Открываем дампы памяти dmp

Как анализировать синий экран смерти

Копируем с компьютера где выскочил синий экран, файл memory.dmp или minidump, и открываем его, выбираем в меню File > Open Crash Dump… и выбираем требуемый для рассмотрения файл.

Как анализировать синий экран смерти-01

Выбираем для примера minidump

Как анализировать синий экран смерти-открываем minidump

Начнется анализ минидампа, видим появилась ссылка на ошибку, щелкаем по ней для более детальной информации о синем экране.

Как анализировать синий экран смерти-03

И видим сбойное приложение которое крушит вашу систему, так же можно еще детальнее посмотреть в чем дело, ткнув ссылку.

Как анализировать синий экран смерти-04

Получите более детальную информацию по причине синего экрана.

Как анализировать синий экран смерти-05

Если открыть memory.dmp то вы получите подобную картину и видим почему синий экран у вас появился.

Как анализировать синий экран смерти-06

Как анализировать синий экран смерти-07

Вот так вот просто диагностировать и устранить синий экран смерти.

Файл дампа памяти сохраняется при возникновении ошибок СТОП (или Голубых экранов смерти, BSOD). Посмотрим как настраивается сохранение дампа памяти в Windows 7.

Нажимаем правой кнопкой мыши значек Компьютер (Computer) в контекстном меню выбираем Свойства (Properties).

В левой колонке выбираем Дополнительные параметры системы (Advanced system settings).

В окне Системные параметры (System Properties) выбираем вкладку Дополнительно (Advanced), в секции Загрузка и Восстановление (Startup and Recovery) нажимаем Параметры (Settings).

В окне Загрузка и восстановление (Startup and Recovery) мы настраиваем расположение дампа файла и его имя, а также другие параметры, связанные с загрузкой и восстановлением системы.

Прописываем путь к файлу в текстовом поле Файл дампа (Dump file).

%SystemRoot% – переменная окружения, которая заменяется системой на полный путь к папке Windows, в которой находятся системные файлы.

Нажимаем OK для сохранения настроек (если были произведены изменения).

Попутно, вы можете снять флажок с чекбокса Выполнить автоматическую перезагрузку, если не хотите, чтоб компьютер автоматически перезагружался, а давал возможность записать сведения об ошибке, которая привеле к появлению синего экрана. Подробнее смотрите в статье: Cиний экран смерти: Как отключить автоматическую перезагрузку

Шаг 2 — Анализ дампов с помощью утилиты MinDumper

Ранее в этом материале я рекомендовал kdfe.cmd, но MiniDumper проще и удобнее. Сведения о kdfe.cmd остаются тут для истории.

Шаг 2 — Загрузка и установка диагностических средств

Это не так страшно, как можно подумать 🙂

1. Загрузите и установите Debugging Tools for Windows. Они входят в состав веб-установщика Windows SDK, где после запуска в нужно выбрать Debugging Tools в разделе Common Utilities.
2. Загрузите сценарий (kdfe.cmd), который написал Александр Суховей и опубликовал на ресурсе sysadmins.ru (поскольку живую ссылку мне там найти не удалось, предлагаю свою). Распакуйте архив в любую папку.Примечание. В случае нестандартного расположения папки Program Files вам может потребоваться указать в kdfe.cmd путь к папке, в которую установлены средства Debugging Tools for Windows. Используйте переменную dbgpath в строке 41.

Шаг 3 — Анализ дампа памяти

Теперь все сводится к выполнению одной команды. Откройте командную строку и перейдите в папку, в которую вы распаковали kdfe.cmd. Запустите файл, указав в качестве параметра путь к файлу дампа памяти (в примере ниже файл называется Mini1110307-01.dmp)

kdfe.cmd "%systemroot%\Minidump\Mini1110307-01.dmp"

Через минуту вы увидите результат.

Драйвер, послуживший причиной ошибки, определен!

Дополнительные ресурсы

• Интерпретация содержимого малого дампа памяти
• Использование средства проверки драйверов для устранения неполадок в работе драйверов Windows
• Форум Устранение критических ошибок Windows

Изучение файла сброса

Существует несколько команд, которые можно использовать для сбора сведений в файле сброса, в том числе следующие команды:

• Команда !analyze -show отображает код ошибки Stop и его параметры. Код ошибки Stop также известен как код проверки ошибок.
• Команда !analyze -v отображает многословный вывод.
• В lm N T команде перечислены указанные загруженные модули. Выход включает состояние и путь модуля.

Команда расширения !drivers отображает список всех драйверов, загруженных на компьютере назначения, а также сводную информацию об использовании их памяти. Расширение !drivers устарело в Windows XP и более поздней версии. Чтобы отобразить сведения о загруженных драйверах и других модулях, используйте lm команду. Команда lm N T отображает сведения в формате, аналогичном старому расширению драйверов!.

Справки по другим командам и полному синтаксису команд см. в документации по отладки средств справки. Документация о помощи средствам отладки можно найти в следующем расположении:

C:Program FilesDebugging Tools for WindowsDebugger.chm

Если у вас есть проблемы, связанные с символами, используйте утилиту Symchk, чтобы убедиться, что правильные символы загружены правильно. Дополнительные сведения об использовании Symchk см. в рубрике Отладка с символами.

Упрощение команд с помощью пакетного файла

После определения команды, необходимой для загрузки свалок памяти, можно создать пакетный файл для проверки файла сброса. Например, создайте пакетный файл и назови его Dump.bat. Сохраните его в папке, где установлены средства отладки. Введите следующий текст в пакетный файл:

Если вы хотите изучить файл сброса, введите следующую команду, чтобы передать путь файла сброса в пакетный файл:

Чтение файлов малого дампа памяти (dmp)

Небольшой файл дампа памяти записывает наименьший набор полезной информации, которая может помочь вам точно определить причину сбоя или неожиданной остановки приложения. Более новая версия Windows автоматически создает новый файл каждый раз, когда ваш компьютер неожиданно останавливается. История, связанная с этими файлами, хранится в папка. Тип файла дампа содержит следующую информацию:

1. Сообщение Stop, его параметры и другие данные
2. Список загруженных драйверов
3. Контекст процессора (PRCB) для процессора, который остановился.
4. Информация о процессе и контекст ядра (EPROCESS) для процесса, который остановился.
5. Информация о процессе и контекст ядра (ETHREAD) для остановившегося потока.
6. Стек вызовов режима ядра для остановившегося потока.

Пользователи могут использовать Отладчик Windows (WinDbg.exe) инструмент для чтения небольших файлов дампа памяти. Он (WinDbg) входит в состав последней версии пакета Debugging Tools for Windows.

Вы можете установить инструменты отладки как отдельный компонент из Windows Software Development Kit (SDK).

Во время установки, когда появится мастер установки SDK, установите флажок напротив Инструменты отладки для Windows. Это действие позволит вам установить инструменты отладки как отдельный компонент из пакета разработки программного обеспечения Windows (SDK).

После настройки отладчика Windows откройте дамп, выбрав Открыть аварийный дамп вариант из Файл меню или нажав CTRL + D.

Когда на экране компьютера появится диалоговое окно Open Crash Dump, введите полный путь и имя файла аварийного дампа в поле Имя файла или используйте диалоговое окно, чтобы выбрать правильный путь и имя файла.

Теперь, когда выбран правильный файл, выберите Открыть.

Подождите несколько секунд, чтобы файл дампа загрузился, когда он подключается к Интернету и загружает необходимые символы для отображения в считывании.

Debugee не подключен

Продолжение: MachineOwner.

Введите команду на панели команд в нижней части окна дампа, чтобы проанализировать файл дампа. Вы должны увидеть ссылку, в которой говорится под Анализ ошибок.

После этого подробный анализ проверки ошибок должен занять место на экране.

После выполнения команда ‘! Analysis’ определит инструкцию, которая, вероятно, вызвала ошибку, и отобразит ее в поле FOLLOWUP_IP.

• SYMBOL_NAME – показать символ
• MODULE_NAME – отображает модуль
• IMAGE_NAME – отображает имя изображения
• DEBUG_FLR_IMAGE_TIMESTAMP – показывает временную метку изображения, соответствующую этой инструкции

Примите необходимые меры для решения проблемы!

• Вы также можете используйте инструмент командной строки Dumpchk.exe, чтобы проверить файл дампа памяти.
• Кроме того, вы можете использовать WhoCrashed Home Edition для проверки ошибок одним щелчком мыши. Инструмент выполняет посмертный анализ аварийных дампов дампов памяти Windows и представляет всю собранную информацию в понятной форме.

Надеюсь, это поможет!

Связанные чтения:

1. Настройки дампа памяти Windows
2. Ограничения физической памяти в файлах аварийного дампа
3. Настройте Windows 10 для создания файлов аварийного дампа на синем экране
4. Контролируйте количество файлов дампа памяти, которые Windows создает и сохраняет.

Устранение неполадок

Проблемные проблемы с открытием DUMP-файлов

Отсутствует macOS

При двойном щелчке DUMP-файла может появиться диалоговое окно операционной системы с сообщением о том, что он «Не удается открыть этот тип файла». Обычно это связано с тем, что у вас нет macOS для %%os%% установлен. Поскольку ваша операционная система не знает, что делать с этим файлом, вы не сможете открыть его двойным щелчком мыши.

Совет. Когда установлено другое приложение DUMP, вы можете открыть его, выбрав «Показать приложения» и используя эту программу.

Устаревший macOS

Иногда может быть установлена устаревшая версия macOS, несовместимая с типом Dump File. Вам нужно будет загрузить более новую версию macOS, если у вас нет правильной версии. Ваш файл электронной таблицы, вероятно, был создан более новой версией macOS, чем то, что в данный момент установлен на вашем компьютере.

Совет . Щелчок правой кнопкой мыши на DUMP-файле, затем выбрав «Свойства» (Windows) или «Получить информацию» (Mac), может предоставить подсказки о версии файла.

В первую очередь проблемы, возникающие при открытии DUMP-файлов, связаны с тем, что на вашем компьютере установлена неправильная версия macOS.

Вы по-прежнему можете испытывать ошибки при открытии DUMP-файлов даже с последней версией macOS, установленной на вашем компьютере. Если у вас по-прежнему возникают проблемы с открытием файлов DUMP, могут возникнуть другие проблемы с компьютером. К числу дополнительных факторов относятся:

Требования и ограничения

• Visual Studio поддерживает отладку файлов дампа, создаваемых приложениями в машинных кодах на устройствах ARM. Он также поддерживает отладку дампов управляемых приложений с устройств ARM, но только в отладчике машинного кода.

• Для отладки файлов дампа, полученных в режиме ядра, или использования расширения отладки SOS.dll в Visual Studio загрузите средства отладки для Windows из комплекта разработки драйверов для Windows (WDK).

• Visual Studio не поддерживает отладку файлов дампа, сохраненных в старом формате полного дампа в режиме пользователя. Полный дамп в режиме пользователя не то же самое, что и дамп с кучей.

• Отладка с использованием файлов дампа оптимизированного кода может сопровождаться ложной информацией. К примеру, встраивание компилятором функций может приводить к непредвиденным стекам вызовов, а другие виды оптимизации могут изменять время существования переменных.

Файлы дампа ядра

Формат

В более старых и более простых операционных системах каждый процесс имел непрерывное адресное пространство, поэтому файл дампа иногда был просто файлом с последовательностью байтов, цифр, символов или слов. На других ранних машинах файл дампа содержал отдельные записи, каждая из которых содержала адрес хранилища и соответствующее содержимое. На ранних машинах дамп часто создавался автономной программой дампа, а не приложением или операционной системой.

В IBM System / 360 стандартные операционные системы записывали отформатированные дампы ABEND и SNAP с адресами, регистрами, содержимым хранилища и т. Д., Преобразованными в формы для печати. В более поздних выпусках добавлена ​​возможность записи неформатированных дампов, которые в то время назывались дампами основного образа.

В современных операционных системах адресное пространство процесса может иметь пробелы и разделять страницы с другими процессами или файлами, поэтому используются более сложные представления; они также могут включать другую информацию о состоянии программы во время дампа.

В Unix-подобных системах дампы ядра обычно используют стандартный исполняемый формат образа :

• a.out в старых версиях Unix ,
• ELF в современных системах Linux , System V , Solaris и BSD ,
• Mach-O в macOS и т. Д.

Именование

OS / 360 и последователи

• В OS / 360 и последующих версиях задание может назначать произвольные имена наборов данных (DSN) для ddnames и для отформатированного дампа ABEND и для произвольных ddname для дампа SNAP или определять эти ddnames как SYSOUT.
• Средство оценки и устранения повреждений (DAR) добавило автоматический неформатированный дамп в набор данных во время сбоя, а также дамп консоли, запрошенный оператором.
• Дамп новой транзакции очень похож на старые формы дампа.

Unix-подобный

• Начиная с Solaris 8, системная утилита позволяет настраивать имя и расположение файлов ядра.
• Дампы пользовательских процессов традиционно создаются в виде файлов . В Linux (начиная с версий 2.4.21 и 2.6 основной ветки ядра Linux ) другое имя можно указать через procfs с помощью файла конфигурации; указанное имя также может быть шаблоном, который содержит теги, замененные, например, именем исполняемого файла, идентификатором процесса или причиной дампа.
• Общесистемные дампы в современных Unix-подобных системах часто отображаются как или .

Другие

Такие системы, как Microsoft Windows , в которых используются расширения файлов , могут использовать расширения .dmp ; например, дампы ядра могут называться memory.dmp или \Minidump\Mini051509-01.dmp .

Дампы памяти Windows

Microsoft Windows поддерживает два формата дампа памяти, описанные ниже.

Дампы в режиме ядра

Существует пять типов дампов режима ядра:

• Полный дамп памяти — содержит полную физическую память целевой системы.
• Дамп памяти ядра — содержит всю память, используемую ядром во время сбоя.
• Небольшой дамп памяти — содержит различную информацию, такую ​​как код остановки, параметры, список загруженных драйверов устройств и т. Д.
• Автоматический дамп памяти (Windows 8 и более поздние версии) — то же самое, что и дамп памяти ядра, но если одновременно управляется системой и слишком мал для захвата дампа памяти ядра, он автоматически увеличит файл подкачки как минимум до размера ОЗУ для четыре недели, затем уменьшите его до меньшего размера.
• Дамп активной памяти (Windows 10 и новее) — содержит большую часть памяти, используемой ядром и приложениями пользовательского режима.

Для анализа дампов режима ядра Windows используются Debugging Tools for Windows .

Дампы памяти в пользовательском режиме

Дамп памяти в пользовательском режиме, также известный как минидамп , представляет собой дамп памяти одного процесса. Он содержит выбранные записи данных: полную или частичную (отфильтрованную) память процесса; список потоков с их стеками вызовов и состоянием (например, регистры или TEB ); информация о дескрипторах объектов ядра; список загруженных и выгруженных библиотек . Полный список опций доступен в enum.

Решения для устранение ошибки memory.dump в Windows 10/8.1

1. Включить функцию автоматического обновления

В Windows 10/8.1 автоматическое обновление включено по умолчанию, но вы наверняка отключили его и забыли. Это не правильный подход. Система должна все время обновляться и развиваться, тем самым в этих же обновлениях могут приходить критические исправления различных ошибок. Включите функцию автоматического обновления навсегда. Рассмотрим ниже несколько рекомендаций.

• Если вы отключили его с помощью специальной утилиты, то включите обратно.
• Проверьте в службах, работает ли “Центр обновления Windows”.
• Постарайтесь обновить свою систему до последней версии.

2. Ручное обновление для системного драйвера

Вручную обновите все установленные системные драйверы, такие как видео, USB и аудио, до последней версии используя Интернет. Часто устаревшие системные драйверы являются причинами ошибок memory.dump.

• Нажмите Win + R и введите devmgmt.msc, чтобы открыть “Диспетчер устройств”.
• У вас появится список всех устройств. Обновите их все по порядку, нажав правой кнопкой мыши и выбрав “Обновить драйвер”.

 3. Отключить функцию быстрого запуска

Функция Hybrid Shutdown или Fast startup была добавлена ​​в Windows 8 для быстрого запуска в Windows 10, 8. Но число людей жаловалось на то, что Hybrid shutdown выдает различные проблемы, когда она работает с Fast startup, и обе эти функции несут ответственность за создание ошибок memory.dump в системе Windows 10/8. Отключим функцию Hybrid shutdown в системе. 

Перейдите в раздел “Электропитание” с панели управления. Далее нажмите справа на “Действия кнопок питания”.

1. Нажмите на “Изменение параметров, которые сейчас недоступны”, чтобы вы смогли пользоваться ниже параметрами.
2. Теперь Вам доступны параметры снизу. Отключите “Быстрый запуск” убрав галочку. Сохраните изменения.

4. Восстановление системных файлов и жесткого диска

Попробуем  исправить поврежденные системные файлы, если они имеются, и восстановить жесткий диск. 

Запустите командную строку от имени администратора и введите команду sfc /scannow, чтобы проверить системные файлы.

Запустите командную строку от имени администратора и введите chkdsk /f /r, чтобы проверить и восстановить ошибки на жестком диске.

Смотрите еще:

• Как проверить оперативную память на ошибки в Windows
• Как увеличить оперативную память с помощью флешки ReadyBoost
• Сжатая память Windows 10: Что это? Как работает? Как Отключить?
• Почему Ntoskrnl.exe System грузит ЦП и Память в Windows 10
• Как снять защиту от записи с USB флешки и карт памяти 

comments powered by HyperComments

Как очистить системный диск Windows?

Здравствуйте, у меня на ноутбуке, на системном диске C: закончилось место, я удалял программы, но это не помогает, все равно место заканчивается. Папка Windows занимает объем 43 Гб, скажите как можно почистить диск? Может можно удалить что-нибудь из Windows 7?

Лучше, самому не удалять файлы из папки C:Windows , а воспользоваться специальным для этого средством: очистка диска. Очистка диска бывает двух типов — стандартная и расширенная.

Стандартная очистка диска

С помощью стандартной очистки диска можно удалить:

• Содержимое папки Downloaded Program Files;
• Временные файлы интернета – файлы, сохраняемые браузером Internet Explorer во время просмотра веб-страниц;
• Автономные веб-страницы – сохраненные на компьютере веб-страницы, которые можно просматривать без подключения к интернету;
• Файлы статистики игр;
• Содержимое Корзины;
• Временные файлы, создаваемые некоторыми программами в процессе работы;
• Эскизы – созданные системой копии эскизов всех изображений и документов для последующего ускорения открытия папок, в которых они содержатся.

1. Щелкните правой кнопкой мыши по диску, который нужно очистить и выберите Свойства.

2. На вкладке Общие нажмите кнопку Очистка диска.

3. На вкладке Очистка диска установите флажки напротив файлов, которые нужно удалить, и нажмите OK.

4. На вкладке Дополнительно можно удалить все точки восстановления системы, кроме самой новой. Чтобы сделать это, нажмите кнопку Очистить.

5. Нажмите ОК.

Расширенная очистка диска

С помощью встроенной в Windows 7 расширенной очистки диска можно удалить все, что удаляет стандартная очистка, плюс:

• Временные файлы установки – временные файлы, созданные во время установки программ и более не нужные на компьютере;
• Debug dump files – файлы, созданные дебаггером Windows;
• Старые файлы программы Chkdsk – потерянные фрагменты файлов, созданные во время проверки диска и более не нужные на компьютере.
• Предыдущие установки Windows – файлы и папки от предыдущих версий Windows, перемещенные в папку Windows.old.
• Настройка файлов журнала;
• Файлы дампа памяти для системных ошибок – можно удалить эти файлы, если ваш компьютер работает исправно и не нуждается в диагностике;
• Файлы минидампа для системных ошибок;
• Файлы, выброшенные обновлением Windows – файлы прежних версий Windows, сохраненные во время обновления до Windows 7.
• Пользовательские архивы отчетов об ошибках – файлы, используемые для отчетов об ошибках и поиска решений;
• Пользовательские очереди отчетов об ошибках;
• Системные архивы отчетов об ошибках;
• Системные очереди отчетов об ошибках;
• Файлы журнала обновлений Windows – данные для определения и устранения проблем, связанных с установкой, обновлением и обслуживанием Windows.

1. Откройте меню Пуск > Все программы > Стандартные, щелкните правой кнопкой по значку командной строки и выберите Запуск от имени администратора.

2. Введите команду: cleanmgr и нажмите Ввод.

3. Выбираете необходимый диск и нажимаете OK

3. Отметьте флажками файлы, которые нужно удалить.

Установка Microsoft Kernel Debugger

Установить WinDbg вы можете двумя методами:

• Microsoft Kernel Debugger входит в состав SDK, именно от туда вы можете его загрузить
• Microsoft Kernel Debugger можно скачать отдельным пакетом, но не всегда есть самые актуальные версии

Переходим на страницу SDK. У вас есть возможность скачать тонкий клиент, где потом придется выкачивать все из интернета, или же вы скачиваете ISO образ имеющий все пакеты, но он весит больше и подходит для сред, где нет интернета.

Предположим, что вы выбрали метод с тонким клиентом, где у вас был скачан файл e

Обращаю внимание, что установить Microsoft Kernel Debugger вы можете на любую систему из списка:

• Windows 10 версии 1507 или более поздняя версия
• Windows Server 2012 R2 (только для командной строки) Windows Server 2016 (только для командной строки)
• Windows 8.1
• Windows Server 2012 R2
• Windows 7 с пакетом обновления 1 (SP1)

Запускаем , убедитесь, что у вас есть доступ в интернет и 5-6 ГБ свободного, дискового пространства.

Далее вы можете подписаться на отправку анонимной статистики в программе качества, я не стал.

Принимаем лицензионное соглашение SDK нажимая «Accept».

Снимаем все пункты, кроме «Debugging Tools for Windows» и нажимаем Install.

Начнется процесс установки WinDbg.

Значения реестра для запуска и восстановления

Ниже используется значение реестра .

• CrashDumpEnabled REG_DWORD 0x0 = None
• CrashDumpEnabled REG_DWORD 0x1 = Полная свалка памяти
• CrashDumpEnabled REG_DWORD 0x2 = сброс памяти ядра
• CrashDumpEnabled REG_DWORD 0x3 = Небольшая свалка памяти (64 КБ)
• CrashDumpEnabled REG_DWORD 0x7 = автоматическая свалка памяти

Дополнительные значения реестра для CrashControl:

• 0x0 = отключен

• 0x1 = Включено

• AutoReboot REG_DWORD 0x1

• DumpFile REG_EXPAND_SZ

• LogEvent REG_DWORD 0x1

• MinidumpDir REG_EXPAND_SZ

• Переописывание REG_DWORD 0x1

• SendAlert REG_DWORD 0x1

Примечание

Необходимо перезапустить Windows, чтобы изменения вступили в силу.

Анализ дампа памяти

Рейтинг:   / 303

Просмотров: 726103

Общие сведения об аварийном дампе памяти

Все Windows-системы при обнаружении фатальной ошибки делают аварийный дамп (снимок) содержимого оперативной памяти и сохраняет его на жесткий диск. Существуют три типа дампа памяти:

Полный дамп памяти – сохраняет все содержимое оперативной памяти. Размер снимка равен размеру оперативной памяти + 1 Мб (заголовок). Используется очень редко, так как в системах с большим объемом памяти размер дампа будет слишком большим.

Дамп памяти ядра – сохраняет информацию оперативной памяти, касающуюся только режима ядра. Информация пользовательского режима не сохраняется, так как не несет в себе информации о причине краха системы. Объем файла дампа зависит от размера оперативной памяти и варьируется от 50 Мб (для систем с 128 Мб оперативной памяти) до 800 Мб (для систем с 8 Гб оперативной памяти).

Малый дамп памяти (мини дамп) – содержит довольно небольшое количество информации: код ошибки с параметрами, список драйверов загруженных в оперативную память на момент краха системы и т.д., но этих сведений достаточно, для определения сбойного драйвера. Еще одним преимуществом данного вида дампа является маленький размер файла.

Настройка системы

Для выявления драйвера вызвавшего синий экран нам достаточно будет использовать малый дамп памяти. Для того чтобы система при крахе сохраняла мини дамп необходимо выполнить следующие действия:

Для Windows Xp	Для Windows 7
Правой клавишей мыши нажать на значке Мой компьютер из контекстного меню выберите Свойства (или комбинация клавиш Win+Pause); Переходите на вкладку Дополнительно; В поле Загрузка и восстановление необходимо нажать кнопку Параметры; В поле Запись отладочной информации выбираем Малый дамп памяти (64 Кб).	Правой клавишей мыши нажать на значке Компьютер из контекстного меню выберите Свойства (или комбинация клавиш Win+Pause); В левом меню щелкаем на пункт Дополнительные параметры системы; Переходите на вкладку Дополнительно; В поле Загрузка и восстановление необходимо нажать кнопку Параметры; В поле Запись отладочной информации выбираем Малый дамп памяти (128 Кб).

Проделав все манипуляции, после каждого BSoD в папке C:\WINDOWS\Minidump будет сохраняться файл с расширение .dmp. Советую ознакомиться с материалом “Как создать папку”. Также можно установить галочку на “Заменить существующий файл дампа”. В этом случае каждый новый аварийный дамп будет записываться поверх старого. Я не советую включать данную опцию.

Анализ аварийного дампа памяти с помощью программы BlueScreenView

Программа состоит из трех основных блоков:

1. Блок главного меню и панель управления;
2. Блок списка аварийных дампов памяти;
3. В зависимости от выбранных параметров может содержать в себе:

• список всех драйверов находящихся в оперативной памяти до появления синего экрана (по умолчанию);
• список драйверов находящихся в стеке оперативной памяти;
• скриншот BSoD;
• и другие значения, которые мы использовать не будем.

В блоке списка дамп памяти (на рисунке помечен цифрой 2) выбираем интересующий нас дамп и смотрим на список драйверов, которые были загружены в оперативную память (на рисунке помечен цифрой 3). Розовым цветом окрашены драйвера, которые находились в стеке памяти. Они то и являются причиной появления BSoD. Далее переходите в Главное меню драйвера, определяйте к какому устройству или программе они принадлежат

В первую очередь обращайте внимание на не системные файлы, ведь системные файлы в любом случае загружены в оперативной памяти. Легко понять, что на изображении сбойным драйвером является myfault.sys. Скажу, что это программа была специально запущена для вызова Stop ошибки

После определения сбойного драйвера, необходимо его либо обновить, либо удалить из системы

Скажу, что это программа была специально запущена для вызова Stop ошибки. После определения сбойного драйвера, необходимо его либо обновить, либо удалить из системы.

Для того чтобы программа показывала список драйверов находящихся в стеке памяти во время возникновения BSoD необходимо зайти в пункт меню “Options” кликаем на меню “LowerPaneMode” и выбираем “OnlyDriversFoundInStack” (или нажмите клавишу F7), а для показа скриншота ошибки выбираем “BlueScreeninXPStyle” (F8). Что бы вернуться к списку всех драйверов, необходимо выбрать пункт “AllDrivers” (F6).

Буду признателен, если воспользуетесь кнопочками:

Добавить комментарий