistapi ndistapi.sys Tue Jul 14 02:10:00 2009 (4A5BCCD8)
fffff880`04430000 fffff880`04431480   swenum   swenum.sys   Tue Jul 14 02:00:18 2009 (4A5BCA92)
fffff880`0443b000 fffff880`04598000   SynTP    SynTP.sys    Fri Dec 17 03:20:50 2010 (4D0AC902)
fffff880`04598000 fffff880`04599f00   USBD     USBD.SYS     Fri Mar 25 04:28:59 2011 (4D8C0BFB)
fffff880`0459a000 fffff880`045a9000   mouclass mouclass.sys Tue Jul 14 01:19:50 2009 (4A5BC116)
fffff880`045a9000 fffff880`045ad500   CmBatt   CmBatt.sys   Tue Jul 14 01:31:03 2009 (4A5BC3B7)
fffff880`045ae000 fffff880`045b7000   wmiacpi  wmiacpi.sys  Tue Jul 14 01:31:02 2009 (4A5BC3B6)
fffff880`045b7000 fffff880`045c7000   CompositeBus CompositeBus.sys Sat Nov 20 11:33:17 2010 (4CE7A3ED)
fffff880`045c7000 fffff880`045ccf80   clwvd    clwvd.sys    Wed Jul 28 03:13:47 2010 (4C4F844B)
fffff880`045cd000 fffff880`045d2200   ksthunk  ksthunk.sys  Tue Jul 14 02:00:19 2009 (4A5BCA93)
fffff880`045d3000 fffff880`045e9000   AgileVpn AgileVpn.sys Tue Jul 14 02:10:24 2009 (4A5BCCF0)
fffff880`045e9000 fffff880`045fd000   amdiox64 amdiox64.sys Thu Feb 18 16:17:53 2010 (4B7D5A21)
fffff880`04800000 fffff880`04843000   ks       ks.sys       Sat Nov 20 11:33:23 2010 (4CE7A3F3)
fffff880`04843000 fffff880`04872000   ndiswan  ndiswan.sys  Sat Nov 20 11:52:32 2010 (4CE7A870)
fffff880`04872000 fffff880`0488d000   raspppoe raspppoe.sys Tue Jul 14 02:10:17 2009 (4A5BCCE9)
fffff880`0488d000 fffff880`048a7000   rassstp  rassstp.sys  Tue Jul 14 02:10:25 2009 (4A5BCCF1)
fffff880`048a9000 fffff880`051a3000   atikmdag atikmdag.sys Mon Feb 28 17:46:24 2011 (4D6BD160)
fffff880`051a3000 fffff880`051f9000   USBPORT  USBPORT.SYS  Fri Mar 25 04:29:12 2011 (4D8C0C08)
fffff880`05400000 fffff880`0540b000   secdrv   secdrv.SYS   Wed Sep 13 15:18:38 2006 (4508052E)
fffff880`0540b000 fffff880`0543c000   srvnet   srvnet.sys   Fri Apr 29 05:05:35 2011 (4DBA2AFF)
fffff880`0543c000 fffff880`0544e000   tcpipreg tcpipreg.sys Wed Oct 03 18:07:26 2012 (506C62BE)
fffff880`0544e000 fffff880`054b7000   srv2     srv2.sys     Fri Apr 29 05:05:46 2011 (4DBA2B0A)
fffff880`054e3000 fffff880`05531000   mrxsmb10 mrxsmb10.sys Sat Jul 09 04:46:28 2011 (4E17C104)
fffff880`05531000 fffff880`05555000   mrxsmb20 mrxsmb20.sys Wed Apr 27 04:39:37 2011 (4DB781E9)
fffff880`05555000 fffff880`055fb000   peauth   peauth.sys   Tue Jul 14 03:01:19 2009 (4A5BD8DF)
fffff880`06c00000 fffff880`06c36000   fastfat  fastfat.SYS  Tue Jul 14 01:23:28 2009 (4A5BC1F0)
fffff880`06c36000 fffff880`06c44000   crashdmp crashdmp.sys Tue Jul 14 02:01:01 2009 (4A5BCABD)
fffff880`06c44000 fffff880`06c4e000   dump_diskdump dump_diskdump.sys Fri Apr 22 22:04:32 2011 (4DB1DF50)
fffff880`06c4e000 fffff880`06c65000   dump_amd_sata dump_amd_sata.sys Fri Jan 28 23:35:25 2011 (4D4344AD)
fffff880`06c65000 fffff880`06c78000   dump_dumpfve dump_dumpfve.sys Tue Jul 14 01:21:51 2009 (4A5BC18F)
fffff880`06c78000 fffff880`06c84000   Dxapi    Dxapi.sys    Tue Jul 14 01:38:28 2009 (4A5BC574)
fffff880`06c84000 fffff880`06c92000   monitor  monitor.sys  Tue Jul 14 01:38:52 2009 (4A5BC58C)
fffff880`06c92000 fffff880`06cb5000   luafv    luafv.sys    Tue Jul 14 01:26:13 2009 (4A5BC295)
fffff880`06cb5000 fffff880`06cca000   lltdio   lltdio.sys   Tue Jul 14 02:08:50 2009 (4A5BCC92)
fffff880`06cfe000 fffff880`06d81000   stwrt64  stwrt64.sys  Fri Dec 17 10:48:24 2010 (4D0B31E8)
fffff880`06d81000 fffff880`06d9e000   usbccgp  usbccgp.sys  Fri Mar 25 04:29:14 2011 (4D8C0C0A)
fffff880`06d9e000 fffff880`06dcb280   usbvideo usbvideo.sys Sat Nov 20 11:44:34 2010 (4CE7A692)
fffff880`0845c000 fffff880`084f4000   srv      srv.sys      Fri Apr 29 05:06:06 2011 (4DBA2B1E)
fffff880`084f4000 fffff880`08528000   fsgk     fsgk.sys     Tue Jul 05 17:48:27 2011 (4E13324B)
fffff880`08599000 fffff880`085a4000   asyncmac asyncmac.sys Tue Jul 14 02:10:13 2009 (4A5BCCE5)
fffff960`000e0000 fffff960`003f6000   win32k   win32k.sys   Thu Nov 22 04:26:12 2012 (50AD9B54)
fffff960`004c0000 fffff960`004ca000   TSDDD    TSDDD.dll    unavailable (00000000)
fffff960`006a0000 fffff960`006c7000   cdd      cdd.dll      Sat Nov 20 13:55:34 2010 (4CE7C546)
fffff960`00830000 fffff960`00891000   ATMFD    ATMFD.DLL    Sun Dec 16 15:45:03 2012 (50CDDE6F)

Phew, meget data! Det vi leder efter her, er gamle drivere. Vi kan hurtigt se, at der findes en “ældgammel” af slagsen - fsvista.sys fra 2008. En hurtig søgning viser os, at der er tale om F-Secure og det næste logiske skridt er derfor at installere en nyere version. Vi kan også se, at der er nogle ATI-drivere (grafikkortet), som er fra 2011, så de skal også opdateres, da Chrome selvfølgelig bruger grafikkortet en del.

I det konkrete eksempel lykkedes det faktisk at stoppe BSOD ved at fjerne F-Secure, installere et alternativ og opdatere grafikkortet.

Dette var bare et simpelt eksempel på WinDbg - der er rigtig, rigtig mange muligheder. Hvis du har gode råd eller spørgsmål, så skriv en kommentar herunder.


Bluescreen ( Faulty_Hardware_Corrupted_Page )
Blå skærm/Crash
Min værktøjskasse: Sysinternals