蓝屏吧 关注:28,218贴子:156,843
栈文件显示第一个画圈的错误点,这也是引发蓝屏的关键,因为这个进程引发了后面的网络管理文件终止,最后蓝屏,我们启!blackboxpnp分析,定位到硬件ID,图二出就是,看设备信息,该设备被归纳为PNP类型,通俗点讲,就是主板这个ID的芯片故障,可以在设备管理器里面跟踪ID,找到,一般这个芯片都是集中在主板上了,因为客户的是台式机,直接建议更换主板,或者由我提供的信息维修主板。不感兴趣
开通SVIP免广告
不感兴趣
开通SVIP免广告
今天更新吧友的一个故障,代码 比较新奇少见FAT_FILE_SYSTEM (23),图片如下:
有很多人会把这个和NTFS.sys故障搞混淆,觉得是不是自己的硬盘坏了,退一万不讲,即使是NTFS.sys也不可能一定就是 硬盘故障。
初步看的话,上面显示文件系统异常,这个文件系统大家肯定不熟悉,以前在win7和XP上常见,是fat系列 的文件系统,比如优盘的fat32就是其中的一种类型。
为什么会突然出现fat文件系统异常,这个我们留在后面说,打开如下的dump文件:
我们看文件的第一张图,显示了蓝屏的归类,文件系统类fat,第二张图我们仔细看栈文件有没有硬件崩溃的 情况,经过反复的查看,确定没有硬件崩溃,只是单纯的fat文件系统崩溃,这个时候我们看第三张图,显示的guid为驱动组,一切无碍。
因为吧友的系统现在已经是没法进去的,进去直接蓝屏,然后吧友说自己是有PE并且带远程的,我们进去看了下,发现fastfat文件MD5校验数据异常,验证为系统文件异常。吧友的这个PE不能完全将系统盘脱机,无法替换正常系统内的fastfat文件,遂重新使用我们的pe进去控制,搜索到drivers的fastfat文件,替换,开机成功启动。这里要注意的是,替换系统文件的时候,可以优先选择系统备份文件,因为吧友的是win10企业版,备份文件一样被崩溃了,所以调用我的虚拟机里面的企业版替换的。开机正常如下图:
开机正常后弹出文件系统错误,程序是联想的什么程序,让客户自行安装杀毒软件杀毒即可。
他这个 是因为安装了 恶意程序,强制修改了fat文件系统,导致开机蓝屏。如果误判的话,可能就是重装系统或者是换硬盘了。
最后,还是那句,平常要看的dump比较多,可能不能及时在贴吧更新作品,或者无法及时回复你们的问题(一般我在线就会上来查看),私信发不了联系,直接TB搜店铺大米饭的phy发DUMP 给我客服就行了,他们会及时将 DUMP发给我的。
。
有很多人会把这个和NTFS.sys故障搞混淆,觉得是不是自己的硬盘坏了,退一万不讲,即使是NTFS.sys也不可能一定就是 硬盘故障。初步看的话,上面显示文件系统异常,这个文件系统大家肯定不熟悉,以前在win7和XP上常见,是fat系列 的文件系统,比如优盘的fat32就是其中的一种类型。
为什么会突然出现fat文件系统异常,这个我们留在后面说,打开如下的dump文件:
我们看文件的第一张图,显示了蓝屏的归类,文件系统类fat,第二张图我们仔细看栈文件有没有硬件崩溃的 情况,经过反复的查看,确定没有硬件崩溃,只是单纯的fat文件系统崩溃,这个时候我们看第三张图,显示的guid为驱动组,一切无碍。
因为吧友的系统现在已经是没法进去的,进去直接蓝屏,然后吧友说自己是有PE并且带远程的,我们进去看了下,发现fastfat文件MD5校验数据异常,验证为系统文件异常。吧友的这个PE不能完全将系统盘脱机,无法替换正常系统内的fastfat文件,遂重新使用我们的pe进去控制,搜索到drivers的fastfat文件,替换,开机成功启动。这里要注意的是,替换系统文件的时候,可以优先选择系统备份文件,因为吧友的是win10企业版,备份文件一样被崩溃了,所以调用我的虚拟机里面的企业版替换的。开机正常如下图:
开机正常后弹出文件系统错误,程序是联想的什么程序,让客户自行安装杀毒软件杀毒即可。
他这个 是因为安装了 恶意程序,强制修改了fat文件系统,导致开机蓝屏。如果误判的话,可能就是重装系统或者是换硬盘了。
最后,还是那句,平常要看的dump比较多,可能不能及时在贴吧更新作品,或者无法及时回复你们的问题(一般我在线就会上来查看),私信发不了联系,直接TB搜店铺大米饭的phy发DUMP 给我客服就行了,他们会及时将 DUMP发给我的。
。
今天回复一个国外留学生吧友的DUMP,最终也是完美处理好了,这哥们女朋友的外星人,七七八八经历了7小时左右,戴尔支持也找了,依旧蓝屏死机,进游戏崩溃。我们看他的原话:
首先,不是说戴尔技术支持不行,是你们这个层面能接触到的技术支持都是上班的,类似客服,并不懂多少的技术,能分析DUMP的工程师,月薪至少都是2W起步了,能联系到戴尔支持看DUMP的工程师,寻常人怕是不行。所以哥们才会觉得我牛逼,其实能正常分析DUMP的工程师都能找到问题,顶多就是找到问题不会解决,然后戴尔这边的工程师怀疑硬盘有故障,因为工程师看到了CRITICAL_PROCESS_DIED (ef)这个代码,这个代码确实硬盘或者南桥供电中断会出这个,工程师想到这个确实是有一些经验的。
我们今天要分析的就是CRITICAL_PROCESS_DIED (ef),图片如下:
这张图展示了蓝屏的大概方向和代码,很多人有很大的误解,以为只要知道蓝屏代码就知道哪里的故障,其实是很错误的。
这个代码如果给有经验的工程师看,只能得出两个原因,就像我前面说的戴尔工程师分析的那两种,所以他会以为是硬盘坏掉了。我们当然要打开DUMP一看究竟
我们看第二张图,显示了awcc服务异常,我们再看第三张,显示即插即用断开服务,第四张显示AWCC ID,我们就能很直观的确定这个问题了,AWCC可能大家不太理解这个是干啥用的,这个是戴尔电源控件,用来配合主板的电源输出输入的,我优先上戴尔支持上查看固件,发现固件是最新的,系统也是win11的,大概率就是短期bug,我们直接去掉awcc,让微软的win11接管戴尔的电源管理即可,后面戴尔对外星人台式机出了最新固件再更新就行了。
问题也不复杂,小哥还是非常感激。蓝屏之后不要一味的放任,次数多了之后会引发各种硬件问题。最近也发现很多致钛金百达国产硬件引发的IRQ级别的蓝屏故障,我建议,寻常经济不宽裕的孩子,还是尽量使用造硬件历史比较久的厂商,像华硕,微星,技嘉,宇瞻,威刚,金士顿,朗科,非OEM的三星,索泰,讯景等。
如果不着急的话,直接跟帖就行了,我看到就会回复,最后,如果着急的,因为私信发不了联系,直接TB搜店铺大米饭的phy发DUMP 给我客服就行了。
首先,不是说戴尔技术支持不行,是你们这个层面能接触到的技术支持都是上班的,类似客服,并不懂多少的技术,能分析DUMP的工程师,月薪至少都是2W起步了,能联系到戴尔支持看DUMP的工程师,寻常人怕是不行。所以哥们才会觉得我牛逼,其实能正常分析DUMP的工程师都能找到问题,顶多就是找到问题不会解决,然后戴尔这边的工程师怀疑硬盘有故障,因为工程师看到了CRITICAL_PROCESS_DIED (ef)这个代码,这个代码确实硬盘或者南桥供电中断会出这个,工程师想到这个确实是有一些经验的。
我们今天要分析的就是CRITICAL_PROCESS_DIED (ef),图片如下:
这张图展示了蓝屏的大概方向和代码,很多人有很大的误解,以为只要知道蓝屏代码就知道哪里的故障,其实是很错误的。
这个代码如果给有经验的工程师看,只能得出两个原因,就像我前面说的戴尔工程师分析的那两种,所以他会以为是硬盘坏掉了。我们当然要打开DUMP一看究竟
我们看第二张图,显示了awcc服务异常,我们再看第三张,显示即插即用断开服务,第四张显示AWCC ID,我们就能很直观的确定这个问题了,AWCC可能大家不太理解这个是干啥用的,这个是戴尔电源控件,用来配合主板的电源输出输入的,我优先上戴尔支持上查看固件,发现固件是最新的,系统也是win11的,大概率就是短期bug,我们直接去掉awcc,让微软的win11接管戴尔的电源管理即可,后面戴尔对外星人台式机出了最新固件再更新就行了。
问题也不复杂,小哥还是非常感激。蓝屏之后不要一味的放任,次数多了之后会引发各种硬件问题。最近也发现很多致钛金百达国产硬件引发的IRQ级别的蓝屏故障,我建议,寻常经济不宽裕的孩子,还是尽量使用造硬件历史比较久的厂商,像华硕,微星,技嘉,宇瞻,威刚,金士顿,朗科,非OEM的三星,索泰,讯景等。
如果不着急的话,直接跟帖就行了,我看到就会回复,最后,如果着急的,因为私信发不了联系,直接TB搜店铺大米饭的phy发DUMP 给我客服就行了。
今天更新一个网友求助的,如图:
打开DUMP如下:
这个代码是唯一的基本上开蓝屏代码就知道故障点在哪里的蓝屏,代码上的意思就说了,内核进程被锁,按照经验的话,可能是因为某些远程,需要开高XMP,导致频繁崩溃,于是网友就不知道在哪里搜索,估计就降了CPU电压,主频被锁,当然,这只是其中一种可能,我们接着往下面看
没有第三进程,这个发生在开机崩,继续往下面看
这上面显示开局就崩溃,紧接着紧急释放post进程,本地内存挂在崩溃,挂在虚拟内存崩溃,这种基本上就是电脑遇到了很紧急的,可能会随时烧毁硬件的致命操作,最后显示系统服务进程崩溃,蓝屏。按照我的经验来的话,立马启动电压分析,看主频波动,再做调整,如果是笔记本电脑,立马联系售后检测主板,不然随后又烧毁硬件的可能。
最后,如果不着急的话,直接跟帖就行了,我看到就会回复,最后,如果着急的,因为私信发不了联系,直接TB搜店铺大米饭的phy发DUMP 给我客服就行了。
打开DUMP如下:
这个代码是唯一的基本上开蓝屏代码就知道故障点在哪里的蓝屏,代码上的意思就说了,内核进程被锁,按照经验的话,可能是因为某些远程,需要开高XMP,导致频繁崩溃,于是网友就不知道在哪里搜索,估计就降了CPU电压,主频被锁,当然,这只是其中一种可能,我们接着往下面看
没有第三进程,这个发生在开机崩,继续往下面看
这上面显示开局就崩溃,紧接着紧急释放post进程,本地内存挂在崩溃,挂在虚拟内存崩溃,这种基本上就是电脑遇到了很紧急的,可能会随时烧毁硬件的致命操作,最后显示系统服务进程崩溃,蓝屏。按照我的经验来的话,立马启动电压分析,看主频波动,再做调整,如果是笔记本电脑,立马联系售后检测主板,不然随后又烧毁硬件的可能。
最后,如果不着急的话,直接跟帖就行了,我看到就会回复,最后,如果着急的,因为私信发不了联系,直接TB搜店铺大米饭的phy发DUMP 给我客服就行了。
不感兴趣
开通SVIP免广告
今天我们看一个联想的笔记本电脑,最新蓝屏哈?代码是你们熟悉的:
是不是感觉很熟悉,经常看我帖子的就知道,其实看这个代码并不能直接找到问题所在,这就是一个简单的归类为地址池请求类型故障,或许你们在网上东平西凑刚好就适合你的电脑,然后就修复好了,但是作为严格的分析师,我们还是要追求其中的原理。今天要讲的便是贴友求助的BAD_POOL_CALLER (c2)
接着往下面看:
上图展示了归类的蓝屏代码,下面我划线的那一句,显示的是请求类,是的吧,接着往下面看:
我们看上面两张图
第一张我标注了定位设备GUID点,这个是用作验证栈文件的,第二张图画圈的位置显示fwpkclnt,这个是干什么的呢?学过计算机操作系统原理的就知道,这是系统防火墙的子组件,专门用来过滤未经验证的内核驱动等信息的,也就是系统激发了底层检测,来自对网络数据包的,发现有风险进程,引起崩溃。最后我们看:
进程风险来源网络,定位到GUID内存,结合第三张图,我们发现有一个叫做vanboost的家伙,可能有点问题,没错,这就是我们联想的硬件检测软件,因为没有过微软验证,被系统认定为非法,直接蓝屏保护系统,整个过程比较简单,完美解决。 最后,如果不着急的话,直接跟帖就行了,我看到就会回复,最后,如果着急的,因为私信发不了联系,直接TB搜店铺大米饭的phy发DUMP 给我客服就行了。
是不是感觉很熟悉,经常看我帖子的就知道,其实看这个代码并不能直接找到问题所在,这就是一个简单的归类为地址池请求类型故障,或许你们在网上东平西凑刚好就适合你的电脑,然后就修复好了,但是作为严格的分析师,我们还是要追求其中的原理。今天要讲的便是贴友求助的BAD_POOL_CALLER (c2)
接着往下面看:
上图展示了归类的蓝屏代码,下面我划线的那一句,显示的是请求类,是的吧,接着往下面看:
我们看上面两张图
第一张我标注了定位设备GUID点,这个是用作验证栈文件的,第二张图画圈的位置显示fwpkclnt,这个是干什么的呢?学过计算机操作系统原理的就知道,这是系统防火墙的子组件,专门用来过滤未经验证的内核驱动等信息的,也就是系统激发了底层检测,来自对网络数据包的,发现有风险进程,引起崩溃。最后我们看:
进程风险来源网络,定位到GUID内存,结合第三张图,我们发现有一个叫做vanboost的家伙,可能有点问题,没错,这就是我们联想的硬件检测软件,因为没有过微软验证,被系统认定为非法,直接蓝屏保护系统,整个过程比较简单,完美解决。 最后,如果不着急的话,直接跟帖就行了,我看到就会回复,最后,如果着急的,因为私信发不了联系,直接TB搜店铺大米饭的phy发DUMP 给我客服就行了。
