windows手动触发蓝屏获取dump

两种情况：

开不了机：先进pe加载系统的system注册表，开启完全内存转储CrashDumpEnabled，设置保存路径DumpFile；然后重启进入系统，显示蓝屏；关机再进pe，将刚才生成的dump提取

能开机：开启完全dump抓取，指定dump路径，重启蓝屏生成；或者手动触发蓝屏

 

开启完全内存转储

注：Win7和2008系统默认未开启完全内存转储，需要通过调整注册表开启

注册表编辑器打开 HKLM\SYSTEM\CurrentControlSet\Control\CrashControl，

DWORD值CrashDumpEnabled设置为1，即可开启完全内存转储。

dump存放路径

%SystemRoot%\MEMORY.DMP

%SystemRoot%\和C:\Windows\ 一样

 

手动蓝屏方式：

1、

Windows7以上管理员权限cmd执行

Taskkill /fi "pid ge 1" /f

无需任何工具100% 0x000007f或f4蓝屏，重启后对系统无任何影响。

2、

cmd下运行

con\con

3、

任务管理器中停止系统进程

找一个 ”服务主机“ 开头的进程

4、

如果使用的是USB接口的键盘，在注册表编辑器中定位到以下路径“计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kbdhid\Parameters”

如果使用的是圆头的PS/2键盘，定位到以下路径“计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters”：

右键Parameters，新建DWORD(32位)值，命名 CrashOnCtrlScroll

双击修改CrashOnCtrlScroll 值改为1保存

3、触发：修改完注册表， 重启电脑后，按住键盘右边的“Ctrl”，同时连续按两次键盘右上方的“Scroll Lock”键，即可马上触发蓝屏。

 

4、脚本，可以使用脚本完成修改

新建txt，复制一下内容，修改名为123.reg，双击运行，然后触发蓝屏，如果不蓝屏，重启再试，一定蓝屏

 

Windows Registry Editor Version 5.00
;;开启手动触发蓝屏设置  
;USB 键盘
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters]
"CrashOnCtrlScroll"=dword:00000001
;PS/2 键盘
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\kbdhid\Parameters]
"CrashOnCtrlScroll"=dword:00000001

;;修改获取系统完全内存转储 日志
;dumpfile 默认路径 %SystemRoot%\MEMORY.DMP
;minidumpdir 默认路径 %SystemRoot%\Minidump
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl]
"AutoReboot"=dword:00000001
"CrashDumpEnabled"=dword:00000001
"Overwrite"=dword:00000001
"LogEvent"=dword:00000001
"DumpFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,4d,00,45,00,4d,00,4f,00,52,00,59,00,2e,00,44,00,4d,00,50,\
  00,00,00
"MinidumpDir"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,4d,00,69,00,6e,00,69,00,64,00,75,00,6d,00,70,00,00,00

 ;;按右边的Ctrl，同时连续按两次Scroll Lock，即触发蓝屏