Анализ дампа памяти в Windows при BSOD с помощью WinDBG | Windows для системных администраторов

В момент критического сбоя операционная система Windows прерывает работу и показывает синий экран смерти (BSOD). Содержимое оперативной памяти и вся информация

Как использовать функцию «Очистка диска»

Для запуска функции «Очистка диска» необходимо:

Перейти в папку «Мой компьютер» или «Этот компьютер», после чего найти диск, к которому планируется применить функцию очистки и нажать по его иконке правой кнопкой мыши. В открывшемся контекстном меню следует выбрать пункт «Свойства».

В открывшемся окне на вкладке «Общие», сразу под диаграммой заполнения носителя можно обнаружить кнопку «Очистка диска». Для перехода в меню очистки, следует нажать по кнопке.

Также существует и другой способ входа в функцию «Очистка диска». Для его выполнения достаточно нажать правой кнопкой мыши по меню «Пуск», выбрать пункт «Выполнить»(также его можно вызвать сочетанием клавиш Win+R) и в открывшемся окне ввести команду «cleanmgr.exe» и нажать «Ок».

В новом окне следует выбрать диск, к которому необходимо применить очистку.

Выбрав диск из выпадающего меню, следует подтвердить действие кнопкой “Ок”

В меню очистки диска можно ознакомиться и поставить галочки над данными, готовыми для удаления. Помимо этого, здесь присутствуют кнопки «Очистить системные файлы» и «Просмотреть файлы».

При нажатии на первую – откроется меню, где можно будет удалить временные системные файлы.

Если нажать вторую – откроется место расположения файлов в проводнике.

Для полной очистки раздела нажимаем «Очистить системные файлы».

Важно! Для перехода в данный пункт текущая запись пользователя должна обладать правами администратора.

В открывшемся окне пользователь может установить галочки напротив всех файлов, которые можно очистить. Объём удаленной информации будет показан в графе «Объем освобождаемого пространства». После указания файлов для удаления, приступить к очистке диска можно при помощи кнопки «Ок».

Debug Dump Files — что это такое?

Служебные файлы, созданные отладчиком Windows. Содержат данные об условиях, при которых произошла ошибка/сбой.

Отвечу коротко — если компьютер работает нормально, без глюков — можно спокойно удалить. Но даже если есть глюки — 95% что эти файлы так и останутся бесполезными.

Файлы нужны только для анализа, чтобы понять причину ошибки/сбоя. То есть сами по себе они лежат без дела, но могут понадобиться, если вы захотите узнать почему произошла ошибка или сбой. Обычно в этом нужно разбираться, чтобы изучить файл, также могут быть нужны специальные программы для анализа.

Debug Dump Files это что-то вроде снимка системы на момент ошибки. Могут иметь расширение *.dmp, они могут быть скрытыми, в них может быть также содержимое оперативной памяти на момент ошибки.

Например при ошибке синий экран — тоже создается дамп-файл, анализ которого можно выполнить в утилите BlueScreenView:

Но опять же — провести анализ, выявить причину может только опытный пользователь.

РЕКЛАМА

Что такое дамп

• dump (англ.) – мусорная куча; свалка; дыра; трущоба.
• dump (memory dump) – 1) дамп, вывод содержимого оперативной памяти на печать или экран; 2) «снимок» оперативной памяти; данные, получаемые в результате дампинга; 3) аварийное снятие, выключение, сброс.
• dumping – дампинг, снятие дампа.

Настройки для сохранения дампа памяти хранятся в системном реестре Windows.

Информация о дампе памяти в системном Реестре:

В разделе Реестра Windows [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlCrashControl] аварийный дамп памяти определяется следующими параметрами:

– REG_DWORD-параметр AutoReboot со значением 0×1 (опция Выполнить автоматическую перезагрузку вспомогательного окна Загрузка и восстановление диалогового окна Свойства системы);

– REG_DWORD-параметр CrashDumpEnabled со значением 0×0, если дамп памяти не создается; 0×1 – Полный дамп памяти; 0×2 – Дамп памяти ядра; 0×3 – Малый дамп памяти (64КБ);

– REG_EXPAND_SZ-параметр DumpFile со значением по умолчанию %SystemRoot%MEMORY.DMP (место хранения файла дампа);

– REG_DWORD-параметр LogEvent со значением по умолчанию 0×1 (опция Записать событие в системный журнал окна Загрузка и восстановление);

– REG_EXPAND_SZ-параметр MinidumpDir со значением по умолчанию %SystemRoot%Minidump (опция Папка малого дампа окна Загрузка и восстановление);

– REG_DWORD-параметр Overwrite со значением по умолчанию 0×1 (опция Заменять существующий файл дампа окна Загрузка и восстановление);

– REG_DWORD-параметр SendAlert со значением по умолчанию 0×1 (опция Отправить административное оповещение окна Загрузка и восстановление).

Введение

Разработка программных продуктов проходит тщательное тестирование, обновление, устранение неполадок и обслуживание. В процессе отладки готовые программные решения регулярно компилируются и выполняются для выявления и устранения проблем. Крупные программы, содержащие миллионы строк исходного кода, делятся на небольшие компоненты. Для эффективности каждый компонент сначала отлаживается отдельно, а затем — в совокупности в рамках программного продукта.

Debug — что это и как работает? Тактика может включать интерактивную отладку, анализ потока управления, модульное и интеграционное тестирование, анализ файлов журналов, мониторинг на уровне приложений или системы, дампы памяти и профилирование.

Просмотр и анализ файла минидампа.

Для просмотра и анализа файла минидампа можно воспользоваться достаточно простой и удобной утилитой BlueScreenView от Nirsoft, которую можно скачать с официального сайта https://www.nirsoft.net/utils/blue_screen_view.html .

Для просмотра минидампа достаточно перетащить файл в окно программы и тут же загрузится отладочная информация. Красным будут подсвечены модули вызвавшие ошибку. В случае представленном на скриншоте выше это был драйвер tcpip.sys.

Щелкнув по имени файла минидампа можно запустить поиск решения в Google.

Но эта программа не способна обработать полный дамп памяти Windows – memory.dmp.

Дамп памяти Windows 10

Дамп памяти — это то, что находится в рабочей памяти всей операционной системы, процессора и его ядер. Включая всю информацию о состоянии регистров процессора и других служебных структур.

Причины появления ошибок в Windows 10 очень разнообразны

— несовместимость подключаемых устройств;

— новые обновления Windows 10;

— несовместимость устанавливаемых драйверов;

— несовместимость устанавливаемых приложений;

— и прочие причины.

Анализ дампа памяти

Для анализа аварийных дампов памяти существует множество программ, например, DumpChk, Kanalyze, WinDbg. Рассмотрим анализ аварийных дампов памяти с помощью программы WinDbg (входит в состав Debugging Tools for Windows).

Установка средств отладки

• посетите веб-узел страницу Download the Debugging Tools for Windows корпорации Microsoft;
• загрузите Windows SDK и выберите только Debugging Tools for Windows при установке (средства отладки также включены в пакет Windows WDK? yj он больше размером);
• Если SDK уже установлен, то откройте Settings, перейдите в Apps & features, выберите Windows Software Development Kit, и затем выберите Modify чтобы изменить установку и добавить Debugging Tools for Windows.
• для интерпретации файлов дампа памяти необходимо также загрузить пакет символов (Symbol Packages, так называемые символьные файлы, или файлы символов отладки) для своей версии Windows.
• выберите свою версию Windows, скачайте и запустите установочный файл Symbol Packages;
• в окне с лицензионным соглашением нажмите Yes;
• в следующем окне выберите папку для установки (по умолчанию предлагается WINDOWSSymbols) –> OK –> Да;
• в окне Microsoft Windows Symbols с сообщением «Installation is complete» нажмите OK.

Примечание: К сожалению, Microsoft прекратила публиковать символьные файлы из-за частоты обновления Windows 10. Теперь компания предлагает их скачивать онлайн через Symbol server или создавать символьные ссылки. Как подключиться к символьному серверу, описано здесь: https://docs.microsoft.com/ru-ru/windows-hardware/drivers/debugger/microsoft-public-symbols. Альтернативно, можно подключиться к символам на машине офлайн используя SymChk.

Использование программы WinDbg для анализа аварийных дампов памяти

• запустите WinDbg (по умолчанию устанавливается в папку Program FilesDebugging Tools for Windows);
• выберите меню File –> Symbol File Path…;
• в окне Symbol Search Path нажмите кнопку Browse…;
• в окне Обзор папок укажите расположение папки Symbols (по умолчанию – WINDOWSSymbols) –> OK –> OK;
• выберите меню File –> Open Crash Dump… (или нажмите Ctrl + D);
• в окне Open Crash Dump укажите расположение Crash Dump File (*.dmp) –> Открыть;
• в окне Workspace с вопросом «Save information for workspace?», установите флажок Don’t ask again –> No;
• в окне WinDbg откроется окно Command Dump <путь_и_имя_файла_дампа> с анализом дампа;
• просмотрите анализ дампа памяти;
• в разделе «Bugcheck Analysis» будет указана возможная причина краха, например, «Probably caused by: smwdm.sys (smwdm+454d5)»;
• для просмотра детальной информации нажмите ссылку «!analyze -v» в строке «Use !analyze -v to get detailed debugging information»;
• закройте WinDbg;
• используйте полученную информацию для устранения причины неисправности.

Например, на следующем скриншоте причина неисправности – файл nv4_disp.dll драйвера видеокарты:

Понравилась публикация? Почему нет? Оставь коммент ниже или подпишись на feed и получай список новых статей автоматически через feeder.

Что можно удалять с диска С, а что нельзя?

Свободное пространство диска С в процессе эксплуатации Windows постоянно сокращается. В независимости от действий пользователя — хочет он того или нет. Временные файлы, архивы, куки и кеш браузеров и прочие программные элементы, выполнив свою единоразовую миссию (обновление, установка, распаковка), оседают в папках раздела С. Плюс к этому — полезные мегабайты и гигабайты поглощают некоторые функциональные модули Windows.

Первое средство от такого «захламления» — комплексная очистка диска С. Выполнять её нужно регулярно и своевременно. В противном случае, раздел переполнится, и вы не сможете полноценно пользоваться ОС и, соответственно, ПК. Windows будет постоянно прерывать вашу работу предупреждающими сообщениями — «недостаточно памяти». Станет невозможен просмотр видео онлайн, так как браузер не сможет сохранять на компьютере закачиваемый с сервера контент. Могут произойти и другие неприятности.

Папка «Temp»

Одна из главных источников засорения ОС. В ней размещают свои элементы антивирусы, драйвера, приложения, игры. Происходит это во время обновлений и инсталляций. После завершения задач, отработанные файлы так и остаются в «Temp». Конечно же, их оттуда нужно периодически убирать.

1. На диске С зайдите в папку «Пользователи».
2. Кликните папку с именем своей учётной записи (имя пользователя).
3. Затем перейдите в «AppData».
4. В директории «Local», откройте папку «Temp».
5. Полностью очистите её (отправьте все файлы/папки в корзину).

Совет! Если вы пользуетесь файловым менеджером «Total Commander»: создайте новую вкладку (сочетание клавиш «Ctrl» + «стрелочка вверх») и перейдите в папку Temp. Таким образом, у вас будет всегда на виду её содержимое.

Отключения гибернации

Гибернация — разновидность спящего режима: когда пользователь в течение определённого промежутка времени бездействует, ОС сохраняет все настройки в специальный файл hiberfil.sys. Windows также, как и для Pagefile.sys, резервирует для него свободное пространство на С, равное объёму RAM.

Поэтому, если вы не пользуетесь режимом гибернации, его лучше отключить.

1. Нажмите «Win + R».
2. Введите «CMD», нажмите «ENTER».
3. В консоли командной строки введите — «powercfg -h off» (без кавычек), далее — «ENTER».
4. Перезапустите ОС.