Posted on 2010-01-16 10:12
S.l.e!ep.¢% 閱讀(574)
評論(0) 編輯 收藏 引用 所屬分類:
RootKit
- http://hi.baidu.com/skew/blog/item/07b467c60eb38b1f9d163dd8.html
- 2008-01-17 19:48
復(fù)制代碼
一個有趣的嘗試:按住右側(cè)的Ctrl的同時,再按Scroll Lock兩次,Windows就會出現(xiàn)藍(lán)屏,顯示:
*** STOP:0x000000E2 (0x00000000,0x00000000,0x00000000,0x00000000)。
這不是Bug,它只是Windows的一個功能,沒錯,就是進(jìn)入藍(lán)屏的功能。雖然說Windows不是特別穩(wěn)定, 尤其是XP和Vista時代,并不是每個人都有幸見到著名的藍(lán)屏故障。所以,微軟提供了這個功能,供測試目的使用。這里微軟做了詳細(xì)說明:http://support.microsoft.com/kb/244139
先不要急著測試,之前還需要做些準(zhǔn)備工作。
根據(jù)你的鍵盤找到以下注冊表鍵:
1、USB 鍵盤:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kbdhid\Parameters
2、PS/2鍵盤:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters
新建一個DWORD鍵,名稱為:CrashOnCtrlScroll,其值為1。
  下載 (43.19 KB) 2010-1-14 16:32
然后,重啟機(jī)器,按住右側(cè)的Ctrl的同時,再按Scroll Lock兩次就會出現(xiàn)本文頂部的藍(lán)屏了。提醒:做此嘗試之前做好當(dāng)前工作的善后!
 下載 (65.34 KB) 2010-1-14 16:31
結(jié)論Windows 包含了一個功能,可以用來使系統(tǒng)停止回應(yīng)並產(chǎn)生記憶體傾印檔案 (Memory.dmp)。當(dāng)您執(zhí)行此操作時,會收到類似下列的停止錯誤訊息: *** STOP:0x000000E2 (0x00000000,0x00000000,0x00000000,0x00000000)
The end-user manually generated the crashdump. (使用者手動產(chǎn)生損毀傾印)
啟用此功能之後,可以按住右邊的 CTRL 鍵,然後按兩次 SCROLL LOCK 鍵,就會產(chǎn)生記憶體傾印檔案。此功能適用於 PS/2 和通用序列匯流排 (USB) 鍵盤。PS/2 鍵盤是使用鍵盤隨附的 i8042prt.sys 驅(qū)動程式。然而,如果是 USB 鍵盤,您必須安裝 Kbdhid.sys 驅(qū)動程式的 Hotfix。如需有關(guān)此 Hotfix 的詳細(xì)資訊,請參閱<其他相關(guān)資訊>一節(jié)結(jié)尾的<Windows Server 2003 解決方案>小節(jié)。
注意
對於可讓您使用 USB 鍵盤來產(chǎn)生記憶體傾印程序的 Kbdhid.sys 驅(qū)動程式,有一項限制。如果電腦在高插斷要求等級 (IRQL) 時停止回應(yīng),CTRL+SCROLL LOCK+SCROLL LOCK 鍵盤捷徑會無法運作。有這項限制是因為 Kbdhid.sys 驅(qū)動程式運作的 IRQL 比 i8042prt.sys 驅(qū)動程式低。USB 鍵盤功能僅適用於執(zhí)行 Microsoft Windows Server 2003 的電腦。其他相關(guān)資訊
警告 如果您使用「登錄編輯程式」或其他方法不當(dāng)?shù)匦薷牡卿洠赡軙l(fā)生嚴(yán)重問題。您可能需要重新安裝作業(yè)系統(tǒng),才能解決這些問題。Microsoft 不保證可以解決這些問題。請自行承擔(dān)修改登錄的一切風(fēng)險。
此功能預(yù)設(shè)是停用的。如果要在使用 PS/2 鍵盤的電腦上啟用此功能,請依照本文所述修改登錄,然後重新啟動電腦。重新啟動電腦之後,按住 CTRL 鍵並按兩次 SCROLL LOCK 鍵,就可以產(chǎn)生 Memory.dmp 檔案。您一定要使用空格鍵右側(cè)的 CTRL 鍵。在使用 USB 鍵盤的電腦上,您不需要重新啟動電腦。只要拔除鍵盤,再將鍵盤重新插入即可。之後,就可以產(chǎn)生 Memory.dmp 檔案了。
如果要在使用 PS/2 鍵盤的電腦上啟用此功能,請依照下列步驟執(zhí)行:
| 1. | 啟動 [登錄編輯程式]。 | | 2. | 找出下列登錄子機(jī)碼: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters
| | 3. | 在 [編輯] 功能表上,按一下 [新增值],然後新增下列登錄項目: 名稱:CrashOnCtrlScroll
資料類型:REG_DWORD
值:1
| | 4. | 結(jié)束 [登錄編輯程式],然後重新啟動電腦。 |
如果要在使用 USB 鍵盤的電腦上啟用此功能,請安裝<其他相關(guān)資訊>一節(jié)結(jié)尾的<Windows Server 2003 解決方案>小節(jié)中所述的 Hotfix。
如果要確定使用 USB 鍵盤的電腦上已啟用此功能,請依照下列步驟執(zhí)行:
| 1. | 啟動 [登錄編輯程式]。 | | 2. | 找出下列登錄子機(jī)碼: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kbdhid\Parameters
| | 3. | 確定下列登錄項目已啟用: 名稱:CrashOnCtrlScroll
資料類型:REG_DWORD
值:1
| | 4. | 結(jié)束 [登錄編輯程式]。 |
如何選取記憶體傾印檔案選項
您可產(chǎn)生三種記憶體傾印檔案。請先選取其中一種,再手動觸發(fā)傾印檔案。如果要執(zhí)行這項操作,請依照下列步驟執(zhí)行:
| 1. | 用滑鼠右鍵按一下 [我的電腦],然後按一下 [內(nèi)容]。 | | 2. | 按一下 [進(jìn)階] 索引標(biāo)籤,然後按一下 [啟動及修復(fù)] 按鈕。 | | 3. | 按一下 [撰寫偵錯資訊],然後按一下以選取 [完整記憶體傾印]、[核心記憶體傾印] 或 [小量記憶體傾印]。 |
如需有關(guān)記憶體傾印檔案選項的詳細(xì)資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:254649 (http://support.microsoft.com/kb/254649/) Windows Server 2003、Windows XP 和 Windows 2000 中記憶體傾印檔案選項的概觀
注意
如果您的伺服器中具有如在某些 Compaq 電腦中找到的「系統(tǒng)自動重新啟動」(Automatic System Restart,ASR) 的功能,請加以停用。此功能會中斷傾印程序。在 Compaq 電腦上,您可以修改基本輸入/輸出系統(tǒng) (BIOS) 設(shè)定,來停用 ASR 功能。
注意
具有 2 GB 以上 RAM 的電腦可能沒有完整的記憶體傾印。如果要限制 Windows 2000 可存取的記憶體,請在 Boot.ini 檔案中加入 <MaxMem=2000> 參數(shù)。
如果已安裝「Microsoft 知識庫」文件 835732 所描述的安全性更新,或已安裝包含此安全性更新的 Service Pack,請參閱下列「Microsoft 知識庫」文件:885117 (http://support.microsoft.com/kb/885117/) "Kernel Memory Dump" is displayed in Startup and Recovery, but a complete memory dump is performed in Windows 2000 or in Windows Server 2003
如需詳細(xì)資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:835732 (http://support.microsoft.com/kb/835732/) MS04-011:Microsoft Windows 的安全性更新
|
?
-
1
評分人數(shù)
-