手握利器直面“蓝脸” 转自佘华煜.docxVIP

手握利器，直面“蓝脸” 转自佘华煜——使用WinDbg抗击系统崩溃人有的时候都会闹情绪，更何况是机器呢。Windows有时候也会跟我们闹闹情绪，小则是“应用程序遇到问题需要关闭”，搞不好还可能给您脸色看看。但是，这脸色可不是红的白的，而是一张“蓝脸”，您见过吗？首先，我们介绍以下三个重要的问题：一、到底什么是“蓝脸”？这里指的就是大家经常称之为“蓝屏”、“系统崩溃”之类的东西，外国人又叫它BSOD(Blue Screen of Death)。从专业的角度讲，这一术语被定义为“是指当Microsoft Windows崩溃或停止执行（由于灾难性的错误或者内部条件阻止系统继续运行下去）时所显示的蓝色屏幕”。而我们平常所说的“系统崩溃(system crash)”或者“内核错误(kernel error)”抑或“停止错误(Stop error)”的专业术语为“程序错误检查(Bug Check)”。二、为什么一定要给您“蓝脸”？一旦遇上系统蓝屏崩溃，大多数的人都会以为Windows不行了所以就瘫痪了，有点罪魁祸首是Windows或者Windows不够强悍、不够稳定的意思。可是，Windows在默默地喊冤您知道吗？要知道，每当有内核模式设备驱动程序或者子系统引发了一个非法异常，Windows就会面临这个艰难的抉择，虽然Windows最终还是选择了崩溃，但是这并不代表它就不能够忽略该异常，让设备驱动程序或者子系统继续往下执行。Windows之所以要选择“亡我”，是因为它不知道该错误是否能被隔离出来从而不伤害系统的其它程序与数据，或者该组件将来是否能够恢复正常，而且，Windows深知，这个异常更有可能来源于更深层的问题，比如由于内存的常规破坏(General Corruption)，或者由于硬件设备不能正常工作。允许系统继续运行可能导致更多的异常，而且，存储在磁盘或其他外设中的数据可能也会遭受破坏。Windows意识到，这样做的风险太大了，为了您的程序、数据安全与完整，为了将您的损失在第一时间减小至最低，Windows于是忍痛做出了自我牺牲……三、怎样给出“蓝脸”？当系统检测到引发崩溃的致命错误时，Windows自己执行崩溃函数“KeBugCheckEx”。该函数接受一个停止代码(STOP Code，也称为错误检查码“Bug Check Code”），以及四个根据停止代码来解释的参数(下文中会有图例)。在调用KeBugCheckEx之后，首先该系统所有处理器上的所有中断将被屏蔽，然后系统将显示器切换到低分辨率的VGA图形模式（因为这是所有Windows平台显卡均支持的通用模式），绘制一个蓝色背景，然后显示此停止代码，并且后面紧跟一些对用户诊断错误有帮助的关键信息。最后，KeBugCheckEx调用所有已注册的设备驱动程序错误检查回调函数(这种回调函数通过调用KeRegisterBugCheckCallback函数来注册)，从而让这些驱动程序停止运行它们所支配的设备(有系统数据结构已经被破坏得太严重以至于蓝屏都显示不出来的可能性）。以下情况会引发系统蓝屏崩溃：1、运行在内核模式下的设备驱动程序或者操作系统函数引发了一个未被处理的异常，比如内存访问违例（由于企图写一个只读页面或者企图读一个当前未被映射的内存地址(即无效地址)而引起）。2、调用一个内核支持例程导致了重新调度，比如当中断请求级别(IRQL)为DPC/Dispatch级别或更高级别时等待一个标记为需要等待的调度对象。3、在DPC/Dispatch级别或更高的IRQL级别时由于数据存在于页面文件或内存映射文件中而发生了页面错误(Page Fault)。（这将要求内存管理器必须等待一个I/O操作发生。但正如上面一项所说，在DPC/Dispatch级别或更高IRQL级别上不能够进行等待，因为那将要求一次重新调度）。4、当检测到一个内部状态表明数据已遭受破坏或者在保证数据不被破坏的情况下系统无法继续执行时，设备驱动程序或操作系统函数明确地要求系统崩溃（通过调用系统函数KeBugCheckEx）。5、发生硬件错误，比如处理器的计算机检查异常功能(Machine Check)报告有异常或者发生不可屏蔽中断(NMI)。在了解以上三点知识之后，相信您对Windows的大无畏牺牲精神会有所赞赏，也会原谅它的“蓝脸”了。其实，在绝大多数情况下均是第三方设备驱动程序导致了Windows的崩溃。对于Windows XP用户提交给微软在线崩溃分析(Microsoft OCA, Microsoft Online Crash Analysis)站点的内存转储文件，微软对引起崩溃的原因进行了统计分类，如下图所示：（数据于2004年4月份生成）。既然Windows向我们露出了无奈的“蓝脸”，我们就应该打破沙锅问到底，