Windows 10蓝屏后需先启用Dump生成(系统属性→高级→启动和故障恢复),再定位C:\Windows\Minidump\下最新.dmp文件,用WinDbg Preview执行!analyze -v分析,或用BlueScreenView筛查红色驱动,最后通过事件查看器核对BugCheck事件时间与代码。
如果您在Windows 10系统中遭遇蓝屏(BSOD),系统默认会生成Dump文件以记录崩溃现场,但该文件不会自动显示或解析。以下是查看并分析这些Dump文件的具体操作路径与工具方法:
一、确认并启用Dump文件生成功能
若系统此前未开启内存转储,将无法生成.dmp文件,所有后续分析均无数据支撑。必须先验证并激活该机制。
1、右键“此电脑”,选择“属性”。
2、点击左侧“高级系统设置”。
3、切换至“高级”选项卡,在“启动和故障恢复”区域点击“设置”按钮。
4、在弹出窗口中,“写入调试信息”下拉菜单选择小内存转储(256 KB)或核心内存转储。
5、确认“转储文件”路径为C:\Windows\Minidump\(小转储)或C:\Windows\MEMORY.DMP(核心转储)。
6、勾选“将事件写入系统日志”,取消勾选“自动重新启动”,确保蓝屏界面可被人工观察记录。
二、定位并提取Dump文件
Dump文件生成后存储于固定路径,需准确识别最新有效文件,避免误取空文件、旧日志或权限受限项。
1、打开文件资源管理器,直接在地址栏粘贴路径:C:\Windows\Minidump\,按回车进入。
2、若该目录为空,检查C:\Windows\MEMORY.DMP是否存在(仅当设置为核心/完全转储时生成)。
3、按“修改日期”列排序,选取最新生成的.dmp文件,文件名格式通常为MMDDYY-XXXXX-01.dmp(如012726-18942-01.dmp)。
4、右键该文件,选择“复制”,粘贴至外部U盘或非系统盘目录,防止系统还原或重装导致丢失。
5、如需批量处理,可全选Minidump内所有.dmp文件,右键→“发送到”→“压缩文件夹”生成ZIP包。
三、使用WinDbg Preview进行符号化分析
WinDbg Preview是微软当前主推的图形化调试工具,支持自动下载公共符号,能将原始内存快照转化为含模块名、函数名及堆栈路径的可读报告。
1、前往Microsoft Store搜索并安装WinDbg Preview(或从Windows SDK离线获取)。
2、以管理员身份运行程序,点击菜单栏“文件 → 打开转储文件”。
3、浏览并选中C:\Windows\Minidump\下的任意.dmp文件。
4、等待底部状态栏显示Ready(首次使用需联网下载符号,耗时数分钟)。
5、在命令窗口输入:!analyze -v,按回车执行深度分析。
6、结果中重点关注:FAILURE_BUCKET_ID、IMAGE_NAME(问题驱动或模块)、STACK_TEXT顶部调用序列。
四、使用BlueScreenView快速筛查驱动嫌疑项
BlueScreenView是一款免安装、零配置的轻量级工具,适用于非技术人员快速识别多份dump中高频出现的红色标记驱动,无需联网或符号支持。
1、访问NirSoft官网下载BlueScreenView.zip,解压至本地任意文件夹。
2、双击运行BlueScreenView.exe,软件将自动扫描C:\Windows\Minidump\中的全部.dmp文件。
3、主界面表格中,关注“Caused By Driver”列中标记为红色字体的驱动文件(如nvlddmkm.sys、dxgmms2.sys)。
4、查看“Bug Check Code”列(如0x0000003B、0x0000007E),结合右侧Stack Trace面板中高亮的调用链判断触发层级。
5、双击某条记录,下方面板将显示完整堆栈;红色行代表第三方驱动,蓝色行为微软系统模块。
五、通过事件查看器交叉验证崩溃时间与来源
事件查看器中的BugCheck事件与Dump文件互为印证:前者提供精确时间戳与错误代码,后者提供内存上下文,二者匹配可提升归因准确性。
1、按下Win + R组合键,输入eventvwr.msc,按回车打开事件查看器。
2、左侧导航树中依次展开Windows 日志 → 系统。
3、在右侧列表中,点击“级别”列标题两次,使“关键”事件排至最前。
4、筛选“来源”列为BugCheck的条目,双击打开其属性窗口。
5、在“常规”选项卡中记录BugCheckCode(如0x0000007B)与发生时间;在“详细信息”选项卡中查看DriverName与BugCheckParameter1–4值。
