BlueScreenView [Dumping BSoD]: Identfificar “Pantallazos Azules” BSoD de Windows

BlueScreenView que buscará los archivos con extensión .dmp llamados minidumps ubicados por defecto en %systemroot%\Minidump (C:\Windows\Minidump) donde se almacenan los registros de todos los BSoD (Blue Screen Of Death) de Windows.

Si el equipo sigue funcionando después de un BSoD se puede analizar fácilmente con esta herramienta, en caso contrario habría que extraer el disco duro físico y examinar estes ficheros desde otro equipo.

Figura 1: Identificar BSoD de Windows con BlueScreenView.

Para cada mensaje BSOD se pueden ver los controladores que estaban cargados en ese momento. Podemos cambiar la vista de visualización de los ficheros .dmp y así ver el mensaje de error de diferentes formas.

Por fuente de forospyware.com estas serían algunas referencias a los posibles significados de los típicos mensajes BSOD.

IRQL NOT LESS OR EQUAL: Drivers incompatibles o mal diseñados.
UNKNOWN HARD ERROR: Archivos del registro dañados o borrados, RAM defectuosa.
STATUS SYSTEM PROCESS TERMINATED: Software o drivers incompatibles.
STATUS IMAGE CH HECKSUM MISMATCH: Archivos modificados, errores en el acceso al disco, RAM defectuosa.
KMODE EXCEPTION NOT HANDLED: Drivers incompatibles o mal diseñados, software con fallas graves, hardware defectuoso.
NTFS FILE SYSTEM: Disco duro dañado, cables de disco en mal estado, sistema de archivos dañado.
FAT FILE SYSTEM o NTFS FILE SYSTEM: Error en el ntfs.sys (driver que permite al sistema, leer y escribir en unidades NTFS).
INACCESSIBLE BOOT DEVICE: Cambio de motherboard o controladora, cambio de disco a otra PC, virus.
PAGE FAULT IN NONPAGED AREA: Drivers incompatibles, software incompatible, RAM o motherboard fallado.
NO MORE SYSTEM PTES: Un driver no se está liberando correctamente.
UNEXPECT TED KERNEL MODE TRAP: Hardware defectuoso, posiblemente memoria RAM o placa base; software incompatible.
KERNEL STACK INPAGE ERROR: Sector donde se aloja archivo de intercambio dañado, cables de disco defectuosos, virus.
SYSTEM THREAD EXCEPTION NOT HANDLED: Drivers o software incompatibles, BIOS defectuoso, hardware incompatible.
KERNEL MODE EXCEPTION NOT HANDLED: Hardware, drivers o BIOS incompatible. Lo más habitual es que se trate de RAM defectuosa.
DRIVER POWER STATE FAILURE: Driver que no funciona correctamente con las funciones de ahorro de energía.
BAD POOL CALLER: Driver o software mal diseñado.
DRIVER IRQL NOT LESS OR EQUAL: Driver mal diseñado.
THREAD STUCK IN N DEVICE DRIVER: Driver, típicamente de la tarjeta gráfica, mal diseñado.
UNMOUNTABLE BOOT VOLUME: Cambio de placa o controladora, cables IDE defectuosos o inadecuados, cambios en la conexión de los discos.
MACHINE CHECK EXCEPTION: Este comportamiento se debe a que el procesador del equipo ha detectado un error de hardware irrecuperable y ha informado sobre él a Windows. Se debe a una falla en el procesador, mother board u overclocking extremo.

Saludos!

Detectar equipos conectados a una misma LAN (ping broadcast)

En ocasiones durante el mantenimiento de sistemas, necesitamos ver que equipos tenemos conectados a nuestra red local (LAN), esto también es útil para saber quien está conectado a tu red Wireless "¿Cómo saber si el vecino te está robando la WiFi?".

Vamos a utilizar para ello la dirección de red: 192.168.1.1/24 el 24 representaría los bits a '1' de modo que quedaría una IP de clase C con máscara de 255.255.255.0, es decir solo el último octeto para hosts finales menos el 0 que sería la dirección de red, que sería reservada siempre para ese fin, el 1 que sería el gateway o puerta de enlace (no está reservada para este fin pero es casi siempre utilizable y en una red domestica sería la configuración por defecto) y el 255 que sería la dirección broadcast, y está si está reservada para este fin. Por lo tanto, nos quedarían direcciones para hosts finales desde la 2-254 (incluyendo estos).

Antes mencionar que este tip es para OS Windows pero antes explicaré como se realiza en OS Linux, debido a que su uso es más fácil.

En Linux bastaría con abrir una terminal y escribir: ping 192.168.0.255 -b
Después solo quedaría consultar la table ARP (Address Resolution Protocol): arp -a
Ya tendríamos la lista de IP y direcciones MAC (Media Access Control).

En windows es un poco más "complicado". Ya que no existe la opción de broadcast como tal en el comando ping, y no nos permite ninguna posibilidad dentro de sus argumentos para hacer por ejemplo un: ping 192.168.1.255.
Así que tenemos dos opciones:
Aprendernos de memoria la siguiente línea de código o generar un fichero .bat, (que podremos guardar y ejecutar siempre que deseemos) que contenga esta línea de código:

for /l %i in (1,1,254) do ping -w 50 -n 1 192.168.1.%i

Breve explicación:

• for: Realizamos un bucle, para que recorra todas las direcciones IP posibles de nuestra red.
• /l: Con este argumento estaríamos especificando que se trataría de un bucle que recorre una sucesión de números que va desde una inicio hasta un fin.
• %i: El % inicia una variable que en este caso le llame i.
• in: marcamos los parámetros que queremos que se recorran del bucle for.
• (1,1,254): Los parámetros están entre paréntesis y separados por coma en un orden especifico: (inicio, paso, fin). Por lo tanto, en este caso recorrerá desde el número 1 hasta el 254.
• do: Indicamos el comando DO para determinar lo que queremos que recorra.
• ping -w 50 -n 1: Realizará un ping con (-n 1) tan solo 1 respuesta de echo y con (-w 50) un tiempo de solicitud de 50 milisegundos.
• 192.168.1.%i: La dirección IP que recorrerá el for indicándole que el %i (colocada en el último octeto) es la variable que tiene que ir recorriendo hasta el limite marcado en los parámetros del IN (254).

Luego realizamos un arp -a y nos mostrará todas las entradas IP y address MAC en nuestra tabla ARP.

Saudos!