Zaznamenávanie informácií o ladení pre Windows 10, čo nainštalovať. Ako použiť výpis pamäte na určenie ovládača, ktorý spôsobuje BSOD. Nastavenie servera symbolov ladenia vo WinDBG

Ahojte priatelia, dnes budeme diskutovať o zaujímavej téme, ktorá vám pomôže v budúcnosti kedy modrá obrazovka smrť (BSoD).

Podobne ako ja, aj mnohí ďalší používatelia museli pozorovať vzhľad obrazovky s modrým pozadím, na ktorom bolo niečo napísané (biela na modrej). Tento jav naznačuje kritický problém, ako napr softvér, napríklad konflikt ovládačov alebo fyzická porucha niektorého komponentu počítača.

Nedávno som mal opäť problém s modrou obrazovkou v systéme Windows 10, ale rýchlo som sa ho zbavil a čoskoro vám o ňom poviem.

Väčšina používateľov si teda neuvedomuje, že BSoD možno analyzovať, aby neskôr pochopili problémy s kritickými chybami. Pre také Puzdrá na Windows vytvorí na disku špeciálne súbory - budeme ich analyzovať.

Existujú tri typy výpisov pamäte:

Úplný výpis pamäte– táto funkcia vám umožňuje úplne uložiť obsah Náhodný vstup do pamäťe. Používa sa len zriedka, pretože si predstavte, že máte 32 GB RAM, pri plnom výpise bude celý tento zväzok uložený na disku.

Výsyp jadra– ukladá informácie o režime jadra.

Malý výpis pamäte– ukladá malé množstvo chybových informácií a načítaných komponentov, ktoré boli prítomné v čase, keď došlo k poruche systému. Tento typ výpisu použijeme, pretože nám poskytne dostatok informácií o BSoD.

Umiestnenie malého aj úplného výpisu je odlišné, napríklad malý výpis sa nachádza v nasledujúcej ceste: %systemroot%\minidump.

Úplný výpis je tu: %systemroot%.

Na analýzu výpisov pamäte existujú rôzne programy, ale použijeme dve. Prvým je Microsoft Kernel Debuggers, ako už názov napovedá, utilita od Microsoftu. Môžete si ho stiahnuť z oficiálnej webovej stránky. Druhým programom je BlueScreenView, bezplatný program, ktorý si môžete stiahnuť tu.

Analýza výpisu pamäte pomocou ladiacich programov Microsoft Kernel Debuggers

Pre rôzne verzie systémov si musíte stiahnuť iný typ pomôcky. Napríklad pre 64-bit operačný systém, potrebujete 64-bitový program, pre 32-bitový program - 32-bitovú verziu.

To nie je všetko, musíte si stiahnuť a nainštalovať balík ladiacich symbolov potrebných pre program. Volá sa to symboly ladenia. Každá verzia tohto balíka sa sťahuje aj pod konkrétnym OS, najskôr si zistite, aký máte systém a až potom sťahujte. Aby ste tieto symboly nemuseli nikde hľadať, tu je odkaz na stiahnutie. Inštalácia by sa mala najlepšie vykonať v tejto ceste: %systemroot%\symbols.

Teraz môžete spustiť náš debugger, ktorého okno bude vyzerať takto:

Pred analýzou výpisov niečo nakonfigurujeme v obslužnom programe. Najprv musíme programu povedať, kde sme nainštalovali symboly ladenia. Ak to chcete urobiť, kliknite na tlačidlo „Súbor“ a vyberte položku „Cesta k súboru symbolov“, potom zadajte cestu k symbolom.

Program umožňuje extrahovať symboly priamo z webu, takže ich nemusíte ani sťahovať (ospravedlňujeme sa tým, ktorí si ich už stiahli). Budú prevzaté zo servera spoločnosti Microsoft, takže všetko je v bezpečí. Takže musíte znova otvoriť „Súbor“, potom „Cesta k symbolovému súboru“ a zadať nasledujúci príkaz:

SRV*%systemroot%\symbols*http://msdl.microsoft.com/download/symbols

Preto sme programu naznačili, že symboly by sa mali prevziať zo siete. Keď to urobíme, kliknite na „Súbor“ a vyberte „Uložiť pracovný priestor“ a potom kliknite na tlačidlo OK.

To je všetko. Program sme nakonfigurovali správnym spôsobom, teraz začneme analyzovať výpisy pamäte. V programe stlačte tlačidlo "súbor", Potom "Otvoriť výpis z havárie" a vyberte požadovaný súbor.

Debuggery jadra začnú analyzovať súbor a potom vydajú výsledok o príčine chyby.

V zobrazenom okne môžete zadávať príkazy. Ak vstúpime !analyzovať –v, potom dostaneme ďalšie informácie.

To je s týmto programom všetko. Ak chcete zastaviť ladiaci program, vyberte položku "Debug" a položku "Stop Debugging".

Analýza výpisu pamäte pomocou BlueScreenView

Program BlueScreenView je vhodný aj na analýzu rôznych chýb a BSoD, má jednoduché rozhranie, takže s jeho zvládnutím by nemali byť žiadne problémy.

Stiahnite si program z vyššie uvedeného odkazu a nainštalujte ho. Po spustení pomôcky ju musíte nakonfigurovať. Prejdite na parametre: „Nastavenia“ – „ Extra možnosti" Otvorí sa malé okno s niekoľkými položkami. V prvom odseku musíte uviesť umiestnenie výpisov pamäte. Zvyčajne sa nachádzajú v ceste C:\WINDOWS\Minidump. Potom stačí kliknúť na tlačidlo "Predvolené".

Čo môžete v programe vidieť? Máme položky ponuky, časť okna s názvami súborov výpisu a druhú časť okna - obsah výpisov pamäte.

Ako som povedal na začiatku článku, výpisy môžu ukladať ovládače, snímku obrazovky samotnej „obrazovky smrti“ a ďalšie užitočné informácie, ktoré sa nám môžu hodiť.

Takže v prvej časti okna, kde sú súbory výpisu, vyberte výpis pamäte, ktorý potrebujeme. V ďalšej časti okna sa pozrieme na obsah. Ovládače umiestnené v zásobníku pamäte sú označené červenkastou farbou. Práve oni sú príčinou modrej obrazovky smrti.

Na internete nájdete všetko o chybovom kóde a ovládači, ktorý môže byť zodpovedný za BSoD. Ak to chcete urobiť, kliknite na „Súbor“ a potom „Nájsť kód chyby + ovládač v službe Google“.

Môžete zobraziť iba ovládače, ktoré boli prítomné v čase výskytu chyby. Ak to chcete urobiť, kliknite na „Nastavenia“ – „Režim spodného okna“ – „V zásobníku zlyhaní sa našli iba ovládače“. Alebo stlačte kláves F7.

Ak chcete zobraziť snímku obrazovky BSoD, stlačte kláves F8.

Ak chcete zobraziť všetky ovládače a súbory, stlačte kláves F6.

No to je všetko. Teraz už viete, ako sa dozvedieť o probléme s modrou obrazovkou smrti, a ak sa niečo stane, nájsť riešenie na internete alebo na tejto stránke. Môžete ponúknuť svoje chybové kódy a ja sa pokúsim napísať pre každý článok, aby som problém vyriešil.

Nezabudnite tiež položiť otázky v komentároch.

Budem pokračovať v rozprávaní o modrej obrazovke smrti, v ktorej som začal.

Ak sa teda počítač náhle reštartuje alebo zamrzne a modrá obrazovka smrti sa nezobrazí alebo sa objaví na zlomok sekundy, informácie o príčinách zlyhania je stále možné obnoviť.

Faktom je, že operačný systém v čase zlyhania ukladá obsah pamäte RAM do tzv súbor výpisu(má rozšírenie .dmp). V budúcnosti môže byť súbor výpisu analyzovaný a získať rovnaké informácie ako na modrej obrazovke a ešte o niečo viac.

Vytváranie výpisov je však možné v systéme zakázať, takže by ste sa mali uistiť, že po prvé systém vytvára výpisy pri zlyhaní a po druhé, mali by ste poznať umiestnenie na disku, kde sú uložené.

Ak to chcete urobiť, musíte prejsť do sekcie Systém.

V systéme Windows 10 to možno vykonať pomocou vyhľadávania a v predchádzajúce verzie operačný systém prostredníctvom ovládacieho panela.

Tu by malo byť povolené zaznamenávanie udalostí do systémového denníka, ale aby ste zabránili automatickému reštartu počítača a zobrazovaniu obsahu modrej obrazovky smrti, musíte zrušiť automatický reštart, ak bol povolený.

Zobrazuje sa tu aj cesta k výpisom – vidíme, že výpis je uložený v priečinku %SystemRoot% – ide o označenie priečinka Windows.

Môžete tu tiež vybrať „malý výpis pamäte“, čo bude stačiť na vyhľadávanie chybových kódov.

Systém teda narazil na modrú obrazovku smrti, po ktorej sa vytvoril výpis pamäte.

Na analýzu skládky existujú špeciálne programy a jedným z najpopulárnejších je nástroj BlueScreenView.

Program sa veľmi ľahko používa a nevyžaduje inštaláciu - stiahnite si z oficiálnych stránok a rozbaľte ho. Zároveň si z oficiálnej webovej stránky môžete stiahnuť súbor, pomocou ktorého môžete program Russify. Pre to tento súbor budete ho musieť umiestniť do priečinka s rozbaleným programom.

Ak sa po spustení programu nezobrazia výpisy, hoci systém narazil na modrú obrazovku smrti, mali by ste prejsť do nastavení programu a uistiť sa, že cesta k výpisom pamäte je zadaná správne, tj. by mala byť rovnaká ako v systémových nastaveniach.

Potom musíte aktualizovať informácie v okne programu a zobrazia sa všetky výpisy vytvorené v systéme. Ak existuje niekoľko skládok, potom sa zameriavame na dátum zlyhania. Vyberte požadovaný výpis a potom sa zobrazí detailné informácie na ňom.

Tu sa zobrazí názov chyby, jej STOP kód s parametrami a ak bol príčinou vodič, potom v príslušnom poli nájdeme jej názov.

V spodnej časti okna programu budú ružovo zvýraznené aj súbory, ktoré by tiež mohli spôsobiť zlyhanie. Budeme sa musieť vysporiadať s každým z nich v poradí. Algoritmus je tu podobný ako v predchádzajúcom príspevku – hľadáme riešenie na internete a ako kľúč vyhľadávania používame názov súboru alebo kód chyby.

V tomto prípade nie je potrebné manuálne zadávať údaje do vyhľadávača. Ak kliknete pravým tlačidlom myši na riadok výpisu, potom z obsahové menu Môžete si vybrať položku, ktorá vám umožní nájsť popis tohto konkrétneho problému v službe Google.

Môžete si zvoliť vyhľadávanie Google podľa kódu chyby, kódu chyby a názvu ovládača alebo podľa kódu chyby a parametra.

Pomocou tohto nástroja môžete tiež rýchlo nájsť umiestnenie problematického súboru na disku.

Niekedy sa stane, že súbor, ktorý spôsobil problém, patrí nejakému programu alebo hre. Podľa umiestnenia súboru na disku môžete rýchlo určiť, ku ktorému programu alebo hre patrí.

Stojí za to vedieť, že čističe zrejme odstraňujú výpisy pamäte, takže ak používate takéto programy, mali by ste sa ich zdržať pri identifikácii príčiny modrej obrazovky smrti.

A posledná otázka, na ktorú v rámci tejto poznámky odpoviem, je čo robiť, ak sa po zobrazení modrej obrazovky počítač už nespustí? To znamená, že počítač zamrzne alebo je neustále preťažený, čo znamená, že neexistuje spôsob, ako analyzovať výpis pamäte.

Odpoveď je logická a jednoduchá – treba tvoriť zavádzací USB flash disk, pomocou ktorého môžete „rozbaliť“ súbor výpisu pevný disk a analyzovať ho na inom počítači. Ak to chcete urobiť, spustite systém z jednotky Flash a na pevnom disku počítača v priečinku Windows alebo v podpriečinku minidump Nájdeme súbor výpisu, ktorý skopírujeme na flash disk. Potom na inom počítači pomocou pomôcky BlueScreenView Analyzujeme skládku, ako je popísané v tejto poznámke.

V systéme Windows 8 spoločnosť Microsoft predstavila nový výpis pamäte - možnosť automatického výpisu pamäte. Toto nastavenie je predvolene nastavené v operačnom systéme. Windows 10 zaviedol nový typ súboru výpisu - aktívny výpis pamäte. Pre tých, ktorí nevedia, v systéme Windows 7 máme malý výpis, výpis jadra a úplný výpis jadra. Možno sa pýtate, prečo sa to Microsoft rozhodol vytvoriť nový parameter výpis pamäte? Podľa Roberta Simpkinsa, vedúceho inžiniera podpory, automatický výpis pamäte môže vytvoriť podporu pre stránku „systém“ v konfiguračnom súbore.
Systém správy konfigurácie stránkovacieho súboru je zodpovedný za správu veľkosti stránkovacieho súboru – tým sa zabráni zbytočnej rezerve alebo veľkosti stránkovacieho súboru. Táto možnosť je zavedená hlavne pre počítače, ktoré bežia na jednotkách SSD, ktoré majú tendenciu byť menšie, ale majú obrovské množstvo pamäte RAM.

Možnosti výpisu z pamäte

Hlavnou výhodou „Automatického výpisu pamäte“ je, že umožní relácii podsystému v správcovi procesov automaticky zmenšiť stránkovací súbor na veľkosť menšiu ako je veľkosť RAM. Pre tých, ktorí nevedia, relácia správcu podsystému je zodpovedná za inicializáciu systému, spúšťacie prostredie pre služby a procesy, ktoré sú potrebné na prihlásenie používateľa do systému. V podstate nastavuje stránku súborov na virtuálna pamäť a spustí proces winlogon.exe.

Ak chcete zmeniť nastavenia automatického výpisu z pamäte, postupujte takto. Stlačte kláves Windows + X a vyberte - Systém. Ďalej kliknite na tlačidlo „Rozšírené nastavenia systému - Advance Systém nastavenie”.

Kliknite na tlačidlo Rozšírené nastavenia systému.

Tu vidíte rozbaľovaciu ponuku s nápisom „Rozšírené“.

Tu si môžete vybrať požadovanú možnosť. Navrhované možnosti:

Žiadne výpisy pamäte.
Malý výpis pamäte.
Výpis pamäte jadra.
Úplný výpis pamäte.
Automatický výpis pamäte. Pridané do systému Windows 8.
Aktívny výpis pamäte. Pridané do systému Windows 10.
Umiestnenie súboru výpisu pamäte je v súbore %SystemRoot%\MEMORY.DMP.

Ak používate SSD disk, potom je lepšie nechať ho na „Automatický výpis pamäte“; ale ak potrebujete súbor výpisu z havárie, potom je lepšie nastaviť ho na „small memory dump“, pomocou ktorého ho môžete, ak chcete, niekomu poslať, aby sa naň mohol pozrieť.

V niektorých prípadoch možno budete musieť zväčšiť veľkosť stránkovacieho súboru, než je veľkosť pamäte RAM, aby sa doň zmestil úplný výpis pamäte. V takýchto prípadoch musíte vytvoriť kľúč databázy Registry:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

volá sa to "LastCrashTime".

Tým sa automaticky zväčší veľkosť odkladacieho súboru. Ak ho chcete neskôr znížiť, môžete tento kľúč jednoducho odstrániť.

V predstavení Windows 10 nový súbor výpis aktívnej pamäte. Obsahuje len to najnutnejšie, a preto je rozmerovo menší.

Nemám to ako otestovať, ale vytvoril som tento kľúč a sledoval som veľkosť súboru stránky. Viem, že skôr či neskôr dostanem kritickú chybu. Potom to skontrolujem.

Výpis pamäte súborov Windows.dmp môžete analyzovať pomocou WhoCrashed. WhoCrashed Home je bezplatný nástroj, ktorý poskytuje ovládače nainštalované do vášho počítača jediným kliknutím. Vo väčšine prípadov dokáže identifikovať chybný ovládač, ktorý spôsobuje problémy vášmu počítaču. Toto je výpis z havárie analýzy systému, výpisy pamäte a všetky zhromaždené informácie sú tu prezentované v prístupnej forme.

Sada nástrojov na ladenie zvyčajne otvorí výpis zlyhania analýzy. S touto pomôckou nepotrebujete žiadne znalosti ani zručnosti na ladenie, aby ste zistili, ktoré ovládače spôsobujú problémy vo vašom počítači.

WhoCrashed sa spolieha na ladiaci balík (program windbg) od spoločnosti Microsoft. Ak tento balík nie je nainštalovaný, WhoCrashed stiahne a automaticky rozbalí tento balík za vás. Stačí spustiť program a kliknúť na tlačidlo Analyzovať. Keď máte vo svojom systéme nainštalovanú aplikáciu WhoCrashed a ak dôjde k jej zlyhaniu alebo neočakávanému zatvoreniu, program vám oznámi, či je na vašom počítači povolená funkcia crash dumping, a ponúkne vám návrhy, ako ich povoliť.

Táto krátka poznámka má za cieľ ukázať, ako môžete nakonfigurovať systém, aby ste dostali núdzovú situáciu Výpis pamäte systému Windows, teda výpis, ktorý možno vytvoriť, ak dôjde ku kritickému zlyhaniu, charakterizovanému objavením sa modrej obrazovky smrti (BSOD). Čo je to skládka vo všeobecnosti, prečo ju potrebujeme a čo to je, aké problémy má riešiť a aké informácie obsahuje?

Výpis pamäte - obsah pracovnej pamäte procesu, jadra alebo celého operačného systému, vrátane pracovných oblastí, Ďalšie informácie o stave registrov procesora, obsahu zásobníka a iných obslužných štruktúr.

Prečo by sme mohli potrebovať tento obsah, t.j. Výpis pamäte systému Windows? Snáď najbežnejším použitím výpisu pamäte je štúdium príčin zlyhania systému (), ktoré spôsobilo úplné zastavenie operačného systému. Okrem toho môže byť stav pamäte použitý na iné účely. Je tiež dôležité, že výpis pamäte je doslova jediná cesta dostávať informácie o akomkoľvek zlyhaní! A získanie (získanie) výpisu systémovej pamäte je v skutočnosti jedinou presnou metódou na získanie okamžitého odtlačku (kópie) obsahu fyzickej pamäte systému.

Čím presnejšie bude obsah výpisu odrážať stav pamäte v čase poruchy, tým podrobnejšie budeme môcť analyzovať núdzovú situáciu. Preto je mimoriadne dôležité získať aktuálnu kópiu fyzickej pamäte systému v presne definovanom časovom bode bezprostredne pred zlyhaním. Jediný spôsob, ako to urobiť, je vytvoriť úplný výpis z havárií. Dôvod je celkom triviálny – keď dôjde k crash dumpu systémovej pamäte, či už v dôsledku zlyhania alebo v dôsledku umelo simulovanej situácie, systém je v tomto momente prijímania kontroly núdzových funkcií (KeBugCheckEx) v absolútne nezmenený (statický) stav, preto medzi okamihom, keď dôjde k poruche, a okamihom zápisu údajov na médium, sa obsah fyzickej pamäte nič nemení a na disk sa zapíše v pôvodnom stave. Teda teoreticky, ale v živote občas, no sú situácie, kedy sa v dôsledku chybných hardvérových komponentov môže poškodiť samotný výpis pamäte, alebo môže stanica zamrznúť pri nahrávaní výpisu.

V drvivej väčšine prípadov, od okamihu, keď sa začne proces vytvárania výpisu pamäte pri páde, až do konca zapisovania obsahu pamäte na disk, zostávajú informácie v pamäti nezmenené.

Teoreticky sa statika (nemennosť) pamäťového „odtlačku“ vysvetľuje tým, že pri volaní funkcie KeBugCheckEx, ktorá zobrazí informáciu o poruche a spustí proces vytvárania výpisu pamäte, je systém už úplne zastavený a obsah fyzickej pamäte sa zapíše do blokov obsadených na disku stránkovacím súborom, po čom sa pri následnom načítaní operačného systému resetuje na súbor na systémovom médiu. No, takmer raz som si všimol situáciu, kedy bol chybný základná doska zabránili mi v ukladaní výpisu pamäte: a) zmrazenie počas behu logiky ukladania výpisu (proces nedosiahol 100 %), b) poškodenie súboru výpisu pamäte (ladiaci program sa sťažoval na štruktúry), c) zápis pamäte.dmp výpis súbory s nulovou dĺžkou. Preto aj napriek tomu, že systém je v čase vytvárania výpisu pamäte už úplne zastavený a beží iba núdzový kód, chybný hardvér môže bez výnimky v ktorejkoľvek fáze prevádzky vykonať úpravy akejkoľvek logiky.
Tradične sa v počiatočnom štádiu diskové bloky pridelené stránkovaciemu súboru používajú na uloženie výpisu pamäte systému Windows. Potom, po modrej obrazovke a reštarte, sa údaje presunú do samostatného súboru a potom sa súbor premenuje pomocou vzoru v závislosti od typu výpisu. Avšak počnúc od Verzie systému Windows Vista, tento stav je možné zmeniť; teraz má používateľ možnosť uložiť vybraný výpis bez účasti odkladacieho súboru a umiestniť informácie o zlyhaní do dočasného súboru. Bolo to urobené s cieľom eliminovať chyby konfigurácie spojené s nesprávnym nastavením veľkosti a polohy stránkovacieho súboru, ktoré často viedli k problémom počas procesu ukladania výpisu pamäte.
Pozrime sa, aké typy výpisov umožňuje operačný systém Windows vytvárať:

• Výpis pamäte procesu (aplikácie);
• výpis pamäte jadra;
• Kompletný výpis pamäte (výpis dostupnej časti fyzickej pamäte systému).

Všetky výpisy z havárie možno rozdeliť do dvoch hlavných kategórií:

• Chybové výpisy s informáciami o výnimke, ktorá sa vyskytla. Zvyčajne vytvorené v automatický režim, keď sa v aplikácii/jadre vyskytne neošetrená výnimka a podľa toho možno zavolať systémový (vstavaný) debugger. V tomto prípade sa informácie o výnimke zaznamenajú do výpisu, čo uľahčuje určenie typu výnimky a miesta, kde sa vyskytla počas následnej analýzy.
• Crash výpisy bez informácií o výnimkách. Zvyčajne sa vytvára manuálne používateľom, keď je potrebné jednoducho vytvoriť snímku procesu pre následnú analýzu. Táto analýza neznamená určenie typu výnimky, keďže žiadna výnimka nenastala, ale analýzu úplne iného druhu, napríklad štúdium dátových štruktúr procesu a podobne.

Konfigurácia výpisu pamäte jadra

Musíte byť prihlásený pod správou účtu vykonať kroky popísané v tejto časti.

Poďme rovno do konfigurácie nastavení výpisu pri zlyhaní systému Windows. Najprv musíme prejsť do okna vlastností systému jedným z nasledujúcich spôsobov:

1. Kliknite pravým tlačidlom myši na ikonu "Tento počítač" - "Vlastnosti" - "Rozšírené nastavenia systému" - "Rozšírené".
2. Tlačidlo "Štart" - "Ovládací panel" - "Systém" - "Rozšírené nastavenia systému" - "Rozšírené".
3. Klávesová skratka "Windows" + "Pauza" - "Rozšírené nastavenia systému" - "Rozšírené".
4. 
   riadiaci systém.cpl,3
5. Vykonať v príkazový riadok(cmd):
   SystemPropertiesAdvanced

Výsledkom opísaných akcií je otvorenie okna „Vlastnosti systému“ a výber karty „Rozšírené“:

Potom v sekcii „Boot and Recovery“ klikneme, vyberieme „Možnosti“ a otvoríme nové okno s názvom „Stiahnutie a obnovenie“:

Všetky parametre výpisu z havárie sú zoskupené v bloku parametrov s názvom „System Failure“. V tomto bloku môžeme nastaviť nasledujúce parametre:

1. Zapisujte udalosti do systémového denníka.
2. Vykonajte automatický reštart.
3. Zaznamenávanie informácií o ladení.
4. Dump súbor.
5. Nahradiť existujúci súbor výpisu.

Ako vidíte, mnohé parametre zo zoznamu sú celkom triviálne a ľahko pochopiteľné. Chcel by som sa však podrobnejšie venovať parametru "Dump File". Parameter je prezentovaný ako rozbaľovací zoznam a má štyri možné hodnoty:

Malý výpis pamäte

Malý výpis pamäte (minidump) je súbor, ktorý obsahuje najmenšie množstvo informácií o zlyhaní. Najmenší zo všetkých možných výpisov pamäte. Napriek zjavným nevýhodám sa minidumpy často používajú ako informácie o zlyhaní, ktoré sa majú preniesť na predajcov ovládačov tretích strán na následné štúdium.
zlúčenina:

• Chybná správa.
• Chybová hodnota.
• Parametre chyby.
• Kontext procesora (PRCB), v ktorom došlo k zlyhaniu.
• Informácie o procese a kontext jadra (EPROCESS) pre proces zrútenia a všetky jeho vlákna.
• Spracujte informácie a kontext jadra (ETHREAD) pre vlákno spôsobujúce zlyhanie.
• Zásobník režimu jadra pre vlákno, ktoré spôsobilo zlyhanie.
• Zoznam načítaných ovládačov.

Ubytovanie: %SystemRoot%\Minidump\MMDDYY-XXXXX-NN.dmp. Kde MMDDYY je mesiac, deň a rok, NN je sériové číslo výpisu.
Objem: Veľkosť závisí od bitovej rýchlosti operačného systému: v stránkovacom súbore (alebo v súbore špecifikovanom v DedicatedDumpFile) je potrebných iba 128 kilobajtov pre 32-bitový a 256 kilobajtov pre 64-bitový operačný systém. Keďže nemôžeme nastaviť takú malú veľkosť, zaokrúhlime ju na 1 megabajt.

Výpis pamäte jadra

Tento typ výpisu obsahuje kópiu celej pamäte jadra v čase zlyhania.
zlúčenina:

• Zoznam spustených procesov.
• Stav aktuálneho vlákna.
• Pamäťové stránky v režime jadra prítomné vo fyzickej pamäti v čase zlyhania: pamäť ovládača v režime jadra a pamäť programu v režime jadra.
• Pamäť na úrovni hardvéru (HAL).
• Zoznam načítaných ovládačov.

Vo výpise pamäte jadra chýbajú stránky nepridelenej pamäte a stránky užívateľského režimu. Súhlasíte, je nepravdepodobné, že by nás stránky procesu používateľského režimu mohli zaujímať počas zlyhania systému (BugCheck), pretože zlyhanie systému je zvyčajne iniciované kódom režimu jadra.

Veľkosť: Líši sa v závislosti od veľkosti adresného priestoru jadra prideleného operačným systémom a počtu ovládačov režimu jadra. Vo odkladacom súbore (alebo v súbore špecifikovanom v DedicatedDumpFile) sa zvyčajne vyžaduje asi tretina fyzickej pamäte. Môže sa líšiť.

Úplný výpis pamäte

Úplný výpis pamäte obsahuje kópiu všetkej fyzickej pamäte (RAM) v čase zlyhania. V súlade s tým je v súbore zahrnutý celý obsah systémovej pamäte. To je výhoda aj veľká nevýhoda, pretože jeho veľkosť môže byť na niektorých serveroch s veľkým množstvom pamäte RAM významná.
zlúčenina:

• Všetky stránky „viditeľnej“ fyzickej pamäte. Toto je takmer celá systémová pamäť, s výnimkou oblastí používaných hardvérom: BIOS, priestor PCI atď.
• Údaje z procesov, ktoré boli spustené v systéme v čase zlyhania.
• Stránky fyzickej pamäte, ktoré nie sú namapované na virtuálny adresný priestor, ale ktoré môžu pomôcť pri vyšetrovaní príčiny zlyhania.

Úplný výpis pamäte štandardne nezahŕňa oblasti fyzickej pamäte používanej systémom BIOS.
Umiestnenie: %SystemRoot%\MEMORY.DMP . Predchádzajúci výpis je prepísaný.
Zväzok: Stránkovací súbor (alebo súbor špecifikovaný v DedicatedDumpFile) vyžaduje objem rovnajúci sa veľkosti fyzickej pamäte + 257 megabajtov (týchto 257 MB je rozdelených na určitú hlavičku + údaje ovládača). V niektorých operačných systémoch môže byť spodný prah stránkovacieho súboru nastavený presne na hodnotu veľkosti fyzickej pamäte.

Automatický výpis pamäte

Počnúc systémom Windows 8/Windows Server 2012 bol do systému zavedený nový typ výpisu s názvom Automatic Memory Dump, ktorý je nastavený ako predvolený typ. V tomto prípade sa systém sám rozhodne, ktorý výpis pamäte zaznamená v prípade konkrétneho zlyhania. Okrem toho logika výberu závisí od mnohých kritérií vrátane frekvencie „havárií“ operačného systému.

Po zmene konfigurácie výpisu pamäte systému Windows môže byť potrebné reštartovať počítač.

Nastavenia databázy Registry

Sekcia registra, ktorá definuje parametre výpisu pri zlyhaní:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

Možnosti:

Parameter	Typ	Popis
AutoReboot	REG_DWORD	Povoliť/zakázať automatický reštart, keď sa vyskytne BSOD.
CrashDumpEnabled	REG_DWORD	Typ vytváraného výpisu. 0 - nevytvárať výpis pamäte; 1 - úplný výpis pamäte; 2 - výpis pamäte jadra; 3 - malý výpis pamäte;
DumpFile	REG_EXPAND_SZ	Cesta a názov výpisu pamäte jadra a úplného výpisu pamäte.
DumpFilters	REG_MULTI_SZ	Filter ovládačov v zásobníku ovládačov výpisu pamäte. Umožňuje vám pridať nové funkcie vo fáze vytvárania výpisov pri zlyhaní. Napríklad šifrovanie obsahu výpisu. Zmena hodnoty sa neodporúča.
LogEvent	REG_DWORD	Záznam udalosti do systémového denníka.
MinidumpDir	REG_EZPAND_SZ	Cesta a názov malého výpisu pamäte.
MinidumpsCount	REG_DWORD	Maximálny počet malých výpisov pamäte. Pri prekročení sa staršie verzie začnú prepisovať.
Prepísať	REG_DWORD	Nahradiť existujúci súbor výpisu. Iba pre výpis pamäte jadra a úplný výpis pamäte.
IgnorePagefileSize	REG_DWORD	Ignoruje súbor štandardnej stránky ako miesto pre dočasné (prechodné) ukladanie výpisu z pamäte. Označuje, že výpis pamäte by sa mal zapísať do samostatného súboru. Používa sa v spojení s možnosťou DedicatedDumpFile.
DedicatedDumpFile	REG_EZPAND_SZ	Cesta a názov dočasného alternatívneho súboru pre záznam výpisu pamäte. V druhom prechode budú údaje stále presunuté do DumpFile/MinidumpDir.

Manuálne vytvorenie výpisu pamäte

Vyššie sme opísali nastavenia pre automatické vytváranie výpisov zlyhaní systému v prípade kritickej chyby, teda neošetrenej výnimky v kóde jadra. Ale v skutočný život Okrem pádu operačného systému existujú situácie, keď je potrebné získať výpis systémovej pamäte v konkrétnom čase. Ako byť v tomto prípade? Existujú metódy na získanie snímky celej fyzickej pamäte, napríklad pomocou príkazu .dump v ladiacich nástrojoch WinDbg/LiveKD. LiveKD je program, ktorý vám umožňuje spustiť ladiaci program jadra Kd na spustenom systéme v lokálnom režime. Podobnú funkciu má aj ladiaci program WinDbg. Metóda priebežného výpisu nie je presná, pretože výpis vygenerovaný v tomto prípade je „nekonzistentný“, pretože vygenerovanie výpisu trvá určitý čas a v prípade použitia ladiaceho nástroja v režime jadra systém pokračuje v činnosti a vytvára zmeny na stránkach pamäte.

Všetky systémy Windows, keď sa zistí závažná chyba, vytvoria výpis pri zlyhaní (snímku) obsahu pamäte RAM a uložia ju na HDD. Existujú tri typy výpisov pamäte:

Úplný výpis pamäte – uloží celý obsah pamäte RAM. Veľkosť obrázka sa rovná veľkosti RAM + 1 MB (hlavička). Veľmi zriedka sa používa, pretože na systémoch s veľkým množstvom pamäte bude veľkosť výpisu príliš veľká.

Výpis pamäte jadra – ukladá informácie o RAM iba súvisiace s režimom jadra. Informácie o používateľskom režime sa neuložia, pretože neobsahujú informácie o príčine zlyhania systému. Veľkosť súboru výpisu závisí od veľkosti pamäte RAM a pohybuje sa od 50 MB (pre systémy so 128 MB RAM) do 800 MB (pre systémy s 8 GB RAM).

Malý výpis pamäte (mini výpis) - obsahuje pomerne malé množstvo informácií: kód chyby s parametrami, zoznam ovládačov načítaných do pamäte RAM v čase zlyhania systému atď., Ale tieto informácie sú dostatočné na identifikáciu chybného ovládača. . Ďalšou výhodou tohto typu výpisu je malá veľkosť súboru.

Nastavenie systému

Na identifikáciu ovládača, ktorý to spôsobil, nám bude stačiť malý výpis pamäte. Aby systém počas zlyhania uložil mini výpis, musíte vykonať nasledujúce kroky:

Pre Windows Xp	Pre Windows 7
Môj počítač Vlastnosti Prejdite na kartu Okrem toho; Možnosti; V teréne Zápis informácií o ladení vybrať Malý výpis pamäte (64 KB).	Kliknite pravým tlačidlom myši na ikonu Počítač z kontextovej ponuky vyberte Vlastnosti(alebo kombinácia klávesov Win+Pause); V ľavom menu kliknite na položku Rozšírené nastavenia systému; Prejdite na kartu Okrem toho; V poli Stiahnuť a obnovenie musíte kliknúť na tlačidlo Možnosti; V teréne Zápis informácií o ladení vybrať Malý výpis pamäte (128 KB).

Po dokončení všetkých manipulácií sa po každom BSoD uloží súbor s príponou .dmp do priečinka C:\WINDOWS\Minidump. Odporúčam vám prečítať si materiál „“. Môžete tiež zaškrtnúť políčko „ Nahradiť existujúci súbor výpisu" V tomto prípade bude každý nový výpis z havárie prepísaný cez starý. Neodporúčam povoliť túto možnosť.

Analýza výpisu zrútenia pomocou BlueScreenView

Takže, keď sa objavila modrá obrazovka smrti, systém uložil nový výpis pamäte pri páde. Na analýzu výpisu odporúčam použiť program BlueScreenView. Dá sa stiahnuť zadarmo. Program je celkom pohodlný a má intuitívne rozhranie. Po nainštalovaní musíte najskôr určiť miesto na ukladanie výpisov pamäte v systéme. Ak to chcete urobiť, prejdite na položku ponuky „ možnosti“ a zvoľte „ Pokročilémožnosti" Vyberte prepínač „ NaložiťodanasledujúceMini Skládkapriečinok“ a zadajte priečinok, v ktorom sú uložené výpisy. Ak sú súbory uložené v priečinku C:\WINDOWS\Minidump, môžete kliknúť na „ Predvolené" Kliknite na tlačidlo OK a prejdite do rozhrania programu.

Program pozostáva z troch hlavných blokov:

1. Blok hlavného menu a ovládací panel;
2. Blok zoznamu výpisov zrútenia;
3. V závislosti od zvolených parametrov môže obsahovať:

• zoznam všetkých ovládačov v pamäti RAM pred zobrazením modrej obrazovky (v predvolenom nastavení);
• zoznam ovládačov umiestnených v zásobníku RAM;
• snímka obrazovky BSoD;
• a ďalšie hodnoty, ktoré nebudeme používať.

V bloku zoznamu výpisov pamäte (na obrázku označený číslom 2) vyberte výpis, ktorý nás zaujíma, a pozrite sa na zoznam ovládačov, ktoré boli načítané do pamäte RAM (na obrázku označené číslom 3). Ovládače, ktoré boli na pamäťovom zásobníku, sú zafarbené ružovou farbou. Sú príčinou BSoD. Ďalej prejdite do hlavnej ponuky ovládača a určite, ku ktorému zariadeniu alebo programu patria. V prvom rade venujte pozornosť systémové súbory, pretože systémové súbory sa v každom prípade načítajú do pamäte RAM. Je ľahké vidieť, že chybný ovládač na obrázku je myfault.sys. Poviem, že tento program bol špeciálne spustený, aby spôsobil chybu Stop. Po identifikácii chybného ovládača ho musíte aktualizovať alebo odstrániť zo systému.

Aby program pri výskyte BSoD zobrazil zoznam ovládačov umiestnených v zásobníku pamäte, musíte prejsť na položku ponuky „ možnosti"kliknite na menu" NižšiaPanelRežim“ a zvoľte „ IbaVodičiNájdenéInStoh“ (alebo stlačte kláves F7) a ak chcete zobraziť snímku obrazovky s chybou, vyberte možnosť „ ModráObrazovkavXPŠtýl“ (F8). Ak sa chcete vrátiť na zoznam všetkých ovládačov, musíte vybrať „ VšetkyVodiči“ (F6).