Leer archivos de volcado por caída

Autor: Roger Morrison
Fecha De Creación: 18 Septiembre 2021
Fecha De Actualización: 1 Mes De Julio 2024
Anonim
Buffer Overflow en Windows 32 bits - Desarrollo de un exploit con MiniShare 1.4.1
Video: Buffer Overflow en Windows 32 bits - Desarrollo de un exploit con MiniShare 1.4.1

Contenido

Cuando una aplicación de Windows se bloquea o se detiene inesperadamente, se genera un "archivo de volcado por caída" para almacenar la información del sistema justo antes de la falla. La lectura de archivos de volcado de memoria pequeños puede ayudar a resolver la causa del error. Con el programa gratuito "BlueScreenView" puede aprender rápidamente qué salió mal o utilizar las herramientas del depurador de Windows para obtener información más detallada.

Al paso

Método 1 de 2: uso de BlueScreenView

  1. Use BlueScreenView si solo desea ver qué causó el bloqueo. La mayoría de los usuarios solo necesitan archivos de volcado por caída para determinar cuál podría ser la causa de una caída del sistema o BSoD (pantalla azul de la muerte). BlueScreenView es un programa gratuito de NirSoft que analiza los archivos de volcado y puede indicarle qué controlador u otro factor causó el bloqueo.
    • Los volcados creados durante una caída del sistema se denominan "minivolcados".
  2. Descarga BlueScreenView. Puede descargar BlueScreenView directamente desde NirSoft en nirsoft.net/utils/blue_screen_view.html.
    • Puede descargar el programa como versión independiente (entregado en formato ZIP). Esto le permite ejecutarlo sin instalación. Una vez que haya terminado de descargar el archivo ZIP, haga clic derecho y seleccione "Extraer" para crear una nueva carpeta con BlueScreenView.
  3. Inicie BlueScreenView. Después de extraer BlueScreenView del archivo ZIP, ejecute el programa. Recibirá una notificación de Windows preguntándole si desea continuar.
  4. Busque el archivo de volcado por caída que desea analizar. Cuando su computadora falla, se crea un archivo llamado "minivolcado" en el directorio de Windows. Estos archivos tienen la extensión "dmp" y BlueScreenView puede leerlos y decirle lo que sucedió. Los archivos de minivolcado se pueden encontrar en C: Windows Minidump. Si no ve los archivos, es posible que deba hacer visibles los archivos ocultos:
    • En Windows 10 y 8, haga clic en la pestaña "Ver" en el Explorador de Windows y seleccione la casilla de verificación "Elementos ocultos".
    • En Windows 7 y versiones anteriores, abra Opciones de carpeta en el Panel de control, luego haga clic en la pestaña "Ver" y seleccione "Mostrar archivos, carpetas y unidades ocultos".
  5. Arrastralo dmp en la ventana BlueScreenView. La forma más rápida de abrir archivos .dmp es arrastrarlos y soltarlos en la ventana BlueScreenView. El archivo no se moverá de su ubicación original. La mitad inferior de la ventana BlueScreenView se llenará con datos después de arrastrar el archivo a la ventana.
  6. Vaya a la columna "Causado por el conductor" en la sección superior. Es posible que deba desplazarse ligeramente hacia la derecha para verlo. Esta columna muestra qué controlador causó el bloqueo del sistema.
    • También puede darse el caso de que el controlador problemático esté resaltado en rojo en la parte inferior de la ventana. Haga doble clic en este elemento resaltado para obtener más detalles, como el nombre del producto, la descripción y la ruta del archivo.
  7. Utilice esta información para encontrar el problema. Ahora que sabe qué controlador causó el bloqueo, puede comenzar a solucionar problemas. Comience con una investigación en línea del "nombre del controlador" y el "bloqueo" para ver si otros han experimentado el mismo problema.

Método 2 de 2: con WinDBG

  1. Utilice este método para un análisis más avanzado. La mayoría de los usuarios no necesitan usar el programa depurador de Windows para abrir archivos MEMORY.DMP y examinar el código descargado de la memoria debido a un bloqueo. Si desea obtener más información sobre cómo Windows usa los controladores y la memoria, o si necesita analizar archivos de volcado para el desarrollo de software, Windows Debugger puede proporcionarle mucha información.
  2. Descargue el Kit de desarrollo de software de Windows (WDK). Este programa contiene el programa WinDBG que utiliza para abrir los archivos de volcado. Puede descargar el instalador de WDK aquí.
  3. Haga doble clic en sdksetup.exe. Esto iniciará el instalador. Revise las primeras pantallas, dejando intactos los valores predeterminados.
  4. Anule la selección de todo excepto "Herramientas de depuración para Windows". Puede anular la selección de todas las demás opciones, ya que no se utilizan para abrir archivos de volcado. Deseleccionarlo acelerará la instalación y ahorrará espacio en su disco duro.
  5. Espere mientras se descargan e instalan los archivos. Esto puede tomar varios minutos.
  6. Abra la ventana de comandos como administrador. Debe abrir la ventana de comandos como administrador para asociar archivos dmp con WinDBG para que el programa pueda analizarlos. Abra la ventana de comandos en la carpeta "system32".
    • Windows 10 y 8: haga clic con el botón derecho en el botón de Windows y seleccione "Símbolo del sistema (administrador)".
    • Windows 7: abre el menú Inicio y escribe cmd. prensa control+⇧ Mayús+↵ Entrar.
  7. Vaya al directorio del depurador. Ejecute el siguiente comando para cambiar al directorio correcto. Si está utilizando Windows 10, puede simplemente copiar y pegar. Con versiones anteriores, tendrá que escribir el comando:
    • cd Archivos de programa (x86) Kits de Windows 8.1 Debuggers x64
  8. Ingrese el comando para montar los archivos de volcado. Escriba el siguiente comando para asociar WinDBG con archivos DMP. Los usuarios de Windows 10 pueden copiar y pegar este comando:
    • windbg.exe -IA
    • Si ingresó el comando correctamente, aparecerá una ventana WinDBG vacía que puede cerrar.
  9. Inicie WinDBG. Deberá configurar WinDBG para cargar los archivos correctos de modo que se puedan abrir los archivos dmp de Microsoft. Haz esto dentro de WinDBG.
    • La forma más rápida de iniciar el programa es presionar ⊞ Gana y escriba "windbg".
  10. Haga clic en "Archivo" y seleccione "Ruta del archivo de símbolo ". Una nueva ventana se abrirá.
  11. Copia y pega la siguiente dirección. Esta ruta le dirá a WinDBG que descargue y almacene los símbolos necesarios directamente desde Microsoft en C: SymCache:
    • SRV * C: SymCache * http: //msdl.microsoft.com/download/symbols
    • El mapa C: SymCache crecerá con el tiempo a medida que abra más archivos de depuración y descargue símbolos adicionales de Microsoft.
  12. Busque el archivo de volcado por caída que desea analizar. Los archivos de volcado (.dmp) se generan cuando su sistema falla. De forma predeterminada, pondría el archivo de volcado en el directorio C: Windows Minidump después de una recuperación por accidente. El archivo también puede estar en C: Windows MEMORIA. DMP pararse. Si no puede encontrar los archivos, es posible que deba mostrar los archivos ocultos:
    • En Windows 10 y 8, haga clic en la pestaña "Ver" en el Explorador de Windows y seleccione la casilla de verificación "Elementos ocultos".
    • En Windows 7 y versiones anteriores, abra Opciones de carpeta en el Panel de control, luego haga clic en la pestaña "Ver" y seleccione "Mostrar archivos, carpetas y unidades ocultos.
  13. Haga doble clic en el archivo de volcado. Siempre que WinDBG esté configurado correctamente, WinDBG debería iniciarse y comenzar a procesar el archivo.
  14. Espere mientras se carga el archivo de volcado. La primera vez que abre un archivo de volcado, debe esperar mientras se descargan los símbolos de Microsoft. No interrumpa el programa WinDBG mientras carga el archivo.
    • El archivo de volcado por caída se cargará mucho más rápido la próxima vez, ya que ya tiene los símbolos en la carpeta C: SymCache tener de pie.
    • Sabrá que el archivo de volcado ha terminado de cargarse cuando su Seguimiento: MachineOwner en la parte inferior del archivo.
  15. Busque la línea "Probablemente causado por". Esta es la forma más rápida de tener una idea de la causa del accidente. WinDBG analizará el archivo de volcado e informará qué proceso o controlador es probable que cause el problema. Puede utilizar esta información para realizar más investigaciones y solucionar problemas.
  16. Encuentra los códigos BugCheck. El archivo de volcado devolverá códigos para errores específicos que ocurrieron durante el bloqueo. Mire directamente encima de la línea "Probablemente causado por". Probablemente verá un código de dos caracteres, como "9F".
    • Vaya a la Referencia del código de verificación de errores de Microsoft. Busque el código que coincida con su BugCode mirando los dos últimos caracteres en cada entrada.

Publicaciones Fascinantes

Cómo invertir sabiamente en pequeñas cantidades
Cómo invertir sabiamente en pequeñas cantidades
Cómo cocinar cuscús
Cómo cocinar cuscús
Como fingir llorar
Como fingir llorar
Cómo cambiar toda una personalidad
Cómo cambiar toda una personalidad