蓝屏并自动分析可能故障原因
1 认识蓝屏:
a problem has been detected and windows has been shutdown to prevent damage to your computer;technical information:*** stop:0X000 0000A(错误名);
2 设置自动保存“内存转存文件”功能:
计算机右击---属性---高级选项卡---启动和故障恢复:在“定稿高度信息”下拉菜单中选择“小内在转储”;
3 下载:分析“内存转储文件”的工具软件:Debugging Tools for Windows 32 bit v6.6.7.5
4 安装,启动上面工具软件---file---opencrash dump:打开内存转储文件);
系统崩溃或蓝屏的原因
1 70%是第三方驱动程序;
2 10%硬件错误(内存、磁盘等);
3 5%是Microsoft的代码;
不管系统崩溃的原因是什么,真正执行崩溃的函数是KeBugCheckEx.该函数接受一个停止代码(也叫错误检查码bug check code),以及四个根据停止代码来的参数。该函数屏蔽了该系统的所有处理器上的所有中断以后,将显示器切换到低分辨率的VGA图形模式(windows支持的所有视频卡都实现了这种模式)下,绘制一个蓝色背景,然后显示停止代码,后面昆跟一些文本来建议用户应该怎么办。最后,该函数调用已注册的设备驱动程序错误检查回调函数,从而让驱动程序有机会停止它们的设备。
故障恢复控制台
windows XP系统从内核上脱离了DOS,但是仍然保留了另外两套“DOS系统”:一个是windows下的“命令提示符”,一个是“故障恢复控制台”。XP系统专门为了解决系统故障而设置的类似DOS的操作平台。用户可以在该平台上完成列法进入windwos中去做的一些操作。或者在windows中无法进行的操作(例如覆盖系统文件)
在安装光盘中:有用“恢复控制台”修复windows XP安装的选项;(或者有安装恢复控制台,如下述,或者是借助安装盘)
可以安装恢复控制台为启动菜单项:插入安装盘---win+r---浏览---\i386\winnt32.exe,加上/cmdcons参数,即可安装。
恢复损坏的DLL文件
系统不能启动的原因很多,驱动程序损坏、重要系统文件丢失,要想知道具体丢失了哪些系统文件,用记可以在系统启动时按F8键进入高级选项菜单,选择"启用启动日志"选项,这样系统会自动在C:winnt目录下生成btbtlog.txt文件;
进入故障恢复控制台,运行type ntbtlog.txt命令,显示该文件的内容,注意最后面的语句,如果语句中包含有fail字符,那么将后面的文件名记录下来,然后进行恢复;
例如,系统提示c:\winnt\system32\中的kbdal.dll文件丢失,在光盘中找到同名文件,然后运行coy f:\i386\kbdal.dll c:\winnt\system32命令,就可以恢复丢失或损坏的kbdal.dll文件;
有些文件可能使用copy命令不能拷贝,或某一系列驱动程序丢失造成系统不能正常启动,这时可用expand命令来提取缺少的文件。
例如:系统提示c:\winnt\system32中的msr2c.dll文件丢失,在安装光盘的i386目录中打到msr2c文件,然后运行:expand f:\i386msr2c c:\winnt\system32\msr2c.dll命令却可恢复。
在控制台下修复分区表:
启动到故障控制台,然后键入fixmbr按enter;
从故障恢复控制台清除木马及其他病毒
系统被木马或其他病毒感染后,在windows下往往无法直接删除病毒文件;如果在安全模式下也无法删除,可以借助故障恢复控制台
“黑客之门”的服务端文件是hkdoordll.dll,它通过感染系统文件services.exe启动自身。用户只需删除此服务端,并使用正常的程序替换被感染的services.exe文件即可以清除病毒。
进入控制台后,提取安装光盘中的services.exe文件来替换被感染的文件。使用命令:copy x:\i386\services.exe c:\windows\services.exe;系统提示是否覆盖文件,键入Y;
从安装光盘中提取驱动程序文件:
expand e:\i386\driver.cab /f:atimpad.sys %systemroot%\system32\drivers
/f是参数;e:是光驱号;atimpad.sys是需要提取的文件名;
删除故障恢复控制台文件及启动菜单:
进入系统盘根目录删除:\cmdcons文件夹和cmldr文件;
右击boot.ini-属性-清除只读复选框-用记事本打开-删除控制台条目(一般是:c:\cmdcons\bootsect.dat+"microsoft sindows recovery console"/cmdcons);保存文件,再次恢复boot.ini的只读属性。
从压缩文件中提取文件:
expand source [/f:filespec]][destination][/d][/y]
[/f:filespec]:如果源文件中包含多个文件,指定要提取的文件的名称。可以对要提取的文件使用通配符。
[/d]:列出CAB文件中包含的文件而不展开或提取;
[/y]:在展开或提取文件时不出现覆盖提示。