WinDbg : PEB is paged out

[webrider]

Bonjour tout le monde.

Suite à un problème de BSOD sous Windows 7 (aussi bien en mode normal que sans échec) j'ai décidé d'analyser le memory dump grâce à WinDbg sur une autre machine saine.

Mais voilà, le débogeur ne va pas très loin puisque j'ai le message suivant et puis plus rien :

Citation:

Microsoft (R) Windows Debugger Version 6.12.0002.633 AMD64
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [D:\MEMORY.DMP]
Kernel Summary Dump File: Only kernel address space is available

Symbol search path is: SRV*C:\symbols*http://msdl.microsoft.com/download/symbols;C:\symbols
Executable search path is:
Windows 7 Kernel Version 7600 MP (2 procs) Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS Personal
Built by: 7600.16792.x86fre.win7_gdr.110408-1633
Machine Name:
Kernel base = 0x81a3e000 PsLoadedModuleList = 0x81b86810
Debug session time: Fri Jun 24 10:32:13.514 2011 (UTC + 2:00)
System Uptime: 0 days 0:00:40.326
Loading Kernel Symbols
...............................................................
...............................................................
Loading User Symbols
PEB is paged out (Peb.Ldr = 7ffd400c). Type ".hh dbgerr001" for details
Loading unloaded module list
...

J'ai consulté l'aide qui me définit bien la raison de l'erreur mais aucune piste pour m'aider.

Quelqu'un sait comment faire ?

Merci d'avance,

webrider

[Neitsa]

Bonjour,

comme l'indique l'erreur 'PEB is paged out" signifie que le PEB (Process Environment Block) a été mis en page, c'est à dire qu'il se trouve le disque et donc qu'il n'est plus en RAM.

c'est normal pour un dump partiel (kernel-only). Comme le PEB est une structure en mémoire utilisateur (c'est à dire non kernel) le dump ne contient pas d'éléments user-land qui permettent de retrouver l'image et les symboles appartenant au processus fautif.

Pour une analyse de BSOD c'est rarement handicapant puisque la stack trace en kernel (commande kv) devrait t'aiguiller sur l'API fautive et que de toute façon le problème est uniquement au niveau du kernel.

[webrider]

Merci Neitsa,

Dans mon cas il s'agit d'un dump complet qui pèse environ 192MB.

J'analyse le dump d'un Windows XP avec Windbg installé sur une machine équipée de Windows 7 x64. Est-ce que ce serait dû à ça ? Sinon je ne vois pas trop pourquoi le dump serait déchargé sur le HDD ?

Merci,

webrider

[Neitsa]

Hello,

Citation:

Envoyé par webrider

Merci Neitsa,

Dans mon cas il s'agit d'un dump complet qui pèse environ 192MB.

C'est donc probablement un dump kernel-only avec seulement les pages critiques du kernel dans le dump.

Avec les systèmes 32 bits tu peux demander un "full dump" (cf. options dans le panneau de control "système"). Avec les systèmes 64 bits les "full-dump" (dump complet mémoire utilisateur + mémoire kernel) ne sont plus accessibles par défaut (il faut bidouiller la base de registre pour ça). Ceci dit, c'est normal sinon ça fait des dumps de + de 4Go sur le disque ce qui reste énorme même pour un dump (et de toute façon, inutile).

Citation:

J'analyse le dump d'un Windows XP avec Windbg installé sur une machine équipée de Windows 7 x64. Est-ce que ce serait dû à ça ?

Non, c'est probablement dû au type de dump.

Citation:

Sinon je ne vois pas trop pourquoi le dump serait déchargé sur le HDD ?

Non, ça n'est pas le dump qui est pagé, mais le PEB. Lorsque tu fais un dump kernel-only, le PEB n'est pas pris en compte parce qu'il est probablement pagé (sur disque), parce que c'est une structure en user-mode (ring3), qui n'est pas importante dans le cadre d'un dump kernel (ring0).

Si tu veux aussi le PEB, il faut demander un full dump (dump mémoire complet). Comme expliqué précédemment, le PEB n'est pas vraiment utile pour un BSOD (aka "BugCheck") , puisque l'erreur est de toute façon circonscrite au kernel (ça peut l'être pour les process critiques type "lsass", etc.).