hogar › Problemas › Grabación de información de depuración para Windows 10, qué instalar. Cómo utilizar un volcado de memoria para determinar el controlador que causa el BSOD. Configurar un servidor de símbolos de depuración en WinDBG

Grabación de información de depuración para Windows 10, qué instalar. Cómo utilizar un volcado de memoria para determinar el controlador que causa el BSOD. Configurar un servidor de símbolos de depuración en WinDBG

Hola amigos, hoy discutiremos un tema interesante que les ayudará en el futuro cuando pantalla azul muerte (BSoD).

Como yo, muchos otros usuarios tuvieron que observar la aparición de una pantalla con un fondo azul en el que había algo escrito (blanco sobre azul). Este fenómeno indica un problema crítico, como en software, por ejemplo, un conflicto de controladores o un mal funcionamiento físico de algún componente del ordenador.

Recientemente volví a tener un problema de pantalla azul en Windows 10, pero lo solucioné rápidamente y te lo contaré pronto.

Por lo tanto, la mayoría de los usuarios no saben que BSoD se puede analizar para luego comprender los problemas de error críticos. Para tal Casos de Windows crea archivos especiales en el disco; los analizaremos.

Hay tres tipos de volcado de memoria:

Volcado de memoria completa– esta función le permite guardar completamente el contenido memoria de acceso aleatorio. Rara vez se usa, porque imagina que tienes 32 GB de RAM, con un volcado completo, todo este volumen se almacenará en el disco.

Volcado de memoria– guarda información del modo kernel.

Pequeño volcado de memoria– guarda una pequeña cantidad de información de error y componentes cargados que estaban presentes en el momento en que ocurrió el mal funcionamiento del sistema. Usaremos este tipo de volcado porque nos dará suficiente información sobre el BSoD.

La ubicación del volcado pequeño y completo es diferente; por ejemplo, el volcado pequeño se encuentra en la siguiente ruta: %systemroot%\minidump.

El volcado completo está aquí: %systemroot%.

Para analizar volcados de memoria, existen varios programas, pero usaremos dos. El primero es Microsoft Kernel Debuggers, como su nombre indica, una utilidad de Microsoft. Puedes descargarlo desde el sitio web oficial. El segundo programa es BlueScreenView, un programa gratuito, descárgalo desde aquí.

Análisis de un volcado de memoria utilizando los depuradores del kernel de Microsoft

Para diferentes versiones de sistemas, necesita descargar un tipo diferente de utilidad. Por ejemplo, para 64 bits Sistema operativo, necesita un programa de 64 bits, para un programa de 32 bits, una versión de 32 bits.

Eso no es todo, necesitas descargar e instalar el paquete de símbolos de depuración necesarios para el programa. Se llama Símbolos de depuración. Cada versión de este paquete también se descarga bajo un sistema operativo específico, primero averigüe qué sistema tiene y luego descárguelo. Para que no tengas que buscar estos símbolos por ningún lado, aquí te dejamos el enlace de descarga. La instalación debe realizarse preferentemente en esta ruta: %systemroot%\symbols.

Ahora puedes iniciar nuestro depurador, cuya ventana se verá así:

Antes de analizar los volcados, configuraremos algo en la utilidad. Primero, debemos decirle al programa dónde instalamos los símbolos de depuración. Para hacer esto, haga clic en el botón "Archivo" y seleccione el elemento "Ruta del archivo de símbolos", luego especifique la ruta a los símbolos.

El programa te permite extraer símbolos directamente de la web, por lo que ni siquiera tienes que descargarlos (perdón por aquellos que ya los descargaron). Se tomarán de un servidor de Microsoft, por lo que todo está seguro. Por lo tanto, debe abrir "Archivo" nuevamente, luego "Ruta del archivo de símbolo" e ingresar el siguiente comando:

SRV*%systemroot%\symbols*http://msdl.microsoft.com/download/symbols

Así, le indicamos al programa que los símbolos debían tomarse de la red. Una vez que hayamos hecho esto, haga clic en "Archivo" y seleccione "Guardar espacio de trabajo", luego haga clic en Aceptar.

Eso es todo. Hemos configurado el programa de la forma correcta, ahora comenzamos a analizar los volcados de memoria. En el programa, presione el botón "Archivo", Entonces "Abrir volcado de emergencia" y seleccione el archivo deseado.

Los depuradores del kernel comenzarán a analizar el archivo y luego generarán un resultado sobre la causa del error.

En la ventana que aparece, puede ingresar comandos. si entramos !analizar –v, entonces obtendremos más información.

Eso es todo con este programa. Para detener el depurador, seleccione "Depurar" y el elemento "Detener depuración".

Analizando un volcado de memoria usando BlueScreenView

El programa BlueScreenView también es adecuado para analizar diversos errores y BSoD, tiene una interfaz sencilla, por lo que no debería haber problemas para dominarlo.

Descargue el programa desde el enlace de arriba e instálelo. Después de iniciar la utilidad, debe configurarla. Vaya a los parámetros: “Configuración” – “ Opciones adicionales" Se abrirá una pequeña ventana con un par de elementos. En el primer párrafo, debe indicar la ubicación de los volcados de memoria. Suelen estar ubicados en la ruta C:\WINDOWS\Minidump. Luego simplemente haga clic en el botón "Predeterminado".

¿Qué puedes ver en el programa? Tenemos elementos de menú, una parte de la ventana con los nombres de los archivos de volcado y la segunda parte de la ventana: el contenido de los volcados de memoria.

Como dije al principio del artículo, los volcados pueden almacenar controladores, la captura de pantalla de la propia “pantalla de la muerte” y otra información útil que nos puede resultar útil.

Entonces, en la primera parte de la ventana, donde están los archivos de volcado, seleccione el volcado de memoria que necesitamos. En la siguiente parte de la ventana miramos el contenido. Los controladores ubicados en la pila de memoria están marcados en color rojizo. Son precisamente los causantes de la pantalla azul de la muerte.

En Internet puede encontrar todo sobre el código de error y el controlador que puede ser el culpable del BSoD. Para hacer esto, haga clic en "Archivo" y luego "Buscar código de error + Controlador en Google".

Puede mostrar solo los controladores que estaban presentes en el momento en que ocurrió el error. Para hacer esto, haga clic en "Configuración" - "Modo de ventana inferior" - "Solo se encuentran controladores en la pila de fallas". O presione la tecla F7.

Para mostrar la captura de pantalla de BSoD, presione F8.

Para mostrar todos los controladores y archivos, presione F6.

Bueno eso es todo. Ahora ya sabe cómo averiguar sobre el problema de la pantalla azul de la muerte y, si sucede algo, busque una solución en Internet o en este sitio. Puede ofrecer sus códigos de error e intentaré escribir para cada artículo para resolver el problema.

Además, no olvides hacer preguntas en los comentarios.

Seguiré hablando de la pantalla azul de la muerte, en la que comencé.

Entonces, si la computadora se reinicia o se congela repentinamente y la pantalla azul de la muerte no aparece o aparece durante una fracción de segundo, aún se puede restaurar la información sobre las causas de la falla.

El hecho es que el sistema operativo en el momento de la falla guarda el contenido de la RAM en el llamado archivo de volcado(tiene extensión .dmp). En el futuro, el archivo de volcado se podrá analizar y obtener la misma información que en la pantalla azul e incluso un poco más.

Pero la creación de volcados se puede desactivar en el sistema, por lo que debes asegurarte de que, en primer lugar, el sistema cree volcados cuando falla y, en segundo lugar, debes conocer la ubicación en el disco donde se guardan.

Para hacer esto necesitas ir a la sección. Sistema.

En Windows 10 esto se puede hacer mediante la búsqueda, y en Versión anterior sistema operativo a través del Panel de control.

Aquí se debe habilitar la grabación de eventos en el registro del sistema, pero para evitar que la computadora se reinicie automáticamente y nos muestre el contenido de la pantalla azul de la muerte, es necesario cancelar el reinicio automático si estaba habilitado.

Aquí también se muestra la ruta a los volcados; vemos que el volcado se guarda en la carpeta %SystemRoot%; esta es la designación de la carpeta de Windows.

También puede seleccionar aquí "volcado de memoria pequeña", que será suficiente para buscar códigos de error.

Entonces, el sistema cayó en la pantalla azul de la muerte, después de lo cual se creó un volcado de memoria.

Para el análisis de volcado hay programas especiales Y una de las más populares es la utilidad BlueScreenView.

El programa es muy fácil de usar y no requiere instalación: descárguelo del sitio web oficial y descomprímalo. Al mismo tiempo, desde la web oficial puedes descargar un archivo con el que podrás rusificar el programa. Para esto Este archivo deberá colocarlo en la carpeta con el programa descomprimido.

Si, después de iniciar el programa, los volcados no se muestran, aunque el sistema se bloqueó en la pantalla azul de la muerte, entonces debe ir a la configuración del programa y asegurarse de que la ruta a los volcados de memoria esté especificada correctamente, es decir, debe ser el mismo que en la configuración del sistema.

Después de esto, deberá actualizar la información en la ventana del programa y se mostrarán todos los volcados creados en el sistema. Si hay varios volcados, nos centramos en la fecha del fallo. Seleccione el volcado deseado y luego aparecerá información detallada en eso.

Aquí se muestra el nombre del error, su código STOP con parámetros, y si la causa fue el controlador, entonces en el campo correspondiente encontraremos su nombre.

Además, en la parte inferior de la ventana del programa, se resaltarán en rosa los archivos que también podrían causar el fallo. Tendremos que ocuparnos de cada uno de ellos en orden. El algoritmo aquí es similar al discutido en la publicación anterior: buscamos una solución en Internet y usamos el nombre del archivo o el código de error como clave de búsqueda.

En este caso, no es necesario introducir datos manualmente en el motor de búsqueda. Si hace clic derecho en la línea de volcado, entonces desde Menú de contexto Puede seleccionar un elemento que le permitirá encontrar una descripción de este problema en particular en Google.

Puede optar por buscar en Google por código de error, por código de error y nombre del controlador, o por código de error y parámetro.

Además, con esta utilidad, puede encontrar rápidamente la ubicación del archivo problemático en el disco.

En ocasiones sucede que el archivo que provocó el problema pertenece a algún programa o juego. Por la ubicación del archivo en el disco, puedes determinar rápidamente a qué programa o juego pertenece.

Bueno, vale la pena saber que los limpiadores parecen eliminar los volcados de memoria, por lo que si usa dichos programas, debe abstenerse de usarlos mientras identifica la causa de la pantalla azul de la muerte.

Y la última pregunta que responderé como parte de esta nota es ¿Qué hacer si después de que aparece la pantalla azul la computadora ya no arranca? Es decir, la computadora se congela o está constantemente sobrecargada, lo que significa que no hay forma de analizar el volcado de memoria.

La respuesta es lógica y simple: necesitas crear unidad flash USB de arranque, con el que puedes “extraer” el archivo de volcado de disco duro y analizarlo en otra computadora. Para hacer esto, inicie desde una unidad flash y en el disco duro de la computadora en la carpeta ventanas o en una subcarpeta minivolcado Encontramos el archivo de volcado, que copiamos a la unidad flash. Luego en otra computadora usando la utilidad Vista de pantalla azul Analizamos el volcado, tal y como se describe en esta nota.

En Windows 8, Microsoft introdujo un nuevo volcado de memoria: una opción de volcado de memoria automático. Esta configuración está configurada de forma predeterminada en el sistema operativo. Windows 10 introdujo un nuevo tipo de archivo de volcado: el volcado de memoria activa. Para aquellos que no lo saben, en Windows 7 tenemos un volcado pequeño, un volcado de núcleo y un volcado de núcleo completo. Quizás se pregunte por qué Microsoft decidió crear esto nuevo parámetro¿volcado de memoria? Según Robert Simpkins, ingeniero senior de soporte, un volcado de memoria automático puede crear soporte para la página "sistema" en el archivo de configuración.
El sistema de gestión de configuración del archivo de paginación es responsable de gestionar el tamaño del archivo de paginación; esto evita un espacio libre o un tamaño de archivo de paginación innecesarios. Esta opción se introduce principalmente para PC que funcionan con unidades SSD, que tienden a ser más pequeñas pero tienen una gran cantidad de RAM.

Opciones de volcado de memoria

La principal ventaja del "volcado de memoria automático" es que permitirá que la sesión del subsistema en el administrador de procesos reduzca automáticamente el archivo de página a un tamaño menor que el tamaño de la RAM. Para aquellos que no lo saben, la sesión del administrador del subsistema es responsable de la inicialización del sistema, el entorno de inicio de los servicios y procesos necesarios para que el usuario inicie sesión en el sistema. Básicamente configura la página de archivos en memoria virtual e inicia el proceso winlogon.exe.

Si desea cambiar la configuración del volcado automático de memoria, aquí le explicamos cómo hacerlo. Presione la tecla Windows + X y seleccione - Sistema. A continuación, haga clic en el botón “Configuración avanzada del sistema - Avance Sistema Ajustes”.

Haga clic en el botón Configuración avanzada del sistema.

Aquí puedes ver un menú desplegable donde dice “Avanzado”.

Aquí podrás seleccionar la opción que desees. Opciones sugeridas:

Sin volcados de memoria.
Pequeño volcado de memoria.
Volcado de memoria del kernel.
Volcado de memoria completo.
Volcado automático de memoria. Agregado a Windows 8.
Volcado de memoria activa. Agregado a Windows 10.
La ubicación del archivo de volcado de memoria se encuentra en el archivo %SystemRoot%\MEMORY.DMP.

Si estas usando unidad SSD, entonces es mejor dejarlo en “Volcado de memoria automático”; pero si necesita un archivo de volcado de memoria, entonces es mejor configurarlo como “volcado de memoria pequeño”, con él puede, si lo desea, enviárselo a alguien para que pueda echarle un vistazo.

En algunos casos, es posible que necesite aumentar el tamaño del archivo de página más que la RAM para que quepa en un volcado de memoria completo. En tales casos, es necesario crear una clave de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

se llama "LastCrashTime".

Esto aumentará automáticamente el tamaño del archivo de intercambio. Para reducirlo más adelante, simplemente puede eliminar esta clave.

En Windows 10 introducido. archivo nuevo volcar volcado de memoria activa. Contiene sólo lo esencial y, por tanto, es de menor tamaño.

No tengo forma de probarlo, pero creé esta clave y supervisé el tamaño del archivo de paginación. Sé que tarde o temprano recibiré un error crítico. Entonces lo comprobaré.

Puede analizar el volcado de memoria de los archivos Windows.dmp utilizando WhoCrashed. WhoCrashed Home es una utilidad gratuita que proporciona controladores que se han instalado en su computadora con un solo clic. En la mayoría de los casos, puede identificar un controlador defectuoso que está causando problemas a su computadora. Este es un volcado de análisis del sistema, volcados de memoria y toda la información recopilada se presenta aquí en un formato accesible.

Normalmente, el kit de herramientas de depuración abrirá un volcado de análisis. Con esta utilidad, no necesita ningún conocimiento ni habilidad de depuración para descubrir qué controladores están causando problemas en su computadora.

WhoCrashed se basa en un paquete de depuración (el programa windbg) de Microsoft. Si este paquete no está instalado, WhoCrashed lo descargará y lo extraerá automáticamente. Simplemente ejecute el programa y haga clic en el botón Analizar. Cuando tenga WhoCrashed instalado en su sistema y si falla o se cierra inesperadamente, el programa le informará si el volcado de fallas está habilitado en su computadora y le ofrecerá sugerencias sobre cómo habilitarlo.

Esta breve nota tiene como objetivo mostrar cómo puede configurar el sistema para recibir una emergencia. Volcado de memoria de Windows, es decir, un volcado que se puede crear si se produce un fallo crítico, caracterizado por la aparición de una pantalla azul de la muerte (BSOD). ¿Qué es un volcado en general, por qué lo necesitamos y qué es, qué problemas pretende resolver y qué información contiene?

Volcado de memoria: el contenido de la memoria de trabajo de un proceso, núcleo o sistema operativo completo, incluidos, además de las áreas de trabajo, Información adicional sobre el estado de los registros del procesador, el contenido de la pila y otras estructuras de servicios.

¿Por qué podríamos necesitar este contenido? Volcado de memoria de Windows? Quizás el uso más común de un volcado de memoria sea estudiar las causas de una falla del sistema (), que provocó que el sistema operativo se detuviera por completo. Además de esto, el estado de la memoria se puede utilizar para otros fines. También es importante que un volcado de memoria sea literalmente la única forma¡recibe información sobre cualquier falla! Y realizar (obtener) un volcado de memoria del sistema es, de hecho, el único método preciso para obtener una huella digital (copia) instantánea del contenido de la memoria física del sistema.

Cuanto más exactamente refleje el contenido del volcado el estado de la memoria en el momento del fallo, más detalladamente podremos analizar la situación de emergencia. Por lo tanto, es extremadamente importante obtener una copia actualizada de la memoria física del sistema en un momento estrictamente definido inmediatamente antes de la falla. Y la única forma de hacerlo es crear un volcado de memoria completo. La razón es bastante trivial: cuando se produce un volcado de memoria del sistema, ya sea como resultado de una falla o como resultado de una situación simulada artificialmente, el sistema en ese momento de recibir el control de las funciones de emergencia (KeBugCheckEx) se encuentra en un estado de emergencia. estado absolutamente sin cambios (estático), por lo tanto, entre el momento en que ocurre la falla y el momento en que los datos se escriben en el medio, nada cambia el contenido de la memoria física y se escribe en el disco en su estado original. Bueno, esto es en teoría, pero ocasionalmente en la vida, pero hay situaciones en las que, debido a componentes de hardware defectuosos, el volcado de memoria puede dañarse o la estación puede congelarse mientras graba el volcado.

En la gran mayoría de los casos, desde el momento en que comienza el proceso de creación de un volcado de memoria hasta el final de la escritura del contenido de la memoria en el disco, la información en la memoria permanece sin cambios.

Teóricamente, la estática (inmutabilidad) de la "huella digital" de la memoria se explica por el hecho de que cuando se llama a la función KeBugCheckEx, que muestra información sobre la falla e inicia el proceso de creación de un volcado de memoria, el sistema ya está completamente detenido y el El contenido de la memoria física se escribe en bloques ocupados en el disco por el archivo de paginación, después de lo cual, durante la carga posterior del sistema operativo, se restablece a un archivo en el medio del sistema. Bueno, casi una vez observé una situación en la que un tarjeta madre me impidió guardar un volcado de memoria: a) congelarme mientras se ejecutaba la lógica de guardado del volcado (el proceso no alcanzó el 100%), b) dañar el archivo de volcado de memoria (el depurador se quejó de las estructuras), c) escribir el volcado de memoria.dmp archivos de longitud cero. Por lo tanto, a pesar de que el sistema ya está completamente detenido en el momento de crear el volcado de memoria y solo se está ejecutando el código de emergencia, el hardware defectuoso puede realizar ajustes en cualquier lógica sin excepción en cualquier etapa de la operación.
Tradicionalmente, en la etapa inicial, los bloques de disco asignados al archivo de paginación se utilizan para guardar un volcado de memoria de Windows. Luego, después de una pantalla azul y reiniciar, los datos se mueven a un archivo separado y luego se cambia el nombre del archivo usando un patrón según el tipo de volcado. Sin embargo, a partir de Versiones de Windows Vista, esta situación se puede cambiar; ahora el usuario tiene la oportunidad de guardar un volcado seleccionado sin la participación de un archivo de intercambio, colocando información sobre el fallo en un archivo temporal. Esto se hizo para eliminar errores de configuración asociados con configuraciones incorrectas del tamaño y la posición del archivo de paginación, que a menudo generaban problemas durante el proceso de guardar un volcado de memoria.
Veamos qué tipos de volcados nos permite crear el sistema operativo Windows:

Volcado de memoria del proceso (aplicación);
Volcado de memoria del kernel;
Volcado de memoria completa (volcado de la parte disponible de la memoria física del sistema).

Todos los volcados de memoria se pueden dividir en dos categorías principales:

Volcados de memoria con información sobre la excepción ocurrida. Generalmente creado en modo automatico, cuando ocurre una excepción no controlada en la aplicación/kernel y, en consecuencia, se puede llamar al depurador (integrado) del sistema. En este caso, la información sobre la excepción se registra en un volcado, lo que facilita determinar el tipo de excepción y dónde ocurrió durante el análisis posterior.
Volcados de memoria sin información de excepción. Normalmente lo crea manualmente el usuario cuando es necesario simplemente crear una instantánea de un proceso para su posterior análisis. Este análisis no implica determinar el tipo de excepción, ya que no ocurrió ninguna excepción, sino un análisis de un tipo completamente diferente, por ejemplo, estudiar las estructuras de datos de un proceso, etc.

Configuración de volcado de memoria del kernel

Debes iniciar sesión en administrativo cuenta para realizar los pasos descritos en esta sección.

Pasemos directamente a configurar los ajustes del volcado de memoria de Windows. Primero, debemos ir a la ventana de propiedades del sistema de una de las siguientes maneras:

Haga clic derecho en el icono "Mi PC" - "Propiedades" - "Configuración avanzada del sistema" - "Avanzada".
Botón "Inicio" - "Panel de control" - "Sistema" - "Configuración avanzada del sistema" - "Avanzado".
Atajo de teclado "Windows" + "Pausa" - "Configuración avanzada del sistema" - "Avanzado".
sistema de control.cpl,3
Ejecutar en línea de comando(cmd):
Propiedades del sistemaAvanzado

El resultado de las acciones descritas es abrir la ventana "Propiedades del sistema" y seleccionar la pestaña "Avanzado":

Luego de eso, en la sección “Arranque y Recuperación” hacemos clic, seleccionamos “Opciones” y con ello abrimos una nueva ventana llamada “Descarga y Recuperación”:

Todos los parámetros del volcado de memoria se agrupan en un bloque de parámetros llamado "Falla del sistema". En este bloque podemos configurar los siguientes parámetros:

Escriba eventos en el registro del sistema.
Realice un reinicio automático.
Grabación de información de depuración.
Archivo de volcado.
Reemplace un archivo de volcado existente.

Como puede ver, muchos de los parámetros de la lista son bastante triviales y fáciles de entender. Sin embargo, me gustaría dar más detalles sobre el parámetro "Volcar archivo". El parámetro se presenta como una lista desplegable y tiene cuatro valores posibles:

Pequeño volcado de memoria

Un pequeño volcado de memoria (minivolcado) es un archivo que contiene la menor cantidad de información sobre la falla. El más pequeño de todos los volcados de memoria posibles. A pesar de las desventajas obvias, los minivolcados se utilizan a menudo como información sobre un fallo que se transfiere a terceros proveedores de controladores para su posterior estudio.
Compuesto:

Mensaje de error.
Valor de error.
Parámetros de error.
El contexto del procesador (PRCB) en el que se produjo el error.
Información del proceso y contexto del kernel (EPROCESS) para el proceso que falla y todos sus subprocesos.
Información del proceso y contexto del kernel (ETHREAD) para el hilo que causa el bloqueo.
La pila del modo kernel para el hilo que causó el bloqueo.
Lista de controladores cargados.

Alojamiento: %SystemRoot%\Minidump\MMDDAA-XXXXX-NN.dmp. Donde MMDDAA es el mes, día y año, respectivamente, NN es el número de serie del volcado.
Volumen: el tamaño depende del bitness del sistema operativo: solo se requieren 128 kilobytes para un sistema operativo de 32 bits y 256 kilobytes para un sistema operativo de 64 bits en el archivo de paginación (o en el archivo especificado en DedicatedDumpFile). Como no podemos establecer un tamaño tan pequeño, lo redondeamos a 1 megabyte.

Volcado de memoria del kernel

Este tipo de volcado contiene una copia de toda la memoria del kernel en el momento del fallo.
Compuesto:

Lista de procesos en ejecución.
Estado del hilo actual.
Páginas de memoria en modo kernel presentes en la memoria física en el momento del fallo: memoria del controlador en modo kernel y memoria de programa en modo kernel.
Memoria de nivel dependiente del hardware (HAL).
Lista de controladores cargados.

Al volcado de memoria del kernel le faltan páginas de memoria no asignadas y páginas de modo de usuario. De acuerdo, es poco probable que las páginas de proceso en modo usuario sean de nuestro interés durante una falla del sistema (BugCheck), ya que la falla del sistema generalmente es iniciada por el código en modo kernel.

Tamaño: varía según el tamaño del espacio de direcciones del kernel asignado por el sistema operativo y la cantidad de controladores en modo kernel. Normalmente, se requiere aproximadamente un tercio de la memoria física en el archivo de intercambio (o en el archivo especificado en DedicatedDumpFile). Puede variar.

Volcado de memoria completo

Un volcado de memoria completa contiene una copia de toda la memoria física (RAM) en el momento del fallo. Por consiguiente, en el archivo se incluye todo el contenido de la memoria del sistema. Esto es tanto una ventaja como una gran desventaja, ya que su tamaño puede ser significativo en algunos servidores con grandes cantidades de RAM.
Compuesto:

Todas las páginas de la memoria física "visible". Esta es casi toda la memoria del sistema, a excepción de las áreas utilizadas por el hardware: BIOS, espacio PCI, etc.
Datos de los procesos que se estaban ejecutando en el sistema en el momento del fallo.
Páginas de memoria física que no están asignadas al espacio de direcciones virtuales, pero que pueden ayudar a investigar la causa del error.

De forma predeterminada, un volcado de memoria completa no incluye áreas de memoria física utilizadas por el BIOS.
Ubicación: %SystemRoot%\MEMORY.DMP. Se sobrescribe el volcado anterior.
Volumen: el archivo de paginación (o el archivo especificado en DedicatedDumpFile) requiere un volumen igual al tamaño de la memoria física + 257 megabytes (estos 257 MB se dividen en un determinado encabezado + datos del controlador). De hecho, en algunos sistemas operativos, el umbral inferior del archivo de paginación se puede establecer exactamente en el valor del tamaño de la memoria física.

Volcado de memoria automático

A partir de Windows 8/Windows Server 2012, se introdujo un nuevo tipo de volcado en el sistema llamado Volcado de memoria automático, que está configurado como el tipo predeterminado. En este caso, el propio sistema decide qué volcado de memoria registrar en caso de un fallo concreto. Además, la lógica de elección depende de muchos criterios, incluida la frecuencia de "fallo" del sistema operativo.

Después de cambiar la configuración de volcado de memoria de Windows, es posible que deba reiniciar su computadora.

Configuración del registro

La sección de registro que define los parámetros del volcado de memoria:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

Opciones:

Parámetro	Tipo	Descripción
Reinicio automático	REG_DWORD	Habilite/deshabilite el reinicio automático cuando ocurra BSOD.
CrashDump habilitado	REG_DWORD	El tipo de volcado que se está creando. 0: no crea un volcado de memoria; 1 - volcado de memoria completo; 2 - volcado de memoria del kernel; 3 - pequeño volcado de memoria;
Archivo de volcado	REG_EXPAND_SZ	Ruta y nombre del volcado de memoria del kernel y del volcado de memoria completa.
Filtros de volcado	REG_MULTI_SZ	Filtro de controlador en la pila de controladores de volcado de memoria. Le permite agregar nuevas funciones en la etapa de creación de volcados de memoria. Por ejemplo, cifrar el contenido del volcado. No se recomienda cambiar el valor.
Evento de registro	REG_DWORD	Grabación de un evento en el registro del sistema.
MinivolcadoDir	REG_EZPAND_SZ	Ruta y nombre del pequeño volcado de memoria.
Recuento de minivolcados	REG_DWORD	Número máximo de volcados de memoria pequeños. Cuando se excede, las versiones anteriores comienzan a sobrescribirse.
Sobrescribir	REG_DWORD	Reemplace un archivo de volcado existente. Sólo para volcado de memoria del kernel y volcado de memoria completa.
Ignorar tamaño de archivo de página	REG_DWORD	Ignora el archivo de página estándar como lugar para el almacenamiento de volcado de memoria temporal (intermedio). Indica que el volcado de memoria debe escribirse en un archivo independiente. Se utiliza junto con la opción DedicatedDumpFile.
Archivo de volcado dedicado	REG_EZPAND_SZ	Ruta y nombre de un archivo alternativo temporal para registrar un volcado de memoria. En la segunda pasada, los datos aún se moverán a DumpFile/MinidumpDir.

Crear manualmente un volcado de memoria

Arriba describimos la configuración para crear automáticamente volcados de fallo del sistema en caso de un error crítico, es decir, una excepción no controlada en el código del kernel. Pero en vida real Además de la falla del sistema operativo, hay situaciones en las que es necesario obtener un volcado de memoria del sistema en un momento específico. ¿Cómo ser en este caso? Existen métodos para obtener una instantánea de toda la memoria física, por ejemplo usando el comando .dump en los depuradores WinDbg/LiveKD. LiveKD es un programa que le permite ejecutar el depurador del kernel Kd en un sistema en ejecución en modo local. El depurador WinDbg también tiene una característica similar. Sin embargo, el método de volcado sobre la marcha no es exacto porque el volcado generado en este caso es "inconsistente" ya que lleva tiempo generar el volcado, y en caso de utilizar el depurador en modo kernel, el sistema continúa ejecutándose y haciendo cambios en las páginas de memoria.

Todos los sistemas Windows, cuando se detecta un error fatal, realizan un volcado de memoria (instantánea) del contenido de la RAM y lo guardan en disco duro. Hay tres tipos de volcado de memoria:

Volcado de memoria completa: guarda todo el contenido de la RAM. El tamaño de la imagen es igual al tamaño de RAM + 1 MB (encabezado). Se utiliza muy raramente, ya que en sistemas con grandes cantidades de memoria el tamaño del volcado será demasiado grande.

Volcado de memoria del kernel: guarda información de RAM relacionada únicamente con el modo kernel. La información del modo de usuario no se guarda porque no contiene información sobre la causa del fallo del sistema. El tamaño del archivo de volcado depende del tamaño de la RAM y varía desde 50 MB (para sistemas con 128 MB de RAM) hasta 800 MB (para sistemas con 8 GB de RAM).

Pequeño volcado de memoria (mini volcado): contiene una cantidad bastante pequeña de información: un código de error con parámetros, una lista de controladores cargados en la RAM en el momento de la falla del sistema, etc., pero esta información es suficiente para identificar el controlador defectuoso . Otra ventaja de este tipo de volcado es el pequeño tamaño del archivo.

Configuración del sistema

Para identificar el controlador que lo provocó bastará con que utilicemos un pequeño volcado de memoria. Para que el sistema guarde un minivolcado durante una falla, debe realizar los siguientes pasos:

Para Windows XP

Para Windows 7

Mi computadora Propiedades
Ir a la pestaña Además;
Opciones;
en el campo Escribir información de depuración elegir Pequeño volcado de memoria (64 KB).

Haga clic derecho en el icono Computadora en el menú contextual seleccione Propiedades(o la combinación de teclas Win+Pausa);
En el menú de la izquierda, haga clic en el elemento. Configuración avanzada del sistema;
Ir a la pestaña Además;
En el campo Descarga y recuperación, debes hacer clic en el botón Opciones;
en el campo Escribir información de depuración elegir Pequeño volcado de memoria (128 KB).

Una vez completadas todas las manipulaciones, después de cada BSoD se guardará un archivo con la extensión .dmp en la carpeta C:\WINDOWS\Minidump. Te aconsejo que leas el material "". También puedes marcar la casilla “ Reemplazar el archivo de volcado existente" En este caso, cada nuevo volcado de memoria se escribirá sobre el anterior. No recomiendo habilitar esta opción.

Analizando un volcado de memoria usando BlueScreenView

Entonces, después de que apareció la pantalla azul de la muerte, el sistema guardó un nuevo volcado de memoria de falla. Para analizar el volcado, recomiendo utilizar el programa BlueScreenView. Se puede descargar gratis. El programa es bastante conveniente y tiene una interfaz intuitiva. Después de instalarlo, lo primero que debe hacer es especificar la ubicación para almacenar los volcados de memoria en el sistema. Para hacer esto, vaya al elemento del menú " Opciones" y seleccione " AvanzadoOpciones" Seleccione el botón de radio “ CargadeelsiguienteMini volcadocarpeta”Y especifique la carpeta en la que se almacenan los volcados. Si los archivos están almacenados en la carpeta C:\WINDOWS\Minidump, puede hacer clic en " Por defecto" Haga clic en Aceptar y acceda a la interfaz del programa.

El programa consta de tres bloques principales:

Bloque de menú principal y panel de control;
Bloque de lista de volcado de memoria;
Dependiendo de los parámetros seleccionados, puede contener:

una lista de todos los controladores en la RAM antes de que aparezca la pantalla azul (de forma predeterminada);
una lista de controladores ubicados en la pila de RAM;
Captura de pantalla de BSoD;
y otros valores que no usaremos.

En el bloque de lista de volcados de memoria (marcado con el número 2 en la figura), seleccione el volcado que nos interesa y observe la lista de controladores que se cargaron en la RAM (marcados con el número 3 en la figura). Los controladores que estaban en la pila de memoria son de color rosa. Son la causa de la BSoD. A continuación, vaya al Menú principal del controlador, determine a qué dispositivo o programa pertenecen. En primer lugar, preste atención a archivos del sistema, porque los archivos del sistema se cargan en la RAM en cualquier caso. Es fácil ver que el controlador defectuoso en la imagen es myfault.sys. Diré que este programa se lanzó específicamente para provocar un error de detención. Después de identificar el controlador defectuoso, deberá actualizarlo o eliminarlo del sistema.

Para que el programa muestre una lista de controladores ubicados en la pila de memoria cuando ocurre un BSoD, debe ir al elemento del menú " Opciones“haga clic en el menú” Más bajoCristalModo" y seleccione " SoloConductoresEncontróEnPila" (o presione la tecla F7), y para mostrar una captura de pantalla del error, seleccione " AzulPantallaenexperienciaEstilo” (F8). Para volver a la lista de todos los conductores, debe seleccionar “ TodoConductores” (F6).