蓝屏分析与排查
这里只讨论系统蓝屏问题及解决,至于 浏览器 崩溃,电脑不加电。。之类的问题这里不讨论
通过蓝屏代码判断蓝屏原因
方法1:通过蓝屏界面查看
方法2:通过事件查看器 查看41事件的bugcheckcoding代码(为非0即为一次蓝屏事件)
通过分析蓝屏dump文件判断蓝屏原因
开启蓝屏dump文件收集
一般蓝屏日志收集,会设置为 小内存转储(256K)会保存在%SystemRoot%\Minidump
目录,特别是多次蓝屏的时候,产生的蓝屏dump文件不至于覆盖掉前面生成的。
蓝屏dump文件分析工具
360卫士有自带的,也有其他的第三方的,我这使用的是联想(lenovo)的一个小工具,这个工具会分析出产生蓝屏的文件和原因。
如果想下载这个小工具的可以去lenovo官网在线服务,找小乐机器人下载
手动蓝屏进行内存转储
蓝屏不是每次都会生成蓝屏dump文件,这个时候可以手动进行内存转储,
计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
GlobalFlag REG_DWORD 400
计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters
CrashOnCtrlScroll REG_DWORD 1
右边的“Ctrl”键,然后连续按下”Scroll Lock”键2次
【注意】这里需要手动按Scroll Lock
键,一般来说,笔记本便携设备没有这个按键(虚拟键盘应该无效的,可以外接键盘试试),所以只能用在台式机上成功。
分析dump文件
应用商店安装windbg
配置环境变量(也有其他办法,配置环境变量一劳永逸)
_NT_SYMBOL_PATH
SRV*c:\Symbols*http://msdl.microsoft.com/download/symbols
使用windbg打开dump文件
加载完后输入!analyze -v
查看详细信息
MODULE_NAME: filecrypt #出问题的模块名称
IMAGE_NAME: filecrypt.sys #出问题的具体文件
蓝屏具体原因排查(个人见解)
先修复一下系统
只偶尔蓝屏一次 说明不了问题,可以不予处理。
如果多次蓝屏,且蓝屏代码和dump文件不是同一个,每次都不一样,这个时候 蓝屏日志 也没有参考意义,不用太过纠结蓝屏代码。
如果电脑 蓝屏代码是239或290(记不清了)和161事件同时出现,既有可能是 硬盘 硬件问题。
排查步骤
**排除驱动问题**:
进入安全模式,用用试试看:比如进入安全模式修复系统,如果蓝屏 那八成 跟驱动没关系。
如果不蓝屏,
使用mscofig关闭相应驱动和服务,然乎进入正常模式 试试,还是否蓝屏;
或者使用 驱动程序验证程序 验证一下是否驱动问题(或验证系统是否稳定)
**排除硬件问题**:
进入PE,使用电脑:比如 操作分区看看,如果蓝屏 那可能跟内存之类的有关系。
如果不蓝屏,但是操作到一半的时候,分区工具提示 找不到磁盘(并且出现 CPU 100% 磁盘0 而且很卡) 那就是硬盘问题。
如果是硬盘问题,可以拔插一下硬盘,然后 用橡皮 擦拭 金手指,重新插回去 或者插到另一个接口去,然后重装系统(硬盘有问题,系统文件可能发生损坏,避免系统问题 最好重装一下系统)再测试一下系统稳定性。如果还是蓝屏 那就换硬盘吧,或者多擦拭几次 可能没擦干净。
如果确定是硬件问题,就需要更换硬件了。
修复系统
dism /online /Get-CurrentEdition
online 是在线的意思,所以带online的命令意思是需要联网执行的。
Get-CurrentEdition 是三个单词Get,Currnet,Edition,获得当前版本的意思
所以这条命令的意思就是查看当前系统信息。
下面直接说一些对我们有用的命令。
Dism /Online /Cleanup-Image /ScanHealth
这条命令将扫描全部系统文件并和官方系统文件对比,扫描计算机中的不一致情况。
Dism /Online /Cleanup-Image /CheckHealth
这条命令必须在前一条命令执行完以后,发现系统文件有损坏时使用。当使用 /CheckHealth 参数时,DISM 工具将报告映像是状态良好、可以修复、还是不可修复。如果映像不可修复,必须放弃该映像,并重新开始。如果映像可以修复,可以使用 /RestoreHealth 参数来修复映像。
Dism /Online /Cleanup-image /RestoreHealth
这条命令是把那些不同的系统文件还原成官方系统源文件,其他的第三方软件和用户设置完全保留,比重装好多了。而且在扫描与修复的时候系统未损坏部分正常运行,电脑可以照常工作。
Dism命令不止以上的几个功能,可以通过Dism /?命令查看还有哪些选项,例如它还可以做系统备份和系统还原,这些就比较复杂了,有兴趣的朋友再深入了解。
其实windows还有一条类似的程序,是sfc.exe,sfc是System file checker的缩写,
意思就是系统文件检测器,所以这个的功能没有上面的强大。
在命令行状态下,输入:
sfc /scannow
命令会扫描所有受保护的系统文件,并用正确的 Microsoft 版本替换错误的版本。
Windows 资源保护找到了损坏文件并成功修复了它们。
对于联机修复,位于 windir\Logs\CBS\CBS.log 的 CBS 日志文件中
有详细信息。例如 C:\Windows\Logs\CBS\CBS.log。对于脱机修复,
/OFFLOGFILE 标记提供的日志文件中有详细信息。
msconfig的使用
点击隐藏系统服务,然后点击全部禁用(操作要慎重,搞完之后记得恢复)
去勾掉 代表不加载 该服务,无论该服务的状态是 自动 还是手动,之后可以手动打开。
【特殊的服务】:火绒的服务,有时候想关掉 火绒自启动,但是 关服务关不掉没权限,可以使用这个办法关掉火绒的服务,但是 火绒的服务 不能手动打开 提示无权限,所以 要打开的话还需要 回这里 手动勾上火绒的服务。
驱动程序验证程序verifier.exe
该程序可以验证驱动程序是否有问题,也可以验证 系统 是否稳定。
如果没有生成蓝屏dump文件,也可以使用该方法来生成dump文件。
创建标准的或者开发人员的 都行。
点击完成,后重启生效配置。
在验证的过程中电脑会很卡,如果有问题的话会蓝屏。
如果查看或删除当前设置的话
驱动一般位于 C:\Windows\System32\drivers