资料:在 Windows XP 中内存转储后如何搜集信息

概要
本文介绍如何搜集有关出现在蓝屏上的错误信息的更多信息。请注意，这些步骤不总是提供最终的答案，可能仅仅是指出了另一个问题。

处理事件日志消息
• 将 Windows 配置为写出含有检测错误信息的事件日志消息：1. 单击开始按钮，然后单击控制面板。
2. 双击系统图标，然后单击高级选项卡。
3. 在"启动和故障恢复"部分，单击设置，然后单击选择"将事件写入系统日志"复选框。
一条事件日志消息随即写入系统日志。

• 一条事件日志消息随即写入系统日志。事件日志的说明和格式与计算机写入 Memory.dmp 文件时屏幕上所显示的格式不同，但大部分信息是相同的。以下是事件日志的一个示例：
事件 ID：1001
来源：保存转储
说明：The computer has rebooted from a bugcheck.
The bugcheck was:0xc000021a (0xe1270188, 0x00000001, 0x00000000, 0x00000000).Microsoft Windows NT (v15.1381)。
A dump was saved in:C:/WINNT/MEMORY.DMP.
此信息包含 STOP 代码 0xc000021a 和四个参数。在解决某些类型的 STOP 代码问题时，这些信息可能是非常有用的。参数的含义因 STOP 代码的类型而异。

有关参数含义的信息，请在 Microsoft 知识库中查找具体的 STOP 代码。（Microsoft 知识库并没有包含所有的 STOP 代码参数。）若要查询 Microsoft 知识库，请访问以下 Microsoft Web 站点：
http://support.microsoft.com/support (http://support.microsoft.com/?scid=http%3a%2f%2fsupport.microsoft.com%2fsupport)

使用 Dumpchk.exe 确定内存转储信息

如果使用 Dumpchk.exe，可以确定以上所有信息和产生停止消息的驱动程序的地址。此信息通常使您能够找到疑难解答的着手点。运行 Dumpchk.exe 之前，一定要调整命令提示符的属性，将屏幕缓冲区大小高度设为 999。这一高度使您能够向后滚动查看输出。在命令提示窗口运行 Dumpchk.exe，使用以下语法：
dumpchk.exe Memory.dmp
这是输出中最有用部分的示例。 MachineImageType i386

Quote:
NumberProcessors 1
BugCheckCode 0xc000021a
BugCheckParameter2 0x00000001
BugCheckParameter3 0x00000000
BugCheckParameter4 0x00000000

ExceptionCode 0x80000003
ExceptionFlags 0x00000001
ExceptionAddress 0x8014fb84

请注意，并非所有部分都提供相同的信息。信息因 STOP 代码的类型而异。前面的信息告诉您 STOP 代码 (0xc000021a) 和参数（0xe1270188、0x00000001、0x00000000、0x00000000），以及调用异常 (0x8014fb84) 的驱动程序的地址。可以利用运行 Pstat.exe（位于 Resource Kit 中）所产生的输出，用此地址来识别驱动程序名。

Dumpchk.exe 还可以验证转储是否有效。

有关如何使用 Dumpchk.exe 的其他信息，请单击下面的文章编号，查看 Microsoft 知识库中的文章：
156280 (http://support.microsoft.com/kb/156280/EN-US/) How to Use Dumpchk.exe to Check a Memory Dump File（如何使用 Dumpchk.exe 检查内存转储文件）

使用 Pstat.exe 识别驱动程序

运行 Pstat.exe 这个资源工具包实用工具，可以对当前计算机上运行的进程和驱动程序有一个初步的了解。出于诊断目的，最有用的信息是出现在输出最后的加载驱动程序列表。

从命令行运行 Pstat.exe。通过使用以下命令语法，可以将由 Pstat.exe 接收到的信息输入到文件：
pstat.exe > filename
这是出现在输出最后的驱动程序列表的示例：

Quote:
ModuleName LoadAddr Code Data Paged LinkDate
----------------------------------------------------------------------
Ntoskrnl.exe 80100000 270272 40064 434816 Sun May 11 00:10:39 1997
Hal.dll 80010000 20384 2720 9344 Mon Mar 10 16:39:20 1997
Aic78xx.sys 80001000 20512 2272 0 Sat Apr 05 21:16:21 1997
Scsiport.sys 801d7000 9824 32 15552 Mon Mar 10 16:42:27 1997
Disk.sys 80008000 3328 0 7072 Thu Apr 24 22:27:46 1997
Class2.sys 8000c000 7040 0 1632 Thu Apr 24 22:23:43 1997
Ino_flpy.sys 801df000 9152 1472 2080 Tue May 26 18:21:40 1998
Ntfs.sys 801e3000 68160 5408 269632 Thu Apr 17 22:02:31 1997
Floppy.sys f7290000 1088 672 7968 Wed Jul 17 00:31:09 1996
Cdrom.sys f72a0000 12608 32 3072 Wed Jul 17 00:31:29 1996
Cdaudio.sys f72b8000 960 0 14912 Mon Mar 17 18:21:15 1997
Null.sys f75c9000 0 0 288 Wed Jul 17 00:31:21 1996
KSecDD.sys f7464000 1280 224 3456 Wed Jul 17 20:34:19 1996
Beep.sys f75ca000 1184 0 0 Wed Apr 23 15:19:43 1997
Cs32ba11.sys fcd1a000 52384 45344 14592 Wed Mar 12 17:22:33 1997
Msi8042.sys f7000000 20192 1536 0 Mon Mar 23 22:46:22 1998
Mouclass.sys f7470000 1984 0 0 Mon Mar 10 16:43:11 1997
Kbdclass.sys f7478000 1952 0 0 Wed Jul 17 00:31:16 1996
Videoprt.sys f72d8000 2080 128 11296 Mon Mar 10 16:41:37 1997
Ati.sys f7010000 960 9824 48768 Fri Dec 12 15:20:37 1997
Vga.sys f7488000 128 32 10784 Wed Jul 17 00:30:37 1996
Msfs.sys f7308000 864 32 15328 Mon Mar 10 16:45:01 1997
Npfs.sys f7020000 6560 192 22624 Mon Mar 10 16:44:48 1997
Ndis.sys fccda000 11744 704 96768 Thu Apr 17 22:19:45 1997
Win32k.sys a0000000 1162624 40064 0 Fri Apr 25 21:17:32 1997
Ati.dll fccba000 106176 17024 0 Fri Dec 12 15:20:08 1997
Cdfs.sys f7050000 5088 608 45984 Mon Mar 10 16:57:04 1997
Ino_fltr.sys fc42f000 29120 38176 1888 Tue Jun 02 16:33:05 1998
Tdi.sys fc4a2000 4480 96 288 Wed Jul 17 00:39:08 1996
Tcpip.sys fc40b000 108128 7008 10176 Fri May 09 17:02:39 1997
Netbt.sys fc3ee000 79808 1216 23872 Sat Apr 26 21:00:42 1997
El90x.sys f7320000 24576 1536 0 Wed Jun 26 20:04:31 1996
Afd.sys f70d0000 1696 928 48672 Thu Apr 10 15:09:17 1997
Netbios.sys f7280000 13280 224 10720 Mon Mar 10 16:56:01 1997
Parport.sys f7460000 3424 32 0 Wed Jul 17 00:31:23 1996
Parallel.sys f746c000 7904 32 0 Wed Jul 17 00:31:23 1996
ParVdm.sys f7552000 1312 32 0 Wed Jul 17 00:31:25 1996
Serial.sys f7120000 2560 0 18784 Mon Mar 10 16:44:11 1997
Rdr.sys fc385000 13472 1984 219104 Wed Mar 26 14:22:36 1997
Mup.sys fc374000 2208 6752 48864 Mon Mar 10 16:57:09 1997
Srv.sys fc24a000 42848 7488 163680 Fri Apr 25 13:59:31 1997
Pscript.dll f9ec3000 0 0 0
Fastfat.sys f9e00000 6720 672 114368 Mon Apr 21 16:50:22 1997
NTdll.dll 77f60000 237568 20480 0 Fri Apr 11 16:38:50 1997
----------------------------------------------------------------------
总计 2377632 255040 1696384

通过使用 LoadAddr 列中的起始地址，可以将异常地址与驱动程序名进行匹配。以 8014fb84 为例，可以确定 Ntoskrnl.exe 在异常地址下有最近的加载地址，并且是最有可能调用异常的驱动程序。有了这些信息，您就可以到 Microsoft 知识库查找与您的情况相匹配的已知问题。