Opptak av feilsøkingsinformasjon for Windows 10, hva du skal installere. Hvordan bruke en minnedump for å finne driveren som forårsaker BSOD. Sette opp en feilsøkingssymbolserver i WinDBG

Opptak av feilsøkingsinformasjon for Windows 10, hva du skal installere. Hvordan bruke en minnedump for å finne driveren som forårsaker BSOD. Sette opp en feilsøkingssymbolserver i WinDBG

Hei venner, i dag vil vi diskutere et interessant emne som vil hjelpe deg i fremtiden når Blå skjerm død (BSoD).

Som meg måtte mange andre brukere observere utseendet til en skjerm med blå bakgrunn som noe var skrevet på (hvitt på blått). Dette fenomenet indikerer et kritisk problem, som i programvare, for eksempel en driverkonflikt eller en fysisk feil på en datamaskinkomponent.

Jeg fikk nylig et blåskjermproblem i Windows 10 igjen, men jeg ble raskt kvitt det og vil fortelle deg om det snart.

Så de fleste av brukerne er ikke klar over at BSoD kan analyseres for senere å forstå de kritiske feilproblemene. For slikt Windows-deksler lager spesielle filer på disken - vi vil analysere dem.

Det er tre typer minnedump:

Full minnedump– denne funksjonen lar deg lagre innholdet fullstendig tilfeldig tilgangsminne. Det brukes sjelden, for forestill deg at du har 32 GB RAM, med full dump, vil alt dette volumet bli lagret på disken.

Kjernedump– lagrer informasjon om kjernemodus.

Liten minnedump– lagrer en liten mengde feilinformasjon og innlastede komponenter som var til stede på det tidspunktet systemfeilen oppsto. Vi vil bruke denne typen dump fordi den vil gi oss nok informasjon om BSoD.

Plasseringen av både den lille og den fullstendige dumpen er forskjellig, for eksempel er den lille dumpen plassert i følgende bane: %systemroot%\minidump.

Hele dumpen er her: %systemroot%.

For å analysere minnedumper finnes det ulike programmer, men vi bruker to. Den første er Microsoft Kernel Debuggers, som navnet antyder, et verktøy fra Microsoft. Du kan laste den ned fra den offisielle nettsiden. Det andre programmet er BlueScreenView, et gratis program, last ned herfra.

Analysere en minnedump ved hjelp av Microsoft Kernel Debuggers

For forskjellige versjoner av systemer må du laste ned en annen type verktøy. For eksempel for 64-bit operativsystem, trenger du et 64-bitsprogram, for et 32-bitsprogram - en 32-biters versjon.

Det er ikke alt, du må laste ned og installere pakken med feilsøkingssymboler som trengs for programmet. Det kalles Debugging Symbols. Hver versjon av denne pakken lastes også ned under et spesifikt OS, finn først ut hvilket system du har, og last deretter ned. For at du ikke trenger å lete etter disse symbolene hvor som helst, her er nedlastingslenken. Installasjonen bør fortrinnsvis gjøres i denne banen: %systemroot%\symbols.

Nå kan du starte feilsøkeren vår, hvis vindu vil se slik ut:

Før vi analyserer dumpene, vil vi konfigurere noe i verktøyet. Først må vi fortelle programmet hvor vi installerte feilsøkingssymbolene. For å gjøre dette, klikk på "File"-knappen og velg "Symbol File Path"-elementet, og spesifiser deretter banen til symbolene.


Programmet lar deg trekke ut symboler direkte fra nettet, slik at du ikke engang trenger å laste dem ned (beklager til de som allerede har lastet dem ned). De vil bli hentet fra en Microsoft-server, så alt er sikkert. Så du må åpne "File" igjen, deretter "Symbol File Path" og skriv inn følgende kommando:

SRV*%systemroot%\symbols*http://msdl.microsoft.com/download/symbols


Dermed indikerte vi til programmet at symbolene skulle hentes fra nettverket. Når vi har gjort dette, klikk "Fil" og velg "Lagre arbeidsområde", og klikk deretter OK.

Det er alt. Vi har konfigurert programmet på riktig måte, nå begynner vi å analysere minnedumper. Trykk på knappen i programmet "Fil", Deretter "Åpne Crash Dump" og velg ønsket fil.

Kernel Debuggers vil begynne å analysere filen og deretter sende ut et resultat om årsaken til feilen.


I vinduet som vises kan du skrive inn kommandoer. Hvis vi går inn !analysere –v, så får vi mer informasjon.

Det er alt med dette programmet. For å stoppe feilsøkingen, velg "Debug" og "Stop Debugging"-elementet.

Analyserer en minnedump ved hjelp av BlueScreenView

BlueScreenView-programmet er også egnet for å analysere ulike feil og BSoD-er; det har et enkelt grensesnitt, så det skal ikke være noen problemer med å mestre det.

Last ned programmet fra lenken ovenfor og installer. Etter å ha startet verktøyet, må du konfigurere det. Gå til parameterne: "Innstillinger" - " Ekstra alternativer" Et lite vindu åpnes med et par gjenstander. I det første avsnittet må du angi plasseringen av minnedumpene. De er vanligvis plassert i banen C:\WINDOWS\Minidump. Deretter klikker du bare på "Standard"-knappen.


Hva kan du se i programmet? Vi har menyelementer, en del av vinduet med navnene på dumpfilene, og den andre delen av vinduet - innholdet i minnedumpene.


Som jeg sa i begynnelsen av artikkelen, kan dumper lagre drivere, skjermbildet av selve "dødsskjermen" og annen nyttig informasjon som kan være nyttig for oss.

Så, i den første delen av vinduet, der dumpfilene er, velg minnedumpen vi trenger. I neste del av vinduet ser vi på innholdet. Drivere i minnestakken er merket med rødlig farge. De er nettopp årsaken til den blå skjermen av død.

På Internett kan du finne alt om feilkode og driver som kan være skyld i BSoD. For å gjøre dette, klikk på "Fil" og deretter "Finn feilkode + driver i Google".


Du kan bare vise driverne som var til stede på det tidspunktet feilen oppstod. For å gjøre dette, klikk "Innstillinger" - "Bundvindusmodus" - "Bare drivere funnet i krasjstabelen". Eller trykk på F7-tasten.

For å vise BSoD-skjermbildet, trykk F8.

For å vise alle drivere og filer, trykk F6.

Vel, det er alt. Nå vet du hvordan du finner ut om Blue Screen of Death-problemet, og hvis noe skjer, finn en løsning på Internett eller på denne siden. Du kan tilby dine feilkoder, og jeg vil prøve å skrive for hver artikkel for å løse problemet.

Ikke glem å stille spørsmål i kommentarfeltet.

Jeg vil fortsette å snakke om dødens blå skjerm, som jeg begynte i.

Så hvis datamaskinen plutselig starter på nytt eller fryser, og den blå skjermen av døden ikke vises eller vises i et splitsekund, kan informasjon om årsakene til feilen fortsatt gjenopprettes.

Faktum er at operativsystemet på tidspunktet for feilen lagrer innholdet i RAM i den såkalte dump filen(har utvidelse .dmp). I fremtiden kan dumpfilen analyseres og få samme informasjon som på den blå skjermen og enda litt til.

Men opprettelsen av dumps kan deaktiveres i systemet, så du bør sørge for at systemet for det første lager dumps når det krasjer, og for det andre bør du vite hvor de er lagret på disken.

For å gjøre dette må du gå til seksjonen System.

I Windows 10 kan dette gjøres gjennom søk, og i tidligere versjoner operativsystem via kontrollpanelet.

Her skal opptak av hendelser i systemloggen være aktivert, men for å forhindre at datamaskinen automatisk starter på nytt og viser oss innholdet på den blå skjermen, må du avbryte den automatiske omstarten hvis den var aktivert.

Banen til dumpene vises også her - vi ser at dumpen er lagret i mappen %SystemRoot% - dette er betegnelsen på Windows-mappen.

Du kan også velge "liten minnedump" her, som vil være nok til å søke etter feilkoder.

Så systemet krasjet inn i dødens blå skjerm, hvoretter en minnedump ble opprettet.

For dump analyse er det spesielle programmer og en av de mest populære er BlueScreenView-verktøyet.

Programmet er veldig enkelt å bruke og krever ikke installasjon - last ned fra det offisielle nettstedet og pakk det ut. På samme tid, fra den offisielle nettsiden, kan du laste ned en fil som du kan russify programmet med. For dette denne filen du må plassere den i mappen med det utpakkede programmet.

Hvis dumpene ikke vises etter å ha startet programmet, selv om systemet krasjet inn i dødens blå skjerm, bør du gå til programinnstillingene og sørge for at banen til minnedumpene er spesifisert riktig, det vil si at den skal være det samme som i systeminnstillingene.

Etter dette må du oppdatere informasjonen i programvinduet og alle dumps som er opprettet i systemet vil vises. Hvis det er flere dumper, fokuserer vi på datoen for feilen. Velg ønsket dump, og så vises den detaljert informasjon på den.

Her vises navnet på feilen, dens STOP-kode med parametere, og hvis årsaken var driveren, vil vi finne navnet i det tilsvarende feltet.

Nederst i programvinduet vil også filer som også kan forårsake feilen bli uthevet i rosa. Vi må håndtere hver av dem i rekkefølge. Algoritmen her ligner den som ble diskutert i forrige innlegg - vi ser etter en løsning på Internett, og bruker filnavnet eller feilkoden som søkenøkkel.

I dette tilfellet er det ikke nødvendig å legge inn data manuelt i søkemotoren. Hvis du høyreklikker på dumplinjen, så fra kontekstmenyen Du kan velge et element som lar deg finne en beskrivelse av dette spesielle problemet i Google.

Du kan velge å søke på Google etter feilkode, etter feilkode og drivernavn, eller etter feilkode og parameter.

Ved å bruke dette verktøyet kan du også raskt finne plasseringen av den problematiske filen på disken.

Noen ganger hender det at filen som forårsaket problemet tilhører et program eller et spill. Ved plasseringen av filen på disken kan du raskt finne ut hvilket program eller spill den tilhører.

Vel, det er verdt å vite at rengjøringsmidler ser ut til å slette minnedumper, så hvis du bruker slike programmer, bør du avstå fra å bruke dem mens du identifiserer årsaken til den blå skjermen.

Og det siste spørsmålet som jeg vil svare på som en del av dette notatet er hva skal jeg gjøre hvis datamaskinen ikke lenger starter etter at den blå skjermen vises? Det vil si at datamaskinen fryser eller er konstant overbelastet, noe som betyr at det ikke er noen måte å analysere minnedumpen på.

Svaret er logisk og enkelt - du må lage oppstartbar USB-flash-stasjon, som du kan "pakke ut" dumpfilen fra harddisk og analyser det på en annen datamaskin. For å gjøre dette, start fra en flash-stasjon og på datamaskinens harddisk i mappen Windows eller i en undermappe minidump Vi finner dumpfilen, som vi kopierer til flash-stasjonen. Deretter på en annen datamaskin ved hjelp av verktøyet BlueScreenView Vi analyserer dumpen, som beskrevet i dette notatet.

I Windows 8 introduserte Microsoft en ny minnedump – et alternativ for automatisk minnedump. Denne innstillingen er satt som standard i operativsystemet. Windows 10 introduserte en ny type dumpfil - aktiv minnedump. For de som ikke vet, i Windows 7 har vi liten dump, core dump og full core dump. Du lurer kanskje på hvorfor Microsoft bestemte seg for å lage dette ny parameter minnedump? I følge Robert Simpkins, senior supportingeniør, kan en automatisk minnedump skape støtte for "system"-siden i konfigurasjonsfilen.
Systemet for administrasjon av personsøkingsfilkonfigurasjon er ansvarlig for å administrere størrelsen på personsøkerfilen - dette unngår unødvendig plass eller størrelse på personsøkerfilen. Dette alternativet introduseres hovedsakelig for PC-er som kjører på SSD-stasjoner, som har en tendens til å være mindre i størrelse, men har en enorm mengde RAM.

Alternativer for minnedump

Hovedfordelen med "Automatisk minnedump" er at den vil tillate delsystemsesjonen i prosessbehandleren å automatisk redusere sidefilen til en størrelse som er mindre enn størrelsen på RAM. For de som ikke vet, er undersystemmanagersesjonen ansvarlig for systeminitialisering, oppstartsmiljøet for tjenester og prosesser som kreves for at brukeren skal logge inn på systemet. Det setter i utgangspunktet filsiden til virtuell hukommelse og starter winlogon.exe-prosessen.

Hvis du vil endre innstillingene for automatisk minnedump, gjør du det her. Trykk på Windows-tasten + X og velg - System. Deretter klikker du på knappen "Avanserte systeminnstillinger - Avansere System Innstillinger”.

Klikk på knappen Avanserte systeminnstillinger.

Her kan du se en rullegardinmeny der det står "Avansert".

Her kan du velge det alternativet du ønsker. Foreslåtte alternativer:

Ingen minnedumper.
Liten minnedump.
Kjerneminnedump.
Fullfør minnedump.
Automatisk minnedump. Lagt til Windows 8.
Aktiv minnedump. Lagt til Windows 10.
Plasseringen av minnedumpfilen er i %SystemRoot%\MEMORY.DMP-filen.

Hvis du bruker SSD-stasjon, da er det bedre å la det stå på "Automatisk minnedump"; men hvis du trenger en crash dump-fil, så er det bedre å sette den til "small memory dump", med den kan du, hvis du vil, sende den til noen slik at de kan ta en titt på den.

I noen tilfeller må du kanskje øke størrelsen på sidefilen større enn RAM-en slik at den får plass til en full minnedump. I slike tilfeller må du opprette en registernøkkel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

det heter «LastCrashTime».

Dette vil automatisk øke størrelsen på byttefilen. For å redusere den senere, kan du ganske enkelt fjerne denne nøkkelen.

I Windows 10 introdusert ny fil dump aktiv minnedump. Den inneholder kun det viktigste og er derfor mindre i størrelse.

Jeg har ikke en måte å teste det på, men jeg opprettet denne nøkkelen og overvåket sidefilstørrelsen. Jeg vet at før eller siden vil jeg få en kritisk feil. Da skal jeg sjekke det.

Du kan analysere minnedumpen til Windows.dmp-filer ved å bruke WhoCrashed. WhoCrashed Home er et gratis verktøy som gir drivere som er installert på datamaskinen din med ett klikk. I de fleste tilfeller kan den identifisere en defekt driver som forårsaker problemer med datamaskinen. Dette er en systemanalysekrasjdump, minnedumper, og all innsamlet informasjon presenteres her i en tilgjengelig form.

Vanligvis vil feilsøkingsverktøysettet åpne en analysekrasjdump. Med dette verktøyet trenger du ingen kunnskap eller feilsøkingsferdigheter for å finne ut hvilke drivere som forårsaker problemer på datamaskinen din.

WhoCrashed er avhengig av en feilsøkingspakke (windbg-programmet) fra Microsoft. Hvis denne pakken ikke er installert, vil WhoCrashed laste ned og automatisk trekke ut denne pakken for deg. Bare kjør programmet og klikk på Analyser-knappen. Når du har WhoCrashed installert på systemet ditt og hvis det krasjer eller lukkes uventet, vil programmet gi deg beskjed om krasjdumping er aktivert på datamaskinen din, og det vil gi deg forslag til hvordan du aktiverer dem.

Dette korte notatet har som mål å vise hvordan du kan konfigurere systemet for å få en nødsituasjon Windows minnedump, det vil si en dump som kan opprettes hvis det oppstår en kritisk feil, preget av utseendet til en blå skjerm av død (BSOD). Hva er en dump generelt, hvorfor trenger vi den og hva er den, hvilke problemer er den ment å løse og hvilken informasjon inneholder den?

Minnedump - innholdet i arbeidsminnet til en prosess, kjerne eller hele operativsystemet, inkludert, i tillegg til arbeidsområder, Ytterligere informasjon om tilstanden til prosessorregistrene, innholdet i stabelen og andre tjenestestrukturer.

Hvorfor kan vi trenge dette innholdet, dvs. Windows minnedump? Den kanskje vanligste bruken av en minnedump er å studere årsakene til en systemfeil (), som førte til at operativsystemet stoppet helt. I tillegg til dette kan minnetilstand brukes til andre formål. Det er også viktig at en minnedump er bokstavelig talt den eneste måten motta informasjon om eventuelle feil! Og å ta (skaffe) en systemminnedump er faktisk den eneste nøyaktige metoden for å få et øyeblikkelig fingeravtrykk (kopi) av innholdet i systemets fysiske minne.

Jo mer nøyaktig innholdet i dumpen gjenspeiler minnetilstanden på tidspunktet for feilen, jo mer detaljert vil vi kunne analysere nødsituasjonen. Derfor er det ekstremt viktig å få en oppdatert kopi av systemets fysiske minne på et strengt definert tidspunkt umiddelbart før feilen. Og den eneste måten å gjøre dette på er å lage en fullstendig krasjdump. Årsaken er ganske triviell - når en krasjdump av systemminnet oppstår, enten som et resultat av en feil eller som et resultat av en kunstig simulert situasjon, er systemet i dette øyeblikket med å motta kontroll over nødfunksjoner (KeBugCheckEx) i en absolutt uendret (statisk) tilstand, derfor, mellom det øyeblikket feilen oppstår og det øyeblikket data skrives til mediet, endrer ingenting innholdet i fysisk minne, og det skrives til disk i sin opprinnelige tilstand. Vel, dette er i teorien, men noen ganger i livet, men det er situasjoner der, på grunn av defekte maskinvarekomponenter, selve minnedumpen kan bli skadet, eller stasjonen kan fryse mens du tar opp dumpen.

I de aller fleste tilfeller, fra det øyeblikket prosessen med å lage en krasjminnedump begynner til slutten av skrivingen av minneinnholdet til disken, forblir informasjonen i minnet uendret.

Teoretisk forklares den statiske (uforanderligheten) til minnets "fingeravtrykk" av det faktum at når KeBugCheckEx-funksjonen kalles opp, som viser informasjon om feilen og starter prosessen med å lage en minnedump, er systemet allerede fullstendig stoppet og innholdet i det fysiske minnet skrives til blokker som er okkupert på disken av personsøkingsfilen, hvoretter den, under den påfølgende lasting av operativsystemet, tilbakestilles til en fil på systemmediet. Vel, nesten en gang observerte jeg en situasjon der en defekt hovedkort forhindret meg i å lagre en minnedump: a) fryse mens dumplagringslogikken kjørte (prosessen nådde ikke 100%), b) skade på minnedumpfilen (feilsøkeren klaget på strukturer), c) skrive memory.dmp dump filer med null lengde. Derfor, til tross for at systemet allerede er fullstendig stoppet på det tidspunktet minnedumpen opprettes, og bare nødkoden kjører, kan defekt maskinvare foreta justeringer av enhver logikk uten unntak i ethvert driftsstadium.
Tradisjonelt, i det innledende stadiet, brukes diskblokker tildelt sidefilen til å lagre en Windows-minnedump. Deretter, etter en blå skjerm og omstart, flyttes dataene til en egen fil, og deretter gis filen nytt navn ved hjelp av et mønster avhengig av typen dump. Imidlertid starter fra Windows-versjoner Vista, denne tilstanden kan endres; nå får brukeren muligheten til å lagre en valgt dump uten deltakelse av en byttefil, og plassere informasjon om feilen i en midlertidig fil. Dette ble gjort for å eliminere konfigurasjonsfeil knyttet til feil innstillinger av størrelsen og plasseringen av personsøkingsfilen, noe som ofte førte til problemer under prosessen med å lagre en minnedump.
La oss se hvilke typer dumps Windows-operativsystemet lar oss lage:

  • Prosess (applikasjon) minnedump;
  • Kjerneminne dump;
  • Full minnedump (dump av den tilgjengelige delen av systemets fysiske minne).

Alle krasjdumper kan deles inn i to hovedkategorier:

  • Krasjdumper med informasjon om unntaket som skjedde. Vanligvis opprettet i automatisk modus, når et ubehandlet unntak oppstår i applikasjonen/kjernen og følgelig systemets (innebygde) debugger kan kalles. I dette tilfellet registreres informasjon om unntaket i en dump, noe som gjør det lettere å fastslå typen unntak og hvor det skjedde under påfølgende analyse.
  • Crash dumps uten unntak informasjon. Lages vanligvis manuelt av brukeren når det er nødvendig å lage et øyeblikksbilde av en prosess for påfølgende analyse. Denne analysen innebærer ikke å bestemme typen unntak, siden det ikke skjedde noe unntak, men en analyse av en helt annen type, for eksempel å studere datastrukturene til en prosess og så videre.

Konfigurasjon av kjerneminnedump

Du må være logget inn under administrativ regnskap for å utføre trinnene beskrevet i denne delen.

La oss gå rett inn i å konfigurere Windows krasjdump-innstillinger. Først må vi gå til vinduet for systemegenskaper på en av følgende måter:

  1. Høyreklikk på "Min datamaskin"-ikonet - "Egenskaper" - "Avanserte systeminnstillinger" - "Avansert".
  2. "Start"-knapp - "Kontrollpanel" - "System" - "Avanserte systeminnstillinger" - "Avansert".
  3. Tastatursnarvei "Windows" + "Pause" - "Avanserte systeminnstillinger" - "Avansert".

  4. kontrollsystem.cpl,3
  5. Kjør inn kommandolinje(cmd):
    SystemPropertiesAvansert

Resultatet av de beskrevne handlingene er å åpne vinduet "Systemegenskaper" og velge fanen "Avansert":

Etter det, i delen "Boot and Recovery" klikker vi, velger "Alternativer" og åpner dermed et nytt vindu kalt "Last ned og gjenoppretting":

Alle crash dump-parametere er gruppert i en parameterblokk kalt "System Failure". I denne blokken kan vi stille inn følgende parametere:

  1. Skriv hendelser til systemloggen.
  2. Utfør en automatisk omstart.
  3. Registrering av feilsøkingsinformasjon.
  4. Dump fil.
  5. Erstatt en eksisterende dump-fil.

Som du kan se, er mange av parameterne fra listen ganske trivielle og enkle å forstå. Jeg ønsker imidlertid å utdype parameteren "Dump File". Parameteren presenteres som en rullegardinliste og har fire mulige verdier:

Liten minnedump

En liten minnedump (minidump) er en fil som inneholder den minste mengden informasjon om feilen. Den minste av alle mulige minnedumper. Til tross for de åpenbare ulempene, blir minidumps ofte brukt som informasjon om manglende overføring til tredjeparts driverleverandører for senere undersøkelse.
Sammensetning:

  • Feilmelding.
  • Feilverdi.
  • Feilparametere.
  • Prosessorkonteksten (PRCB) som feilen oppstod på.
  • Behandle informasjon og kjernekontekst (EPROCESS) for krasjprosessen og alle dens tråder.
  • Behandle informasjon og kjernekontekst (ETHREAD) for tråden som forårsaker krasj.
  • Kjernemodusstabelen for tråden som forårsaket krasjet.
  • Liste over lastede drivere.

Overnatting: %SystemRoot%\Minidump\MMDDYY-XXXXX-NN.dmp. Der MMDDYY er henholdsvis måned, dag og år, er NN serienummeret til dumpen.
Volum: Størrelsen avhenger av bitheten til operativsystemet: bare 128 kilobyte kreves for en 32-bit og 256 kilobyte for et 64-bit OS i personsøkingsfilen (eller i filen spesifisert i DedicatedDumpFile). Siden vi ikke kan sette en så liten størrelse, runder vi den opp til 1 megabyte.

Kjerneminnedump

Denne typen dump inneholder en kopi av alt kjerneminne på tidspunktet for krasj.
Sammensetning:

  • Liste over kjørende prosesser.
  • Status for gjeldende tråd.
  • Minnesider i kjernemodus tilstede i det fysiske minnet på tidspunktet for krasj: kjernemodusdriverminne og kjernemodusprogramminne.
  • Maskinvareavhengig nivå (HAL) minne.
  • Liste over lastede drivere.

Kjerneminnedumpen mangler ikke-allokerte minnesider og brukermodussider. Enig, det er usannsynlig at prosesssider for brukermodus vil være av interesse for oss under en systemfeil (BugCheck), siden systemfeil vanligvis initieres av kjernemoduskode.

Størrelse: Varierer avhengig av størrelsen på kjerneadresseområdet tildelt av operativsystemet og antall kjernemodusdrivere. Vanligvis kreves omtrent en tredjedel av det fysiske minnet i byttefilen (eller i filen spesifisert i DedicatedDumpFile). Kan variere.

Fullfør minnedump

En full minnedump inneholder en kopi av alt fysisk minne (RAM) på tidspunktet for krasj. Følgelig er hele innholdet i systemminnet inkludert i filen. Dette er både en fordel og en stor ulempe, siden størrelsen kan være betydelig på enkelte servere med store mengder RAM.
Sammensetning:

  • Alle sider med "synlig" fysisk minne. Dette er nesten hele systemminnet, med unntak av områder som brukes av maskinvaren: BIOS, PCI-plass, etc.
  • Data fra prosessene som kjørte på systemet på tidspunktet for feilen.
  • Sider med fysisk minne som ikke er tilordnet det virtuelle adresserommet, men som kan hjelpe til med å undersøke årsaken til feilen.

Som standard inkluderer ikke en full minnedump områder med fysisk minne som brukes av BIOS.
Sted: %SystemRoot%\MEMORY.DMP . Den forrige dumpen er overskrevet.
Volum: Personsøkingsfilen (eller filen spesifisert i DedicatedDumpFile) krever et volum som tilsvarer størrelsen på fysisk minne + 257 megabyte (disse 257 MB er delt inn i en viss overskrift + driverdata). Faktisk, i noen operativsystemer, kan den nedre terskelen til personsøkingsfilen settes nøyaktig til verdien av den fysiske minnestørrelsen.

Automatisk minnedump

Fra og med Windows 8/Windows Server 2012 har en ny dumptype blitt introdusert i systemet kalt Automatic Memory Dump, som er satt som standardtype. I dette tilfellet bestemmer systemet selv hvilken minnedump som skal registreres i tilfelle en bestemt feil. Dessuten avhenger valglogikken av mange kriterier, inkludert frekvensen av operativsystemet "krasj".

Etter at du har endret Windows-minnedumpkonfigurasjonen, må du kanskje starte datamaskinen på nytt.

Registerinnstillinger

Registerdelen som definerer krasjdumpparameterne:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

Alternativer:

Parameter Type Beskrivelse
Automatisk omstart REG_DWORD Aktiver/deaktiver automatisk omstart når BSOD oppstår.
CrashDumpEnabled REG_DWORD Typen dump som opprettes.
  • 0 - ikke lag en minnedump;
  • 1 - komplett minnedump;
  • 2 - kjerneminnedump;
  • 3 - liten minnedump;
DumpFile REG_EXPAND_SZ Bane og navn på kjerneminnedumpen og full minnedump.
DumpFilters REG_MULTI_SZ Driverfilter i minnedump-driverstabelen. Lar deg legge til ny funksjonalitet når du oppretter krasjdumper. For eksempel kryptering av innholdet i dumpen. Det anbefales ikke å endre verdien.
LoggEvent REG_DWORD Registrerer en hendelse i systemloggen.
MinidumpDir REG_EZPAND_SZ Sti og navn på den lille minnedumpen.
MinidumpsCount REG_DWORD Maksimalt antall små minnedumper. Når den overskrides, begynner eldre versjoner å bli overskrevet.
Overskriv REG_DWORD Erstatt en eksisterende dump-fil. Bare for kjerneminnedump og full minnedump.
Ignorer Sidefilstørrelse REG_DWORD Ignorerer standardsidefilen som et sted for midlertidig (mellomliggende) minnedumplagring. Indikerer at minnedumpen skal skrives til en egen fil. Brukes sammen med alternativet DedicatedDumpFile.
Dedikert DumpFile REG_EZPAND_SZ Bane og navn på en midlertidig alternativ fil for opptak av en minnedump. I den andre passeringen vil dataene fortsatt bli flyttet til DumpFile/MinidumpDir.

Opprette en minnedump manuelt

Ovenfor beskrev vi innstillingene for automatisk å lage systemkrasjdumper i tilfelle en kritisk feil, det vil si et ubehandlet unntak i kjernekoden. Men i det virkelige liv, i tillegg til operativsystemkrasj, er det situasjoner der det er nødvendig å få en systemminnedump på et bestemt tidspunkt. Hvordan være i dette tilfellet? Det finnes metoder for å få et øyeblikksbilde av alt fysisk minne, for eksempel ved å bruke .dump-kommandoen i WinDbg/LiveKD-feilsøkerne. LiveKD er et program som lar deg kjøre Kd-kjernefeilsøkeren på et kjørende system i lokal modus. WinDbg-feilsøkeren har også en lignende funksjon. On-the-fly dump-metoden er imidlertid ikke nøyaktig fordi dumpen som genereres i dette tilfellet er "inkonsekvent" siden det tar tid å generere dumpen, og i tilfelle bruk av kjernemodus-debugger, fortsetter systemet å kjøre og lage endringer på minnesidene.

Alle Windows-systemer, når en fatal feil oppdages, gjør en krasjdump (øyeblikksbilde) av innholdet i RAM og lagre det på HDD. Det er tre typer minnedump:

Full minnedump – lagrer hele innholdet i RAM. Bildestørrelsen er lik størrelsen på RAM + 1 MB (header). Svært sjelden brukt, da på systemer med store mengder minne vil dumpstørrelsen være for stor.

Kjerneminnedump – lagrer kun RAM-informasjon relatert til kjernemodus. Informasjon om brukermodus lagres ikke fordi den ikke inneholder informasjon om årsaken til systemkrasj. Størrelsen på dumpfilen avhenger av størrelsen på RAM og varierer fra 50 MB (for systemer med 128 MB RAM) til 800 MB (for systemer med 8 GB RAM).

Liten minnedump (minidump) - inneholder en ganske liten mengde informasjon: en feilkode med parametere, en liste over drivere lastet inn i RAM på tidspunktet for systemkrasj, etc., men denne informasjonen er nok til å identifisere den defekte driveren . En annen fordel med denne typen dump er den lille filstørrelsen.

System oppsett

For å identifisere driveren som forårsaket det, vil det være nok for oss å bruke en liten minnedump. For at systemet skal lagre en minidump under en krasj, må du utføre følgende trinn:

For Windows XP For Windows 7
  1. Datamaskinen min Egenskaper
  2. Gå til fanen I tillegg;
  3. Alternativer;
  4. I felt Skrive feilsøkingsinformasjon velge Liten minnedump (64 KB).
  1. Høyreklikk på ikonet Datamaskin fra kontekstmenyen velg Egenskaper(eller Win+Pause-tastkombinasjonen);
  2. I menyen til venstre klikker du på elementet Avanserte systeminnstillinger;
  3. Gå til fanen I tillegg;
  4. I feltet Last ned og gjenoppretting må du klikke på knappen Alternativer;
  5. I felt Skrive feilsøkingsinformasjon velge Liten minnedump (128 KB).

Etter å ha fullført alle manipulasjonene, vil en fil med filtypen .dmp etter hver BSoD lagres i mappen C:\WINDOWS\Minidump. Jeg anbefaler deg å lese materialet "". Du kan også krysse av i boksen " Erstatt eksisterende dumpfil" I dette tilfellet vil hver ny krasjdump skrives over den gamle. Jeg anbefaler ikke å aktivere dette alternativet.

Analyserer en krasjdump ved hjelp av BlueScreenView

Så, etter at Blue Screen of Death dukket opp, lagret systemet en ny krasjminnedump. For å analysere dumpen anbefaler jeg å bruke BlueScreenView-programmet. Den kan lastes ned gratis. Programmet er ganske praktisk og har et intuitivt grensesnitt. Etter å ha installert det, er det første du må gjøre å spesifisere plasseringen for lagring av minnedumper på systemet. For å gjøre dette, gå til menypunktet " Alternativer" og velg " AvansertAlternativer" Velg alternativknappen " LastefradefølgendeMinidumpmappe” og spesifiser mappen der dumpene er lagret. Hvis filene er lagret i mappen C:\WINDOWS\Minidump, kan du klikke på " Misligholde" Klikk OK og gå til programgrensesnittet.

Programmet består av tre hovedblokker:

  1. Hovedmenyblokk og kontrollpanel;
  2. Kræsjdumplisteblokk;
  3. Avhengig av de valgte parameterne kan den inneholde:
  • en liste over alle drivere i RAM før den blå skjermen vises (som standard);
  • en liste over drivere som ligger i RAM-stakken;
  • BSoD-skjermbilde;
  • og andre verdier som vi ikke vil bruke.

I minnedumplisteblokken (merket med nummer 2 i figuren), velg dumpen vi er interessert i og se på listen over drivere som ble lastet inn i RAM (merket med nummer 3 i figuren). Driverne som var på minnestakken er farget rosa. De er årsaken til BSoD. Gå deretter til hovedmenyen til driveren, finn ut hvilken enhet eller hvilket program de tilhører. Først av alt, vær oppmerksom på systemfiler, fordi systemfiler lastes i RAM uansett. Det er lett å se at den defekte driveren i bildet er myfault.sys. Jeg vil si at dette programmet ble spesifikt lansert for å forårsake en stoppfeil. Etter å ha identifisert den defekte driveren, må du enten oppdatere den eller fjerne den fra systemet.

For at programmet skal vise en liste over drivere som ligger på minnestakken når en BSoD oppstår, må du gå til menypunktet " Alternativer"klikk på menyen" NedreRuteModus" og velg " BareDrivereFunnetIStable" (eller trykk på F7-tasten), og for å vise et skjermbilde av feilen, velg " BlåSkjermiXPStil" (F8). For å gå tilbake til listen over alle drivere, må du velge " AlleDrivere" (F6).



Populært i kategorien:
Hvordan lage et karaokeklipp på en datamaskin?
Hvordan lage et karaokeklipp på en datamaskin?
lese
Origin-appen kreves for spillet, men den er ikke installert. FIFA 16 krever Origin.
Origin-appen kreves for å spille, men den er ikke installert FIFA...
lese
Registrere en personlig side på det sosiale nettverket Facebook
Registrere en personlig side på det sosiale nettverket Facebook
lese
Hvordan kjøre en enkel Nmap Nmap Scan
Hvordan kjøre en enkel Nmap Nmap Scan
lese

Siste artikler
Hvordan rotere et bilde noen grader...
lese
Deaktiverer annonsering i Yandex-nettleseren Hvor...
lese
Feilsøker problemer med Wi-Fi-tilkobling på...
lese
Endre passord på Windows 10-profilen
lese
Instruksjoner for å sette opp trådløse rutere...
lese
Hvordan velge en harddisk og hvilken er bedre å kjøpe...
lese
Meizu for dummies. Samtaler og adressebok....
lese
Last ned programmet PDFMaster
lese
Topp