Причины синего экрана Windows, узнаем за минуту | Настройка серверов windows и linux

Use the Event Viewer

  1. Нажмите комбинацию клавиш WindowsX, чтобы открыть меню Быстрые ссылки.
  2. Щелкните на Event Viewer (Просмотр событий).
  3. Посмотрите на панель действий.
  4. Щелкните ссылку Создать пользовательский вид.
  5. Выберите временной диапазон. Здесь вы вводите период времени, в течение которого произошел BSOD.
  6. Здесь вводится диапазон времени, когда произошел BSOD.
  7. Установите флажок Ошибка в разделе Уровень события.
  8. Выберите меню Журналы событий.
  9. Установите флажок Журналы Windows.
  10. Нажмите OK.
  11. Назовите пользовательское представление, затем нажмите OK. (В окне просмотра событий теперь отображается основная информация с примененными вами фильтрами).
  12. Сортировка информации по дате с помощью заголовка Дата и время.
  13. Просмотрите события ошибок во время последнего BSOD.
  14. Для получения более подробной информации об ошибке перейдите на вкладку Подробности.

Вы увидите, что журнал системных и прикладных сообщений отображается в средстве просмотра событий Windows.

Совет эксперта: Некоторые проблемы с ПК могут быть трудноразрешимыми, особенно если речь идет об отсутствующих или поврежденных файлах Windows. Вполне возможно, что ваша система частично повреждена, если вы испытываете трудности с устранением ошибки. Мы настоятельно рекомендуем установить Restoro – программу, которая просканирует ваш компьютер и выявит проблему. Чтобы загрузить и начать ремонт, нажмите здесь.

Это полезный инструмент для устранения всех видов различных проблем Windows, включающий ошибки, информационные сообщения и предупреждения.

Не работает клавиша Windows. Вы можете положиться на нас и использовать эти эффективные шаги для быстрого решения проблемы.

Use your Registry Editor

  1. Press Windows R and type run to open the Run menu.
  2. Type in regedit to open the Registry Editor.win run
  3. Go to the following path: HKEY_LOCAL_MACHINESystemCurrentControlSetControlCrashControlregedit
  4. On the right panel of the Registry Editor right-click.
  5. Select new followed by DWORD Value.
  6. Name it DisplayParameters.
  7. Click on this new value and set it to 1 – type 1 on the Value data box.regedit win 8
  8. Save your changes.
  9. Close the Registry Editor.
  10. Restart your PC.

Divide_by_zero_error

Приложение, пытающееся выполнить деление на ноль, является причиной этой ошибки остановки. Если вы столкнулись с этой ошибкой и не знаете, какое приложение виновато, попробуйте просмотреть дамп памяти.

Hardware_interrupt_storm

Такая ошибка обычно возникает из-за плохо написанной микропрограммы или драйвера. Устранение неполадок является сложной задачей, но инструмент System Information или Device Manager могут оказать помощь.

How to debug memory dumps

Загрузите и установите Microsoft Debugging Tools, чтобы узнать, как отлаживать дампы памяти и определить корень BSOD. Убедитесь, что системный раздел все еще содержит файл страницы. В противном случае Windows не сможет сохранить файлы отладки.

Программа Crash Dump Analyzer может быть использована для изучения отчетов об аварийных дампах.

Inaccessible_boot_device

Когда у Windows возникают проблемы со считыванием данных с жесткого диска, возникает эта ошибка остановки. Корнем этой проблемы может быть плохой драйвер устройства. Попробуйте также запустить антивирусную программу.

Kmode_exception_not_handled

Такая ошибка обычно возникает из-за неправильно настроенного драйвера устройства, который сложно изолировать и диагностировать.

List of common windows blue screen errors & solutions

Возможно, самый типичный BSOD! Это происходит, когда драйвер неправильно обращается к памяти, когда NT работает на определенном IRQL. Подобно попытке доступа к недопустимой области памяти, это ошибка кодирования драйвера. Восстановление/предотвращение: Как правило, никаких. Однако могут помочь KB810093, KB316208 и KB810980.

Machine_check_exception

Это может произойти, если ваш процессор был разогнан. Проверьте также источник питания.

Multiple_irp_complete_requests

Код ошибки 0x44 означает проблему с логикой работы драйвера. Было замечено, что это происходит в системе, которая перегружена. Исправления или обходного пути нет.

Pfn_list_corrupt

Наиболее распространенной причиной этой ошибки Bugcode 0x4E является плохая оперативная память. Возможно, вам стоит проверить или заменить оперативную память. Других известных способов устранения или обходного пути, если это не сработает, не существует.

Stop 0x0000000a or irql_not_less_or_equal

Драйвер или процесс в режиме ядра предпринял несанкционированную попытку доступа к ячейке памяти. Неисправное или несовместимое друг с другом аппаратное или программное обеспечение часто вызывает эту ошибку Stop. Ошибка Stop часто содержит имя драйвера неисправного устройства, что может быть решающим фактором в решении проблемы.

Попробуйте удалить или заменить устройства из этой категории, если в сообщении об ошибке упоминается конкретное устройство или группа устройств. Подозревайте несовместимый драйвер, системную службу, вирусный сканер или программу резервного копирования, если эта ошибка Stop возникает во время установки. KB314063 может указать вам правильное направление.

Данные, которых не было в памяти, были запрошены драйвером оборудования или системной службой.

Причиной может быть дефект физической памяти или несовместимое программное обеспечение, особенно антивирусные программы и программы удаленного управления. Если ошибка появляется сразу после установки драйвера устройства или приложения, попробуйте удалить драйвер или программу в безопасном режиме. Более подробную информацию см. в KB894278 и KB183169.

Драйвер или процесс в режиме ядра пытался выделить память несанкционированным образом. Драйвер или часть программного обеспечения может иметь ошибку, которая и является причиной проблемы. Это также может произойти при неисправности аппаратного устройства. Более подробную информацию см. в KB265879.

Stop 0x00000024 or ntfs_file_system

Драйвер для файловой системы NTFS столкнулся с проблемой.

Stop 0x0000002e or data_bus_error

Наиболее частой причиной этой ошибки Stop является неисправность или отказ физической памяти, включая память, находящуюся в видеоадаптерах. В ошибке также может быть виновата поврежденная материнская плата или поврежденный жесткий диск.

Stop 0x0000003f or no_more_system_ptes

В вашей системе были исчерпаны записи таблицы страниц (PTE). Эта относительно редкая ошибка может быть вызвана повреждением драйвера устройства или неконтролируемой программой резервного копирования. Более подробную информацию см. в KB256004.

:/>  Схемы блоков питания и не только.

Stop 0x00000077 or kernel_stack_inpage_error

Данные ядра, которые система пыталась прочитать из виртуальной памяти (страничный файл), не могут быть расположены по запрашиваемому адресу памяти. Эта ошибка останова может возникнуть из-за ряда проблем, включая неисправную память, сломанный жесткий диск, неправильно настроенный кабель или контроллер диска, поврежденные данные или заражение вирусом. Щелкните KB228753 для получения дополнительной информации.

Stop 0x0000007f or unexpected_kernel_mode_trap

Наиболее вероятной причиной этого BSOD является аппаратная проблема, например, неисправные чипы памяти, несоответствующие модули памяти, ненадежный процессор, проблема с вентилятором или блоком питания. Это также может произойти, если ваш процессор был разогнан. Подробности указаны в сообщении.

Дополнительную информацию см. в KB137539.

Stop 0x000000d8 or driver_used_excessive_ptes

Это говорит о том, что ваш компьютер запрашивает много памяти ядра из-за плохо написанного драйвера. Рекомендации по устранению неполадок такие же, как и в сообщении STOP 0X3F. Вам может помочь KB256004.

Stop 0x000000ea or thread_stuck_in_device_driver

Это может произойти после установки обновленного (но плохо написанного) видеодрайвера или нового видеоадаптера. Возможно, поможет новый видеодрайвер или замена видеоадаптера. См. KB293078.

Stop 0xc00000221 or status_image_checksum_mismatch

Это может быть признаком поврежденного диска, поврежденного файла страниц, поврежденного файла или неисправного оборудования. В ошибке будет указан конкретный вид и имя поврежденного системного файла. Для устранения этой проблемы может понадобиться среда восстановления Windows, восстановление системы или последняя известная хорошая конфигурация.

Stop 0xc000021a or status_system_process_terminated

Если Windows имеет значительные проблемы с безопасностью, происходит следующее. Системные файлы несовместимы, подсистема, такая как Winlogon или CSRSS, скомпрометирована, или системные разрешения были неправильно изменены. Некоторые сторонние программы являются частой причиной этой проблемы. Попробуйте распознать все новые программы, которые вы установили, и удалить их.

Stop ox000000ed or unmountable_boot_volume

Если Windows не может получить доступ к тому, содержащему загрузочные файлы, это произойдет. Однако если вы получили это сообщение при обновлении до Vista, убедитесь, что ваш контроллер диска использует совместимые драйверы. Также следует дважды проверить кабели диска, чтобы убедиться, что они настроены правильно.

Ядро Windows обнаружило несанкционированную или неопознанную инструкцию процессора, которая часто является результатом нарушений недействительной памяти и доступа, вызванных проблемным оборудованием или драйверами. В сообщении об ошибке часто указывается неисправный драйвер или устройство. Если к ошибке привела установка драйвера или службы, попробуйте отключить или удалить их.

Warning

В чрезвычайной ситуации система может быть потеряна или уничтожена.

Выявляем причины синего экрана windows в microsoft kernel debugger

Опытные пользователи при возникновении BSOD сразу же обращаются к Microsoft Kernel Debugger или WindBg (инструменты отладки Windows). Microsoft распространяет WinDbg, многоцелевой отладчик для Windows.

В информатике отладка – это процесс выявления и устранения ошибок в системе; она также относится к исследованию внутренней работы программного обеспечения. Этот инструмент позволяет отлаживать в режиме ядра операционную систему, драйверы устройств и программное обеспечение пользовательского режима. Он имеет графический интерфейс пользователя (GUI), в отличие от более известной Visual Studio.

Где искать файл дампа (memory.dmp)

Напомню, прежде чем мы узнаем о причинах BSOD и о том, как определить их происхождение. Окно системных настроек покажет вам, где его найти. Для этого откройте свойства компьютера и одновременно нажмите клавиши WIN или Pause Break.

После этого в окне свойств системы выберите “Дополнительные параметры”.

Вы должны нажать на календарь в разделе “Загрузка и восстановление” на вкладке “Дополнительно”. Что на самом деле означает C:WindowsMEMOR. DMP в появившемся окне? Путь файла дампа по умолчанию – %SystemRoot%MEMOR. DMP. На любом другом диске вы можете указать собственное местоположение.

Другой вариант – заменить мини-свалку на полную свалку.

Диагностика bsod в windbg

Вы должны связать formats. DMP, HSDmp и WEW с Microsoft Kernel Debugger, чтобы при двойном щелчке на дампе памяти или минидампе открывалась утилита. ОДНАКО В ЭТОМ ВИНОВАТ РЕЗИДЕНТ.

cd C:Program FilesWindows Kits10Debuggersx64 если у вас x-86 система, то выполните cd C:Program Files (x86)Windows Kits10Debuggersx86

Затем выполните команду:

windbg.exe -IA

Исполняемый файл можно найти, открыв Пуск.

Подключите Symbol File Path, чтобы убедиться, что на локальных дисках находится самая последняя база данных ошибок. Для этого найдите пункт Symbol Fil Path в меню “Файл”.

Как устроен bsod

Функция KeBugCheckEx, экспортируемая ядром и вызываемая из сотен (если не тысяч) устройств, служит исполнителем в системах NT. Что значит быть где-то или в каком-то другом месте? Каковы эти спецификации? Согласно NTDDK, функция KeBugCheckEx принимает пять аргументов (Setup CheckCode), первый из которых содержит код ошибки, а остальные четыре указывают момент и обстоятельства ее возникновения.

В этом же файле содержится список кодов BugCheck, предоставляемых NTDDK. Каждый код BugCheck имеет четыре аргумента, которые уникальны для него в данном тексте. Распечатайте все документы, которые могут не понадобиться для понимания конкретного случая.

Коды BugCheck разделяются на две основные группы. Первая содержит ссылку на другую инструкцию, а вторая – адрес инструкции, которая вызвала исключение (например, 1Eh – KMODE_EXCEPTION-NOT_HANDLED). Это идеальный вариант, поскольку он позволяет отладчику быстро взглянуть на место сбоя, закрыть брешь и продолжить работу. Конечно, для этого вам потребуется знание ассемблера.

Адрес неисправной инструкции не входит в другую категорию кодов BugCheck, поскольку ядро обнаруживает сбой только после того, как он произошел. В таких ситуациях сложно определить нарушителя. Как этот код BugCheck поражает вас?

:/>  Полное исправление: служба времени Windows не работает на Windows 10 - Исправлять 2022

Хуже всего то, что даже потратив несколько дней на кропотливое выслеживание диверсанта, все равно нет способа избежать перезагрузки. Вы можете вернуться в режим приложений и сохранить некоторые данные, если риск для вашей жизни еще не полностью устранен.

Возможно, вам повезет и вы сможете проработать несколько часов или даже дней. В исключительных обстоятельствах система может функционировать в течение недели, но в таких тяжелых обстоятельствах нет никакой пользы. Поскольку существует очень высокая вероятность уничтожения дисковых томов, предпочтительнее перезагружаться после сохранения всех неоплаченных данных.

Как я раньше этого не сделал?

Хакерские способности не появляются просто так. Путем экспериментов и использования различных “книг рецептов” мы постепенно узнаем все детали и приходим к пониманию того, как устроен мир. Мир одновременно прост и запутан. Любая задача может показаться простой.

Многочисленные мелкие и крупные проблемы могут быть решены с помощью термоядерных отладчиков. Чтобы правильно использовать отладчики, необходимы практика и интуиция. Мы искренне надеемся, что прочтение этой статьи вдохновит вас на научный поиск и исследования.

Назначение синего экрана

Нет смысла повторять информацию, потому что она уже была дана сто миллионов раз.

Синий экран смерти, также известный как BSOD или BSO, обычно представляет собой синюю ошибку во весь экран.

На самом деле, “синий экран смерти” – это просто другое название стоп-сообщения или стоп-ошибки.

B SOD также может называться сбоем системы, экраном проверки ошибок или просто синим экраном смерти.

С момента создания Windows, BSODы были проблемой из-за “глюков” оборудования, программного обеспечения и самой ОС.

Синий экран смерти не изменился с Windows 95 до Windows 10. серебристый текст на фоне темно-синего цвета.

Наслаждайтесь мелочами

По сути, анимированный загрузочный экран ОС дает хорошее представление о том, на что способен видеорежим VGA. Разумно предположить, что ядро уже содержит код, необходимый для рендеринга графики. Нас интересует семейство функций Inbv*, поэтому я не буду заставлять вас гадать.

if (InbvIsBootDriverInstalled())
{
InbvAcquireDisplayOwnership();          // теперь мы командуем
InbvResetDisplay();                          // очищаем экран, переинициализируем палитру
InbvSolidColorFill(0, 0, 639, 479, 4);    // заливаем все синей краской
InbvSetTextColor(15);                      // а пишем белой
InbvInstallDisplayStringFilter(0);         // сбрасываем callback-функцию на отображение текстовой строки
InbvEnableDisplayString(TRUE);          // разрешаем писать строки
InbvSetScrollRegion(0, 0, 639, 475);   // сужаем рамки экрана

InbvDisplayString(«Hello world!»);       // выводим текст

};

Эти функции в коде драйвера безопасны для использования. Но имейте в виду, что вы не сможете быстро восстановиться.

Но особенно выделяется InbvBit Blt:

VOID NTAPI InbvBitBlt(IN PUCHAR Buffer, IN ULONG X, IN ULONG Y)

Можете ли вы разобраться в этом? Да, он рендерит файл BMP (256-цветный файл без заголовка файла) напрямую. Единственная проблема в том, что его нельзя экспортировать. Это обертка, к счастью, для той же функции VidBit Blt. Нам не особенно интересна функция обертки, которая заключается в синхронизации рендеринга.

Дерзайте, мои дорогие! Модуль bootvid.dll, который предоставляет пользователю анимацию загрузки, также экспортирует VidBit Blt. Чтобы получить доступ к этой чудо-функции, найдите загруженные модули в списке экспорта, проанализируйте таблицу экспорта и получите указатель. Единственное, что вас ограничивает, – это ваше воображение.

Если бы я был хвастуном, то мог бы поспорить с вами на яблоко или шоколадку. Самое главное, помните, что природа человека отличается от природы машины.

Всем позитива!

Он посинел, ему плохо?

Реакцией ядра на нерешенное исключительное обстоятельство является BSOD. Если вы его заметили, значит, что-то не так.

Многочисленные ограничения накладываются средой ядра. Помните о IR’L, быстро выходите из ISSR и изучайте любые данные из “пользовательской среды”.

На самом деле в этом есть логика. Даже если ядро сделает это за него (что ядро любезно сделает за своего создателя), приложение никогда не будет “повторять” себя, если в режиме usermode, когда исключение обрабатывается необработанным и логика выполнения полностью разрушается, приложение просто завершается. Таким образом, вы также можете создать несколько других связей между процессами.

В режиме kernelmode все по-другому. Во-вторых, соседи по комнате и квартире больше не являются соседями в режиме kernelmode. Здесь нет стен, чтобы остановить нетрезвое поведение некоторых жильцов. Однако связи между модулями kernelmode хрупкие. Массивные часы с внушительным количеством компонентов составляют ядро и его составные части.

Ключевым моментом здесь является то, что при повреждении хотя бы одного винта вся система рушится. Существуют некоторые модули, отказ которых логически не влияет на ОС. Но согласно логике, ядерный компонент участвует в активном взаимодействии с другими компонентами и ядром ОС. Кроме того, отлаживать такие ошибки очень сложно.

Тем не менее, вы являетесь пользователем уровня “манекена”. как вы отреагируете, если увидите синий экран

Допустим, вы сейчас работаете системным администратором. Ваша реакция на “синяк” Ну, пока вы не начнете читать код ошибки и другие вещи.

Вы должны были видеть этот сложный отладочный вывод, kernelcoder. Когда вы увидите его снова, единственное, что приходит на ум, – это не междометия.

И вот мы имеем и незаменимые невосстанавливаемые нервные клетки, и невозможность восстановить нормальную деятельность системы. И что теперь? Мы все согласны, что взломать KeBugCheck – не вариант. Душевные DirectX BSODs, которые приходят с выходом Windows 8, придется подождать еще некоторое время. Прямо сейчас.

Первый бой – он трудный самый!

Найдите пункт “Tools” в разделе “Syser Console” и нажмите на “Making Driver Loader”. В появившемся диалоговом окне введите путь к драйверу CALL-the BSOD.sys (DriverFile Name). Загрузчик перезагрузит файлы и установит Service Name.

:/>  Как запустить программу или игру от имени Администратора в Windows 10 | remontka.pro

После установки драйвера остается только нажать “Пуск”, а когда мы вдоволь наиграемся с ним, можно сказать “Деинсталляция”, чтобы удалить службу из системы, но мы не можем этого сказать. Это запись в реестре, которая никому не мешает.

Однако мы движемся слишком быстро. Отладчик появляется на экране после нажатия кнопки “Start”, и он сразу же останавливается на функции KeBugCheckEx. Если нажать “x”, передав управление функции KeBugCheckEX, система аварийно завершается в BSOD (см. рисунок), после чего появляется последующий SECAM.

Согласно NTDDK, ошибка доступа, сигнализируемая кодом BugCheck KMODE_EXCEPTION NATHLED, представлена числом 1Eh. Код исключения для первого аргумента функции KeBugCheckEx – C000005h (STATUS_ACCESS), что означает нарушение доступа в данном случае.

Адрес сбойной машинной инструкции, представленный вторым аргументом (F75DF2Afh), может быть “достигнут” командой “u *(esp (4*3)”)”, которая деконструирует содержимое указателя вершины стека.

Если команда введена правильно, будет отображен код убийцы драйверов. Все в порядке! Доступ к полюсу памяти осуществляется машинной командой MOV EAX, [EAC] (где easi – ноль).

Лучше не заглядывать в верхнее левое окно. Там EAX равен 0 и кто знает, что еще! Однако возвращаться назад – не вариант.

По ту сторону bsod’ов

Когда ядро сталкивается с проблемой, которую оно не может решить самостоятельно, появляются синие экраны. Если отказ каждого механизма оси не остановлен путем резкой остановки каждого механизма оси,

N T-подобные системы из мира UNIX, которые испытывают BSOD (также известный как kernel panic) только в необычных обстоятельствах

Конечно, вы не добьетесь успеха, если драйвер файловой системы содержит ошибку. Большинство ошибок вызвано брандмауэрами, антивирусными программами и вирусами.

Вы должны различать аппаратные и программные проблемы, прежде чем бросаться в ментальную битву. Если на синих экранах в случайное время отображаются разные данные (кто может прочитать эти цифры? (Если это проблема с железом, то проблема в глюкозе.

Процесс попытки оживить компьютер чрезвычайно рискован. Операционная система попытается сбросить дисковые буферы, если разгон или плохой блок питания уничтожили содержимое оперативной памяти.

Примеры распространенных синих экранов

Ниже вкратце перечислены наиболее типичные сценарии “синего экрана смерти” на платформах Windows.

Различия между файлами полного дампа памяти и файлами мини дампа

Файл дампа памяти может хранить данные о различных типах данных. Для решения проблемы инженеру технической поддержки обычно требуется доступ ко всему содержимому виртуальной памяти. В других ситуациях может потребоваться меньше деталей, чтобы сконцентрироваться на конкретной проблеме.

Полный дамп памяти файлов. Виртуальная память для процесса представлена в этих файлах. Лучше всего использовать эти файлы для устранения неопознанных проблем. Эти файлы позволяют инженеру технической поддержки разбирать код и искать объект или переменную в любой области памяти.

Файлы мини-дампов памяти. По сравнению с полным файлом дампа, файл мини-дампа предлагает больше возможностей для настройки. Размер увеличился в результате того, что отладчик записывает больше виртуальной памяти на диск.

У них есть недостаток, несмотря на то, что вы можете быстро составить мини-файлы дампа памяти и не беспокоиться о том, как они выглядят на самом деле. Мини-дампы содержат гораздо меньший объем данных, чем полные дампы. Инженер службы поддержки может потерять много информации, если файл мини-дампа не будет захвачен.

Универсальные способы реанимации системы

Мозговой штурм начинается сейчас! Есть рекомендации? Думаю.

Зачем вообще беспокоиться о нулевой транспортировке на ядерном уровне, если прикладная система может сделать то же самое?

Ядро? А как насчет других структур данных и плоских языков? Как мы их оставляем? Если мы обсудим ядра и их обращения к прикладному уровню, то увидим, что они повторно подготавливают регистровый контекст.

Наибольший риск представляет сбой функции драйвера, в результате которого его собственные данные остаются в дезорганизованном состоянии (с большой вероятностью BSOD повторится при последующем обращении к ним). Может быть, хуже не будет, хм.

Уроки практической магии

Давайте создадим прямой драйвер, который обращается к памяти, используя нулевой указатель, что совершенно недопустимо и приводит к BSOD.

Исходный код ассемблера простейшего драйвера-убийцы можно найти здесь:

.686.model flat, stdcall

extern DbgPrint:PROC.code

Procpush offset to_die for driver entry. вывод предупредительного сообщения

XOR EAX, EAX; обнуляем регистр EAXMOV EAX, [EAX] ; здесь выскакивает BSOD

Push Offset Joyful; CALL DbgPrint показывает, что вы живы, если вы читаете это.

mov eax, 0C0000182h; STATUS_DEVICE_CONFIGURATION_ERROR; RET; Four-F saysRETN 8; <- haron saysDriverEntry endp

.datato_die DB “*] приготовьтесь к смерти! [*”,0Dh,0Ah,0happy DB “*] добро пожаловать в жизнь [*”,0Dh,0Ah,0

Полный DriverEntry

Установка microsoft kernel debugger

Установить WinDbg можно двумя способами:

Утилиты диагностики синего экрана

Доступны две утилиты. Какие информационные ресурсы вы можете использовать для решения проблемы BSOD?

  1. Первая, бесплатная и, на мой взгляд, не очень полезная, называется BlueScreenView
  2. Вторая имеет максимальный набор диагностических инструментов и разработана самими производителями. Я имею в виду Microsoft Kernel Debugger или WinDbg (Средства отладки для Windows). Я не могу представить, как вы можете абсолютно точно определить, что вызывает “ошибку выключения” в вашей системе без этого инструмента. В этой статье я дам подробный анализ этого инструмента.

Оставьте комментарий

Adblock
detector