Аналіз файлів журналу завантаження, таких як Ntbtlog.txt, для усунення несправностей запуску Windows

Коли Windows відмовляється завантажуватися та зависає на чорному екрані, циклі перезавантаження або синьому екраніНормальною реакцією є паніка. Але окрім типових автоматизованих інструментів, існує дуже потужний ресурс для розуміння того, що відбувається: файли журналу завантаження або Журнали завантаженняособливо відомий Ntbtlog.txt.

У цих журналах детально описано, які драйвери та компоненти завантажуються (або не завантажуються) під час запуску системи., а також у поєднанні з іншими утилітами, такими як «Відновлення запуску», BOOTREC, DISM або сам реєстр Windows, дозволяють атакувати корінь багатьох проблем із завантаженням, як на комп'ютерах із класичним BIOS, так і в сучасних системах з UEFI (процес завантаження в UEFI).

Як працює завантаження Windows і на якому етапі виникає збій?

Перш ніж почати перегляд Ntbtlog.txt вставляти команди в консольВажливо розуміти, як організовано процес завантаження Windows і які компоненти активуються на кожному етапі. Це дозволяє визначити, чи виникає помилка на дуже ранньому етапі (прошивка/BIOS), у диспетчері завантаження, у завантажувачі операційної системи чи коли в гру вступає ядро ​​Windows.

Загалом, цикл запуску сучасної системи Windows поділяється на чотири основні фази. Це трапляється як у застарілих системах BIOS, так і в системах з прошивкою UEFI, хоча файли, що беруть участь, та шляхи до них дещо змінюються:

• Фаза 1 – Попереднє завантаженняПрошивка (BIOS або UEFI) виконує POST (самотестування живлення), ініціалізує базове обладнання та знаходить дійсний системний диск. У комп'ютерах з BIOS зчитується MBR/PBR; в UEFI завантажується прошивка та виконується пошук програми EFI диспетчера завантаження Windows.
• Фаза 2 – Диспетчер завантаження Windows: Тут на допомогу вступає менеджер завантаження, який шукає конфігурацію завантаження та вирішує, яку систему запускати.
• Фаза 3 – Завантажувач ОС Windowsзарядний пристрій системи (winload.exe o winload.efi) завантажує ядро ​​та драйвери, позначені для завантаження під час завантаження.
• Фаза 4 – Ядро Windows NTядро (ntoskrnl.exe) бере на себе керування, монтує кущ системного реєстру, завантажує драйвери BOOT_START і починається системний сеанс (Smss.exe), що, у свою чергу, запускає решту служб і контролерів.

Кожен із цих етапів має досить характерні симптоми та повідомлення про помилки.від типового «Bootmgr відсутній» до таких помилок, як INACCESSIBLE_BOOT_DEVICE або сині екрани одразу після логотипа Windows, і тому їх діагностують та виправляють за допомогою різних інструментів.

Мета діагностики початкової несправності полягає в тому, щоб «вловити», в якій точці цього ланцюга процес порушується.Звідти ми можемо вирішити, чи має сенс переглядати файл журналу завантаження, SrtTrail.txt з відновлення автозавантаження, дампи пам'яті, реєстр чи зосередитися на кодах завантаження (MBR, BCD, Bootmgr тощо).

Збої BIOS або прошивки: як їх виявити

Якщо на комп'ютері навіть не відображається логотип Windows Якщо він зависає на чорному екрані без чітких повідомлень або навіть не вмикається належним чином, проблема зазвичай полягає в самій прошивці або в базовому обладнанні.

Існує кілька дуже простих перевірок, щоб визначити, чи пройшла система етап BIOS або воно там застрягло:

1. Від’єднайте всі зовнішні периферійні пристрої (USB, зовнішні жорсткі диски, принтери…). Іноді прошивка намагається завантажитися зі знімного пристрою і зависає.
2. Зверніть увагу на світлодіод активності жорсткого дискаЯкщо він взагалі не блимає під час увімкнення, можливо, процес ще не досяг точки зчитування завантажувального сектора.
3. Спробуйте натиснути клавішу Num Lock.Якщо індикатор клавіатури не змінюється, це зазвичай свідчить про повне зависання системи на рівні прошивки або материнської плати.

Коли зависання відбувається на цій ранній стадії, це зазвичай пов'язано з апаратним збоєм. (пам'ять, материнська плата, блок живлення, несправний жорсткий диск…) і не так сильно у випадку проблеми із завантажувальним файлом, тому в цих випадках аналіз Ntbtlog.txt і подібні речі навіть не генеруються.

Помилки в менеджері завантаження та завантажувачі (MBR, BCD, Bootmgr)

Якщо машина вмикається, з'являється логотип виробника, а потім ви бачите чорний екран із миготливим курсором Якщо ви отримуєте такі повідомлення, як «Відсутня операційна система», «Відсутній Bootmgr» або помилки, пов’язані з BCD, проблема вже знаходиться на етапі менеджера завантаження (Boot Manager / Boot Loader).

Деякі типові повідомлення з цього етапу досить чітко дають зрозуміти, яка ситуація.:

• Boot Configuration Data (BCD) missing or corrupted
• Boot file or MBR corrupted
• Operating system missing
• Boot sector missing or corrupted
• Bootmgr missing or corrupted
• Unable to boot due to system hive missing or corrupted

На цьому етапі найефективнішим варіантом дій є завантаження із зовнішнього інсталяційного носія Windows. (USB/DVD, створений за допомогою інструменту Microsoft, або ISO-образ тієї ж або вищої версії) та відкрийте командний рядок за допомогою комбінації клавіш Shift+F10 або через розширені параметри відновлення.

Використання засобу відновлення автозавантаження

Утиліта відновлення запуску Windows – це перший варіант, який вам слід спробувати.оскільки він автоматизує багато перевірок: перевіряє цілісність завантажувальних файлів, намагається виправити BCD, відновлює пошкоджені завантажувальні сектори та генерує власний журнал своїх дій.

Потік користувачів дуже простий. під час завантаження з інсталяційного носія тієї ж версії Windows, яку ви встановили:

1. Завантажте комп'ютер з інсталяційного USB/DVD-диска Windows і у початковому вікні натисніть Далі > Ремонт обладнання.
2. На екрані вибору введіть Виправлення неполадок.
3. Доступ до Додаткові параметри > Відновлення автозавантаження і дозвольте інструменту проаналізувати систему.
4. Після завершення вимкніть комп'ютер за допомогою майстра та спробуйте запустити його звичайним способом.

Все, що робить цей інструмент, записується у файл SrtTrail.txt, що знаходиться в с %windir%\System32\LogFiles\Srt\Srttrail.txtХоча це не журнал завантаження в стилі Ntbtlog.txtТак, корисно зрозуміти, що воно виявило та які дії намагалося застосувати.

Відновлення MBR та завантажувального сектора за допомогою BOOTREC

Якщо засіб відновлення автозавантаження не вирішує проблему, наступним класичним кроком є ​​використання цього інструменту. BOOTREC (подивитися Посібник BOOTREC) З командного рядка середовища відновлення. Ця утиліта дозволяє перезаписати MBR, перебудувати завантажувальний сектор та регенерувати базу даних BCD.

Основні команди для вирішення типових проблем MBR та завантажувального сектора є:

• Перепишіть MBR (дуже корисно, якщо його перезаписала інша система або сторонній інструмент):
  bootrec /fixmbr
• Відновлення завантажувального сектора системного розділу:
  bootrec /fixboot

У деяких випадках (особливо в системах UEFI з розділами EFI у FAT32) Страшне повідомлення «Доступ заборонено» може з’явитися під час запуску /fixbootУ цих випадках потрібно перевірити, чи системному розділу правильно призначено літеру диска, а іноді позначити його як активний або вручну відновити завантажувальні файли, скопіювавши їх. bootmgr та зміст \EFI\Microsoft\Boot.

Виправлення помилок складу BCD

Коли BCD пошкоджений або вказує на неіснуючі об'єктиВи побачите більш конкретні помилки щодо «Даних конфігурації завантаження». Тут BOOTREC та BCDEDIT працюють разом (див. діагностика за допомогою BCDEDIT).

Типова процедура регенерації BCD з нуля це:

1. Сканування на наявність виявлених інсталяцій Windows:
   bootrec /scanos
2. Якщо після сканування все ще не запускається, створіть резервну копію BCD та перебудуйте його:
   bcdedit /export C:\bcdbackup
attrib C:\boot\bcd -r -s -h
ren C:\boot\bcd bcd.old
bootrec /rebuildbcd
3. На запитання, чи хочете ви додати знайдену інсталяцію до списку завантаження, дайте відповідь «так».

У деяких випадках з’явиться повідомлення про помилку «Запитаний системний пристрій не знайдено». Під час спроби додати інсталяцію; саме тут вам потрібно перевірити diskpart що системний розділ правильно позначено, має призначену літеру та не пошкоджено.

Замініть файл Bootmgr

Якщо після кількох спроб помилки безпосередньо вказують на bootmgr пошкодженіВи можете перейменувати несправну копію та розмістити нову із зарезервованого системою розділу або з інсталяційного носія.

Загальна ідея полягає в тому, щоб залишити старий. bootmgr безпечний та скопіюйте робочий до розділу, де знаходиться система:

1. Визначте розділ, зарезервований системою (зазвичай без літери, у FAT32 або NTFS, близько 100 МБ у сучасній Windows) та призначте йому літеру з diskpart за потреби
2. У цьому розділі перелічіть приховані та системні файли за допомогою:
   attrib -r -s -h
3. Зробіть те саме на системному диску (наприклад, C:) щоб побачити bootmgr існуючі.
4. Змініть назву bootmgr пошкоджені, наприклад:
   ren C:\bootmgr bootmgr.old
5. Скопіюйте bootmgr "здоровий" із зарезервованого системою розділу до кореневого каталогу диска Windows.
6. Перезавантажте та перевірте, чи запускається.

Відновлення піддерева системного реєстру

Коли помилки вказують на те, що системний кущ неможливо завантажити («відсутній або пошкоджений системний кущ»), проблема переходить з проблеми, пов’язаної виключно із завантаженням, на проблему реєстру. У цих випадках зазвичай необхідно відновити піддерева реєстру з дійсної резервної копії (ви можете побачити методи для Покращення реєстру за допомогою RegScanner).

З середовища відновлення WinRE або з диска відновлення ERD Ви можете скопіювати вміст C:\Windows\System32\config\RegBack a C:\Windows\System32\configперезапис пошкоджених файлів (СИСТЕМА, ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ тощо). Якщо завантаження все ще не відбувається, вам потрібно буде відновити повну резервну копію системи, а потім відновити лише необхідні кущі.

Фаза ядра: сині екрани, зациклення та збої після появи логотипу

Якщо ви вже бачите логотип Windows, навіть значок «колеса», що обертається, з крапокАле якщо раптом з'являється синій екран, зависає або просто з'являється чорний екран, проблема, найімовірніше, криється на етапі ядра або в драйверах, які завантажуються на цьому етапі.

Деякі типові симптоми невдачі на цій фазі добре відомі:

• Зупинити код одразу після заставки (наприклад 0x00000C2, 0x0000007BІ т.д.).
• Помилка INACCESSIBLE_BOOT_DEVICE, з ідентифікатором зупинки 0x7B, що означає проблеми з доступом до завантажувального диска.
• Обертальне точкове колесо залишається на невизначений термін у стані "зайнятої системи".
• Екран стає чорним після появи логотипа Windows, без жодних повідомлень.

У цих ситуаціях варіанти відновлення базуються на обмеженому початку. а потім провести діагностику за допомогою таких інструментів, як засіб перегляду подій, журнали завантаження, дампи пам'яті та сам реєстр.

Спробуйте безпечний режим та останню відому вдалу конфігурацію

Безпечний режим залишається класикою, оскільки він завантажує лише найнеобхідніше. щоб Windows завантажилася, залишаючи поза увагою значну частину драйверів і служб сторонніх виробників, які можуть спричиняти проблему.

З розширених параметрів завантаження Ви можете спробувати:

• Безпечний режим
• Безпечний режим із мережею
• Остання відома успішна конфігурація (якщо доступно у вашій версії)

Якщо команді вдасться розпочати роботу в будь-якому з цих варіантівОдна з перших рекомендованих речей — це відкрити Переглядач подій та переглядати системні та програмні журнали приблизно в момент початку симптомів, копіюючи відповідні події для спокійного аналізу.

Чистий початок пошуку конфліктуючих служб і драйверів

Коли проблема вказує на сторонній сервіс або контролер (антивірус, програмне забезпечення для резервного копіювання, спеціальні драйвери сховищ тощо), дуже корисно виконати «чисте завантаження» за допомогою цього інструменту msconfig.

У системних налаштуваннях можна вибрати «Вибірковий запуск». і поступово вимикайте некритичні служби, особливо ті, що не належать Microsoft, доки не знайдете ту, яка викликає збій запуску. Після знаходження ви можете остаточно вимкнути її та повернутися до «звичайного запуску».

Якщо проблема полягає в підписі драйвера (особливо в системах x64 з Secure Boot або вимогами до підпису)Інший спосіб – почати з опції «Вимкнути обов’язкове використання підписаних драйверів» і проаналізувати, який драйвер вимагає підпису або викликає конфлікт, дотримуючись інструкцій у спеціальних статтях Microsoft щодо цього типу проблем.

Помилка INACCESSIBLE_BOOT_DEVICE (STOP 0x7B)

Помилка INACCESSIBLE_BOOT_DEVICE Це один з найстрашніших оскільки це означає, що Windows не може отримати доступ до диска, з якого вона має завантажитися: неадекватні драйвери сховища, фільтри сторонніх виробників, зміни режиму контролера SATA/RAID у BIOS тощо.

Розширений метод вирішення цієї помилки передбачає фільтрацію драйверів сторонніх виробників у реєстрі. із середовища відновлення:

1. Завантажтеся в WinRE, використовуючи ISO-образ тієї ж версії Windows або вище.
2. Відкрийте редактор реєстру та завантажте системний кущ, давши йому тимчасову назву, наприклад тест.
3. Перейдіть до ключа:
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class
4. Знайти записи UpperFilters y Нижні фільтри що стосуються драйверів, не розроблених Microsoft.
5. Для кожного підозрілого драйвера очистіть вміст відповідного значення фільтра.
6. Шукайте інші подібні випадки у вулику, ретельно змінюйте їх та вивантажуйте вулик, коли закінчите.
7. Перезавантажте систему в звичайному режимі та перевірте, чи зникла помилка 0x7B.

Якщо проблема виникла одразу після встановлення оновлень WindowsМожливо, знадобиться видалити пакети, що очікують оновлення, або скасувати дії оновлення за допомогою DISM, зміна значень у Реєстрі (наприклад, служба TrustedInstaller) і навіть перейменування файлів, таких як pending.xml en WinSxS щоб розблокувати процес.

Увімкнення журналу завантаження у Windows

У цей момент на сцену виходить головний герой цієї статті: архів. Ntbtlog.txtЦей файл є класичним журналом завантаження Windows; він записує драйвери та компоненти, які завантажуються (або не працюють) під час запуску, що дозволяє виявити, наприклад, який саме драйвер перешкоджає запуску системи.

BootLog не ввімкнено за замовчуваннямАле активувати його дуже просто, і зробити це можна двома основними способами: через boot.ini у старіших системах або з bcdedit У сучасних версіях, таких як Windows 10 та пізніших, дуже корисно поєднувати його з методами для аналізувати за допомогою BootTrace.

Увімкнути BootLog на системах на основі boot.ini (Windows XP та подібні)

На старіших комп'ютерах файл конфігурації завантаження boot.ini, який розташований у кореневому каталозі диска, на якому інстальовано Windows (зазвичай C:) і позначений як прихований та системний файл.

Щоб його редагувати, спочатку потрібно показати захищені системні файли. У параметрах папки знайдіть boot.ini і відкрийте його за допомогою Блокнота. Там ви побачите рядок, подібний до цього (хоча з іншими параметрами):

багатодисковий(0)диск(0)rdisk(0)розділ(1)\WINDOWS=»Microsoft Windows XP Professional» /noexecute=optin /fastdetect

Щоб активувати логування завантаження, просто додайте модифікатор /BOOTLOG в кінці того рядкав результаті чогось на кшталт:

багатодисковий(0)диск(0)rdisk(0)розділ(1)\WINDOWS=»Microsoft Windows XP Professional» /noexecute=optin /fastdetect /BOOTLOG

Після збереження файлу система почне створювати завантажувальний запис під час кожного запуску.Крім того, в надзвичайних ситуаціях ведення журналу можна вмикати в кожному окремому випадку з розширеного меню завантаження: натисканням клавіші F8 безпосередньо перед завантаженням Windows та вибором опції «Увімкнути ведення журналу завантаження».

Згенерований файл завжди викликається Ntbtlog.txt і зберігається в папці Windows, зазвичай у C:\Windows, готовий до відкриття за допомогою Блокнота та перевірки, які драйвери завантажилися правильно, а які ні.

Увімкнення та вимкнення BootLog за допомогою BCDEDIT у Windows 10 та пізніших версіях

У сучасних системах, що використовують BCD (Windows Vista та пізніші версії, включаючи Windows 10)Конфігурація завантаження більше не керується за допомогою boot.iniале за допомогою сховища даних конфігурації завантаження та інструменту bcdedit.

Щоб увімкнути журнал завантаження на певній системі Вам потрібно знати ідентифікатор (ID) цього завантажувача в BCD. Його можна отримати, виконавши таку команду в командному рядку з правами адміністратора:

bcdedit

У блоці «Завантажувач Windows» ви побачите рядок під назвою «Ідентифікатор» що може бути щось на кшталт {current} або інший GUID. Використовуючи цей ідентифікатор, ви можете активувати BootLog ось так:

bcdedit /set {ID} bootlog Yes

Щоб деактивувати його, просто змініть значення на «Ні».:

bcdedit /set {ID} bootlog No

Після наступного перезавантаження, якщо ведення журналу ввімкнено, Windows згенерує файл. Ntbtlog.txt за вказаним маршрутом з усією необхідною інформацією про контролери та модулі, що беруть участь у запуску, що надзвичайно допомагає в діагностиці примхливих несправностей.

Інтерпретація Ntbtlog.txt та інших журналів завантаження

Хоча на перший погляд Ntbtlog.txt Це може виглядати як простий список рядківКлюч у розумінні того, який шаблон ми шукаємо. У цьому файлі ви побачите записи, що вказують на те, що контролер було успішно завантажено або пропущено.

Хитрощі полягають у тому, щоб знайти драйвери, які виходять з ладу безпосередньо перед тим, як станеться збій або перезавантаження....або ті, що явно не належать Microsoft і можуть спричиняти конфлікти (антивірусні драйвери, шифрування диска, рішення для резервного копіювання тощо). Поєднання цієї інформації з подіями засобу перегляду подій та, якщо доступно, дампами пам’яті, може значно звузити коло пошуку проблеми.

У багатьох випадках дампи пам'яті явно вказують на певний файл драйвера. (наприклад, \Windows\System32\drivers\stcvsm.sys (відсутні або пошкоджені). Загальні рекомендації в цьому випадку:

• Перегляньте, які функції надає цей контролер і чи є вони критично важливими для запуску.
• Якщо це необов'язковий драйвер стороннього виробника, вимкніть його, завантаживши системний кущ у реєстрі з WinRE.
• Запустіть перевірку системних файлів (sfc) в автономному режимі, якщо є підозра на пошкодження системних файлів.
• Якщо є підозра на поширене пошкодження реєстру або нещодавнє встановлення кількох драйверів/служб, перейменуйте старі кущі (додавши .old до імен у C:\Windows\System32\configта відновити резервні копії RegBackпотім спробуйте звичайний запуск.

Іноді, особливо після серйозного оновлення Windows, проблема виникає під час відновлення за допомогою DISM Це походить з оригінальної версії зображенняЯкщо ISO-образ, використаний для відновлення, не повністю відповідає встановленій версії, DISM Повертає помилку 0x800f081f («Вихідні файли не знайдено»). У цих випадках доцільно звернутися до dism /get-wiminfo точна версія зображення (install.wim o install.esd) та знайдіть ISO-образ, який фактично відповідає збірці системи, яку потрібно відновити.

Коротше кажучи, завантажувальні регістри, такі як Ntbtlog.txt, SrtTrail відновлення запуску, дампи пам'яті та журнали DISM y SFC Вони утворюють інформаційну «екосистему» Цей інструмент дозволяє відтворити, що відбувається під час кожного завантаження: що завантажується, що пропускається, що пошкоджується та які зміни (драйвери, оновлення, антивірусне програмне забезпечення чи різні утиліти) порушили процес. Поєднуючи ці інструменти з методами відновлення MBR, BCD, Bootmgr, RegBack та чистого завантаження, шанси на відновлення системи Windows, яка не завантажується без повної перевстановлення, набагато вищі, ніж може здатися спочатку.

Пов'язана стаття:

Трасування завантаження у Windows 11: повний посібник з аналізу процесів завантаження

Ісаак

Пристрасний письменник про світ байтів і технологій загалом. Я люблю ділитися своїми знаннями, пишучи, і саме це я буду робити в цьому блозі, показуватиму вам все найцікавіше про гаджети, програмне забезпечення, апаратне забезпечення, технологічні тренди тощо. Моя мета — допомогти вам орієнтуватися в цифровому світі в простий і цікавий спосіб.