Такое явлеие, как анализ дампа памяти позволяет определить причину так называемого экрана смерти или BSoD. Делается это с помощью программ.
Анализ дампа памяти с помощью Microsoft Kernel Debuggers
Для разных версий систем нужно скачивать свой тип утилиты. Например, для 64-х разрядной операционной системы, нужна 64-битовая программа, для 32-х разрядной – 32-битная версия.
Это еще не все, вам нужно скачать и установить пакет отладочных символов, нужные для программы. Называется Debugging Symbols. Каждая версия данного пакета тоже скачивается под определённою ОС, для начала узнайте какая у вас система, а потом скачивайте. Дабы вам не искать где попало эти символы, вот ссылка на скачивание. Установка, желательно, должна производиться по этому пути: %systemroot%symbols.
Теперь можно запускать наш отладчик, окно которого будет выглядеть вот так:
Прежде чем проанализировать дампы мы кое-что настроим в утилите. Во-первых, нужно указать программе, куда мы установили отладочные символы. Для этого нажимаем на кнопку «File» и выбираем пункт «Symbol File Path», потом указываем путь до символов.
Программа позволяет извлекать символы прямо из сети, поэтому вам даже не придется их скачивать (извините те, кто уже скачал). Они буду браться с сервером Microsoft, поэтому все безопасно. Итак, вам нужно снова открыть «File», потом «Symbol File Path» и ввести следующую команду:
SRV*%systemroot%symbols*http://msdl.microsoft.com/download/symbols
Таким образом мы указали программе, что символы должны браться из сети. Как только мы это сделали нажимаем «File» и выбираем пункт «Save Workspace», потом жмем ОК.
Вот и все. Мы настроили программу на нужный лад, теперь приступаем к анализу дампов памяти. В программе нажимаем кнопочку «File», потом «Open Crash Dump» и выбираем нужный файл.
Kernel Debuggers начнет анализ файла и после этого выведет результат о причине ошибки.
В появившемся окне можно вводить команды. Если мы введем !analyze –v, то получим больше информации.
Вот и все с этой программой. Чтобы остановить работу отладчика, выберите «Debug» и пункт «Stop Debugging».
Небольшие файлы дампа памяти
В случае сбоя компьютера как узнать, что произошло, устранить проблему и предотвратить ее повторную работу? В этой ситуации может оказаться полезным небольшой файл дампа памяти. Небольшой файл дампа памяти содержит наименьший объем полезной информации, которая может помочь определить, почему компьютер сбой. Файл дампа памяти содержит следующие сведения:
- Сообщение Stop, его параметры и другие данные
- Список загруженных драйверов
- Контекст процессора (PRCB) для остановленного процессора
- Сведения о процессе и контекст ядра (EPROCESS) для остановленного процесса
- Сведения о процессе и контекст ядра (ETHREAD) для остановленного потока
- Стек вызовов в режиме ядра для остановленного потока
Для создания файла дампа памяти Windows требуется файл подкатки на томе загрузки размером не менее 2 мегабайт (МБ). На компьютерах под управлением Microsoft Windows 2000 или более поздней версии Windows создается новый файл дампа памяти при каждом сбое компьютера. История этих файлов хранится в папке. Если возникает вторая проблема и Windows создает второй небольшой файл дампа памяти, Windows сохраняет предыдущий файл. Windows предоставляет каждому файлу отдельное имя файла в кодированной дате. Например, Mini022900-01.dmp — это первый файл дампа памяти, созданный 29 февраля 2000 г. Windows сохраняет список всех небольших файлов дампа памяти в %SystemRoot%Minidump папке.
Небольшой файл дампа памяти может быть полезен, если объем жесткого диска ограничен. Однако из-за ограниченной информации ошибки, которые не были непосредственно вызваны потоком, запущенным во время проблемы, могут не быть обнаружены при анализе этого файла.
Для чего он нужен
Данные «оперативки» и материалы, имеющие отношение к критической ошибке, попадают в файл. При запуске ОС появляется аварийный дамп, где сохраняется запись отладочной информации. Сбой блокирует функционирование ОС, поэтому dump – единственный способ получения данных о ней. Чем точнее в нем будет описана проблема, тем проще пользователю проанализировать ситуацию и найти способы решения по устранению недочетов в работе ОС.
Важно получить информацию на момент сбоя. Создание дампа памяти помогает в этом. Аварийный dump применяется с целью диагностики, позволяет выявить и устранить возникшую ошибку программы.
Как работает опция? Во время запуска ОС создает и сохраняет карту секторов, которые занимает на диске файл подкачки. При сбое в работе проверяется целостность этой карты, а также компонентов структуры. Если они не нарушены, то применяются опции, которые сохраняют образ памяти, записывая данные с использованием сохраненной секторной карты.
При следующем запуске ОС диспетчер инициализирует данные, проверяет наличие в нем файлов .dmp. Далее содержимое копируется из него в файл аварийного дампа, делаются соответствующие записи.
Как настроить создание memory dump
По умолчанию windows при синем экране создает аварийный дамп файл memory.dmp, сейчас покажу как он настраивается и где хранится, я буду показывать на примере Windows Server 2008 R2, так как у меня недавно была задача по изучению вопроса синего экрана в виртуальной машине. Для того чтобы узнать где настроен dump memory windows, открываем пуск и щелкаем правым кликом по значку Компьютер и выбираем свойства.
Как анализировать синий экран dump memory в Windows-Свойства компьютера
Далее идем в пункт Дополнительные параметры системы
Как анализировать синий экран dump memory в Windows-параметры системы
Переходим во вкладку Дополнительно-Загрузка и восстановление. Жмем кнопку Параметры
Как анализировать синий экран dump memory в Windows-Загрузка и восстановление
Советы
- BlueScreenView идеально подходит для тестирования различных программ (например, запустите программу и проверьте, произойдет ли сбой), так как она быстро устанавливается и запускается.
Анализ аварийного дампа утилитой BlueScreenView
Простейшим инструментом для анализа аварийных дампов является утилита BlueScreenView от NirSoft.
Загружаем программу с сайта разработчика.
BlueScreenView сканирует папку с минидампами и отображает информацию по найденным отказам.
По каждому отказу отображается дата, данные об ошибке и драйвер, который предположительно вызвал отказ.
В нижней части окна отображается список загруженных в системе драйверов. Модули, к которым выполнялось обращение в момент отказа, выделены цветом, на них следует обратить особое внимание, они могут быть причиной отказа.
По двойному клику отображается дополнительная информация.
Как отправить дамп в техническую поддержку «Лаборатории Касперского»
Была ли информация полезна?
Да Нет
Спасибо!
Настройка типа дампа
Чтобы настроить параметры запуска и восстановления для использования небольшого файла дампа памяти, выполните следующие действия.
Примечание
Так как существует несколько версий Microsoft Windows, на вашем компьютере могут быть разные действия. Если да, см. документацию по продукту для выполнения этих действий.
-
Нажмите кнопку Пуск и выберите Панель управления.
-
Дважды щелкните “Система” и выберите “Дополнительные параметры системы”.
-
Перейдите на вкладку “Дополнительные” и выберите “Параметры” в области “Запуск и восстановление”.
-
В списке сведений об отладке записи щелкните небольшой дамп памяти (64 КБ).
Чтобы изменить расположение папки для небольших файлов дампа памяти, введите новый путь в поле “Файл дампа” или в каталоге “Небольшой дамп” в зависимости от версии Windows.
Используйте с помощью этой Dumpchk.exe для чтения файла дампа памяти или проверки правильности его создания.
Примечание
Программа проверки дампов не требует доступа к символам отладки. Файлы символов имеют различные данные, которые фактически не нужны при запуске binaries, но которые могут быть очень полезны в процессе отладки.
Дополнительные сведения об использовании программы проверки дампов в Windows NT, Windows 2000, Windows Server 2003 или Windows Server 2008 см. в статье 156280базы знаний Майкрософт “Использование Dumpchk.exe для проверки файла дампа памяти”.
Дополнительные сведения об использовании программы проверки дампов в Windows XP, Windows Vista или Windows 7 см. в статье 315271базы знаний Майкрософт ” Как использовать Dumpchk.exe для проверки файла дампа памяти.
Или можно использовать средство отладки Windows (WinDbg.exe) или отладник ядра (KD.exe) для чтения небольших файлов дампа памяти. WinDbg и KD.exe включены в последнюю версию пакета средств отладки для Windows.
Чтобы установить средства отладки, см. страницу “Загрузка и установка средств отладки для Windows”. Выберите типичную установку. По умолчанию установщик устанавливает средства отладки в следующую папку:
C:Program FilesDebugging Tools for Windows
Эта веб-страница также предоставляет доступ к загружаемым пакетам символов для Windows. Дополнительные сведения о символах Windows см. в отладке с помощью символов и на веб-странице загрузки пакетов символов Windows.
Дополнительные сведения о параметрах файла дампа в Windows см. в обзоре параметров файла дампа памяти для Windows.
Предупреждения
- Компьютерные сбои, особенно «синие экраны смерти» (BSOD), могут случиться по разным причинам — от неисправного приложения до сломанного процессора. Таким образом, даже если вы просмотрите содержимое файла дампа, не факт, что вы найдете причину сбоя.
Шаг 2 — Анализ дампов с помощью утилиты MinDumper
Рассказ об утилите вы найдете в этой статье.
Ранее в этом материале я рекомендовал kdfe.cmd, но MiniDumper проще и удобнее. Сведения о kdfe.cmd остаются тут для истории.
Посмотреть…
Причины появления ошибок в Windows 10 очень разнообразны
— несовместимость подключаемых устройств;
— новые обновления Windows 10;
— несовместимость устанавливаемых драйверов;
— несовместимость устанавливаемых приложений;
— и прочие причины.
Анализ дампа памяти с помощью BlueScreenView
Для анализа различных ошибок и BSoD подойдет и программа BlueScreenView, которая имеет простой интерфейс, поэтому проблем с освоением возникнуть не должно.
Скачайте программу по указанной выше ссылке и установите. После запуска утилиты нужно ее настроить. Зайдите в параметры: «Настройки» – «Дополнительные параметры». Откроется небольшое окошко, в котором есть пару пунктов. В первом пункте нужно указать местонахождение дампов памяти. Обычно они находятся по пути C:WINDOWSMinidump. Тогда просто нажмите кнопку «По умолчанию».
Что можно видеть в программе? У нас есть пункты меню, часть окна с названиями файлов дампов и вторая часть окна – содержимое дампов памяти.
Как я говорил в начале статьи, дампы могут хранить драйвера, сам скриншот «экрана смерти» и другая полезная информация, которая нам может пригодиться.
Итак, в первой части окна, где файлы дампов, выбираем нужный нам дамп памяти. В следующей части окна смотрим на содержимое. Красноватым цветом помечены драйвера, находившиеся в стеке памяти. Как раз они и есть причина синего экрана смерти.
В интернете можно найти все о коде ошибке и драйвере, который может быть виной BSoD. Для этого нажимаем «Файл», а потом «Найти в Google код ошибки + Драйвер».
Можно сделать показ только драйверов, которые были на момент появления ошибки. Для этого нужно нажать «Настройки» – «Режим нижнего окна» – «Только драйвера, найденные в крэш-стеке». Либо нажать клавишу F7.
Чтобы показать скриншот BSoD нажмите клавишу F8. Для показа всех драйверов и файлов нажимаем F6.
Ну вот собственно и все. Теперь вы знаете, как узнать о проблеме «Синего экрана смерти», и в случае чего найти решение в интернете, либо на этом сайте. Можете предлагать свои коды ошибок, а я постараюсь писать для каждой статьи по решению проблемы.
Что такое Зеленый экран смерти GSOD
Также не забывайте задавать вопросы в комментариях.
( 2 оценки, среднее 3 из 5 )
Скачать утилиту BlueScreenView
Скачать прикреплённый файл (39 KB)
Тема на форуме.
Если ничего не помогло.
bsd1
Как удалить этот файл
Если пользователю понадобилось удалить minidump, то выполняет он эту процедуру ручным способом. А именно: перейти по пути месторасположения файлов на диске: C:WindowsMinidump. Для удаления элементов minidump в каталоге Windows нужно воспользоваться встроенным инструментом системы «Очистка диска»:
- Вызвать командную строку.
- Ввести команду Cleanmpg.
- Тапнуть по кнопке очищения системных файлов.
- Найти в списке объекты, касающиеся мини-дампа, поставить галочки.
- Начнется удаление, которое потребует некоторое время.
Если в списке нужных объектов не нашлось, это не означает, что они отсутствуют в системе. Скорей всего, они отключены пользователем или программами по очистке.
Дамп памяти в ОС Windows 10 – инструмент, помогающий диагностировать и устранять причины сбоев и появление BSoD. Если автоматическое создание и сохранение дампов памяти отключено, рекомендуется активировать их. Чаще причиной отключения файлов становятся утилиты для очистки ПК и оптимизации работы системы.