Errores en Güindous XP

Errores de Güindous

INTRODUCCION

Windows XP un sistema operativo que revolucionó el

mundo de la informática desde su creación y lanzamiento al

mercado, se convirtió en un sistema operativo mas conocido

hasta la fecha y muy útil para la gestión empresarial y

personal. MICROSOFT el creador de este sistema operativo no

fue lo suficientemente eficaz al desarrollar este sistema

operativo, es decir, en el trayecto de vida que lleva

Windows XP surgieron diferentes problemas (errores) que

poco a poco se comenzaron a solucionar pero no por

completo, como por ejemplo ¿porqué creen que surgieron los

famosos SERVICE PACK?, por el simple hecho de parchar los

huecos dejado en la construcción de dicho sistema

operativo.

Ya que se tocó el tema de la Vulnerabilidad es

precisamente lo que se tratará en este trabajo monográfico

que tiene como objetivo explicar los errores que nos

muestra este sistema operativo cuando se ejecuta, como los

Blue screen of death o pantallas azules de la muerte,

mensajes de errores de archivos dañados, Los registros de

Windows, etc. Todo error tiene soluciones entonces también

tocaremos los puntos acerca de como solucionar aquellos

errores generados cuando Windows XP está en ejecución.

MENSAJE DE ERROR STOP 0X000000ED-MOUNTABLE_BOOT_VOLUME

Durante la actualización de Windows XP

Síntomas

Al reiniciar por primera vez el equipo durante la

actualización a Windows XP o al iniciar Windows XP puede

que aparezca el mensaje de error siguiente:

STOP 0x000000ED (0x aaaaaaaa,0x bbbbbbbb,0x cccccccc,0x

dddddddd) UNMOUNTABLE_BOOT_VOLUME; donde aaaaaaaa,

bbbbbbbb, cccccccc y dddddddd son números hexadecimales que

pueden variar.

Causa

Este comportamiento se produce cuando se cumple cualquiera

de las condiciones siguientes:

. El equipo utiliza un controlador de disco Ultra Direct

Memory Access (UDMA) y se cumplen las condiciones

siguientes:

• Utiliza un cable conector estándar de 40 hilos

para conectar la unidad UDMA al controlador en

lugar del cable conector de 80 hilos y 40

clavijas requerido.

• Las opciones del Sistema básico de entrada y

salida (BIOS, Basic Input/Output System) están

configuradas para exigir los modos UDMA más

rápidos.

. El sistema de archivos está dañado y no se puede

montar.

SOLUCIÓN

Para resolver este comportamiento, utilice el método

apropiado.

Controlador UDMA

Si el equipo utiliza un controlador de disco duro UDMA,

realizar lo siguiente:

. Sustituya el cable conector de 40 hilos por un cable

conector UDMA de 80 hilos.

. En la configuración del BIOS del equipo, cargue la

configuración predeterminada a prueba de errores y, a

continuación, vuelva a activar las opciones utilizadas

con más frecuencia, por ejemplo la compatibilidad con

USB.

Sistema de archivos dañado

Si el segundo parámetro (0x bbbbbbbb) del error de

detención es 0xC0000032, el sistema de archivos está

dañado.

En tal caso, reinicie el equipo en la consola de

recuperación y utilice el comando chkdsk /r para reparar el

volumen. Una vez reparado, compruebe el hardware a fin de

aislar la causa de los daños en el sistema de archivos.

Siga los siguientes pasos:

1. Inicie el equipo con los discos de inicio de Windows o

con el disco compacto de Windows si el equipo puede

iniciarse desde la unidad de CD-ROM

2. Cuando aparezca la pantalla Programa de instalación,

presione R para seleccionar la opción de reparación.

3. Si tiene un equipo con inicio dual o múltiple,

seleccione la instalación a la que desee tener acceso

desde la consola de recuperación.

4. Escriba la contraseña de administrador cuando se le

solicite que lo haga.

NOTA: si no existe la contraseña de administrador,

presione ENTRAR.

5. En el símbolo del sistema, escriba chkdsk /r y, a

continuación, presione ENTRAR.

6. En el símbolo del sistema, escriba exit y presione

ENTRAR para reiniciar el equipo.

Nota: Si este procedimiento no soluciona el problema,

repítalo utilizando el comando fixboot en el paso 5 en

lugar del comando chkdsk /r.

Error "Archivo Boot.ini no válido" o "No se puede iniciar

Windows" al iniciar el equipo

Síntomas

Al iniciar el equipo después de actualizar a Windows XP,

puede recibir uno o ambos de los siguientes mensajes de

error:

Archivo Boot.ini no válido

No se ha iniciado Windows porque el siguiente archivo

falta o está dañado:

Windows\System32\Hal.dll

Causa

Este problema puede producirse si el archivo Boot.ini se

ha perdido, está dañado o contiene entradas incorrectas.

SOLUCIÓN

Para resolver este problema, inicie el equipo desde el CD

de Windows XP, inicie la consola de recuperación y use

después la herramienta Bootcfg.exe para volver a generar el

archivo Boot.ini:

1. Configure el equipo para iniciarse desde la unidad de

CD-ROM o DVD-ROM. Para obtener información acerca de

cómo hacerlo, consulte la documentación del equipo o

póngase en contacto con su fabricante.

2. Inserte el CD-ROM de Windows XP en la unidad de CD-ROM

o de DVD-ROM, y reinicie el equipo.

3. Cuando aparezca el mensaje "Presione cualquier tecla

para iniciar desde el CD", presione una tecla para

iniciar el equipo desde el disco compacto de Windows

XP.

4. Cuando vea la pantalla "Programa de instalación",

presione R para iniciar la consola de recuperación.

5. Si tiene un equipo con inicio dual o múltiple,

seleccione la instalación a la que desee tener acceso

desde la consola de recuperación.

6. Cuando se le pida, escriba la contraseña de

administrador y después presione ENTRAR.

7. En el símbolo del sistema, escriba bootcfg /list y, a

continuación, presione ENTRAR. Las entradas del

archivo Boot.ini actual se muestran en la pantalla.

8. En el símbolo del sistema, escriba bootcfg /rebuild y,

a continuación, presione ENTRAR. Este comando examina

las unidades de disco duro del equipo buscando

instalaciones de Windows XP, Microsoft Windows 2000 o

Microsoft Windows NT y muestra después los resultados.

Siga las instrucciones que aparecen en la pantalla

para agregar las instalaciones de Windows al archivo

Boot.ini. A continuación se incluye un ejemplo de cómo

agregar una instalación de Windows XP al archivo

Boot.ini:

Aparecerá un mensaje que es similar al siguiente:

• Total de instalaciones de Windows identificadas:

[1]C:\Windows

¿Agregar la instalación a la lista de inicio?

(Sí/No/Todas)

Cuando reciba el mensaje en el paso a, presione S.

Aparecerá un mensaje que es similar al siguiente:

Escribir identificador de carga

•

Se trata del nombre del sistema operativo.

• Cuando reciba el mensaje en el paso c, escriba el

nombre de su sistema operativo y presione ENTRAR.

Éste es Microsoft Windows XP Professional o

Microsoft Windows XP Home Edition.

Aparecerá un mensaje que es similar al siguiente:

Escribir opciones de carga del sistema operativo

Las instrucciones que se muestran en la pantalla

pueden ser diferentes, dependiendo de la

configuración de su equipo.

Cuando reciba el mensaje en el paso e, escriba

/fastdetect y presione después ENTRAR.

9. Escriba exit y, después, presione ENTRAR para

salir de la consola de recuperación. El equipo se

reinicia y se muestra la lista de inicio actualizada

cuando recibe el mensaje "Seleccione el sistema

operativo con el que desea iniciar".

NOTA:

. El comando bootcfg /list lee el archivo Boot.ini y

después muestra el identificador, las opciones de

carga y la ubicación (ruta de acceso) del sistema

operativo. Éste es un ejemplo del mensaje que puede

aparecer:

Total de entradas de la lista de inicio: 2

[1] Microsoft Windows Whistler Professional

Opciones de carga del sistema operativo: /fastdetect

Ubicación del sistema operativo: D:\Windows

[2] Microsoft Windows Whistler Server

Opciones de carga del sistema operativo: /fastdetect

Ubicación del sistema operativo: C:\Windows

OTROS CASOS DE PROBLEMAS CON EL BOOT

MENSAJE : “NTOSKRNL Missing or Corrupt”

Realizar los puntos 4 aL 6 de los pasos para la

solución de problemas del Boot.

Cambiar a la unidad de CD. Típicamente será la D: si

solo tenemos una partición. Cambiar por la letra

correspondiente en otro caso.

cd i386

expand ntkrnlmp.ex_

C:\Windows\System32\ntoskrnl.exe

Atención:

Si Windows XP estuviese instalado en otra localización

distinta de c:\Windows, sustituirla en el comando

anterior.

MENSAJE: “HAL.DLL Missing or Corrupt”

Realizar los puntos 4 aL 6 de los pasos para la

solución de problemas del Boot.

ejecutar:

bootcfg /list nos mostrará la lista en el

boot.ini

bootcfg /rebuild reparará este.

MENSAJE: “Corrupted or Missing

\WINDOWS\SYSTEM32\CONFIG\SYSTEM”

Realizar los puntos 4 aL 6 de los pasos para la

solución de problemas del Boot.

ejecutar:

cd \Windows\system32\config

ren system system.bad

copy \Windows\repair\system

MENSAJE: “Corrupted or Missing

\WINDOWS\SYSTEM32\CONFIG\SOFTWARE”

Realizar los puntos 4 aL 6 de los pasos para la

solución de problemas del Boot.

ejecutar:

cd \Windows\system32\config

ren software software.bad

copy \Windows\repair\software

MENSAJE: “NTLDR or NTDETECT.COM Not Found”

Realizar los puntos 4 aL 6 de los pasos para la

solución de problemas del Boot.

Suponemos que la unidad de cd es la letra D:

(sustituirla en el comando posterior si fuese

diferente):

COPY D:\i386\NTLDR C\:

COPY D:\i386\NTDETECT.COM C:\

RECIBE UN MENSAJE DE ERROR "FALTA NTLDR" CUANDO INICIA

EL EQUIPO

Causa

Este problema puede producirse si la carpeta raíz de MFT

está muy fragmentada. Si la carpeta raíz de MFT contiene

muchos archivos, la MFT puede llegar a fragmentarse tanto

que se cree un índice de asignación adicional. Puesto que

los archivos se asignan alfabéticamente en los índices de

asignación, el archivo NTLDR puede colocarse en el segundo

índice de asignación. Cuando esto ocurre, aparece el

mensaje de error.

Generalmente, los archivos no se escriben en la carpeta

raíz. Esta condición puede producirse si un programa crea y

quita con regularidad archivos temporales de la carpeta

raíz o si se copian demasiados archivos a la carpeta raíz

por error.

Solución

Si tienen su disco de instalación, de xp, copien en un

disquete debidamente formateado, los archivos de a

continuación, estos archivos están en el disco de

instalación o en el OS, xp, estos archivos son: ntdetect,

el ntldr, al disco, luego crean en cualquier editor de

texto mas explícitamente en el bloc de notas, esto

[boot loader]

timeout=10

default=multi(0)disk(0)rdisk(0)partition(1)\windows

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\windows="Microsoft

Windows xp" /fastdetect

C:\="Microsoft Windows xp"

Luego guardan en el di9squete el archivo como boot.ini, de

esta forma inician la PC normalmente, y después ya estando

en Windows, ponen inicio>ejecutar y escriben, ahí esto SFC

/SCANNOW esto para que Windows cheque que estén los

archivos originales del sistema, si por alguna razón no

estuvieran les pedirá el disco de instalación para

restaurarlos. El bcupdate2.exe, repara incluso sectores

archivos dañados.

ERRORES EN EL DISCO DURO CAUSADOS POR DATOS DAÑADOS O DAÑOS

FÍSICOS

Síntomas

Al iniciar o usar el equipo, puede aparecer un mensaje de

error similar a los siguientes:

• Error serio de disco al escribir en la unidad <X>

• Error de datos al leer la unidad <X>

• Error al leer la unidad <X>

• Error de E/S

• Error de búsqueda: no se encuentra el sector

Causa

Estos mensajes de error indican que los datos están dañados

o que el disco duro se ha dañado físicamente.

Solución

Para probar el disco duro, ejecute ScanDisk. Para ejecutar

ScanDisk desde Windows, siga estos pasos:

1. haga click en inicio a continuación click en ejecutar,

escribir chkdsk.

Al ejecutar ScanDisk con la opción Completa seleccionada,

se examina el disco duro para comprobar si presenta algún

daño físico. Si se detectan datos que estén dañados,

ScanDisk le da la opción de guardarlos en un archivo o de

descartarlos. La exploración de superficie de ScanDisk

puede tardar una cantidad considerable de tiempo en discos

duros grandes.

Para ejecutar ScanDisk desde un símbolo del sistema fuera

de Windows, siga estos pasos:

1. Haga clic en el botón Inicio, en Apagar, en

Reiniciar el equipo en modo MS-DOS y, a

continuación, haga clic en Sí.

2. Escriba el comando siguiente en el símbolo

del sistema y presione ENTRAR.

chkdsk <x>: (donde <x> es la letra del disco

duro que desea comprobar.)

3. Cuando ScanDisk finaliza su comprobación

inicial, le solicita que realice una

exploración de superficie en la unidad. Haga

clic en Sí o presione ENTRAR.

CÓMO SOLUCIONAR LOS MENSAJES DE ERROR DE

DESBORDAMIENTO DE PILA INTERNA DE WINDOWS

Resumen

Las pilas son memoria reservada que los programas usan

para procesar sucesos de hardware. Los desbordamientos de

pila se producen cuando no hay suficiente espacio en

memoria para ejecutar las rutinas de interrupción de

hardware. Para resolver estos comportamientos, puede

modificar la línea "STACKS=" del archivo Config.sys,

eliminar los programas TSR (programas residentes en

memoria) y eliminar los conflictos de hardware.

Cuando Windows muestra un mensaje de error relativo a un

desbordamiento de pila interna, se debe a que no hay

suficiente espacio en memoria, ya sea apartada o

disponible, para tratar las llamadas que se realizan al

hardware del sistema. Hay varios aspectos que se deben

tener en cuenta a la hora de solucionar este problema:

1. Es posible que el archivo de inicio Config.sys no

esté configurado correctamente para la instalación de

Windows. Utilice los siguientes valores:

STACKS=64,512 ;(éste es el máximo permitido)

FILES=60

BUFFERS=40

Si utiliza las capacidades de inicio dual de Windows,

es posible que los archivos Config.sys y Autoexec.bat

no contengan la configuración correcta para ejecutar

Windows. Al realizar el inicio dual entre Windows 3.x

y Windows, es posible que no se haya vuelto a cambiar

el nombre de estos archivos a Config.dos y

Autoexec.dos.

Examine el archivo Config.sys para determinar si

archivos como Himem.sys o Emm386.exe se cargan desde

una carpeta que no sea la de Windows. En ese caso,

inicie Windows utilizando la opción Sólo símbolo del

sistema en Modo a prueba de errores. Cambie el nombre

del archivo Config.sys a Config.dos y el del archivo

Autoexec.bat a Autoexec.dos y, a continuación,

reinicie el equipo.

2. Es posible que algunos programas TSR estén

interfiriendo con Windows. Deshabilite cualquier

controlador de dispositivo que no sea de inicio en los

archivos Config.sys y Autoexec.bat. Si instala desde

Windows 3.x y aparece un mensaje de error de

desbordamiento de pila, compruebe los archivos Win.ini

y System.ini para ver si se cargan controladores o

programas que no estén basados en Windows.

3. Es posible que haya una configuración incompatible

de hardware. Compruebe el puerto y la configuración de

IRQ del adaptador de red, la tarjeta de sonido y el

módem. Asegúrese de que no hay conflictos de COM2/COM4

o COM1/COM3 y de que ningún dispositivo comparte la

IRQ. Deshabilite o quite los dispositivos en

conflicto.

4. Puede que el equipo necesite una actualización del

BIOS. Compruebe la versión de BIOS y póngase en

contacto con el fabricante del equipo para obtener

información acerca de una actualización del BIOS.

BLUE SCREEN OF DEATH

DEFINICION:

La llamada Blue Screen of Death o BSoD

(más conocida en español como pantalla

azul de la muerte o «pantallazo azul»),

hace referencia a la pantalla mostrada por

el sistema operativo Windows de Microsoft

cuando no puede (o está en peligro de no

poder) recuperarse de un error de sistema.

Hay dos pantallas de error de Windows referidas como

pantallas azules de la muerte, siendo una de ellas bastante

más seria que la otra.

• Una pantalla azul de la muerte es conocida como un

"Stop Error" o "Error de detención grave" .

• Una pantalla azul de la muerte "real" sucede cuando el

kernel del sistema operativo Windows NT no puede

recuperarse de un error y la única acción que un

usuario puede realizar es reiniciar el sistema

perdiendo todo el trabajo no guardado, el estado de

todos los programas ejecutándose en ese momento y,

posiblemente, poniendo en peligro la integridad del

sistema de archivos.

La información mostrada en la pantalla azul de la muerte no

es, en ningún caso suficiente para determinar cual fue el

mal, incluso para alguien con acceso al código fuente (por

ejemplo, no contiene un volcado de pila y, aunque lo

contuviese, sería bastante trabajo copiarlo a otro sitio,

dado que no se pueden grabar los datos mostrados en la

pantalla azul). La pantalla sólo muestra el punto en el

cual el código falló (que puede ser completamente diferente

del punto donde el error fue originado) y, por ello puede

inducir erróneamente al usuario a pensar que se trata de un

error de hardware o algo similar. Es importante notar que

solo la experiencia de años pueden llegar a dar un atisbo

de luz en una pantalla azul. La ausencia de documentación

es notable, y las sugerencias que da windows (Del estilo

entre al BIOS y deshabilite el Caché L2), en el mejor de

los casos no dañan, ayudando nada en la mayoría de los

otros.

La pantalla azul de la muerte, por lo general, sólo aparece

tras encontrar Windows un error muy grave. Ésta versión de

pantalla azul de la muerte está presente en Windows NT,

Windows 2000, y Windows XP (los dos últimos están basados

en NT).

Una versión menos grave de pantalla azul de la muerte

sucede en los sistemas de escritorio Windows 95, 98, y Me

de Microsoft. En dichos sistemas, la pantalla azul es la

principal vía para que los VxD informen de errores al

usuario. Es referida internamente como

"_VWIN32_FaultPopup". Una pantalla azul de Windows 9x/Me da

al usuario la opción de reiniciar o seguir. De todos modos,

los VxD no muestran pantallas azules a la ligera —

generalmente avisan de un problema que no puede ser

corregido sin reiniciar el sistema. Por ello, tras una

pantalla azul, el sistema se muestra habitualmente muy

inestable o se bloquea. En estos sistemas también se

produce un pantallazo azul al intentar extraer un CD del

dispositivo lector de CD si éste está en uso por parte del

sistema, permitiendo ignorar el error o continuar

normalmente si volvemos a introducir el CD. En los Windows

basados en tecnología NT el aviso por la falta de CD es

menos intrusivo y se limita a un cuadro de diálogo.

El motivo más común por el cual se muestran pantallas

azules, es por problemas entre versiones incompatibles de

DLLs. Esta causa es conocida en ocasiones como el infierno

de las DLL. Windows carga esas DLL en memoria cuando son

necesitadas por los programas. Si esas DLLs son

reemplazadas por otras más recientes (o más antiguas), la

próxima vez que la aplicación cargue la DLL puede

encontrarse con algo distinto a lo que espera. Estas

incompatibilidades aumentan con el paso del tiempo, según

se va instalando más y más software. Ello es uno de las

principales motivos por los cuales un sistema recién

instalado es más estable que uno al que se le han

practicado múltiples instalaciones y desinstalaciones de

programas.

El aspecto por defecto son letras blancas (color CGA 0x0F;

color HTML #FFFFFF) sobre fondo azul (color EGA 0x01; color

HTML #0000AA), con información sobre los valores de la

memoria y de los registros del procesador en el momento del

error. Microsoft, demostrando sentido del humor, ha añadido

una utilidad que permite al usuario cambiar un parámetro en

system.ini que controla los colores que la pantalla azul

emplea a cualquiera de los 16 colores CGA.

El tipo de fuente de todas las pantallas azules previas a

XP es fixedsys, mientras que la pantalla azul de XP usa

Lucida Console. Todas las pantallas son dibujadas a una

resolución de 640x480.

El tipo "suave" de pantalla azul no aparece en Windows NT,

2000 y XP. Cuando suceden errores menos graves, el programa

puede colgarse, pero no se llevará con él a todo el

sistema. Esto es debido a una mejor gestión de memoria y

una menor compatibilidad con aplicaciones antiguas. En los

susodichos sistemas, la "verdadera" pantalla azul es vista

sólo en los casos en que todo el sistema se viene abajo.

Se han visto pantallas azules también en los sistemas

empotrados que ejecutan Microsoft Windows. Ejemplos comunes

son las cabinas telefónicas de acceso a Internet y las

pantallas informativas.

La pantalla azul de la muerte está presente, de una forma u

otra, en todos los sistemas Windows desde Windows 2.0.

Algunas pantallas azules han sido debidas a WinNuke, el

cual ha sido un método muy popular entre los script kiddies

para atacar a otras personas y desconectarlas de Internet o

bloquear sus sistemas. La posibilidad de explotar el fallo

WinNuke sólo aparece en Windows 95. Existe un parche

disponible para corregir dicho fallo. De todos modos, las

pantallas azules que no tienen que ver con WinNuke no están

cubiertas por este parche.

COMO ANALIZAR EL ERROR:

Empecemos desde el más sencillo:

1) Reinicios espontáneos: en Windows XP, estos

reinicios espontáneos suelen ser producidos por tener

marcado "Reiniciar Automáticamente" (es la opción por

defecto). Dicha opción se modifica con botón derecho

sobre Mi PC, propiedades, pestaña de avanzado y botón

de inicio y recuperación.

Un reinicio espontáneo es, o bien porque iba a salir

una pantalla azul, y al estar seleccionada la opción

anterior, en vez de salir, el sistema se reinicia, o

bien por un error hardware que el sistema operativo no

ha podido atrapar. Si es la primera opción,

simplemente debemos configurar para que NO se reinicie

automáticamente y dejar que el sistema atrape el

error. Si a pesar de eso, siguen los reinicios,

implica entonces un error hardware y grave:

normalmente placa madre o CPU y poco más podemos

diagnosticar en este caso.

2) Pantalla azul: en este caso, nos dará en pantalla

un mini-informe del error. Únicamente debemos fijarnos

si en dicho mensaje aparece un *.sys causante del

error. Si no aparece este *.sys, o lo que aparece son

componentes de Windows (ntoskrln, win32k.sys,

esbstor.sys, usbyhci.sys), deberemos analizar el

archivo DMP que se produce.

Si el driver que aparece es un archivo de terceros: ya

tenemos localizado al culpable. La solución será

actualizar dichos drivers, o dicho componente (los

antivirus, si no ha existido cambio de hardware,

suelen ser los primeros candidatos).

Un elevado número de veces no sale ningún .sys o .dll

causante del error. En ese caso, no nos queda más

remedio también que analizar el archivo DMP.

Por desgracia, la utilidad DUMPCHK que viene en las

Support Tools de windows XP / W2003 poco nos sirve

para analizar el error ya que únicamente nos mostrará

lo mismo que nos muestra Windows en la pantalla azul.

Por tanto, si Windows al generar la pantalla azul no

ha sido capaz de mostrarlo, este herramienta no nos

servirá de nada. Más adelante veremos qué herramienta

debemos utilizar para ello.

3) Congelaciones de la pantalla. Es un caso similar al

segundo, tendremos que analizar el DMP. Ahora bien,

¿cómo podemos en este caso hacer que el sistema nos

genere un DMP si el sistema está congelado?

(Este método no se puede aplicar para teclados USB /

BLUETOOTH): Para ello, previamente debemos tener

configurado el registro para que una combinación de

teclas nos provoque el DUMP aunque todo esté

congelado. Por tanto, y es mi consejo que por defecto

lo tengamos configurado, debemos tener una variable en

la clave:

HKEY_LOCAL_MACHINE

System

CurrentControlSet

Services

i8042prt

Parameters

Nombre: CrashOnCtrlScroll

Tipo: DWORD (doble palabra)

Contenido: 1

(y reiniciar la máquina para que esté activo). Con

esto, en cualquier momento, e incluso en caso de

congelación de la pantalla, podremos provocar el DMP,

pulsando la tecla CTRL (derecha) y dos veces

consecutivas la tecla SCROLL BLOCK (bloqueo de

desplazamiento).

VOLCADO DE MEMORIA

(memory dump) es un registro no estructurado del contenido

de la memoria en un momento concreto, generalmente

utilizado para depurar un programa que ha finalizado su

ejecución incorrectamente. Actualmente se refiere a un

archivo que contiene una imagen en memoria de un proceso

determinado, pero originalmente consistía en un listado

impreso de todo el contenido de la memoria.

Un volcado de memoria es toda la memoria utilizada por el

programa instalado escrita a un archivo. El tamaño del

volcado dependerá del programa instalado (es igual al valor

de ws_BaseMemSize en la estructura del Esclavo). Un volcado

de memoria puede ser creado si la DebugKey es presionada

durante la ejecución o luego de un error si el botón

CoreDump es presionado. El nombre del volcado de memoria

creado será ".whdl_memory". La ubicación por defecto es

"PROGDIR:" pero puede ser cambiada con la opción

CoreDumpPath. Cualquier fichero existente con el mismo

nombre siempre será sobrescrito. Si el programa instalado

utiliza Memoria Fast adicional, será salvada bajo el nombre

".whdl_expmem".

TIPOS DE VOLCADO DE MEMORIA

Existen tres tipos de volcado de memoria, los cuales están

activados desde: botón derecho sobre Mi PC, propiedades,

pestaña de avanzado y botón de inicio y recuperación:

1) Minidump (64 KB). Realmente vale para poco y no es

la mejor opción Si la tenemos activada, nos generará

un "minidump" en \windows\minidump

2) Kernel.dmp: opción intermedia: solo se vuelca el

kernel (núcleo) y en la mayoría de los casos es

suficiente para diagnosticar el error. Genera el

archivo MEMORY.DMP en la carpeta Windows.

3) Completo. Para que el DMP completo funcione y no

salga "corrupto", es obligatorio tener el archivo de

paginación en la misma partición en la cual tenemos

Windows. Generará igualmente en ella el archivo

MEMORY.DMP

Muchas veces por motivos de rendimiento movemos el archivo

de paginación a otro disco físico. Si tenemos BSOD del

sistema y deseamos un volcado de memoria completo,

deberemos previamente volver a establecer el archivo de

paginación en la unidad de Windows. Igualmente debemos

recordar que en este caso, debemos tener espacio en disco

igual a la memoria física de la máquina ya que ese será el

tamaño del archivo DMP creado.

COMO ANALIZAR EL ERROR

El software necesario para el análisis del error es:

WINDBG (lo podemos encontrar en la siguiente dirección

:“http://www.microsoft.com/whdc/devtools/debugging/installx

86.mspx”)

ANALISIS DE LOS ARCHIVOS

Este es un "casque" real en un W2003 Server que está

actuando como Controlador de Dominio. Estaba seleccionada

la opción de "kernel dump". En la pantalla azul únicamente

informó de MULTIPLE_IRP_COMPLETE_REQUESTS, sin dar mas

información sobre el módulo causante del fallo.

Lo primero que debemos fijarnos en un DUMP es si en las

líneas de cabecera cabecera nos indica si está "corrupto".

Si lo estuviese, no nos vale para nada.

NOTA 1: Un dump puede estar corrupto, si tenemos la opción

de DUMP completo de memoria y el fichero de paginación

reside en otra unidad física. En ese caso, deberemos

esperar a repetir el error una vez hayamos puesto el

fichero de paginación en la misma unidad que Windows.

Resultado del analizador: (es conveniente leer todos, ya

que nos va indicando versión del sistema operativo, parches

instalados, etc...) Y sobre todo la parte final:

===========================================================

Microsoft (R) Windows Debugger Versión 6.4.0007.2

Loading Dump File [\\ka000SRV\d$\WINDOWS\MEMORY.DMP]

Kernel Summary Dump File: Only kernel address space is

available

Symbol search path is:

SRV*c:\websymbols*http://msdl.microsoft.com/download/symbol

Executable search path is:

Windows Server 2003 Kernel Versión 3790 (Service Pack 1) MP

(4 procs) Free x86 compatible

Product: LanManNt, suite: TerminalServer SingleUserTS

Built by: 3790.srv03_sp1_rtm.050324-1447

Kernel base = 0x80800000 PsLoadedModuleList = 0x808af988

Debug session time: Thu May 19 19:32:53.800 2005 (GMT+2)

System Uptime: 0 days 0:05:14.483

Loading Kernel Symbols

...........................................................

Loading unloaded module list

Loading User Symbols

PEB is paged out (Peb.Ldr = 7ffd800c). Type ".hh dbgerr001"

for details

***********************************************************

********************

* *

* Bugcheck Analysis *

* *

***********************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 44, {87e5a490, d75, 0, 0}