Informática en general > Dudas informáticas
Archivos Minidump
Mollense:
Novedades:
Ya tengo Windbg
Cargué el minidump y efectivamente me saltó esto:
--- Citar ---kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************
PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This cannot be protected by try-except,
it must be protected by a Probe. Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: e49fd000, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: 80537072, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 00000001, (reserved)
Debugging Details:
------------------
***** Kernel symbols are WRONG. Please fix symbols to do analysis.
--- Fin de la cita ---
Ahora estoy tratando de descargar los simbolos del Kernel de esta forma (Que no se si es la correcta):
--- Código: Text ---symchk /r c:\windows\system32\ntoskrnl.exe y
Obtengo un monton de mensajes del estilo:
--- Citar ---*** WARNING: Unable to verify timestamp for hal.dll
*** ERROR: Module load completed but symbols could not be loaded for hal.dll
*** WARNING: Unable to verify timestamp for kmixer.sys
*** ERROR: Module load completed but symbols could not be loaded for kmixer.sys
*** WARNING: Unable to verify timestamp for HTTP.sys
*** ERROR: Module load completed but symbols could not be loaded for HTTP.sys
*** WARNING: Unable to verify timestamp for secdrv.sys
--- Fin de la cita ---
y al final
--- Citar ---Couldn't resolve error at 'ymchk /r c:\windows\system32\ntoskrnl.exe'
--- Fin de la cita ---
¿Como sigo desde acá? :think:
Gracias
Eternal Idol:
symchk es un ejecutable aparte, no un comando del WinDbg.
Primero te diria que probaras con el WinDbg asi:
.symfix c:\symbols
.reload
.reload /f ntoskrnl.exe
Si eso no funciona proba con el symchk.exe (esta en el mismo directorio que el WinDbg).
Mollense:
:argh:
Bajé un paquete de símbolos de esta página
y lo instalé en C:\WINDOWS\SYMBOLS
Cambié el Symbol File Path... del Windbg pero nada.
Probé con lo que dice EI así (Probé de varias formas):
--- Citar ---kd> .symfix C:\WINDOWS\SYMBOLS
kd> .reload
Unable to load image ntoskrnl.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.exe
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe
Loading Kernel Symbols
....................................................................................................................................
Loading User Symbols
Loading unloaded module list
............................
kd> .reload /f ntoskrnl.exe
Unable to load image ntoskrnl.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.exe
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe
--- Fin de la cita ---
y obtengo eso.
En cuanto a symchkSi alguien tiene algo que pueda leer es bien recibido porque tampoco pude hacer nada. :lightsabre:
Un saludo :beer:
Eternal Idol:
Como te decia no puedo bajar los simbolos de tu Kernel. Puede haber una serie de razones, que tengas un Kernel modificado (lo suelen hacer para cambiar la imagen de inicio de Windows por ejemplo, un Rootkit aunque es poco probable tambien), una version que sea un patch en particular para el cual no haya simbolos o que este fallando el servidor y que con symcheck si lo logres conseguirlo. Para probar eso solo tenes que abrir el cmd, ir al mismo directorio donde esta WinDbg.exe y poner lo que pusiste en el WinDbg:
symchk /r c:\windows\system32\ntoskrnl.exe
Si asi y todo no funciona proba a subir el Kernel ... fijate con el Process Explorer si te verifica el ejecutable. Vas al proceso System con la ventana de abajo como View Dlls, le das doble click a Ntosrknl.exe y despues a Verify.
Mollense:
--- Cita de: "Eternal Idol" --- Como te decia no puedo bajar los simbolos de tu Kernel. Puede haber una serie de razones, que tengas un Kernel modificado (lo suelen hacer para cambiar la imagen de inicio de Windows por ejemplo, un Rootkit aunque es poco probable tambien), una version que sea un patch en particular para el cual no haya simbolos o que este fallando el servidor y que con symcheck si lo logres conseguirlo. Para probar eso solo tenes que abrir el cmd, ir al mismo directorio donde esta WinDbg.exe y poner lo que pusiste en el WinDbg:
symchk /r c:\windows\system32\ntoskrnl.exe
Si asi y todo no funciona proba a subir el Kernel ... fijate con el Process Explorer si te verifica el ejecutable. Vas al proceso System con la ventana de abajo como View Dlls, le das doble click a Ntosrknl.exe y despues a Verify.
--- Fin de la cita ---
Que manera de haber cosas que uno no sabe!! ¿no? :blink:
Ahora si entiendo.
Aunque poco probable no es imposible, efectivamente :ouch: hace un tiempo instalé un paquete que cambia el aspecto de Windows XP "Vista Transformation Pack 6.0".
--- Citar ---Para probar eso solo tenes que abrir el cmd, ir al mismo directorio donde esta WinDbg.exe y poner lo que pusiste en el WinDbg:
symchk /r c:\windows\system32\ntoskrnl.exe
--- Fin de la cita ---
Si, también lo había hecho pero no, igual ahora ya sabemos por que.
En fin...
Back UP...
Format C:...
Reinstal...
...no instalar porquerías.
De todo esto saco algo bueno y es que aprendí muchas cosas interesantes.
PD: En estas instancias, solamente por curiosidad...
ntoskrnl.exe no me figura en la lista del process explorer. ¿Hay que agregarlo de alguna manera?
Navegación
[#] Página Siguiente
[*] Página Anterior
Ir a la versión completa