[Articulo] BSOD - PANTALLA AZUL - Cómo analizar el error (Parte 1)

22/05/2005 - 20:29 por JM Tella Llop [MVP Windows] | Informe spam
BSOD - PANTALLA AZUL - COMO ANALIZAR EL ERROR


Uno de los peores errores en los que nos podemos encontrar es una pantalla
azul (BSOD: Blue Screen of Death), congelaciones de la pantalla -cursor y
teclado no responden- o reinicios espontaneos.

Empecemos desde el mas sencillo:

1) Reinicios espontaneos: en Windows XP, estos reinicios espontaneos suelen
ser producidos por tener marcado "Reiniciar Automaticamente" (es la opcion
por defecto). Dicha opcion, se modifica con boton derecho sobre Mi PC,
propiedades, pestaña de avanzado y boton de inicio y recuperacion.

Un reinicio espontaneo es, o bien porque iba a salir una pantalla azul, y al
estar seleccionada la opcion anterior, en vez de salir, el sistema se
reinicia, o bien por un error hardware que el sistema operativo no ha podido
atrapar. Si es la primera opcion, simplemente debemos configurar para que NO
se reinice automaticamente y dejar que el sistema atrape el error. Si a
pesar de eso, siguen los reinicios, implica entonces un error hardware y
grave: normalmente placa madre o CPU y poco más podemos diagnosticar en este
caso.

2) Pantalla azul: en este caso, nos dará en pantalla un mini-informe del
error. Unicamente debemos fijarnos si en dicho mensaje aparece un .sys
causante del error. Si *no* aparece este .sys, o bien son componentes de
windows: ntoskrln, win32k.sys, esbstor.sys, usbyhci.sys, deberemos analizar
el archivo DMP que se produce (lo veremos posteriormente). Si el driver que
aparece es un archivo de terceros: ya tendremos localizado al culpable. La
solucion será actualizar dichos drivers, o dicho componente (los antivirus,
si no ha existido cambio de hardware, suelen ser los primeros candidatos).

Por desgracia en un elevado numero de veces, no sale tampoco ningun .sys o
.dll causante del error. En ese caso, no nos queda mas remedio tambien que
analizar el archivo DMP.

Por desgracia, la utilidad DUMPCHK que viene en las Support Tools de windows
XP / W2003 poco nos sirve para analizar el error ya que unicamente nos
mostrará lo mismo que nos muestra windows en la pantalla azul. Por tanto, si
windows al generar la pantalla azul no ha sido capaz de mostrarlo, este
herramienta no nos servirá de nada. Mas adelante veremos que herramienta
debemos utilizar para ello.


3) Congelaciones de la pantalla. Es un caso similar al 2). Tendremos que
analizar el DMP. Ahora bien ¿como podemos en este caso hacer que el sistema
nos genere un DMP si el sistema está congelado?

(NO ES VALIDO PARA TECLADOS USB/BLUETOOTH): Para ello, previamente debemos
tener configurado el registro para que una combinacion de teclas nos
provoque el DUMP aunque todo esté congelado. Por tanto, y es mi consejo que
por defecto lo tengamos configurado, debemos tener una variable en la clave:

HKEY_LOCAL_MACHINE
System
CurrentControlSet
Services
i8042prt
Parameters


Nombre: CrashOnCtrlScroll
Tipo: DWORD (doble palabra)
Contenido: 1

(y reiniciar la maquina para que esté activo). Con esto, en cualquier
momento, e incluso en caso de congelacion de la pantalla podremos provocar
el DMP, pulsando la tecla CTRL (derecha) y dos veces consecutivas la tecla
SCROLL BLOCK (bloqueo de desplazamiento).


TIPOS DE VOLCADO DE MEMORIA

Existen tres tipos de volcado de memoria, los cuales están activados desde:
boton derecho sobre Mi PC, propiedades, pestaña de avanzado y boton de
inicio y recuperacion:

1) Minidump (64 KB). Realmente vale para poco y no es la mejor opcion. Si la
tenemos activada, nos generará un "minidump" en \windows\minidump

2) Kernel.dmp: opcion intermedia: solo se vuelca el kernel (nucleo) y en la
mayoria de los casos es suficiente para diagnosticar el error. Genera el
archivo MEMORY.DMP en la carpeta windows.

3) Completo. Para que el DMP completo funcione y no salga "corrupto" es
obligatorio tener el archivo de paginacion en la misma particion en la cual
tenemos windows. Generará igualmente en ella el archivo MEMORY.DMP.
Muchas veces por motivos de rendimiento movemos el archivo de paginacion a
otro disco fisico. Si tenemos BSOD del sistema y deseamos un volcado de
memoria completo, deberemos previamente volver a establecer el archivo de
paginacion en la unidad de windows. Igualmente debemos recordar que en este
caso, debemos tener espacio en disco igual a la memoria fisica de la maquina
ya que ese será el tamaño del archivo DMP creado.



SOFTWARE NECESARIO PARA EL ANALISIS DEL ERROR


La informacion podemos localizarla en esta pagina:
http://www.microsoft.com/whdc/devto...start.mspx

y el software que nos debemos descargar para versiones de 32 bits es este:
http://www.microsoft.com/whdc/devto...llx86.mspx

El software puede instalarse tanto en la propia maquina como en una maquina
ajena. No es necesario analizar el archivo .DMP en la misma maquina en la
cual ha sucedido el error, pudiendo hacerse en cualquier otra.


PRIMERA CONFIGURACION DEL SOFTWARE
-

Aunque no es necesario, para poco nos vale un error si no tenemos instalados
los ficheros de simbolos. Los simbolos de drivers de terceros, no podremos
instalarlos porque los fabricantes normalmente no los dan, pero los simbolos
de windows si que podremos. No aconsejo instalarlo desde el CD, ni
descargarse del sisito de Microsoft los simbolos ya que la propia
herramienta instalada: WINDBG, una vez configurada, si no tiene los simbolos
los descargará en ese momento y descargará justo los necesarios para ese
analisis y por tanto teniendo en cuenta los Service Packs y parches que
tiene instalados el sistema que estamos analizando.

Para configurarlos de esa maneram arrancamos el programa de analisis que
hemos instalado: WINDBG y en el menú "File", "Symbol File Path" colocamos:

SRV*c:\websymbols*http://msdl.microsoft.com/download/symbols

(en este caso he seleccionado que los simbolos, cuando los descargue, -por
ello la primera vez de analisis será lenta, dependiendo de la velocidad de
nuestra conexion a internet- los situe en la carpeta: c:\websimbols.

Dicha carpeta puede ser cualquier otra, y lo unico que tener presente es que
debemos tenerla creada previamente.



VOLCADO DE MEMORIA (DMP o DUMP). ANALISIS DE LOS ARCHIVOS


continuará..

Jose Manuel Tella Llop
MVP - Windows
jmtella@XXXcompuserve.com (quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.
 

Leer las respuestas

#1 Peni \(Francisco\)
22/05/2005 - 21:13 | Informe spam
Nos has dejado con la miel en los labios ... :-))



Saludos. Peni
Para correo: http://cerbermail.com/?h4s9sbNqzW

"JM Tella Llop [MVP Windows]" escribió en el mensaje news:%
BSOD - PANTALLA AZUL - COMO ANALIZAR EL ERROR


Uno de los peores errores en los que nos podemos encontrar es una pantalla
azul (BSOD: Blue Screen of Death), congelaciones de la pantalla -cursor y
teclado no responden- o reinicios espontaneos.

Empecemos desde el mas sencillo:

1) Reinicios espontaneos: en Windows XP, estos reinicios espontaneos suelen
ser producidos por tener marcado "Reiniciar Automaticamente" (es la opcion
por defecto). Dicha opcion, se modifica con boton derecho sobre Mi PC,
propiedades, pestaña de avanzado y boton de inicio y recuperacion.

Un reinicio espontaneo es, o bien porque iba a salir una pantalla azul, y al
estar seleccionada la opcion anterior, en vez de salir, el sistema se
reinicia, o bien por un error hardware que el sistema operativo no ha podido
atrapar. Si es la primera opcion, simplemente debemos configurar para que NO
se reinice automaticamente y dejar que el sistema atrape el error. Si a
pesar de eso, siguen los reinicios, implica entonces un error hardware y
grave: normalmente placa madre o CPU y poco más podemos diagnosticar en este
caso.

2) Pantalla azul: en este caso, nos dará en pantalla un mini-informe del
error. Unicamente debemos fijarnos si en dicho mensaje aparece un .sys
causante del error. Si *no* aparece este .sys, o bien son componentes de
windows: ntoskrln, win32k.sys, esbstor.sys, usbyhci.sys, deberemos analizar
el archivo DMP que se produce (lo veremos posteriormente). Si el driver que
aparece es un archivo de terceros: ya tendremos localizado al culpable. La
solucion será actualizar dichos drivers, o dicho componente (los antivirus,
si no ha existido cambio de hardware, suelen ser los primeros candidatos).

Por desgracia en un elevado numero de veces, no sale tampoco ningun .sys o
.dll causante del error. En ese caso, no nos queda mas remedio tambien que
analizar el archivo DMP.

Por desgracia, la utilidad DUMPCHK que viene en las Support Tools de windows
XP / W2003 poco nos sirve para analizar el error ya que unicamente nos
mostrará lo mismo que nos muestra windows en la pantalla azul. Por tanto, si
windows al generar la pantalla azul no ha sido capaz de mostrarlo, este
herramienta no nos servirá de nada. Mas adelante veremos que herramienta
debemos utilizar para ello.


3) Congelaciones de la pantalla. Es un caso similar al 2). Tendremos que
analizar el DMP. Ahora bien ¿como podemos en este caso hacer que el sistema
nos genere un DMP si el sistema está congelado?

(NO ES VALIDO PARA TECLADOS USB/BLUETOOTH): Para ello, previamente debemos
tener configurado el registro para que una combinacion de teclas nos
provoque el DUMP aunque todo esté congelado. Por tanto, y es mi consejo que
por defecto lo tengamos configurado, debemos tener una variable en la clave:

HKEY_LOCAL_MACHINE
System
CurrentControlSet
Services
i8042prt
Parameters


Nombre: CrashOnCtrlScroll
Tipo: DWORD (doble palabra)
Contenido: 1

(y reiniciar la maquina para que esté activo). Con esto, en cualquier
momento, e incluso en caso de congelacion de la pantalla podremos provocar
el DMP, pulsando la tecla CTRL (derecha) y dos veces consecutivas la tecla
SCROLL BLOCK (bloqueo de desplazamiento).


TIPOS DE VOLCADO DE MEMORIA

Existen tres tipos de volcado de memoria, los cuales están activados desde:
boton derecho sobre Mi PC, propiedades, pestaña de avanzado y boton de
inicio y recuperacion:

1) Minidump (64 KB). Realmente vale para poco y no es la mejor opcion. Si la
tenemos activada, nos generará un "minidump" en \windows\minidump

2) Kernel.dmp: opcion intermedia: solo se vuelca el kernel (nucleo) y en la
mayoria de los casos es suficiente para diagnosticar el error. Genera el
archivo MEMORY.DMP en la carpeta windows.

3) Completo. Para que el DMP completo funcione y no salga "corrupto" es
obligatorio tener el archivo de paginacion en la misma particion en la cual
tenemos windows. Generará igualmente en ella el archivo MEMORY.DMP.
Muchas veces por motivos de rendimiento movemos el archivo de paginacion a
otro disco fisico. Si tenemos BSOD del sistema y deseamos un volcado de
memoria completo, deberemos previamente volver a establecer el archivo de
paginacion en la unidad de windows. Igualmente debemos recordar que en este
caso, debemos tener espacio en disco igual a la memoria fisica de la maquina
ya que ese será el tamaño del archivo DMP creado.



SOFTWARE NECESARIO PARA EL ANALISIS DEL ERROR


La informacion podemos localizarla en esta pagina:
http://www.microsoft.com/whdc/devto...start.mspx

y el software que nos debemos descargar para versiones de 32 bits es este:
http://www.microsoft.com/whdc/devto...llx86.mspx

El software puede instalarse tanto en la propia maquina como en una maquina
ajena. No es necesario analizar el archivo .DMP en la misma maquina en la
cual ha sucedido el error, pudiendo hacerse en cualquier otra.


PRIMERA CONFIGURACION DEL SOFTWARE
-

Aunque no es necesario, para poco nos vale un error si no tenemos instalados
los ficheros de simbolos. Los simbolos de drivers de terceros, no podremos
instalarlos porque los fabricantes normalmente no los dan, pero los simbolos
de windows si que podremos. No aconsejo instalarlo desde el CD, ni
descargarse del sisito de Microsoft los simbolos ya que la propia
herramienta instalada: WINDBG, una vez configurada, si no tiene los simbolos
los descargará en ese momento y descargará justo los necesarios para ese
analisis y por tanto teniendo en cuenta los Service Packs y parches que
tiene instalados el sistema que estamos analizando.

Para configurarlos de esa maneram arrancamos el programa de analisis que
hemos instalado: WINDBG y en el menú "File", "Symbol File Path" colocamos:

SRV*c:\websymbols*http://msdl.microsoft.com/download/symbols

(en este caso he seleccionado que los simbolos, cuando los descargue, -por
ello la primera vez de analisis será lenta, dependiendo de la velocidad de
nuestra conexion a internet- los situe en la carpeta: c:\websimbols.

Dicha carpeta puede ser cualquier otra, y lo unico que tener presente es que
debemos tenerla creada previamente.



VOLCADO DE MEMORIA (DMP o DUMP). ANALISIS DE LOS ARCHIVOS


continuará..

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.




Preguntas similares