Windows 8 - Proses Logging Monitor / Explorer untuk Mendiagnosis Penyebab BSOD

0

Saya baru-baru ini mulai mengalami BSOD setiap kali saya membiarkan komputer saya idle. Kode kesalahan Pemeriksaan Bug spesifik yang saya terima (0x139 dengan parameter 1 = 3), menurut halaman dukungan Microsoft ini , sangat sulit didiagnosis.

Tanpa merinci, beberapa proses sedang dimulai yang menyebabkan Windows crash dan saya ingin tahu apa proses itu.

Menggunakan Process Monitor dan Process Explorer, saya dapat melihat bahwa berbagai proses sedang dimulai tepat sebelum crash terjadi - tetapi, bahkan ketika menggunakan berbagai filter untuk mengurangi volume output, saya tidak bisa membaca secepat komputer saya dapat memperbarui tampilan .

Dengan asumsi saya tidak punya waktu untuk menyimpan secara manual sebelum crash terjadi, teknik apa yang bisa saya gunakan untuk secara otomatis mencatat output ke disk? Apakah ada cara untuk log-otomatis dari Process Monitor (atau Explorer, dalam hal ini)? Atau, apakah ada alat alternatif yang dapat memberi tahu saya informasi ini yang mendukung pencatatan otomatis?

Jika tidak, apakah ada alat tangkapan layar yang dapat menulis langsung ke file video yang tidak akan rusak jika proses penulisan terganggu oleh kerusakan?

Saya kira, jika yang terburuk menjadi yang terburuk, saya bisa memfilmkan layar saya dari ponsel - tetapi saya berharap itu akan menjadi metode yang cukup menyakitkan untuk digunakan.

Terima kasih sebelumnya atas bantuan yang ditawarkan.

Ceria, Zac

windows-8 bsod process-explorer process-monitor Zac
sumber
Anda harus melihat crash dump untuk informasi lebih detail. Crash Dump dapat ditemukan di C: \ Windows \ Minidump \ dan Anda dapat menggunakan windbg.exe (alat microsoft) yang tersedia secara bebas untuk menganalisis dump.
Pun
Terima kasih, saya sudah membaca log minidump via BlueScreenView. Ia memberi tahu saya proses yang berjalan saat kecelakaan terjadi adalah ntoskrnl.exe - namun sebenarnya bukan penyebab masalahnya. Masalah aktual (LIST_ENTRY korupsi) terjadi pada waktu yang lebih awal daripada kerusakan terjadi dan minidump tidak dapat digunakan untuk mengidentifikasi itu (dijelaskan di halaman yang saya tautkan dalam pertanyaan, di atas). Karenanya mengapa saya mencoba mencatat proses yang mengarah pada crash.
Zac
itu sebabnya saya tidak pernah menggunakan bluescreenview atau whocrash dll. apa pun yang menjadi alasan crash, itu selalu (jika tidak sebaliknya) masuk di crashdump. Tidak disebutkan di mana korupsi List_entry tidak dapat dianalisis menggunakan windbg
pun
Yah, itu benar - Saya membaca sekarang bagaimana cara menggunakan windbg (tidak pernah harus melakukan investigasi jenis ini sebelumnya).
Zac
Apakah itu selalu terjadi ketika Anda membiarkannya selama beberapa waktu? Seperti sebelum komputer akan pergi tidur atau standby dll ... karena saya telah melihat banyak perangkat (dengan driver lama / rusak) diaktifkan untuk mengubah manajemen daya komputer menyebabkan crash
pun

Jawaban:

1

Dump crash Anda menunjukkan ini:

KERNEL_SECURITY_CHECK_FAILURE (139)
A kernel component has corrupted a critical data structure.  The corruption
could potentially allow a malicious user to gain control of this machine.
Arguments:
Arg1: 0000000000000003, A LIST_ENTRY has been corrupted (i.e. double remove).
Arg2: ffffd0002054c2b0, Address of the trap frame for the exception that caused the bugcheck
Arg3: ffffd0002054c208, Address of the exception record for the exception that caused the bugcheck
Arg4: 0000000000000000, Reserved

Debugging Details:
------------------


SYSTEM_SKU:  P09ABE.012.CP

SYSTEM_VERSION:  P09ABE.012.CP

BIOS_DATE:  07/04/2013

BASEBOARD_PRODUCT:  NP350V5C-A0EUK

BASEBOARD_VERSION:  BOARD REVISION 00

BUGCHECK_P1: 3

BUGCHECK_P2: ffffd0002054c2b0

BUGCHECK_P3: ffffd0002054c208

BUGCHECK_P4: 0

TRAP_FRAME:  ffffd0002054c2b0 -- (.trap 0xffffd0002054c2b0)
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=ffffe000a9a204e0 rbx=0000000000000000 rcx=0000000000000003
rdx=ffffe000aa8e64e0 rsi=0000000000000000 rdi=0000000000000000
rip=fffff801476dd699 rsp=ffffd0002054c440 rbp=ffffd0002054c4d9
 r8=0000000000000000  r9=0000000000000002 r10=ffffe000acd2e620
r11=ffffe000ae13333c r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0         nv up ei pl nz na pe nc
ndis!ndisNsiGetAllInterfaceInformation+0x25819:
fffff801`476dd699 cd29            int     29h
Resetting default scope

EXCEPTION_RECORD:  ffffd0002054c208 -- (.exr 0xffffd0002054c208)
ExceptionAddress: fffff801476dd699 (ndis!ndisNsiGetAllInterfaceInformation+0x0000000000025819)
   ExceptionCode: c0000409 (Security check failure or stack buffer overrun)
  ExceptionFlags: 00000001
NumberParameters: 1
   Parameter[0]: 0000000000000003
Subcode: 0x3 FAST_FAIL_CORRUPT_LIST_ENTRY

CPU_COUNT: 4

CPU_MHZ: 9be

CPU_VENDOR:  GenuineIntel

CPU_FAMILY: 6

CPU_MODEL: 3a

CPU_STEPPING: 9

CUSTOMER_CRASH_COUNT:  1

DEFAULT_BUCKET_ID:  LIST_ENTRY_CORRUPT

BUGCHECK_STR:  0x139

PROCESS_NAME:  svchost.exe

CURRENT_IRQL:  2

ERROR_CODE: (NTSTATUS) 0xc0000409 - Das System hat in dieser Anwendung den  berlauf eines stapelbasierten Puffers ermittelt. Dieser  berlauf k nnte einem b sartigen Benutzer erm glichen, die Steuerung der Anwendung zu  bernehmen.

EXCEPTION_CODE: (NTSTATUS) 0xc0000409 - Das System hat in dieser Anwendung den  berlauf eines stapelbasierten Puffers ermittelt. Dieser  berlauf k nnte einem b sartigen Benutzer erm glichen, die Steuerung der Anwendung zu  bernehmen.

EXCEPTION_PARAMETER1:  0000000000000003

ANALYSIS_VERSION: 10.0.10240.9 amd64fre

LAST_CONTROL_TRANSFER:  from fffff802843ce7e9 to fffff802843c2ca0

STACK_TEXT:  
00 nt!KeBugCheckEx
01 nt!KiBugCheckDispatch
02 nt!KiFastFailDispatch
03 nt!KiRaiseSecurityCheckFailure
04 ndis!ndisNsiGetAllInterfaceInformation
05 NETIO!NsiGetAllParametersEx
06 nsiproxy!NsippGetAllParameters
07 nsiproxy!NsippDispatch
08 nt!IopXxxControlFile
09 nt!NtDeviceIoControlFile
0a nt!KiSystemServiceCopyEnd
0b 0x0


FOLLOWUP_IP: 
NETIO!NsiGetAllParametersEx+1f8
fffff801`474077d3 8bf0            mov     esi,eax

SYMBOL_STACK_INDEX:  5

SYMBOL_NAME:  NETIO!NsiGetAllParametersEx+1f8

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: NETIO

IMAGE_NAME:  NETIO.SYS

DEBUG_FLR_IMAGE_TIMESTAMP:  546029c5

IMAGE_VERSION:  6.3.9600.17485

BUCKET_ID_FUNC_OFFSET:  1f8

FAILURE_BUCKET_ID:  0x139_3_NETIO!NsiGetAllParametersEx

BUCKET_ID:  0x139_3_NETIO!NsiGetAllParametersEx

PRIMARY_PROBLEM_CLASS:  0x139_3_NETIO!NsiGetAllParametersEx

Kecelakaan ini di NETIO.sys adalah masalah yang diketahui bahwa Microsoft sudah diperbaiki dengan perbaikan terbaru KB3055343 .

Klik pada Unduhan Hotfix Tersedia , masukkan email Anda untuk meminta perbaikan terbaru. Ekstrak Exe yang tertaut dalam email dan instal perbaikan terbaru melalui Windows8.1-KB3055343-x64.msufile.

magicandre1981
sumber
Untuk sementara, tampak bahwa perbaikan terbaru telah melakukan trik. Terima kasih sekali lagi untuk melihat ini untuk saya, crash biasa telah membuat saya gila dan mengganggu pekerjaan saya, jadi Anda benar-benar menyelamatkan saya untuk yang ini ...
Zac
@Zac senang mendengar bahwa masalah Anda sekarang sudah diperbaiki :)
magicandre1981
Microsoft sekarang menyebarkan pembaruan versi 2 melalui WindowsUpdate ke semua pengguna.
magicandre1981