知识点分析:

机器运行中蓝屏，是我们常见的故障现象之一，导致蓝屏的原因很多，如何快速查找分析蓝屏文件？该文档着重介绍如何从非安全模式下提取蓝屏文件的方法及分析问题的原因。
操作步骤:

要想分析导致蓝屏的原因，我们首先需要对系统进行一些必要的设置步骤如下：

1、首先查看开机自检画面过后，按键盘F8热键调出系统高级启动菜单，选择“最后一次正确配置”模式，查看故障是否排除。如不能排除，且蓝屏代码为“0x0000007B”，则一半是硬盘模式设置错误，请调整（或设置）AHCI选项测试。

2、开机启动界面，按键盘F8键调出系统高级启动菜单，选择“禁用系统失败时自动重新启动”，此时系统若启动蓝屏，可记录蓝屏文件代码。

3、若能够正常进入OS，请右键点击许算机-属性-高级-启动与故障恢复将自动重新启动复选框勾掉，在写入调试信息中有三项选择，分别为“小内存转储”“核心内存转储”“完全内存转储”若选择后面两项，则在%SystemRoot%下生成MEMORY.DMP文件，此文件很大，不利于后期我们分析。常用情况请选择“小内存转储”若出现蓝屏则在C:\\Windows\\Minidump文件夹下生成蓝屏文件，此文件较小，便于我们后期分析。

4、可采用联想金钥匙或其它常见的PE引导工具进入虚拟PE系统，打开C:\\Windows\\Minidump，拷贝蓝屏文件，使用蓝屏分析工具进行分析。

下面为大家介绍两种常用的蓝屏分析工具，分别为[Windows蓝屏解析工具].BlueScreenView.V1.28和微软 WinDbg软件

1 [Windows蓝屏解析工具].BlueScreenView的使用介绍

  BlueScreenView不需要任何安装过程或额外的DLL文件。开始使用它，只需运行可执行文件- BlueScreenView.exe

  BlueScreenView运行后，它会自动扫描您的小存储器转储文件文件夹并在上部窗格中显示所有意外事件的细节。

  BlueScreenView特点

1.1 自动扫描您的当前小存储器转储文件文件夹并列出显示所有崩溃转储文件，包括崩溃转储日期/时间和崩溃细节。

1.2 可以模拟Windows崩溃时显示的蓝色屏幕进行信息显示。

1.3 BlueScreenView枚举崩溃堆栈中的内存地址，并找到其中可能导致崩溃的驱动/模块。

1.4 只要您在高级选项里选择正确的转储文件夹，BlueScreenView也可让您查看另一个Windows中的崩溃数据。

1.5 BlueScreenView自动定位崩溃转储中出现的驱动，并提取它们的版本资源信息，包括产品名称，文件版本，公司和文件描述。

1.6 在本地计算机双击鼠标运行BlueScreenView，会看到如下图能够直观看到：

1.7 如本机系统不能启动，我们可将蓝屏文件拷贝，放入能够正常运行的计算机中，在高级选项中设置文件的路径：

1.8 选择浏览选择蓝屏文件所在的路径。

2 WinDbg软件的使用

2.1 打开系统属性，切换到高级选项卡。

2.2 在高级选项卡上，在启动和故障恢复部分中单击设置。这将打开启动和故障恢复对话框，如下图所示：

2.3 在写入调试信息列表中，选择“小内存转储 (64 KB)”或“核心内存转储”，这样系统在崩溃时将会自动生成对应的内存转储文件。如果您不想让蓝屏只闪烁一下，而是想看清楚它直到您手动重新启动计算机，请清除系统失败部分中自动重新启动 (R)项目前的复选框。然后单击确定。

2.4 在启动和故障恢复对话框中，单击确定。

2.5 单击确定关闭系统属性对话框。

2.6 在系统设置更改对话框中，如果要立即重新启动计算机，则单击是；如果要稍后重新启动计算机，则单击否。

2.7 您要配置 WinDbg将要使用的调试符号文件 (Symbol File)的位置。

在WinDbg中点击“File”菜单，选择“Symbol File Path …”，在打开的对话框中输入 “SRV*DownstreamStore*https://msdl.microsoft.com/download/symbols”后点击“OK”按钮即可。再次点击“File”菜单，选择“Save Workspace”来保存当前的设置。“DownstreamStore”为存储符号文件的存储目录，可以设置为“C:\\Symbol”。

2.8 设置了符号文件之后，您就可以进行内存转储文件的分析了。同样点击“File”菜单，这次要选择“Open Crash Dump …”，然后通过文件打开对话框打开生成的待分析的内存转储文件。本例中设置的是核心内存转储类型，于是应该定位至“ %SystemRoot%”(即系统盘 Windows文件夹下)，打开“MEMORY.DMP”文件。此时 WinDbg会滚动显示一些信息，等待从微软符号文件服务器下载完分析这个崩溃文件所需要的所有符号文件。

在上图中，我们看到就是这个打开的调试器命令窗口 (Debugger Command Window)(已经将符号文件加载完毕，待命)。

如上图所示，区域 1处将显示打开的这个内存转储文件的物理路径；

区域2处显示的则是当前加载的符号文件的位置，本例中表明是从微软服务器下载；

区域3共有三行，显示的为系统信息，第一行表明了系统为 Windows XP，内核版本为 2600(SP3)，多处理器(2颗)，32位，第二行表明了系统类型为 NT系统，客户端系统，第三行表明系统的详细版本标识；

区域4共两行，第一行表明该内存转储文件生成的时间，也就是系统崩溃的具体时间，第二行显示的是崩溃时自系统启动以来，系统共运行了 *天 *小时 *分 *秒。

区域6是很关键的错误信息，它的第一行仅在加载符号文件遇到错误时显示，此例中，告诉我们

对于USBPORT.SYS文件，模块已经加载完毕但却不能够为其加载符号文件，如果之前配置了正确的符号文件路径，这就告诉我们USBPORT.SYS不是微软公司的文件，而是第三方驱动程序文件，这很可能是引起错误的原因，值得关注但须进一步分析。

第二行是 WinDbg自动分析的结果，它告诉我们，引起崩溃的原因(Probably caused by:)很可能是 USBPORT.SYS文件。一般情况下，这就是引起错误的原因，最好进一步分析来看看都有哪些模块牵扯在崩溃的最后一刻，这样就能够保证正确判断蓝屏的原因。

2.9 进一步分析的命令可以从区域5 !analyze -v开始.

我们既可以在命令输入区域7手动键入命令!analyze -v，也可以在上图中的区域5所示位置单击蓝色的这个命令。

2.10  等待分析完毕，可以知道什么导致的出错，蓝色的就是导致蓝屏的文件， 选中并复制USBPORT.SYS。然后粘贴到百度里搜索一下，多数都能查到是什么引起的或跟什么有关。

通过以上操作，可以使用WinDbg并对问题进行分析和排除。

适用范围：一体机 台式机 笔记本 上网本