[부사리]XP 메모리덤프 후에 정보 수집방법 314084_3.0

By | 2009년 1월 14일
Print Friendly, PDF & Email

소개
이 문서에서는 중지 오류 메시지에 대한 추가 정보를 수집하는 방법을 설명합니다. 이들 단계는 항상 최종 해결 방안이 되지 않을 수도 있으며 단순히 다른 문제를 나타낼 수도 있습니다.
위로 가기

추가 정보
이벤트 로그 메시지 처리
버그 확인 정보와 함께 이벤트 오류 메시지를 기록하도록 Windows를 구성합니다. 1. 시작을 누른 다음 제어판을 누릅니다.
2. 시스템을 두 번 누른 다음 고급 탭을 누릅니다.
3. 시작 및 복구 섹션에서 설정을 누른 다음 시스템 로그에 이벤트 기록 확인란을 선택합니다.

이벤트 로그 메시지가 시스템 로그에 기록됩니다.
이벤트 로그의 설명과 형식은 Memory.dmp 파일 형식과 다르지만 정보의 대부분은 동일합니다. 다음 이벤트 로그는 이벤트 로그 예제입니다.
이벤트 ID: 1001
원본: Save Dump
설명: 컴퓨터가 버그 확인으로 다시 부팅되었습니다.
버그 확인은: 0xc000021a (0xe1270188, 0x00000001, 0x00000000, 0x00000000). Microsoft Windows NT (v15.1381).
출력은 다음에 저장되었습니다. C:WINNTMEMORY.DMP.

이 정보에는 Stop 코드 0xc000021a와 네 개의 매개 변수가 있습니다. 이들은 특정 종류의 Stop 코드 문제를 해결할 때 매우 유용할 수 있습니다. 매개 변수의 의미는 Stop 코드의 종류에 따라 다릅니다.

매개 변수가 나타내는 의미를 자세히 알려면 Microsoft 기술 자료에서 특정 Stop 코드를 검색하십시오. 일부 Stop 코드 매개 변수는 Microsoft 기술 자료에서 다루지 않을 수도 있습니다.

Dumpchk.exe로 메모리 덤프 파일 정보 확인
Dumpchk.exe를 사용하면 이런 모든 정보와 중지 메시지를 발생시킨 드라이버의 주소를 확인할 수 있습니다. 때로 이 정보는 문제 해결을 시작할 방향을 제시해 줄 수 있습니다. Dumpchk.exe를 실행하기 전에 명령 프롬프트의 속성을 조정하여 화면 버퍼 크기 높이를 999로 설정해야 합니다. 이 높이에서는 뒤로 스크롤하여 출력을 볼 수 있습니다. 아래 구문을 사용하여 명령 프롬프트에서 Dumpchk.exe를 실행합니다.
dumpchk.exe Memory.dmp
아래는 출력에서 가장 유용한 부분의 예제입니다.

MachineImageType i386
NumberProcessors 1
BugCheckCode 0xc000021a
BugCheckParameter2 0x00000001
BugCheckParameter3 0x00000000
BugCheckParameter4 0x00000000
ExceptionCode 0x80000003
ExceptionFlags 0x00000001
ExceptionAddress 0x8014fb84

모든 섹션이 같은 정보를 제공하는 것은 아닙니다. 정보는 Stop 코드의 종류에 따라 다릅니다. 이 예제의 정보를 통해 Stop 코드(0xc000021a)와 매개 변수(0xe1270188, 0x00000001, 0x00000000, 0x00000000)는 물론 예외를 호출한 드라이버의 주소(0x8014fb84)도 알 수 있습니다. 이 주소는 Resource Kit에 있는 Pstat.exe를 실행하여 얻은 출력에서 드라이버 이름을 확인하는 데 사용될 수 있습니다.

Dumpchk.exe는 덤프 파일이 유효한지도 검사합니다.

Pstat.exe로 드라이버 확인
Pstat.exe는 컴퓨터에 현재 실행되는 프로세스 및 드라이버에 대한 정보를 제공하는 Resource Kit 유틸리티입니다. 진단을 위한 가장 유용한 정보는 출력의 끝에 나타나는 로드된 드라이버의 목록입니다.

명령 프롬프트에서 Pstat.exe를 실행하십시오. Pstat.exe에서 파일로 보내는 정보를 파이핑하려면 다음 명령 구문을 사용하십시오.
pstat.exe > filename
다음 목록은 출력의 끝에 나타나는 드라이버 목록의 예제입니다.  ModuleName  LoadAddr  Code    Data    Paged  LinkDate
  ———————————————————————-
  ntoskrnl.exe 80100000  270272  40064  434816 Sun May 11 00:10:39 1997
  Hal.dll      80010000  20384    2720    9344 Mon Mar 10 16:39:20 1997
  Aic78xx.sys  80001000  20512    2272      0 Sat Apr 05 21:16:21 1997
  Scsiport.sys 801d7000    9824      32  15552 Mon Mar 10 16:42:27 1997
  Disk.sys    80008000    3328      0    7072 Thu Apr 24 22:27:46 1997
  Class2.sys  8000c000    7040      0    1632 Thu Apr 24 22:23:43 1997
  Ino_flpy.sys 801df000    9152    1472    2080 Tue May 26 18:21:40 1998
  Ntfs.sys    801e3000  68160    5408  269632 Thu Apr 17 22:02:31 1997
  Floppy.sys  f7290000    1088    672    7968 Wed Jul 17 00:31:09 1996
  Cdrom.sys    f72a0000  12608      32    3072 Wed Jul 17 00:31:29 1996
  Cdaudio.sys  f72b8000    960      0  14912 Mon Mar 17 18:21:15 1997
  Null.sys    f75c9000      0      0    288 Wed Jul 17 00:31:21 1996
  KSecDD.sys  f7464000    1280    224    3456 Wed Jul 17 20:34:19 1996
  Beep.sys    f75ca000    1184      0      0 Wed Apr 23 15:19:43 1997
  Cs32ba11.sys fcd1a000  52384  45344  14592 Wed Mar 12 17:22:33 1997
  Msi8042.sys  f7000000  20192    1536      0 Mon Mar 23 22:46:22 1998
  Mouclass.sys f7470000    1984      0      0 Mon Mar 10 16:43:11 1997
  Kbdclass.sys f7478000    1952      0      0 Wed Jul 17 00:31:16 1996
  Videoprt.sys f72d8000    2080    128  11296 Mon Mar 10 16:41:37 1997
  Ati.sys      f7010000    960    9824  48768 Fri Dec 12 15:20:37 1997
  Vga.sys      f7488000    128      32  10784 Wed Jul 17 00:30:37 1996
  Msfs.sys    f7308000    864      32  15328 Mon Mar 10 16:45:01 1997
  Npfs.sys    f7020000    6560    192  22624 Mon Mar 10 16:44:48 1997
  Ndis.sys    fccda000  11744    704  96768 Thu Apr 17 22:19:45 1997
  Win32k.sys  a0000000 1162624  40064      0 Fri Apr 25 21:17:32 1997
  Ati.dll      fccba000  106176  17024      0 Fri Dec 12 15:20:08 1997
  Cdfs.sys    f7050000    5088    608  45984 Mon Mar 10 16:57:04 1997
  Ino_fltr.sys fc42f000  29120  38176    1888 Tue Jun 02 16:33:05 1998
  Tdi.sys      fc4a2000    4480      96    288 Wed Jul 17 00:39:08 1996
  Tcpip.sys    fc40b000  108128    7008  10176 Fri May 09 17:02:39 1997
  Netbt.sys    fc3ee000  79808    1216  23872 Sat Apr 26 21:00:42 1997
  El90x.sys    f7320000  24576    1536      0 Wed Jun 26 20:04:31 1996
  Afd.sys      f70d0000    1696    928  48672 Thu Apr 10 15:09:17 1997
  Netbios.sys  f7280000  13280    224  10720 Mon Mar 10 16:56:01 1997
  Parport.sys  f7460000    3424      32      0 Wed Jul 17 00:31:23 1996
  Parallel.sys f746c000    7904      32     &
nbsp;0 Wed Jul 17 00:31:23 1996
  ParVdm.sys  f7552000    1312      32      0 Wed Jul 17 00:31:25 1996
  Serial.sys  f7120000    2560      0  18784 Mon Mar 10 16:44:11 1997
  Rdr.sys      fc385000  13472    1984  219104 Wed Mar 26 14:22:36 1997
  Mup.sys      fc374000    2208    6752  48864 Mon Mar 10 16:57:09 1997
  Srv.sys      fc24a000  42848    7488  163680 Fri Apr 25 13:59:31 1997
  Pscript.dll  f9ec3000      0      0      0
  Fastfat.sys  f9e00000    6720    672  114368 Mon Apr 21 16:50:22 1997
  NTdll.dll    77f60000  237568  20480      0 Fri Apr 11 16:38:50 1997
  ———————————————————————-
          Total          2377632  255040 1696384
   
위 예제의 LoadAddr 열에 있는 시작 주소를 사용하여 예외 주소를 드라이버 이름과 비교해 볼 수 있습니다. 예를 들어, 8014fb84를 예외 주소로 받은 경우 목록은 Ntoskrnl.exe가 예외 주소 아래의 가장 가까운 로드 주소를 가지고 있음을 보여줍니다. 그러므로 Ntoskrnl.exe가 예외를 호출한 드라이버일 가능성이 가장 큽니다. 이 정보를 사용하면 Microsoft 기술 자료에서 자신의 상황과 일치하는 알려진 문제를 찾을 수 있습니다.

댓글 남기기(글만 입력하셔도되요. 이메일,이름,웹사이트 미입력 가능)

This site uses Akismet to reduce spam. Learn how your comment data is processed.