Как посмотреть дамп памяти windows 10?

Решение

Если Вы один из тех, кто, столкнувшись с ошибкой «Memory_Management», может загрузиться на рабочий стол, хотя бы в безопасном режиме, то перед тем, как приступить к выполнению вышеописанных вариантов, следует потратить время на создание точки восстановления.

Сделать это можно следующим образом:

• Откройте «Этот компьютер» и кликом правой кнопкой по пустому месту открывшегося окна вызовите «Свойство»;
• Далее, откройте раздел «Защита системы»;
• Если кнопка «Создать» у вас неактивна, то нажмите на кнопку «Настроить»;
• Установите флажок в строке «Включить защиту системы», и используя ползунок отмерьте максимальный объём свободного пространства, которые вы предоставите системе восстановления для хранения необходимых ей файлов;
• Вернувшись к предыдущему окну, нажмите на кнопку «Создать»;
• Введите название создаваемой точки восстановления;
• Дождитесь появления окна, сигнализирующего об успешном создании точки восстановления и закройте окно «Свойства системы», нажав на кнопку «ОК».

Подробнее о том, как создать точку восстановления мы писали в статье: Как создать образ системы Windows 10

Теперь имея данную «страховку» следует приступить к подтверждению наличия обозначенных выше причин.

Как уже неоднократно говорилось, драйверы вместе с файлами библиотеки динамической компоновки (.dll) наиболее подвержены различным сбоям.

Поэтому первое на что стоит обратить внимание – это проверка корректности используемого драйверного обеспечения операционной системы. Для этого сделайте следующее:. Для этого сделайте следующее:

Для этого сделайте следующее:

• Нажмите сочетание клавиш «WIN+R» и выполните команду «verifier»;
• Перед вами откроется окно штатной утилиты «Диспетчер проверки драйверов»;
• Из представленных вариантов выберите пункт «Создать нестандартные параметры (для кода программ)» и нажмите «Далее»;
• Откроется список параметров диагностики, среди которых необходимо найти и отметить галочкой:
  • «Особый пул»;
  • «Отслеживание пула»;
  • «Обязательная проверка IRQL»;
  • «Обнаружение взаимоблокировок»;
  • «Проверки безопасности»;
  • «Проверка соответствия требованиям DDI»;
  • «Прочие проверки».
• В следующем шаге отметьте «Выбрать имя драйвера из списка» и дождитесь завершения загрузки информации;
• Полученные результаты отсортируйте по столбцу «Поставщик» и отметьте галочкой все варианты, которые поставляются не компанией «Microsoft»;
• Нажмите на кнопку «Готово» и перезагрузите компьютер, для инициирования созданной проверки.

Следует учитывать, что данная проверка будет запускаться автоматически до момента её отключения. Но если в результате проверки будут найдены ошибки, препятствующие входу, то система может выдать «BSOD» и уйти в циклическую перезагрузку, что будет продолжаться до бесконечности.

Если в вашем случае ситуация развивается именно таким образом, то во время очередного старта Windows постоянно нажимайте на клавишу «F8» и далее:

• Выберите раздел «Диагностика»;
• Далее «Дополнительные параметры» — «Восстановление при загрузке» — «Перезагрузить»;
• Отметьте параметр «Безопасный режим с поддержкой командной строки»;
• Дождитесь появления консоли командной строки и поочерёдно выполните две команды:
  • «verifier /reset» — для деактивации автоматической диагностики драйверов;
  • «shutdown -r -t 0» — для инициирования перезагрузки компьютера.

Альтернативным вариантом является использования ранее созданной точки восстановления , для отката конфигурации системы до активации проверки драйверов.

На этом список дел не заканчивается. Отключенная утилита диагностики по факту своей работы создала определённый файл, который находится в папке «C:\windows\ minidump». В нём содержится прямое указание на драйверы, имеющие в своей структуре какие-либо ошибки.

Открыть файл с подобным форматом можно и средствами операционной системы с помощью официальной утилиты «Debugging Tools for Windows», которая доступна для скачивания на официальном сайте «Microsoft», но выводимая информация будет сложна для восприятия.

Поэтому лучшим вариантом будет воспользоваться сторонним специализированным программным обеспечением, например, «BlueScreenView». Программа распознает файл дампа памяти и выведет информацию в максимально понятной интерпретации, выделив сбойный драйвер розовым цветом.

Останется только удалить «виновника» и провести его ручное обновление/установку, скачав с официального сайта разработчиков.

Установка WinDBG в Windows

Утилита WinDBG входит в «Пакет SDK для Windows 10» (Windows 10 SDK). Скачать можно здесь.

Файл называется winsdksetup.exe, размер 1,3 МБ.

WinDBG для Windows7 и более ранних систем включен в состав пакета «Microsoft Windows SDK for Windows 7 and .NET Framework 4». Скачать можно здесь.

Запустите установку и выберите, что именно нужно сделать – установить пакет на этот компьютер или загрузить для установки на другие компьютеры. Установим пакет на локальный компьютер.

Можете установить весь пакет, но для установки только инструмента отладки выберите Debugging Tools for Windows.

После установки ярлыки WinDBG можно найти в стартовом меню.

Чем открыть файл в формате dmp

Расширение DMP может быть нескольких основных исполнений, в частности:

DMP формат является dump-файлом, генерируемым ОС в автоматическом режиме в результате появления какой-либо критической ошибки. Это своеобразный скриншот памяти устройства в момент, когда ОС дает сбой. Dump-файл с ошибкой ОС имеет формат mini000000-00.dmp, где в наименовании указывается конкретный месяц, год и дата фиксации сбоя.

Для непосредственной генерации дампа, а не просто перезагрузки ОС, следует выполнить следующую последовательность действий:

• перейти по пути “мой компьютер – свойства – восстановление компонентов – параметры”;
• снять закладку ”перезагрузка”;
• во вкладке “запись отладочных данных” пользователю предоставляется выбрать вид дамп-файла, и каталог, где он будет сгенерирован.

В случае, если DMP файл занимает значительное место дискового пространства, их допускается удалять. Данная процедура никак не повлияет на работоспособность ОС.

• формат DMP – результат деятельности программного комплекса баз данных ORACLE. Такой файл предназначен для резервного хранения схем и БД (актуально только на момент его генерации).
• dump-файл программы Steam. Предназначен для контроля и управления над игровыми приложениями.
• DMP формат – файл-карта, как результат генерации утилиты Dream Maker.

Для чего нужен дамп памяти Windows 10?

Дамп памяти windows 10 является своеобразным чёрным ящиком. При аварии в системе информация, хранящаяся в нём, поможет детально изучить причины возникновения системного сбоя. Данный сбой, как правило, полностью останавливает работу операционной системы. Поэтому дамп памяти — это единственный и самый верный способ получения сведений о любом сбое в системе. И его получение — это фактический слепок информации, находящейся в системе.

Чем более точно содержимое дампа памяти будет отражать происходившее в системе на момент сбоя, тем проще будет при анализе аварийной ситуации и дальнейших действиях по её исправлению.

Крайне важно получить актуальную копию именно в тот момент, который был непосредственно перед сбоем. И единственный способ это сделать — создать аварийный дамп памяти Windows 10

Как включить дампы

В Windows 7:

1. Запускаем Мой компьютер и в свободном месте нажимаем правой кнопочкой мышки, выбираем пункт «Свойства».
2. В открывшемся окошке о системе слева переходим в раздел «Дополнительные параметры системы».
3. На следующем этапе переходим на вкладку «Дополнительно» и щелкаем по третьей кнопке «Параметры» в области «Загрузка и восстановление».
4. Настраиваем параметры по вашему желанию. Обязательно должен быть выбран какой-либо тип.
5. Нажимаем ОК.

В Windows 8 и 10:

Здесь процесс немного похож, в сведения о системе можно попасть точно также, как в Windows 7. В «Десятке» обязательно открываем «Этот компьютер», нажимаем по свободному месту правой кнопочкой мышки и выбираем «Свойства». По-другому туда можно попасть через Панель управления.

Второй вариант для Windows 10:

Следует заметить, что в новых версиях Windows 10 появились новые пункты, которых не было в «семерке»:

• Малый дамп памяти 256 КБ – минимальные данные о сбое.
• Активный дамп – появился в десятой версии системы и сохраняет только активную память компьютера, ядра системы и пользователя. Рекомендуется использовать на серверах.

Ручное создание дампа памяти

Выше мы описывали настройки для автоматического создания аварийных дампов системы в случае возникновения критической ошибки, то есть необрабатываемого исключения в коде ядра. Но ведь в реальной жизни, помимо падения операционной системы, существуют ситуации, когда необходимо получить дамп памяти системы в конкретный момент времени. Как быть в этом случае? Существуют методы получения мгновенной копии всей физической памяти, например с помощью команды.dump в отладчиках WinDbg/LiveKD. LiveKD — программа, позволяющая запускать отладчик ядра Kd в функционирующей системе в локальном режиме. В отладчике WinDbg тоже имеется подобная возможность. Однако метод получения дампа «на лету» не точен, поскольку дамп создается в этом случае «противоречивый», так как для создания дампа требуется время, а в случае использования отладчика режима ядра система продолжает работать и вносить изменения в страницы памяти.

В момент критического сбоя операционная система Windows прерывает работу и показывает синий экран смерти (BSOD). Содержимое оперативной памяти и вся информация о возникшей ошибке записывается в файл подкачки. При следующей загрузке Windows создается аварийный дамп c отладочной информацией на основе сохраненных данных. В системном журнале событий создается запись о критической ошибке.

Внимание!
Аварийный дамп не создается, если отказала дисковая подсистема или критическая ошибка возникла на начальной стадии загрузки Windows

Анализ креш-дампов памяти Windows

Как часто Вам приходится лицезреть экран смерти Windows (BSoD)? BSoD может возникать в разных случаях: как уже при работе с системой, так и в процессе загрузки операционной системы. Как же определить, чем вызвано появление BSoD и устранить эту проблему? Операционная система Windows способна сохранять дамп памяти при появлении ошибки, чтобы системный администратор мог проанализировать данные дампа и найти причину возникновения BSoD.

Существует два вида дампов памяти — малый (minidump) и полный. В зависимости от настроек операционной системы, система может сохранять полный или малый дампы, либо не предпринимать никаких действий при возникновении ошибки.

Малый дамп располагается по пути %systemroot%minidump и имеет имя вроде Minixxxxxx-xx.dmp Полный дамп располагается по пути %systemroot% и имеет имя вроде Memory.dmp

Для анализа содержимого дампов памяти следует применять специальную утилиту — Microsoft Kernel Debugger. Получить программу и компоненты, необходимые для ее работы, можно напрямую с сайта Microsoft — Debugging Tools

При выборе отладчика следует учитывать версию операционной системы, на которой Вам придется анализировать дампы памяти. Для 32-разрядной ОС необходима 32-битовая версия отладчика, а для 64-разрядной ОС предпочтительно использовать 64-битовую версию отладчика.

Помимо самого пакета Debugging Tools for Windows, также понадобятся набор отладочных символов — Debugging Symbols. Набор отладочных символов специфичен для каждой ОС, на которой был зафиксирован BSoD. Потому придется загрузить набор символов для каждой ОС, анализировать работу которой Вам придется. Для 32-разрядной Windows XP потребуются набор символов для Windows XP 32-бит, для 64-разрядной ОС потребуются набор символов для Windows XP 64-бит. Для других ОС семейства Windows наборы символов подбираются сообразно такому же принципу. Загрузить отладочные символы можно отсюда. Устанавливать их рекомендуется по адресу %systemroot%symbols

После установки отладчика и отладочных символов, запускаем отладчик. Окно отладчика после запуска выглядит следующим образом.

Перед анализом содержимого дампа памяти, потребуется провести небольшую настройку отладчика. Конкретно — сообщить программе, по какому пути следует искать отладочные символы. Для этого выбираем в меню File > Symbol File Path… Нажимаем кнопку Browse… и указываем папку, в которую мы установили отладочные символы для рассматриваемого дампа памяти.

Можно запрашивать информацию о требуемых отладочных символах прямо через Интернет, с публичного сервера Microsoft. Таким образом у вас будет самая новая версия символов. Сделать это можно следующим образом — в меню File > Symbol File Path… вводим: SRV*%systemroot%symbols*http://msdl.microsoft.com/download/symbols

После указания пути к отладочным символам, выбираем в меню File > Save workspace и подтверждаем действие нажатием на кнопку OK.

Чтобы приступить к анализу дампа памяти, выбираем в меню File > Open Crash Dump… и выбираем требуемый для рассмотрения файл.

Система проведет анализ содержимого, по окончанию которого выдаст результат о предполагаемой причине ошибки.

Завершить отладку можно выбором пункта меню Debug > Stop Debugging

Таким образом, используя пакет Debugging Tools for Windows, всегда можно получить достаточно полное представление о причинах возникновения системных ошибок.

Небольшие файлы сброса памяти

Если компьютер сбои, как вы можете узнать, что произошло, устранить проблему и предотвратить ее снова? В этой ситуации может оказаться полезным небольшой файл сброса памяти. Небольшой файл сброса памяти содержит наименьшее количество полезных сведений, которые помогут определить причины сбоя компьютера. Файл сброса памяти содержит следующие сведения:

• Сообщение Stop, его параметры и другие данные
• Список загруженных драйверов
• Контекст процессора (PRCB) для остановленного процессора
• Сведения о процессе и контекст ядра (EPROCESS) для остановленного процесса
• Сведения о процессе и контекст ядра (ETHREAD) для остановленного потока
• Стек вызовов в режиме ядра для остановленного потока

Для создания файла сброса памяти Windows требуется файл paging в томе загрузки размером не менее 2 мегабайт (МБ). На компьютерах с Microsoft Windows 2000 или более поздней версии Windows создается новый файл сброса памяти при каждом сбое компьютера. История этих файлов хранится в папке.

Если возникает вторая проблема и если Windows создает второй небольшой файл сброса памяти, Windows сохраняет предыдущий файл. Windows предоставляет каждому файлу отдельное имя файла с кодированной датой. Например, Mini022900-01.dmp — это первый файл сброса памяти, созданный 29 февраля 2000 г. Windows сохраняет список всех небольших файлов сброса памяти в %SystemRoot%Minidump папке.

Небольшой файл сброса памяти может быть полезен при ограниченном пространстве жесткого диска. Однако из-за ограниченной информации, которая включена, ошибки, которые не были непосредственно вызваны потоком, который был запущен во время проблемы, не могут быть обнаружены при анализе этого файла.

Настраиваем дамп памяти windows 10

И так, что же такое дамп памяти в операционной системе Windows 10 Redstone . Выше я вам описал, очень частую причину при которой появляется дамп памяти системы и это синие экраны смерти. Причины их появления очень обширны:

• Не совместимость приложений
• Не совместимость драйверов
• Новые обновления Windows
• Не совместимость устройств

Это лишь маленький обобщенный список, так как кодов ошибок от синих экраном, целая тьма, приведу самые последние из них.

Наша с вами задача, уметь найти эти файлы для диагностики и уметь их интерпретировать, для получения информации о проблеме.

Где настраивается аварийный дамп памяти windows 10

Для начала давайте разберемся, где производится настройка, которая отвечает за аварийный дамп памяти windows 10. Щелкаете правым кликом по кнопке пуск Windows 10 и из контекстного меню выбираете пункт Система.

В открывшемся окне Система, вы в левом верхнем углу выбираете Дополнительные параметры Системы.

Именно тут и настраивается дамп памяти windows 10. жмем пункт параметры в Загрузка и восстановление.

Из настроек, дампа памяти windows 10, хочу отметить следующие:

• Запись события в системный журнал > тут информация о синем экране будет добавлена в логи операционной системы.
• Выполнить автоматическую перезагрузку > чтобы продолжить после ошибки работу
• Запись отладочной информации > позволяет выбрать вид дамп файла, об этом ниже.
• Заменить существующий файл дампа, полезная галка, так как данные дампы могут весить десятки гигабайт, очень критично для маленьких ссд дисков.

Виды дампов памяти

Давайте рассмотрим, чем же отличаются варианты записи отладочной информации

Малый дамп памяти 256 кб: Файлы малого дампа памяти содержат следующие сведения:

– сообщение о неустранимой ошибке, ее параметры и прочие данные;

– список загруженных драйверов;

– контекст процессора (PRCB
), на котором произошел сбой;

EPROCESS
) для процесса, вызвавшего ошибку;

– сведения о процессе и контекст ядра (ETHREAD
) для потока, вызвавшего ошибку;

– стек вызовов в режиме ядра для потока, вызвавшего ошибку.

Его используют, когда у вас очень мало дискового пространства на вашем локальном диске. За счет этого мы жертвуем полезной информацией, которой может не хватить для диагностики синего экрана.

Хранится мини дамп по пути C:\Windows\Minidump

• Дамп памяти ядра > записывает только память ядра. В зависимости от объема физической памяти ПК в этом случае для файла подкачки требуется от 50 до 800 МБ
  или одна треть физической памяти компьютера на загрузочном томе.
• Полный дамп памяти > ну тут и так все понятно из названия. Пишет абсолютно все, это максимальная информация о синем экране, дает сто процентную диагностику проблемы.

Располагается по пути C:\Windows\Memory.dmp

Активный дамп памяти > сюда попадает активная память хостовой машины, это функция больше для серверных платформ, так как они могут использоваться для виртуализации, и чтобы в дамп не попадала информация о виртуальных машинах , придумана данная опция.

Windows очень хрупкое творение и чуть что, любое неправильное действие со стороны пользователя влечёт возникновение критических ошибок, и не очень. Узнать информацию по синим экранам смерти, являющимися теми самыми критическими проблемами, помогают сведения, написанные на самом экране, а ещё специальные файлы дампы памяти – сохраняющие данные о причинах появления BsoD. Настоятельно рекомендую включать эту функцию, так как никто не застрахован от появления синего экрана, даже опытный пользователь.

Сами дампы памяти обычно хранятся по пути C:\Windows\MEMORY.DMP, либо C:\Windows\Minidump – где хранятся так называемые малые дампы памяти. Кстати говоря, малый дамп памяти будет тем файлом, который поможет узнать причину появления BsoD.

Обычно создание дампов памяти в Windows 10 по умолчанию отключено, а значит, использование специальных утилит для проверки файлов дампов не даст положительного результата. Давайте приступим непосредственно к действиям.

Файл подкачки и размеры, практика: какие правильные и почему

В ходе годовой практики я вывел ряд цифр для каждого количества памяти, чтобы можно было адекватно выставлять файл подкачки, опираясь на кол-во оперативки. Вот они.

• 512 Mb оперативной памяти, — оптимальный размер файла подкачки от 5012-5012 Mb;
• 1024 Mb оперативной памяти, — оптимальный размер файла подкачки от 4012-4012 Mb;
• 2048 Mb оперативной памяти, — оптимальный размер файла подкачки от 3548-3548 Mb;
• 4096 Mb оперативной памяти, — оптимальный размер файла подкачки от 3024-3024 Mb;
• 8 Гб оперативной памяти, — оптимальный размер файла подкачки от 2016-2016 Mb;
• 16 Гб оперативной памяти (и больше), — чаще всего, без файла подкачки.

Фактически, — чем больше у Вас оперативной памяти, — тем меньше Вам нужен файл подкачки и тем быстрее будет работать система вообще без него (засчет снижения обращения к диску, а так же выгрузки данных туда, т.е непосредственно всё будет браться прямо из памяти).

Примечание 1. Данные размерности не являются предельно точными и рекомендуемыми всем. Скорее это некое среднее значение для большинства, но всё зависит от того насколько вообще оптимизирована Ваша система, чем Вы занимаетесь на компьютере, в каком режиме и тд и тп, т.е файл подкачки конкретно для себя Вы можете подбирать исходя из потребностей и увеличивать/уменьшать значение при необходимости.

Примечание 2. Некоторые приложения (игры, софт, etc) требуют файл подкачки в обязательном порядке, независимо от количества памяти. В этом случае файл стоит оставлять даже при 16 ГБ. Даже больше (на порядки), чем значения указанные выше.

Примечание 3

Файл подкачки нужен в больших (отличном от вышеуказанных) размерах, если Вы сворачиваете приложения и переключаетесь на другие, оставляя приложение(я) запущенным (это важно), т.к часто выгрузка свернутых приложений происходит в этот самый файл. В этом случае увеличивайте подкачку.

Или добавляйте память

Примечание 4. Рекомендации не относятся к серверным операционным системам и касаются строго пользовательских ОС.

Лично моё мнение таково, что при превышении количества оперативной памяти в 6 Гб файл подкачки не нужен вообще, что дает ощутимый рывок в производительности системы, продлении срока жизни жесткого диска и снижении фрагментации оного.

Для тех кто забыл, напоминаю, что, например в Windows 7 файл подкачки меняется по этому пути: «Пуск — Настройка — Панель управления  — Система — Дополнительные параметры системы — Дополнительно — Быстродействие — Параметры» (в панели управлении включите мелкие значки, чтобы увидеть категорию «Система»)

Анализ дампа памяти

Рейтинг:   / 303

Просмотров: 726103

Общие сведения об аварийном дампе памяти

Все Windows-системы при обнаружении фатальной ошибки делают аварийный дамп (снимок) содержимого оперативной памяти и сохраняет его на жесткий диск. Существуют три типа дампа памяти:

Полный дамп памяти – сохраняет все содержимое оперативной памяти. Размер снимка равен размеру оперативной памяти + 1 Мб (заголовок). Используется очень редко, так как в системах с большим объемом памяти размер дампа будет слишком большим.

Дамп памяти ядра – сохраняет информацию оперативной памяти, касающуюся только режима ядра. Информация пользовательского режима не сохраняется, так как не несет в себе информации о причине краха системы. Объем файла дампа зависит от размера оперативной памяти и варьируется от 50 Мб (для систем с 128 Мб оперативной памяти) до 800 Мб (для систем с 8 Гб оперативной памяти).

Малый дамп памяти (мини дамп) – содержит довольно небольшое количество информации: код ошибки с параметрами, список драйверов загруженных в оперативную память на момент краха системы и т.д., но этих сведений достаточно, для определения сбойного драйвера. Еще одним преимуществом данного вида дампа является маленький размер файла.

Настройка системы

Для выявления драйвера вызвавшего синий экран нам достаточно будет использовать малый дамп памяти. Для того чтобы система при крахе сохраняла мини дамп необходимо выполнить следующие действия:

Для Windows Xp	Для Windows 7
Правой клавишей мыши нажать на значке Мой компьютер из контекстного меню выберите Свойства (или комбинация клавиш Win+Pause); Переходите на вкладку Дополнительно; В поле Загрузка и восстановление необходимо нажать кнопку Параметры; В поле Запись отладочной информации выбираем Малый дамп памяти (64 Кб).	Правой клавишей мыши нажать на значке Компьютер из контекстного меню выберите Свойства (или комбинация клавиш Win+Pause); В левом меню щелкаем на пункт Дополнительные параметры системы; Переходите на вкладку Дополнительно; В поле Загрузка и восстановление необходимо нажать кнопку Параметры; В поле Запись отладочной информации выбираем Малый дамп памяти (128 Кб).

Проделав все манипуляции, после каждого BSoD в папке C:\WINDOWS\Minidump будет сохраняться файл с расширение .dmp. Советую ознакомиться с материалом «Как создать папку». Также можно установить галочку на “Заменить существующий файл дампа”. В этом случае каждый новый аварийный дамп будет записываться поверх старого. Я не советую включать данную опцию.

Анализ аварийного дампа памяти с помощью программы BlueScreenView

Программа состоит из трех основных блоков:

1. Блок главного меню и панель управления;
2. Блок списка аварийных дампов памяти;
3. В зависимости от выбранных параметров может содержать в себе:

• список всех драйверов находящихся в оперативной памяти до появления синего экрана (по умолчанию);
• список драйверов находящихся в стеке оперативной памяти;
• скриншот BSoD;
• и другие значения, которые мы использовать не будем.

В блоке списка дамп памяти (на рисунке помечен цифрой 2) выбираем интересующий нас дамп и смотрим на список драйверов, которые были загружены в оперативную память (на рисунке помечен цифрой 3). Розовым цветом окрашены драйвера, которые находились в стеке памяти. Они то и являются причиной появления BSoD. Далее переходите в Главное меню драйвера, определяйте к какому устройству или программе они принадлежат

В первую очередь обращайте внимание на не системные файлы, ведь системные файлы в любом случае загружены в оперативной памяти. Легко понять, что на изображении сбойным драйвером является myfault.sys. Скажу, что это программа была специально запущена для вызова Stop ошибки

После определения сбойного драйвера, необходимо его либо обновить, либо удалить из системы

Скажу, что это программа была специально запущена для вызова Stop ошибки. После определения сбойного драйвера, необходимо его либо обновить, либо удалить из системы.

Для того чтобы программа показывала список драйверов находящихся в стеке памяти во время возникновения BSoD необходимо зайти в пункт меню “Options” кликаем на меню “LowerPaneMode” и выбираем “OnlyDriversFoundInStack” (или нажмите клавишу F7), а для показа скриншота ошибки выбираем “BlueScreeninXPStyle” (F8). Что бы вернуться к списку всех драйверов, необходимо выбрать пункт “AllDrivers” (F6).

Буду признателен, если воспользуетесь кнопочками:

Добавить комментарий

Как открыть ваш файл DUMP:

Самый быстрый и легкий способ открыть свой файл DUMP — это два раза щелкнуть по нему мышью. В данном случае система Windows сама выберет необходимую программу для открытия вашего файла DUMP.

В случае, если ваш файл DUMP не открывается, весьма вероятно, что на вашем ПК не установлена необходимая прикладная программа для просмотра или редактирования файлов с расширениями DUMP.

Если ваш ПК открывает файл DUMP, но в неверной программе, вам потребуется изменить настройки ассоциации файлов в вашем реестре Windows. Другими словами, Windows ассоциирует расширения файлов DUMP с неверной программой.

Дамп памяти Windows и Синий Экран Смерти

Итак, если компьютер внезапно перезагружается или зависает, а cиний экран смерти не появляется или появляется на долю секунды, то все равно информацию о причинах сбоя можно восстановить.

Дело в том, что операционная система в момент сбоя сохраняет содержимое оперативной памяти в так называемый дамп-файл (имеет расширение .dmp). В дальнейшем файл дампа можно будет проанализировать и получить туже самую информацию, что и на синем экране и даже чуть больше.

Но создание дампов может быть отключено в системе, поэтому стоит убедиться, что, во-первых, система создает дампы при сбоях, а, во-вторых, стоит узнать место на диске, куда они сохраняются.

Для этого нужно зайти в раздел Система.

В Windows 10 это можно сделать через поиск, а в предыдущих версиях операционной системы через Панель управления.

Далее переходим в Дополнительные параметры, а затем на вкладке Дополнительно переходим в Параметры раздела Загрузка и восстановление.

Здесь должна быть включена запись событий в системный журнал, ну а чтобы компьютер автоматически не перезагружался и отображал нам содержимое синего экрана смерти, нужно отменить автоматическую перезагрузку, если она была включена.

Также здесь отображается путь к дампам — мы видим, что дамп сохраняется в папку %SystemRoot% — это обозначение папки Windows.

Также здесь можно выбрать «малый дамп памяти», которого будет вполне достаточно для поиска кодов ошибки.

Итак, система вылетела в синий экран смерти, после чего был создан дамп памяти.

Для анализа дампов существуют специальные программы и одной из самых популярных является утилита BlueScreenView.

Программа очень проста в использовании и не требует установки — скачиваем с официального сайта и разархивируем. При этом с официального сайта можно скачать файл, с помощью которого можно русифицировать программу. Для этого данный файл нужно будет поместить в папку с разархивированной программой.

Если после запуска в программе не отображаются дампы, хотя система «срывалась» в синий экран смерти, то стоит зайти в настройки программы и убедиться, что путь к дампам памяти указан верно, то есть он должен быть таким же, как и в настройках системы.

После этого нужно обновить информацию в окне программы и все созданные в системе дампы отобразятся. Если дампов несколько, то, ориентируемся по дате сбоя. Выбираем нужный дамп, а затем появится подробная информация по нему.

Здесь выводится название ошибки, ее STOP-код с параметрами и если причиной стал драйвер, то в соответствующем поле мы обнаружим его название.

Также в нижней части окна программы розовым будут выделяться файлы, которые также могли стать причиной сбоя. Придется по порядку разбираться с каждым из них. Алгоритм здесь аналогичен рассмотренному в прошлой заметке — ищем решение в интернете, а в качестве поискового ключа используем название файла или код ошибки.

При этом не обязательно вручную вводить данные в поисковик. Если щелкнуть правой кнопкой мыши по строке дампа, то из контекстного меню можно выбрать пункт, который позволит найти в Гугле описание именно этой проблемы.

Можно выбрать поиск в Гугл по коду ошибки, по коду ошибки и названию драйвера или по коду ошибки и параметру.

Также с помощью этой утилиты можно быстро найти местоположение проблемного файла на диске.

Иногда бывает, что файл, вызвавший проблему, принадлежит какой-то программе или игре. По местоположению файла на диске можно быстро определить, к какой именно программе или игре он относится.

Ну и стоит знать, что чистильщики вроде Ccleaner удаляют дампы памяти, поэтому если вы пользуетесь подобными программами, то на время выявления причины появления синего экрана смерти, стоит воздержаться от их использования.

И последний вопрос, на который я отвечу в рамках этой заметки — что делать, если после появления синего экрана компьютер более не запускается? То есть компьютер зависает или постоянно перегружается, а значит нет возможности проанализировать дамп памяти.

Ответ логичен и прост — нужно создать загрузочную флешку, с помощью которой «вытянуть» файл дампа с жесткого диска и проанализировать его на другом компьютере. Для этого загружаемся с флешки и на жестком диске компьютера в папке Windows или в подпапке minidump находим файл дампа, который копируем на флешку. Затем на другом компьютере с помощью утилиты BlueScreenView анализируем дамп, как было рассказано в этой заметке.

Дамп памяти ядра (kernel memory dump)

Данный тип дампа содержит копию всей памяти ядра на момент сбоя.Состав:

• Список исполняющихся процессов.
• Состояние текущего потока.
• Страницы памяти режима ядра, присутствующие в физической памяти в момент сбоя: память драйверов режима ядра и память программ режима ядра.
• Память аппаратно-зависимого уровня (HAL).
• Список загруженных драйверов.

В дампе памяти ядра отсутствуют нераспределенные страницы памяти и страницы пользовательского режима. Согласитесь, ведь маловероятно, что страницы процесса пользовательского режима будут нам интересны при системном сбое (BugCheck), поскольку обычно системный сбой инициируется кодом режима ядра.

Размещение: %SystemRoot%MEMORY.DMP. Предыдущий дамп перезаписывается.Объем: Варьируется в зависимости от размера адресного пространства ядра, выделенной операционной системой и количества драйверов режима ядра. Обычно, требуется около трети объема физической памяти в файле подкачки (либо в файле, указанном в DedicatedDumpFile). Может варьироваться.