.dmp存储及分析问题

.dmp存储及分析问题

.dmp 提出了两个问题,利用 AI 进行了解答与分析

问题一: .dmp 一般存储在什么位置
问题二: 如果有 .dmp文件 是否可以分析出 “崩坏” 的原因

https://www.cnblogs.com/lx-limit/articles/19138554

.dmp文件存储

内容来自 AI 解答

Windows 系统崩溃转储文件(蓝屏文件)

小内存转储​

最常见的.dmp文件。Windows 根据转储类型,有默认的存储位置。
默认路径​​: C:\Windows\Minidump
​​文件名格式​​: MiniMMDDYY-NN.dmp(例如: Mini101424-01.dmp表示 2024年10月14日产生的第一个转储文件)。

内核内存转储​

只包含内核使用的内存。
​​默认路径​​: C:\Windows
​​文件名​​: MEMORY.DMP

完全内存转储​

包含崩溃时所有物理内存的内容。
​​默认路径​​: C:\Windows
​​文件名​​: MEMORY.DMP

内核转储和完全转储都使用相同的文件名 MEMORY.DMP。如果之前存在该文件,它会被新文件覆盖。而小内存转储则会不断累积,方便分析历史崩溃记录。

当电脑出现蓝屏后,首先去检查 ​​C:\Windows\Minidump​​ 文件夹,那里很可能就有需要分析的 .dmp 文件。如果该文件夹为空,确保系统设置已启用小内存转储功能。

应用程序转储文件

这类文件没有固定的存储位置,通常由以下因素决定:
1.应用程序自定义​​: 程序在崩溃时可能会弹窗询问您要将转储文件保存到哪里(例如,一些游戏或大型软件)。

​​2.系统默认​​: 如果应用程序不指定路径,可能会保存在以下位置之一:
​​应用程序的安装目录​​或其下的某个文件夹(如 Logs, Dumps)。
​​当前用户的数据目录​​,例如:
C:\Users[用户名]\AppData\Local\Temp
C:\Users[用户名]\Documents

​​3.由任务管理器生成​​: 当您在“任务管理器” -> “详细信息”中右键点击一个无响应的进程并选择“创建转储文件”时,文件通常保存在临时文件夹:
C:\Users[用户名]\AppData\Local\Temp
任务管理器会明确提示生成的文件路径。

.dmp “崩坏” 的原因

windbg下载安装

https://learn.microsoft.com/en-us/windows-hardware/drivers/debugger/
https://www.cnblogs.com/jijm123/p/16392465.html

.dmp文件来自于 CTFShow_DSBCTF_单身杯_easy_mem_1

运行自动分析命令

在 command 窗口输入

!analyze -v

11353afb5392bb57490b7fd360b7cfdb

分析

当 Windows 内核遇到无法恢复的错误时,会触发 ​​KeBugCheckEx​​ 函数,生成一个 ​​4字节的十六进制代码​​(即 BUGCHECK_CODE)。

BUGCHECK_CODE: 5454414d
54 54 41 4D(十六进制)→ 转换为 ASCII 字符:"TTAM"​

TTAM 非微软预留代码

参数(Arguments)的深层含义​
Arg1: 000000004e4f4f4d → "NOOM"
Arg2: 00000000534c4f53 → "SLOS"
Arg3: 000000004e4f4f4d → "NOOM"
Arg4: 00000000534c4f53 → "SLOS"

NOOM(N​​ot ​​O​​n ​​O​​fficial ​​M​​icrosoft):非微软官方行为(第三方驱动触发)
SLOS(​​S​​ystem ​​L​​ive ​​O​​S ​​S​​napshot):正在捕获实时系统内存快照

NOOM/SLOS是内存取证工具 ​​DumpIt​​ 的专属标识符(类似开发者彩蛋)

0: kd> !analyze -v
Loading Kernel Symbols
...............................................................
................................................................
............................................................
Loading User Symbols
........................................
Loading unloaded module list
.......
Unable to load image \??\C:\WINDOWS\system32\Drivers\DumpIt.sys, Win32 error 0n2

************* Symbol Loading Error Summary **************
Module name            Error
DumpIt                 The system cannot find the file specified

You can troubleshoot most symbol related issues by turning on symbol loading diagnostics (!sym noisy) and repeating the command that caused symbols to be loaded.
You should also verify that your symbol search path (.sympath) is correct.
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

Unknown bugcheck code (5454414d)
Unknown bugcheck description
Arguments:
Arg1: 000000004e4f4f4d
Arg2: 00000000534c4f53
Arg3: 000000004e4f4f4d
Arg4: 00000000534c4f53

Debugging Details:
------------------


KEY_VALUES_STRING: 1

    Key  : Analysis.CPU.mSec
    Value: 2359

    Key  : Analysis.Elapsed.mSec
    Value: 3266

    Key  : Analysis.IO.Other.Mb
    Value: 0

    Key  : Analysis.IO.Read.Mb
    Value: 1

    Key  : Analysis.IO.Write.Mb
    Value: 0

    Key  : Analysis.Init.CPU.mSec
    Value: 1531

    Key  : Analysis.Init.Elapsed.mSec
    Value: 47794

    Key  : Analysis.Memory.CommitPeak.Mb
    Value: 108

    Key  : Analysis.Version.DbgEng
    Value: 10.0.27920.1001

    Key  : Analysis.Version.Description
    Value: 10.2506.23.01 amd64fre

    Key  : Analysis.Version.Ext
    Value: 1.2506.23.1

    Key  : Bugcheck.Code.LegacyAPI
    Value: 0x5454414d

    Key  : Bugcheck.Code.TargetModel
    Value: 0x5454414d

    Key  : Dump.Attributes.AsUlong
    Value: 0x18

    Key  : Dump.Attributes.KernelGeneratedTriageDump
    Value: 1

    Key  : Failure.Bucket
    Value: LKD_0x5454414D_DumpIt!unknown_function

    Key  : Failure.Hash
    Value: {52e585b7-8b5d-76d1-b52a-909a08545b27}

    Key  : Hypervisor.Enlightenments.Value
    Value: 13088

    Key  : Hypervisor.Enlightenments.ValueHex
    Value: 0x3320

    Key  : Hypervisor.Flags.AnyHypervisorPresent
    Value: 1

    Key  : Hypervisor.Flags.ApicEnlightened
    Value: 0

    Key  : Hypervisor.Flags.ApicVirtualizationAvailable
    Value: 0

    Key  : Hypervisor.Flags.AsyncMemoryHint
    Value: 0

    Key  : Hypervisor.Flags.CoreSchedulerRequested
    Value: 0

    Key  : Hypervisor.Flags.CpuManager
    Value: 0

    Key  : Hypervisor.Flags.DeprecateAutoEoi
    Value: 1

    Key  : Hypervisor.Flags.DynamicCpuDisabled
    Value: 0

    Key  : Hypervisor.Flags.Epf
    Value: 0

    Key  : Hypervisor.Flags.ExtendedProcessorMasks
    Value: 0

    Key  : Hypervisor.Flags.HardwareMbecAvailable
    Value: 1

    Key  : Hypervisor.Flags.MaxBankNumber
    Value: 0

    Key  : Hypervisor.Flags.MemoryZeroingControl
    Value: 0

    Key  : Hypervisor.Flags.NoExtendedRangeFlush
    Value: 1

    Key  : Hypervisor.Flags.NoNonArchCoreSharing
    Value: 0

    Key  : Hypervisor.Flags.Phase0InitDone
    Value: 1

    Key  : Hypervisor.Flags.PowerSchedulerQos
    Value: 0

    Key  : Hypervisor.Flags.RootScheduler
    Value: 0

    Key  : Hypervisor.Flags.SynicAvailable
    Value: 1

    Key  : Hypervisor.Flags.UseQpcBias
    Value: 0

    Key  : Hypervisor.Flags.Value
    Value: 667704

    Key  : Hypervisor.Flags.ValueHex
    Value: 0xa3038

    Key  : Hypervisor.Flags.VpAssistPage
    Value: 1

    Key  : Hypervisor.Flags.VsmAvailable
    Value: 0

    Key  : Hypervisor.RootFlags.AccessStats
    Value: 0

    Key  : Hypervisor.RootFlags.CrashdumpEnlightened
    Value: 0

    Key  : Hypervisor.RootFlags.CreateVirtualProcessor
    Value: 0

    Key  : Hypervisor.RootFlags.DisableHyperthreading
    Value: 0

    Key  : Hypervisor.RootFlags.HostTimelineSync
    Value: 0

    Key  : Hypervisor.RootFlags.HypervisorDebuggingEnabled
    Value: 0

    Key  : Hypervisor.RootFlags.IsHyperV
    Value: 0

    Key  : Hypervisor.RootFlags.LivedumpEnlightened
    Value: 0

    Key  : Hypervisor.RootFlags.MapDeviceInterrupt
    Value: 0

    Key  : Hypervisor.RootFlags.MceEnlightened
    Value: 0

    Key  : Hypervisor.RootFlags.Nested
    Value: 0

    Key  : Hypervisor.RootFlags.StartLogicalProcessor
    Value: 0

    Key  : Hypervisor.RootFlags.Value
    Value: 0

    Key  : Hypervisor.RootFlags.ValueHex
    Value: 0x0

    Key  : SecureKernel.HalpHvciEnabled
    Value: 0

    Key  : WER.OS.Branch
    Value: ni_release

    Key  : WER.OS.Version
    Value: 10.0.22621.1

    Key  : WER.System.BIOSRevision
    Value: 255.255.0.0

BUGCHECK_CODE:  5454414d

BUGCHECK_P1: 4e4f4f4d

BUGCHECK_P2: 534c4f53

BUGCHECK_P3: 4e4f4f4d

BUGCHECK_P4: 534c4f53

FILE_IN_CAB:  20241029-055419.dmp

DUMP_FILE_ATTRIBUTES: 0x18
  Kernel Generated Triage Dump
  Live Generated Dump

FAULTING_THREAD:  ffffe30161c27080

PROCESS_NAME:  DumpIt.exe

STACK_TEXT:  
fffffe05`316f6190 fffff803`8194c040     : ffffe301`61c27080 ffffe301`61c27080 00140410`008302ff 00000002`00000048 : DumpIt+0x16d7
fffffe05`316f66b0 ffffe301`61c27080     : ffffe301`61c27080 00140410`008302ff 00000002`00000048 00000000`00000000 : nt!KiInitialSharedReadyQueue
fffffe05`316f66b8 ffffe301`61c27080     : 00140410`008302ff 00000002`00000048 00000000`00000000 00000000`00000000 : 0xffffe301`61c27080
fffffe05`316f66c0 00140410`008302ff     : 00000002`00000048 00000000`00000000 00000000`00000000 ffffe301`61c27080 : 0xffffe301`61c27080
fffffe05`316f66c8 00000002`00000048     : 00000000`00000000 00000000`00000000 ffffe301`61c27080 fffff803`80f1e3ea : 0x00140410`008302ff
fffffe05`316f66d0 00000000`00000000     : 00000000`00000000 ffffe301`61c27080 fffff803`80f1e3ea ffffd200`4db91180 : 0x00000002`00000048


SYMBOL_NAME:  DumpIt+16d7

MODULE_NAME: DumpIt

IMAGE_NAME:  DumpIt.sys

STACK_COMMAND: .cxr; .ecxr ; kb

BUCKET_ID_FUNC_OFFSET:  16d7

FAILURE_BUCKET_ID:  LKD_0x5454414D_DumpIt!unknown_function

OS_VERSION:  10.0.22621.1

BUILDLAB_STR:  ni_release

OSPLATFORM_TYPE:  x64

OSNAME:  Windows 10

FAILURE_ID_HASH:  {52e585b7-8b5d-76d1-b52a-909a08545b27}

Followup:     MachineOwner
---------
posted @ 2025-10-14 14:44  落子无悔limit  阅读(181)  评论(0)    收藏  举报