Tutoriel WhoCrashed : analyse des écran bleus / BSOD

WhoCrashed est un utilitaire qui permet d’extraire et analyser les journaux minidump.
WhoCrashed peut donc fournir des informations précieuses lors de plantage BSOD pour déterminer la source du problème (logiciel ou matériel).

L’utilisation de WhoCrashed n’est pas très compliquée, voici un tutoriel qui vous guide pour générer un rapport.

Introduction à WhoCrashed

Pour télécharger télécharger WhoCrashed, suivez ce lien : Télécharger WhoCrashed

  • Lancez l’installation et laissez-vous guider
  • Une icône est ensuite ajoutée dans la liste des programmes afin de pouvoir démarrer WhoCrashed
  • Lancez WhoCrashed

WhoCrashed se présente avec une fenêtre et des icônes Analyse, Options, Stay on top.
Vous avez aussi des onglets :

  • Report : rapports d’analyses
  • Dump Files : liste les journaux minidump
  • Local Drives : liste les fichiers DLL et drivers chargés.

Tutoriel WhoCrashed : analyse des écran bleus / BSOD

Dump Files avec la liste des minidump et les vérifications de bugs :

Tutoriel WhoCrashed : analyse des écran bleus / BSOD

 

L’onglet Local Drives avec les pilotes et DLL en mémoire :Tutoriel WhoCrashed : analyse des écran bleus / BSOD

Utilisation de Whocrashed

Cliquez le bouton Analyse, Whocrash charge les journaux minidump et présente un rapport dans la partie Report.
La partie intéressante d’analyse des crash BSOD se trouvent dans « Crash Dump Analysis« .
Ainsi, ci-dessous, un exemple de plantage BSOD.

Tutoriel WhoCrashed : analyse des écran bleus / BSOD

Analyse des rapports

Il est conseillé de lire la page BSOD : les écrans de plantages de Windows afin de bien comprendre ce qu’est un plantage BSOD.
Les analyses WhoCrashed se présentent toujours de la même manière avec la date du plantage et le fichier minidump concerné.
Se trouve ensuite l’erreur de plantage et éventuellement, le pilotes concernées par le plantage si c’est un plantage de type Logiciel.
Enfin une decription du bug est retourné qui peut indiquer s’il s’agit d’un plantage logiciel ou matériel.

On Wed 15/03/2017 00:06:16 your computer crashed
crash dump file: C:\Windows\Minidump\031517-31531-01.dmp
This was probably caused by the following module: rspcrash64.sys (rspCrash64+0x108B) 
Bugcheck code: 0xDEADDEAD (0x0, 0x0, 0x198422BB, 0x3C2A58ED)
Error: MANUALLY_INITIATED_CRASH1
file path: C:\Windows\system32\drivers\rspcrash64.sys
product: WhoCrashed
company: Resplendence Software Projects Sp.
description: Resplendence WhoCrashed Crash Dump Test
Bug check description: This indicates that the user deliberately initiated a crash dump from either the kernel debugger or the keyboard.
This bug check belongs to the crash dump test that you have performed with WhoCrashed or other software. It means that a crash dump file was properly written out.

Exemple d’un plantage lié à un problème matériel « This is likely to be caused by a hardware problem problem » :
On Fri 10/02/2017 06:50:16 your computer crashed
crash dump file: C:\WINDOWS\Minidump\021017-38562-01.dmp
This was probably caused by the following module: ntoskrnl.exe (nt+0x14A6F0)
Bugcheck code: 0x12B (0xFFFFFFFFC00002C4, 0x6B0, 0x2A1E3F20, 0xFFFFE181C4BEA000)
Error: FAULTY_HARDWARE_CORRUPTED_PAGE
file path: C:\WINDOWS\system32\ntoskrnl.exe
product: Microsoft® Windows® Operating System
company: Microsoft Corporation
description: NT Kernel & System
Bug check description: This bug check indicates that a single-bit error was found in this page. This is a hardware memory error.
This is likely to be caused by a hardware problem problem. This error suggests a case of memory corruption because of a hardware problem. It is suggested you do a test on your RAM modules (memory test).
The crash took place in the Windows kernel. Possibly this problem is caused by another driver that cannot be identified at this time.

et ci-dessous un pilote matériel ou logiciel pouvant être à l’origine des plantages Windows « This appears to be a typical software driver bug and is not likely to be caused by a hardware problem » :
On Sat 04/03/2017 21:22:10 GMT your computer crashed
crash dump file: C:\WINDOWS\Minidump\030417-27734-01.dmp
This was probably caused by the following module: ntoskrnl.exe (nt+0x14A6F0)
Bugcheck code: 0x4E (0x2, 0x93F75, 0x42EFFF, 0x8000)
Error: PFN_LIST_CORRUPT
file path: C:\WINDOWS\system32\ntoskrnl.exe
product: Microsoft® Windows® Operating System
company: Microsoft Corporation
description: NT Kernel & System
Bug check description: This indicates that the page frame number (PFN) list is corrupted.
This appears to be a typical software driver bug and is not likely to be caused by a hardware problem. This might be a case of memory corruption. More often memory corruption happens because of software errors in buggy drivers, not because of faulty RAM modules.
The crash took place in the Windows kernel. Possibly this problem is caused by another driver that cannot be identified at this time.

export des rapports

Il est possible d’exporter le rapport à partir du menu Files puis Export.
Le format du rapport est en HTML, ce qui n’set pas très pratique à transmettre à un tiers.

Tutoriel WhoCrashed : analyse des écran bleus / BSOD

Il est aussi possible de sélectionner tout le texte, par un clic droit puis sélectionner tout ou en raccourci clavier : CTRL+A
Puis clic droit et copier ou sur le clavier CTRL+C
Vous pouvez ensuite coller pour partager l’analyse WhoCrashed.

Tutoriel WhoCrashed : analyse des écran bleus / BSOD

Minidump vide

Si WhoCrashed ne trouve pas de fichier journal minidump aucune analyse ne pourra être effectuée et vous n’obtiendrez aucune information sur l’origine des plantages BSOD.
Les fichiers minidump sont créés lors du plantage.
Pour que la création puisse être faites, il faut que la configuration de Windows remplisse certaines conditions.

La création de journaux doit être activée.
Pour activer les minidump :

  • Allez dans le Panneau de Configuration puis Système.
  • A gauche, cliquez sur « Paramètres du système avancé ».
  • Dans la partie « Démarrage et récupération », cliquez sur Paramètres
  • Réglez le menu déroulant écriture des informations de débogage sur Image de mémoire partielle.

Le fichier pagefile.sys doit aussi être activé, c’est en général, le cas : pagefile.sys et mémoire virtuelle de Windows
Il doit être assez volumineux pour accueillir les informations de vidage de mémoire.
Si vous avez configuré le pagefile.sys sur une taille fixe, paramétrez pour que Windows laisse gérer sa taille.

Enfin, vous devez avoir assez d’espace disque sur la partition C de Windows pour une augmentation d’espace disque alloué pour ces vidages mémoires.
Au minimum 2Go de RAM.

Enfin, notez que les logiciels de nettoyage dont t CCleaner peuvent supprimer ces minidump.
De ce fait, aucun rapport ne sera disponible pour analyse de Whocrashed.

Liens autour des écrans bleus et BSOD

La page plantage BSOD énumère les divers types de plantages BSOD.
Vous y trouverez des informations qui peuvent vous aider à résoudre ces écrans bleus de plantage Windows.

Le vérificateur de pilotes de Windows permet de détecter les pilotes défectueux qui peuvent causer des BSOD : vérifier les pilotes défectueux de Windows qui peuvent causer des BSOD

Print Friendly, PDF & Email
(Visité 1 274 fois, 10 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet