蓝屏并自动分析可能故障原因

1 认识蓝屏：

a problem has been detected and windows has been shutdown to prevent damage to your computer;technical information:*** stop:0X000 0000A(错误名）；

2 设置自动保存“内存转存文件”功能：

计算机右击---属性---高级选项卡---启动和故障恢复：在“定稿高度信息”下拉菜单中选择“小内在转储”；

3 下载：分析“内存转储文件”的工具软件：Debugging Tools for Windows 32 bit v6.6.7.5

4 安装，启动上面工具软件---file---opencrash dump:打开内存转储文件）；

系统崩溃或蓝屏的原因

1 70%是第三方驱动程序；

2 10%硬件错误（内存、磁盘等）；

3 5%是Microsoft的代码；

不管系统崩溃的原因是什么，真正执行崩溃的函数是KeBugCheckEx.该函数接受一个停止代码（也叫错误检查码bug check code),以及四个根据停止代码来的参数。该函数屏蔽了该系统的所有处理器上的所有中断以后，将显示器切换到低分辨率的VGA图形模式（windows支持的所有视频卡都实现了这种模式）下，绘制一个蓝色背景，然后显示停止代码，后面昆跟一些文本来建议用户应该怎么办。最后，该函数调用已注册的设备驱动程序错误检查回调函数，从而让驱动程序有机会停止它们的设备。

故障恢复控制台

windows XP系统从内核上脱离了DOS，但是仍然保留了另外两套“DOS系统”：一个是windows下的“命令提示符”，一个是“故障恢复控制台”。XP系统专门为了解决系统故障而设置的类似DOS的操作平台。用户可以在该平台上完成列法进入windwos中去做的一些操作。或者在windows中无法进行的操作（例如覆盖系统文件）

在安装光盘中：有用“恢复控制台”修复windows XP安装的选项；（或者有安装恢复控制台，如下述，或者是借助安装盘）

可以安装恢复控制台为启动菜单项：插入安装盘---win+r---浏览---\i386\winnt32.exe，加上/cmdcons参数，即可安装。

恢复损坏的DLL文件

系统不能启动的原因很多，驱动程序损坏、重要系统文件丢失，要想知道具体丢失了哪些系统文件，用记可以在系统启动时按F8键进入高级选项菜单，选择"启用启动日志"选项，这样系统会自动在C:winnt目录下生成btbtlog.txt文件；

进入故障恢复控制台，运行type ntbtlog.txt命令，显示该文件的内容，注意最后面的语句，如果语句中包含有fail字符，那么将后面的文件名记录下来，然后进行恢复；

例如，系统提示c:\winnt\system32\中的kbdal.dll文件丢失，在光盘中找到同名文件，然后运行coy f:\i386\kbdal.dll c:\winnt\system32命令，就可以恢复丢失或损坏的kbdal.dll文件；

有些文件可能使用copy命令不能拷贝，或某一系列驱动程序丢失造成系统不能正常启动，这时可用expand命令来提取缺少的文件。

例如：系统提示c:\winnt\system32中的msr2c.dll文件丢失，在安装光盘的i386目录中打到msr2c文件，然后运行：expand f:\i386msr2c c:\winnt\system32\msr2c.dll命令却可恢复。

在控制台下修复分区表：

启动到故障控制台，然后键入fixmbr按enter;

从故障恢复控制台清除木马及其他病毒

系统被木马或其他病毒感染后，在windows下往往无法直接删除病毒文件；如果在安全模式下也无法删除，可以借助故障恢复控制台

“黑客之门”的服务端文件是hkdoordll.dll，它通过感染系统文件services.exe启动自身。用户只需删除此服务端,并使用正常的程序替换被感染的services.exe文件即可以清除病毒。

进入控制台后，提取安装光盘中的services.exe文件来替换被感染的文件。使用命令：copy x:\i386\services.exe c:\windows\services.exe；系统提示是否覆盖文件，键入Y；

从安装光盘中提取驱动程序文件：

expand e:\i386\driver.cab /f:atimpad.sys %systemroot%\system32\drivers

/f是参数；e:是光驱号；atimpad.sys是需要提取的文件名；

删除故障恢复控制台文件及启动菜单：

进入系统盘根目录删除：\cmdcons文件夹和cmldr文件；

右击boot.ini-属性-清除只读复选框-用记事本打开-删除控制台条目（一般是：c:\cmdcons\bootsect.dat+"microsoft sindows recovery console"/cmdcons)；保存文件，再次恢复boot.ini的只读属性。

从压缩文件中提取文件：

expand source [/f:filespec]][destination][/d][/y]

[/f:filespec]:如果源文件中包含多个文件，指定要提取的文件的名称。可以对要提取的文件使用通配符。

[/d]：列出CAB文件中包含的文件而不展开或提取；

[/y]：在展开或提取文件时不出现覆盖提示。