Analyse af bootlogfiler såsom Ntbtlog.txt for at fejlfinde Windows-opstartsfejl

Når Windows nægter at starte og sidder fast på en sort skærm, en genstartsløkke eller en blå skærmDen normale reaktion er panik. Men ud over de typiske automatiserede værktøjer er der en meget effektiv ressource til at forstå, hvad der sker: boot-logfiler eller Boot-loggeisær den velkendte Ntbtlog.txt.

Disse logfiler beskriver, hvilke drivere og komponenter der indlæses (eller ikke indlæses) under systemstart.og kombineret med andre værktøjer såsom Startup Repair, BOOTREC, DISM eller selve Windows-registreringsdatabasen, giver dig mulighed for at angribe roden til mange opstartsproblemer, både i computere med klassisk BIOS og i moderne systemer med UEFI (opstartsproces i UEFI).

Hvordan fungerer Windows-opstart, og på hvilket tidspunkt opstår fejlen?

Før du begynder at gennemgå Ntbtlog.txt at indsætte kommandoer i konsollenDet er vigtigt at forstå, hvordan Windows-opstartsprocessen er organiseret, og hvilke komponenter der aktiveres i hvert trin. Dette giver dig mulighed for at afgøre, om fejlen opstår meget tidligt (firmware/BIOS), i opstartshåndteringen, i operativsystemets indlæser, eller hvornår Windows-kernen træder i kraft.

Generelt set er opstartscyklussen for et moderne Windows-system opdelt i fire hovedfaser Disse forekommer i både ældre BIOS-maskiner og UEFI-firmwaresystemer, selvom de involverede filer og stierne ændrer sig en smule:

• Fase 1 – Før opstartFirmwaren (BIOS eller UEFI) udfører POST (Power-On Self Test), initialiserer den grundlæggende hardware og finder en gyldig systemdisk. I BIOS-maskiner læses MBR/PBR; i UEFI indlæses firmwaren, og der søges efter Windows Boot Manager EFI-applikationen.
• Fase 2 – Windows Boot ManagerDet er her, boot manageren kommer i spil, som leder efter bootkonfigurationen og bestemmer, hvilket system der skal startes.
• Fase 3 – Windows OS-indlæser: systemopladeren (winload.exe o winload.efi) indlæser kernen og drivere, der er markeret til at blive indlæst ved opstart.
• Fase 4 – Windows NT-kernen: kernen (ntoskrnl.exe) tager kontrol, monterer systemregistreringsdatabasens hive, indlæser driverne BOOT_START og systemsessionen starter (Smss.exe), som igen starter resten af ​​tjenesterne og controllerne.

Hvert af disse stadier har ret karakteristiske symptomer og fejlmeddelelser.fra den typiske "Bootmgr mangler" til fejl som INACCESSIBLE_BOOT_DEVICE eller blå skærme lige efter Windows-logoet, og derfor diagnosticeres og repareres med forskellige værktøjer.

Målet ved diagnosticering af en startfejl er at "fange" på hvilket punkt i denne kæde processen bryder sammen.Derfra kan vi beslutte, om det giver mening at se på boot-logfilen, SrtTrail.txt fra opstartsreparationen, hukommelsesdumps, registreringsdatabasen eller fokusere på boot-koderne (MBR, BCD, Bootmgr osv.).

BIOS- eller firmwarefejl: hvordan man opdager dem

Hvis computeren ikke engang viser Windows-logoet Hvis den sidder fast på en sort skærm uden tydelige meddelelser, eller ikke engang tænder korrekt, ligger problemet normalt i selve firmwaren eller i den grundlæggende hardware.

Der er et par meget enkle kontroller for at afgøre, om systemet har bestået BIOS-fasen. eller den sidder fast der:

1. Frakobl alle eksterne enheder (USB, eksterne harddiske, printere…). Nogle gange forsøger firmwaren at boote fra en flytbar enhed og sidder fast.
2. Observer harddiskens aktivitets-LEDHvis den slet ikke blinker under opstart, når processen muligvis ikke det punkt, hvor boot-sektoren læses.
3. Prøv at trykke på Num Lock-tasten.Hvis tastaturindikatoren ikke ændrer sig, indikerer det normalt, at systemet er helt fastfrosset på firmware- eller bundkortniveau.

Når frysningen er på dette tidlige stadie, skyldes det normalt en hardwarefejl. (hukommelse, bundkort, strømforsyning, defekt harddisk…) og ikke så meget i tilfælde af et problem med bootfilen, så i disse tilfælde er analysen af Ntbtlog.txt og lignende ting bliver ikke engang genereret.

Fejl i boot manager og loader (MBR, BCD, Bootmgr)

Hvis maskinen tændes, vises producentens logo, og derefter ser du en sort skærm med en blinkende markør. Hvis du modtager meddelelser som "Operativsystem mangler", "Bootmgr mangler" eller BCD-relaterede fejl, er problemet allerede i opstartsstyringsfasen (Boot Manager / Boot Loader).

Nogle typiske budskaber fra denne fase gør det ret tydeligt, hvordan situationen er.:

• Boot Configuration Data (BCD) missing or corrupted
• Boot file or MBR corrupted
• Operating system missing
• Boot sector missing or corrupted
• Bootmgr missing or corrupted
• Unable to boot due to system hive missing or corrupted

På nuværende tidspunkt er den mest effektive fremgangsmåde at starte fra et eksternt Windows-installationsmedie. (USB/DVD oprettet med Microsoft-værktøjet eller en ISO af samme eller nyere version) og åbn en kommandoprompt ved hjælp af kombinationen Shift+F10 eller via de avancerede gendannelsesindstillinger.

Brug af Startup Repair-værktøjet

Windows Startup Repair-værktøjet er den første mulighed, du bør prøve.fordi den automatiserer mange kontroller: den kontrollerer integriteten af ​​boot-filerne, forsøger at reparere BCD'en, reparerer beskadigede boot-sektorer og genererer sin egen log over, hvad den har gjort.

Brugerflowet er meget simpelt. når du starter fra installationsmediet for den samme version af Windows, som du har installeret:

1. Start din computer fra Windows-installations-USB'en/dvd'en, og klik på i det første vindue. Næste > Reparér udstyret.
2. På valgskærmen skal du indtaste fejlfinding.
3. Adgang til Avancerede indstillinger > Opstartsreparation og lad værktøjet analysere systemet.
4. Når det er færdigt, skal du lukke ned ved hjælp af selve guiden og prøve at starte normalt.

Alt, hvad dette værktøj gør, registreres i filen SrtTrail.txt, beliggende i %windir%\System32\LogFiles\Srt\Srttrail.txtSelvom det ikke er en bootlog i stil med Ntbtlog.txtJa, det er nyttigt at forstå, hvad den har registreret, og hvilke handlinger den har forsøgt at anvende.

Reparer MBR og bootsektor med BOOTREC

Hvis Startup Repair ikke løser problemet, er det næste klassiske trin at bruge værktøjet BOOTREC (se BOOTREC-guide) Fra kommandoprompten i gendannelsesmiljøet. Dette værktøj giver dig mulighed for at omskrive MBR, genopbygge bootsektoren og regenerere BCD-databasen.

Grundlæggende kommandoer til håndtering af typiske MBR- og bootsektorproblemer De er som følger:

• Omskriv MBR'en (meget nyttigt, hvis et andet system eller et tredjepartsværktøj har overskrevet det):
  bootrec /fixmbr
• Reparer boot-sektoren på systempartitionen:
  bootrec /fixboot

I nogle scenarier (især i UEFI-systemer med EFI-partitionering i FAT32) Den frygtede "Adgang nægtet"-meddelelse kan vises, når du kører /fixbootI disse tilfælde skal du kontrollere, at systempartitionen er korrekt tildelt et drevbogstav, og nogle gange markere den som aktiv eller manuelt reparere bootfilerne ved at kopiere dem. bootmgr og indholdet af \EFI\Microsoft\Boot.

Ret BCD-lagerfejl

Når BCD'en er korrupt eller peger på ikke-eksisterende faciliteterDu vil se mere specifikke fejl om "Boot Configuration Data". Her arbejder BOOTREC og BCDEDIT sammen (se diagnose med BCDEDIT).

En typisk procedure til regenerering af BCD'en fra bunden er det:

1. Scan efter detekterbare Windows-installationer:
   bootrec /scanos
2. Hvis den stadig ikke starter efter scanningen, skal du sikkerhedskopiere BCD'en og genopbygge den:
   bcdedit /export C:\bcdbackup
attrib C:\boot\bcd -r -s -h
ren C:\boot\bcd bcd.old
bootrec /rebuildbcd
3. Når du bliver spurgt, om du vil tilføje den fundne installation til opstartslisten, skal du svare ja.

I nogle tilfælde vises en fejlmeddelelse med teksten "Den ønskede systemenhed kunne ikke findes". Når du prøver at tilføje installationen, er det her, du skal tjekke med diskpart at systempartitionen er korrekt markeret, har et tildelt bogstav og ikke er beskadiget.

Erstat Bootmgr-filen

Hvis fejlene efter flere forsøg peger direkte på bootmgr HæmmedeDu kan vælge at omdøbe den defekte kopi og placere en ny fra den systemreserverede partition eller fra installationsmediet.

Den generelle idé er at lade den gamle være. bootmgr sikker og kopier en fungerende til den partition, hvor systemet befinder sig:

1. Identificér den systemreserverede partition (normalt uden et bogstav, i FAT32 eller NTFS, omkring 100 MB i moderne Windows) og tildel den et bogstav med diskpart om nødvendigt.
2. I den partition skal du liste skjulte filer og systemfiler med:
   attrib -r -s -h
3. Gør det samme på systemdrevet (f.eks. C:) for at se bootmgr eksisterende.
4. Ændr navnet på bootmgr beskadiget, for eksempel:
   ren C:\bootmgr bootmgr.old
5. Kopier bootmgr "sund" fra den systemreserverede partition til roden af ​​Windows-drevet.
6. Genstart og tjek om den starter.

Gendan systemregistreringsundertræet

Når fejl indikerer, at systemhive ikke kan indlæses ("systemhive mangler eller er beskadiget"), skifter problemet fra et rent opstartsrelateret problem til et problem i registreringsdatabasen. I disse tilfælde er det normalt nødvendigt at gendanne undertræerne i registreringsdatabasen fra en gyldig sikkerhedskopi (du kan se teknikker til Forbedr registreringsdatabasen med RegScanner).

Fra WinRE-gendannelsesmiljøet eller en ERD-reparationsdisk Du kan kopiere indholdet af C:\Windows\System32\config\RegBack a C:\Windows\System32\configoverskriver de beskadigede filer (SYSTEM, SOFTWARE osv.). Hvis den stadig ikke starter, skal du gendanne en fuld systembackup og derefter kun gendanne de nødvendige hives.

Kernefase: blå skærme, loops og nedbrud efter logoet

Hvis du allerede ser Windows-logoet, selv det roterende "hjul"-ikon med prikkerMen hvis der pludselig vises en blå skærm, den fryser, eller der blot vises en sort skærm, ligger problemet højst sandsynligt i kernefasen eller i de drivere, der er indlæst på det tidspunkt.

Nogle typiske symptomer på fiasko i denne fase er velkendte:

• Stopkode lige efter velkomstskærmen (f.eks. 0x00000C2, 0x0000007BOsv.).
• Fejl af INACCESSIBLE_BOOT_DEVICE, med stop-identifikatoren 0x7B, hvilket antyder problemer med adgang til bootdisken.
• Det roterende prikhjul forbliver i "optaget system" på ubestemt tid.
• Skærmen bliver sort efter at Windows-logoet vises, uden nogen meddelelser.

I disse situationer er genopretningsmulighederne baseret på at starte på en begrænset måde og derefter diagnosticere ved hjælp af værktøjer som Logbog, opstartslogfiler, hukommelsesdumps og selve registreringsdatabasen.

Prøv fejlsikret tilstand og sidst kendte fungerende konfiguration

Sikker tilstand forbliver en klassiker, fordi den kun indlæser det absolut nødvendige. så Windows starter op og udelader en stor del af de tredjepartsdrivere og -tjenester, der kan forårsage problemet.

Fra de avancerede opstartsindstillinger Du kan prøve:

• Sikker tilstand
• Fejlsikret tilstand med netværk
• Sidst kendte vellykkede konfiguration (hvis tilgængelig i din version)

Hvis holdet formår at komme i gang i en af ​​disse variationerNoget af det første, der anbefales, er at åbne Begivenhedsfremviser og gennemgå system- og applikationslogfiler omkring det tidspunkt, hvor symptomerne startede, og kopier relevante hændelser til analyse af ro.

En ren start til at finde modstridende tjenester og drivere

Når problemet peger på en tredjepartstjeneste eller -controller (antivirus, backup-software, specielle lagerdrivere osv.), er det meget nyttigt at udføre en "ren opstart" med værktøjet msconfig.

I Systemindstillinger kan du vælge "Selektiv opstart" og deaktiver gradvist ikke-kritiske tjenester, især dem, der ikke er fra Microsoft, indtil du finder den, der udløser opstartsfejlen. Når den er fundet, kan du permanent deaktivere den og vende tilbage til en "normal opstart".

Hvis problemet ligger i driversignering (især i x64-systemer med Secure Boot eller signaturkrav)En anden måde er at starte med indstillingen "Deaktiver obligatorisk brug af signerede drivere" og analysere, hvilken driver der kræver en signatur eller forårsager en konflikt, idet du følger retningslinjerne i Microsofts specifikke artikler om denne type problem.

INACCESSIBLE_BOOT_DEVICE-fejl (STOP 0x7B)

Fejlen INACCESSIBLE_BOOT_DEVICE Det er en af ​​de mest frygtede fordi det antyder, at Windows ikke kan få adgang til det drev, som det skal starte fra: utilstrækkelige lagerdrivere, tredjepartsfiltre, ændringer i SATA/RAID-controllertilstanden i BIOS osv.

En avanceret metode til at håndtere denne fejl involverer filtrering af tredjepartsdrivere i registreringsdatabasen. fra gendannelsesmiljøet:

1. Start op i WinRE med en ISO-fil af den samme Windows-version eller en nyere.
2. Åbn Registreringseditoren, og indlæs systemhive'en, f.eks. ved at give den et midlertidigt navn prøve.
3. Gå til nøglen:
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class
4. Find poster UpperFilters y LowerFilters der henviser til drivere, der ikke er fra Microsoft.
5. For hver mistænkelig driver skal du fjerne indholdet af den tilsvarende filterværdi.
6. Se efter andre lignende forekomster i bistadet, modificer dem omhyggeligt, og tøm bistadet, når du er færdig.
7. Genstart systemet i normal tilstand, og kontroller, om fejlen 0x7B er forsvundet.

Hvis problemet startede lige efter installation af Windows-opdateringerDet kan være nødvendigt at fjerne ventende pakker eller fortryde opdateringshandlinger med DISM, ændring af værdier i registreringsdatabasen (for eksempel tjenesten TrustedInstaller) og endda omdøbning af filer som pending.xml en WinSxS at fjerne blokeringen af ​​processen.

Aktivér bootlogning i Windows

På dette tidspunkt kommer artiklens hovedperson i spil: arkivet Ntbtlog.txtDenne fil er den klassiske Windows-opstartslog; den registrerer de drivere og komponenter, der indlæses (eller fejler) under opstart, så du f.eks. kan opdage, hvilken specifik driver der forhindrer systemet i at starte.

BootLog er ikke aktiveret som standardMen aktivering er meget simpelt, og du kan gøre det på to hovedmåder: via boot.ini i ældre systemer eller med bcdedit I moderne versioner som Windows 10 og nyere er det meget nyttigt at kombinere det med teknikker til analyser med BootTrace.

Aktivér BootLog på boot.ini-baserede systemer (Windows XP og lignende)

På ældre computere er bootkonfigurationsfilen boot.ini, som er placeret i roden af ​​det drev, hvor Windows er installeret (normalt C:) og er markeret som en skjult systemfil.

For at redigere den skal du først vise de beskyttede systemfiler. Fra mappeindstillingerne skal du finde boot.ini og åbn den med Notesblok. Der vil du se en linje der ligner denne (dog med andre parametre):

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=»Microsoft Windows XP Professional» /noexecute=optin /fastdetect

For at aktivere boot logging skal du blot tilføje modifikatoren /BOOTLOG i slutningen af ​​den linjeresulterer i noget i retning af:

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=»Microsoft Windows XP Professional» /noexecute=optin /fastdetect /BOOTLOG

Når filen er gemt, begynder systemet at generere boot-posten ved hver opstart.Derudover kan logføring i nødsituationer aktiveres individuelt fra den avancerede opstartsmenu: ved at trykke på F8 lige før Windows starter og vælge indstillingen "Aktiver opstartslogføring".

Den genererede fil kaldes altid Ntbtlog.txt og den er gemt i Windows-mappen, normalt i C:\Windows, klar til at åbne med Notesblok og kontrollere hvilke drivere der er indlæst korrekt, og hvilke der ikke er.

Aktivér og deaktiver BootLog med BCDEDIT i Windows 10 og nyere

I moderne systemer, der bruger BCD (Windows Vista og nyere, inklusive Windows 10)Bootkonfigurationen administreres ikke længere med boot.inimen med bootkonfigurationsdatalageret og værktøjet bcdedit.

Sådan aktiverer du bootlogning på et bestemt system Du skal kende identifikatoren (ID) for den pågældende indlæser i BCD'en. Dette fås ved at køre følgende kommando i en kommandoprompt med administratorrettigheder:

bcdedit

I blokken "Windows Boot Loader" vil du se en linje kaldet "Identifier" (Identifikator). hvilket kunne være noget i retning af {current} eller et andet GUID. Ved at bruge dette ID kan du aktivere BootLog på denne måde:

bcdedit /set {ID} bootlog Yes

For at deaktivere den skal du blot ændre værdien til "Nej".:

bcdedit /set {ID} bootlog No

Efter næste genstart, hvis logføring er aktiveret, vil Windows generere filen. Ntbtlog.txt på den angivne rute med alle nødvendige oplysninger om de controllere og moduler, der er involveret i opstarten, hvilket er yderst nyttigt til at diagnosticere lunefulde fejl.

Fortolkning af Ntbtlog.txt og andre opstartslogfiler

Selvom ved første øjekast Ntbtlog.txt Det kan ligne en simpel liste over linjerNøglen er at forstå, hvilket mønster vi leder efter. I denne fil vil du se poster, der angiver, at en controller er blevet indlæst eller sprunget over.

Tricket er at finde drivere, der fejler lige før nedbruddet eller genstarten sker....eller dem, der tydeligvis ikke tilhører Microsoft og kan forårsage konflikter (antivirusdrivere, diskkryptering, backupløsninger osv.). Kombination af disse oplysninger med Logbog-hændelser og, hvis tilgængelige, hukommelsesdumps kan i høj grad indsnævre problemet.

I mange tilfælde peger hukommelsesdumps eksplicit på en specifik driverfil. (f.eks. \Windows\System32\drivers\stcvsm.sys (mangler eller er beskadiget). De generelle anbefalinger i denne type tilfælde er:

• Gennemgå, hvilken funktionalitet controlleren tilbyder, og om den er kritisk for opstart.
• Hvis det er en ikke-essentiel tredjepartsdriver, skal du deaktivere den ved at indlæse systemhive'en i registreringsdatabasen fra WinRE.
• Kør systemfilkontrol (sfc) i offlinetilstand, hvis der er mistanke om beskadigelse af systemfiler.
• Hvis der er mistanke om udbredt korruption i registreringsdatabasen eller nylig installation af flere drivere/tjenester, skal du omdøbe de gamle hives (tilføj .old til navnene i C:\Windows\System32\configog gendanne sikkerhedskopier af RegBackog derefter forsøge en normal start.

Nogle gange, især efter en større Windows-opdatering, opstår problemet ved reparation med DISM Det stammer fra den originale billedversionHvis den ISO, der bruges til gendannelse, ikke stemmer nøje overens med den installerede version, DISM Den returnerer fejlen 0x800f081f (“Kildefilerne kunne ikke findes”). I disse tilfælde anbefales det at tjekke med dism /get-wiminfo den nøjagtige version af billedet (install.wim o install.esd) og find en ISO, der rent faktisk svarer til build'et af det system, der skal repareres.

Kort sagt, bootregistre som Ntbtlog.txt, Startup Repair SrtTrail, hukommelsesdumps og logfiler for DISM y SFC De danner et informationsøkosystem Dette værktøj giver dig mulighed for at rekonstruere, hvad der sker under hver opstart: hvilke indlæsninger, hvad der springes over, hvad der bliver beskadiget, og hvilke ændringer (drivere, opdateringer, antivirussoftware eller forskellige værktøjer) har ødelagt processen. Ved at kombinere disse værktøjer med MBR, BCD, Bootmgr, RegBack og reparationsteknikker til ren opstart er chancerne for at gendanne et Windows-system, der ikke vil starte uden en komplet geninstallation, meget højere, end de måske umiddelbart ser ud til.

relateret artikel:

Boot Trace i Windows 11: En komplet guide til analyse af opstartsprocesser

Isaac

Passioneret forfatter om bytes-verdenen og teknologien generelt. Jeg elsker at dele min viden gennem skrivning, og det er det, jeg vil gøre i denne blog, vise dig alle de mest interessante ting om gadgets, software, hardware, teknologiske trends og mere. Mit mål er at hjælpe dig med at navigere i den digitale verden på en enkel og underholdende måde.