使用 WhoCrashed、BlueScreenView 和 WinDbg 进行蓝屏分析 - 不同的结果

使用 WhoCrashed、BlueScreenView 和 WinDbg 进行蓝屏分析 - 不同的结果

我们正在调查 Windows 2008 R2 终端服务器上的 BSOD。

WinDbg我们发现蓝屏视图不一致所以我们尝试了谁闯入了家WhoCrashed Pro。(始终是最新版本)。

以下是结果:

蓝屏视图 在此处输入图片描述

谁闯入了家 在此处输入图片描述

WhoCrashed 专业版 在此处输入图片描述

WhoCrashed Pro 和 WinDbg 矛盾最少。

WinDbg 经常无法确定导致问题的驱动程序,因此我们过去使用 BlueScreenView。但似乎没有任何工具可以确定这一点。

造成这些差异的原因是什么?

这些工具所做的不仅仅是遍历堆栈并解析来自不同来源的符号(例如任何类型的启发式分析),这可能是正确的,但并不总是可靠的?

编辑
细节

详细信息 BlueScreenView

在此处输入图片描述

详细了解 WhoCrashed Home

crash dump file: C:\Windows\Minidump\111014-20841-01.dmp
This was probably caused by the following module: ntoskrnl.exe (nt+0x75BC0) 
Bugcheck code: 0xFC (0xFFFFF880009C6FB8, 0x800000000292F963, 0xFFFFF8800D2F8EB0, 0x2)
Error: ATTEMPTED_EXECUTE_OF_NOEXECUTE_MEMORY
file path: C:\Windows\system32\ntoskrnl.exe
product: Microsoft® Windows® Operating System
company: Microsoft Corporation
description: NT Kernel & System

错误检查描述:这表明尝试执行不可执行内存。这可能是内存损坏的情况。内存损坏通常是由于有缺陷的驱动程序中的软件错误而发生的,而不是由于有故障的 RAM 模块。此问题可能是由病毒或其他恶意软件引起的。崩溃发生在 Windows 内核中。此问题可能是由目前无法识别的另一个驱动程序引起的。

详情 WhoCrashed Pro

Crash dump file:        C:\ZZAnalyze\BAIL\Minidump\111014-20841-01.dmp
Date/time:              10.11.2014 08:45:04 GMT
Uptime:                 9 days, 15:04:22
Machine:                VMW7X64
Bug check name:         ATTEMPTED_EXECUTE_OF_NOEXECUTE_MEMORY
Bug check code:         0xFC
Bug check parm 1:       0xFFFFF880009C6FB8
Bug check parm 2:       0x800000000292F963
Bug check parm 3:       0xFFFFF8800D2F8EB0
Bug check parm 4:       0x2
Probably caused by:     mfehidk.sys
Driver description:     
Driver product:         
Driver company:         
OS build:               Built by: 7601.18409.amd64fre.win7sp1_gdr.140303-2144
Architecture:           x64 (64 bit)
CPU count:              4
Page size:              4096

Bug check description: 
This indicates that an attempt was made to execute non-executable memory.

评论:这可能是内存损坏的情况。内存损坏通常是由于驱动程序中的软件错误而发生的,而不是由于 RAM 模块故障。此问题可能是由病毒或其他恶意软件引起的。第三方驱动程序被确定为此系统错误的可能根本原因。建议您查找以下驱动程序的更新:mfehidk.sys。

相关内容