Posted on 2010-01-16 10:12
S.l.e!ep.¢% 閱讀(568)
評(píng)論(0) 編輯 收藏 引用 所屬分類:
RootKit
- http://hi.baidu.com/skew/blog/item/07b467c60eb38b1f9d163dd8.html
- 2008-01-17 19:48
復(fù)制代碼
一個(gè)有趣的嘗試:按住右側(cè)的Ctrl的同時(shí),再按Scroll Lock兩次,Windows就會(huì)出現(xiàn)藍(lán)屏,顯示:
*** STOP:0x000000E2 (0x00000000,0x00000000,0x00000000,0x00000000)。
這不是Bug,它只是Windows的一個(gè)功能,沒錯(cuò),就是進(jìn)入藍(lán)屏的功能。雖然說(shuō)Windows不是特別穩(wěn)定, 尤其是XP和Vista時(shí)代,并不是每個(gè)人都有幸見到著名的藍(lán)屏故障。所以,微軟提供了這個(gè)功能,供測(cè)試目的使用。這里微軟做了詳細(xì)說(shuō)明:http://support.microsoft.com/kb/244139
先不要急著測(cè)試,之前還需要做些準(zhǔn)備工作。
根據(jù)你的鍵盤找到以下注冊(cè)表鍵:
1、USB 鍵盤:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kbdhid\Parameters
2、PS/2鍵盤:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters
新建一個(gè)DWORD鍵,名稱為:CrashOnCtrlScroll,其值為1。
  下載 (43.19 KB) 2010-1-14 16:32
然后,重啟機(jī)器,按住右側(cè)的Ctrl的同時(shí),再按Scroll Lock兩次就會(huì)出現(xiàn)本文頂部的藍(lán)屏了。提醒:做此嘗試之前做好當(dāng)前工作的善后!
 下載 (65.34 KB) 2010-1-14 16:31
結(jié)論Windows 包含了一個(gè)功能,可以用來(lái)使系統(tǒng)停止回應(yīng)並產(chǎn)生記憶體傾印檔案 (Memory.dmp)。當(dāng)您執(zhí)行此操作時(shí),會(huì)收到類似下列的停止錯(cuò)誤訊息: *** STOP:0x000000E2 (0x00000000,0x00000000,0x00000000,0x00000000)
The end-user manually generated the crashdump. (使用者手動(dòng)產(chǎn)生損毀傾印)
啟用此功能之後,可以按住右邊的 CTRL 鍵,然後按兩次 SCROLL LOCK 鍵,就會(huì)產(chǎn)生記憶體傾印檔案。此功能適用於 PS/2 和通用序列匯流排 (USB) 鍵盤。PS/2 鍵盤是使用鍵盤隨附的 i8042prt.sys 驅(qū)動(dòng)程式。然而,如果是 USB 鍵盤,您必須安裝 Kbdhid.sys 驅(qū)動(dòng)程式的 Hotfix。如需有關(guān)此 Hotfix 的詳細(xì)資訊,請(qǐng)參閱<其他相關(guān)資訊>一節(jié)結(jié)尾的<Windows Server 2003 解決方案>小節(jié)。
注意
對(duì)於可讓您使用 USB 鍵盤來(lái)產(chǎn)生記憶體傾印程序的 Kbdhid.sys 驅(qū)動(dòng)程式,有一項(xiàng)限制。如果電腦在高插斷要求等級(jí) (IRQL) 時(shí)停止回應(yīng),CTRL+SCROLL LOCK+SCROLL LOCK 鍵盤捷徑會(huì)無(wú)法運(yùn)作。有這項(xiàng)限制是因?yàn)?Kbdhid.sys 驅(qū)動(dòng)程式運(yùn)作的 IRQL 比 i8042prt.sys 驅(qū)動(dòng)程式低。USB 鍵盤功能僅適用於執(zhí)行 Microsoft Windows Server 2003 的電腦。其他相關(guān)資訊
警告 如果您使用「登錄編輯程式」或其他方法不當(dāng)?shù)匦薷牡卿洠赡軙?huì)發(fā)生嚴(yán)重問(wèn)題。您可能需要重新安裝作業(yè)系統(tǒng),才能解決這些問(wèn)題。Microsoft 不保證可以解決這些問(wèn)題。請(qǐng)自行承擔(dān)修改登錄的一切風(fēng)險(xiǎn)。
此功能預(yù)設(shè)是停用的。如果要在使用 PS/2 鍵盤的電腦上啟用此功能,請(qǐng)依照本文所述修改登錄,然後重新啟動(dòng)電腦。重新啟動(dòng)電腦之後,按住 CTRL 鍵並按兩次 SCROLL LOCK 鍵,就可以產(chǎn)生 Memory.dmp 檔案。您一定要使用空格鍵右側(cè)的 CTRL 鍵。在使用 USB 鍵盤的電腦上,您不需要重新啟動(dòng)電腦。只要拔除鍵盤,再將鍵盤重新插入即可。之後,就可以產(chǎn)生 Memory.dmp 檔案了。
如果要在使用 PS/2 鍵盤的電腦上啟用此功能,請(qǐng)依照下列步驟執(zhí)行:
| 1. | 啟動(dòng) [登錄編輯程式]。 | | 2. | 找出下列登錄子機(jī)碼: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters
| | 3. | 在 [編輯] 功能表上,按一下 [新增值],然後新增下列登錄項(xiàng)目: 名稱:CrashOnCtrlScroll
資料類型:REG_DWORD
值:1
| | 4. | 結(jié)束 [登錄編輯程式],然後重新啟動(dòng)電腦。 |
如果要在使用 USB 鍵盤的電腦上啟用此功能,請(qǐng)安裝<其他相關(guān)資訊>一節(jié)結(jié)尾的<Windows Server 2003 解決方案>小節(jié)中所述的 Hotfix。
如果要確定使用 USB 鍵盤的電腦上已啟用此功能,請(qǐng)依照下列步驟執(zhí)行:
| 1. | 啟動(dòng) [登錄編輯程式]。 | | 2. | 找出下列登錄子機(jī)碼: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kbdhid\Parameters
| | 3. | 確定下列登錄項(xiàng)目已啟用: 名稱:CrashOnCtrlScroll
資料類型:REG_DWORD
值:1
| | 4. | 結(jié)束 [登錄編輯程式]。 |
如何選取記憶體傾印檔案選項(xiàng)
您可產(chǎn)生三種記憶體傾印檔案。請(qǐng)先選取其中一種,再手動(dòng)觸發(fā)傾印檔案。如果要執(zhí)行這項(xiàng)操作,請(qǐng)依照下列步驟執(zhí)行:
| 1. | 用滑鼠右鍵按一下 [我的電腦],然後按一下 [內(nèi)容]。 | | 2. | 按一下 [進(jìn)階] 索引標(biāo)籤,然後按一下 [啟動(dòng)及修復(fù)] 按鈕。 | | 3. | 按一下 [撰寫偵錯(cuò)資訊],然後按一下以選取 [完整記憶體傾印]、[核心記憶體傾印] 或 [小量記憶體傾印]。 |
如需有關(guān)記憶體傾印檔案選項(xiàng)的詳細(xì)資訊,請(qǐng)按一下下面的文件編號(hào),檢視「Microsoft 知識(shí)庫(kù)」中的文件:254649 (http://support.microsoft.com/kb/254649/) Windows Server 2003、Windows XP 和 Windows 2000 中記憶體傾印檔案選項(xiàng)的概觀
注意
如果您的伺服器中具有如在某些 Compaq 電腦中找到的「系統(tǒng)自動(dòng)重新啟動(dòng)」(Automatic System Restart,ASR) 的功能,請(qǐng)加以停用。此功能會(huì)中斷傾印程序。在 Compaq 電腦上,您可以修改基本輸入/輸出系統(tǒng) (BIOS) 設(shè)定,來(lái)停用 ASR 功能。
注意
具有 2 GB 以上 RAM 的電腦可能沒有完整的記憶體傾印。如果要限制 Windows 2000 可存取的記憶體,請(qǐng)?jiān)?Boot.ini 檔案中加入 <MaxMem=2000> 參數(shù)。
如果已安裝「Microsoft 知識(shí)庫(kù)」文件 835732 所描述的安全性更新,或已安裝包含此安全性更新的 Service Pack,請(qǐng)參閱下列「Microsoft 知識(shí)庫(kù)」文件:885117 (http://support.microsoft.com/kb/885117/) "Kernel Memory Dump" is displayed in Startup and Recovery, but a complete memory dump is performed in Windows 2000 or in Windows Server 2003
如需詳細(xì)資訊,請(qǐng)按一下下面的文件編號(hào),檢視「Microsoft 知識(shí)庫(kù)」中的文件:835732 (http://support.microsoft.com/kb/835732/) MS04-011:Microsoft Windows 的安全性更新
|
?
-
1
評(píng)分人數(shù)
-
-
davis7:
再次加強(qiáng)記憶了壇幣 + 2 UB熱心 + 1 UF