Posted on 2010-01-16 10:12
S.l.e!ep.¢% 閱讀(558)
評論(0) 編輯 收藏 引用 所屬分類:
RootKit
- http://hi.baidu.com/skew/blog/item/07b467c60eb38b1f9d163dd8.html
- 2008-01-17 19:48
復制代碼
一個有趣的嘗試:按住右側的Ctrl的同時,再按Scroll Lock兩次,Windows就會出現(xiàn)藍屏,顯示:
*** STOP:0x000000E2 (0x00000000,0x00000000,0x00000000,0x00000000)。
這不是Bug,它只是Windows的一個功能,沒錯,就是進入藍屏的功能。雖然說Windows不是特別穩(wěn)定, 尤其是XP和Vista時代,并不是每個人都有幸見到著名的藍屏故障。所以,微軟提供了這個功能,供測試目的使用。這里微軟做了詳細說明:http://support.microsoft.com/kb/244139
先不要急著測試,之前還需要做些準備工作。
根據(jù)你的鍵盤找到以下注冊表鍵:
1、USB 鍵盤:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kbdhid\Parameters
2、PS/2鍵盤:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters
新建一個DWORD鍵,名稱為:CrashOnCtrlScroll,其值為1。
  下載 (43.19 KB) 2010-1-14 16:32
然后,重啟機器,按住右側的Ctrl的同時,再按Scroll Lock兩次就會出現(xiàn)本文頂部的藍屏了。提醒:做此嘗試之前做好當前工作的善后!
 下載 (65.34 KB) 2010-1-14 16:31
結論Windows 包含了一個功能,可以用來使系統(tǒng)停止回應並產生記憶體傾印檔案 (Memory.dmp)。當您執(zhí)行此操作時,會收到類似下列的停止錯誤訊息: *** STOP:0x000000E2 (0x00000000,0x00000000,0x00000000,0x00000000)
The end-user manually generated the crashdump. (使用者手動產生損毀傾印)
啟用此功能之後,可以按住右邊的 CTRL 鍵,然後按兩次 SCROLL LOCK 鍵,就會產生記憶體傾印檔案。此功能適用於 PS/2 和通用序列匯流排 (USB) 鍵盤。PS/2 鍵盤是使用鍵盤隨附的 i8042prt.sys 驅動程式。然而,如果是 USB 鍵盤,您必須安裝 Kbdhid.sys 驅動程式的 Hotfix。如需有關此 Hotfix 的詳細資訊,請參閱<其他相關資訊>一節(jié)結尾的<Windows Server 2003 解決方案>小節(jié)。
注意
對於可讓您使用 USB 鍵盤來產生記憶體傾印程序的 Kbdhid.sys 驅動程式,有一項限制。如果電腦在高插斷要求等級 (IRQL) 時停止回應,CTRL+SCROLL LOCK+SCROLL LOCK 鍵盤捷徑會無法運作。有這項限制是因為 Kbdhid.sys 驅動程式運作的 IRQL 比 i8042prt.sys 驅動程式低。USB 鍵盤功能僅適用於執(zhí)行 Microsoft Windows Server 2003 的電腦。其他相關資訊
警告 如果您使用「登錄編輯程式」或其他方法不當?shù)匦薷牡卿洠赡軙l(fā)生嚴重問題。您可能需要重新安裝作業(yè)系統(tǒng),才能解決這些問題。Microsoft 不保證可以解決這些問題。請自行承擔修改登錄的一切風險。
此功能預設是停用的。如果要在使用 PS/2 鍵盤的電腦上啟用此功能,請依照本文所述修改登錄,然後重新啟動電腦。重新啟動電腦之後,按住 CTRL 鍵並按兩次 SCROLL LOCK 鍵,就可以產生 Memory.dmp 檔案。您一定要使用空格鍵右側的 CTRL 鍵。在使用 USB 鍵盤的電腦上,您不需要重新啟動電腦。只要拔除鍵盤,再將鍵盤重新插入即可。之後,就可以產生 Memory.dmp 檔案了。
如果要在使用 PS/2 鍵盤的電腦上啟用此功能,請依照下列步驟執(zhí)行:
| 1. | 啟動 [登錄編輯程式]。 | | 2. | 找出下列登錄子機碼: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters
| | 3. | 在 [編輯] 功能表上,按一下 [新增值],然後新增下列登錄項目: 名稱:CrashOnCtrlScroll
資料類型:REG_DWORD
值:1
| | 4. | 結束 [登錄編輯程式],然後重新啟動電腦。 |
如果要在使用 USB 鍵盤的電腦上啟用此功能,請安裝<其他相關資訊>一節(jié)結尾的<Windows Server 2003 解決方案>小節(jié)中所述的 Hotfix。
如果要確定使用 USB 鍵盤的電腦上已啟用此功能,請依照下列步驟執(zhí)行:
| 1. | 啟動 [登錄編輯程式]。 | | 2. | 找出下列登錄子機碼: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kbdhid\Parameters
| | 3. | 確定下列登錄項目已啟用: 名稱:CrashOnCtrlScroll
資料類型:REG_DWORD
值:1
| | 4. | 結束 [登錄編輯程式]。 |
如何選取記憶體傾印檔案選項
您可產生三種記憶體傾印檔案。請先選取其中一種,再手動觸發(fā)傾印檔案。如果要執(zhí)行這項操作,請依照下列步驟執(zhí)行:
| 1. | 用滑鼠右鍵按一下 [我的電腦],然後按一下 [內容]。 | | 2. | 按一下 [進階] 索引標籤,然後按一下 [啟動及修復] 按鈕。 | | 3. | 按一下 [撰寫偵錯資訊],然後按一下以選取 [完整記憶體傾印]、[核心記憶體傾印] 或 [小量記憶體傾印]。 |
如需有關記憶體傾印檔案選項的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:254649 (http://support.microsoft.com/kb/254649/) Windows Server 2003、Windows XP 和 Windows 2000 中記憶體傾印檔案選項的概觀
注意
如果您的伺服器中具有如在某些 Compaq 電腦中找到的「系統(tǒng)自動重新啟動」(Automatic System Restart,ASR) 的功能,請加以停用。此功能會中斷傾印程序。在 Compaq 電腦上,您可以修改基本輸入/輸出系統(tǒng) (BIOS) 設定,來停用 ASR 功能。
注意
具有 2 GB 以上 RAM 的電腦可能沒有完整的記憶體傾印。如果要限制 Windows 2000 可存取的記憶體,請在 Boot.ini 檔案中加入 <MaxMem=2000> 參數(shù)。
如果已安裝「Microsoft 知識庫」文件 835732 所描述的安全性更新,或已安裝包含此安全性更新的 Service Pack,請參閱下列「Microsoft 知識庫」文件:885117 (http://support.microsoft.com/kb/885117/) "Kernel Memory Dump" is displayed in Startup and Recovery, but a complete memory dump is performed in Windows 2000 or in Windows Server 2003
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:835732 (http://support.microsoft.com/kb/835732/) MS04-011:Microsoft Windows 的安全性更新
|
?
-
1
評分人數(shù)
-