如何使用Windbg解释windows dmp文件分析？

Question

我已经在这里上传了完整的调试输出。

我有一台Windows 7 RTM 64位机器，它断断续续地崩溃，我成功地加载了正确的符号，并得到了一个似乎是正确的分析。我不知道该从哪里着手解决这个问题，因为它似乎将其归咎于tcpip.sys。虽然我并不真正知道如何读取这个输出，但WinDBG的以下摘录似乎与此相关：

CURRENT_IRQL:  2
    
EXCEPTION_RECORD:  fffff80000b9c058 -- (.exr
 0xfffff80000b9c058)
ExceptionAddress: fffff80002abb2b6 (nt!RtlEnumerateEntryHashTable+0x0000000000000080)
   ExceptionCode: c0000005 (Access violation)
  ExceptionFlags: 00000000
NumberParameters: 2
   Parameter[0]: 0000000000000000
   Parameter[1]: ffffffffffffffff
Attempt to read from address ffffffffffffffff

FOLLOWUP_IP: 
tcpip!IppFlushNeighborSet+ba
fffff880`0186e22a 4885c0          test
rax,rax

SYMBOL_STACK_INDEX:  8

SYMBOL_NAME: 
tcpip!IppFlushNeighborSet+ba

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: tcpip

IMAGE_NAME:  tcpip.sys

DEBUG_FLR_IMAGE_TIMESTAMP:  4a5bc26e

FAILURE_BUCKET_ID: 
X64_0x1E_tcpip!IppFlushNeighborSet+ba

BUCKET_ID: 
X64_0x1E_tcpip!IppFlushNeighborSet+ba

Answer 1

对于非常快速的高级别信息集，请尝试：

！分析-v

这将为您提供一系列相关信息，包括详细的堆栈跟踪。

windows是非常有用的资源，下面链接的文章详细介绍了这个特定命令的功能：

调试101:什么是！分析做什么？-微软技术社区

还可以查看NTDebugging博客，以获得非常详细的文章。

Answer 2

您的“tcpip.sys”可以使用有缺陷的网络驱动程序。试着卸载它(或它们)，看看会发生什么。

而且，它本身也可能是错误的:使用专有软件，您永远不知道到底发生了什么:)但是乍一看，Attempt to read from address ffffffffffffffff非常奇怪:看起来像指针算法错误。

要读取输出，您需要了解WinAPI。尝试搜索你遇到的功能:比如IppFlushNeighborSet()。这可以帮助你理解正在发生的事情，也许它会指向一些东西。

Answer 3

实际上，windbg文件(.chm)是一个非常有用的工具，可以解决如何调试内核转储的方法。http://www.dumpanalysis.org/是另一个有用的地方。

您将希望查看堆栈(至少)，并查看是否可以遍历tcpip.sys映像。