Care este cea mai recentă descărcare de memorie? Ce este un depozit de memorie? Configurarea serverului pentru simboluri personalizate în WinDBG

Care este cea mai recentă descărcare de memorie? Ce este un depozit de memorie? Configurarea serverului pentru simboluri personalizate în WinDBG

Dacă în fața ta apare așa-zisul ecran albastru al morții din Windows 10 și ești gata să cazi într-o comă nervoasă, ia-l în propriile mâini și încearcă să rezolvi problema. Pentru început, este important să spunem că această notificare de rău augur vă semnalează o situație critică tratament sistemic. Mai mult, nu va trece mult până când veți putea profita de momentul și citi codul de resetare dacă Windows cade în ecranul albastru al morții și va trebui să reactivați dispozitivul. Este important că nu există nicio soluție la această problemă, precum și motivele pentru ecranul albastru. Să încercăm să ne uităm la acest articol motive evidente a apărut pe ecranul albastru, fericit și, de asemenea, despre decizii posibile Probleme.

În cele mai multe cazuri, ecranul albastru al morții semnalează anularea BAD_POOL_CALLER - stop 0x000000c2. Este sincer dificil să diagnosticăm această problemă, dar poate vom încerca să descriem algoritmul acțiunilor tale viitoare folosind exemplul acestei probleme.

Pentru a diagnostica corect problema, analizați un fișier de sistem special numit minidump. Crearea unor astfel de fișiere poate provoca o blocare în sistemul robotului, în plus, ei ne pot informa ce a cauzat accidentul.

1. Să înghită asta înregistrare automată dump mic de memorie (dacă este dezactivat), accesați computerul și accesați secțiunea „Setări avansate de sistem” (această opțiune se aplică tuturor sistemelor, nu doar Windows 10):

De regulă, toate fișierele minidump sunt salvate atunci când apare un ecran albastru al morții (BSOD) și le puteți găsi în folderul C:\Windows\Minidump. Este de remarcat faptul că dosarului trebuie să i se acorde o dată precisă - dacă există creații, ceea ce va ușura identificarea datei externării, în special pentru medici, deoarece pot exista mai multe astfel de dosare.

Două moduri de a decripta un mic minidump de memorie

Prima metodă, compania intenționează să utilizeze popularul utilitar BlueScreenView. Acest utilitar poate, de asemenea cea mai buna varianta Pentru a analiza o descărcare de memorie, acest utilitar este cel mai util ca modalitate de a identifica driverul problematic.

Mai mult, este deosebit de remarcabil pentru că vă va ajuta să vedeți BSOD (ecranul albastru al morții) ca într-un cadru înghețat, așa cum s-a întâmplat la pornirea sistemului. Afișează ora și data defecțiunii, informații despre versiunea driverului sau a modulului o scurtă descriere. În plus, utilitarul este disponibil în multe limbi, inclusiv rusă. Deci, utilitarul BlueScreenView este cel de care aveți nevoie pentru a efectua o analiză rapidă a depozitelor de memorie în timpul BSOD.

Pentru altă cale Va trebui să instalați Instrumente de depanare pentru Windows și, de asemenea, să activați utilitarul bsdos_utility. După despachetarea scriptului bsdos_utility.cmd, mutați-l pe unitatea C:\ (puteți crea Voi închide folderul, dar amintiți-vă că rândul de adrese și lansarea scriptului vor apărea în fața fundului nostru). Apoi scrieți următoarele în linia de comandă:

C:\bsdos_utility.cmd

După afișarea unei liste cu toate dumpurile din lista C:\Windows\Minidump\, după care scriptul încarcă dump-ul în sine, acesta trebuie analizat. De asemenea, puteți selecta minidump-ul necesar înainte de a începe scriptul:

Într-o manieră similară, Masa poate fi revelată scuze Windows 10, printr-un BSOD, precum și programs.exe problematic printr-un ecran albastru.

În momentul unei defecțiuni critice, sistemul de operare Windows întrerupe robotul și afișează un ecran albastru al morții (BSOD). Vmіst RAMȘi toate informațiile despre descărcare sunt scrise în fișierul swap. Pentru venirea obsedat de Windows Se creează un dump de blocare cu informații valoroase bazate pe datele salvate. O intrare despre o eroare critică este creată în jurnalul de sistem.

Respect! Dump-ul de blocare nu este creat deoarece subsistemul discului a eșuat sau a avut loc o prăbușire critică a Windows în primele etape ale instalării Windows.

Tipuri de depozitări de blocare Windows

Pe fund real sistem de operare Windows 10 ( Windows Server 2016) să ne uităm la principalele tipuri de depozite de memorie pe care sistemul le poate crea:

  • Mic depozit de memorie(256 KB). Acest tip de fișier necesită un consum minim de informații. De asemenea, trebuie să furnizați informații despre remedierea BSOD, informații despre drivere, procese care erau active în momentul prăbușirii, precum și orice proces sau fir de nucleu care a fost afectat de accident.
  • Dump memorie kernel. De regulă, de dimensiuni mici - o treime din dimensiune memorie fizică. Dump-ul de memorie kernel este mai mare decât dump-ul raportului, dar mai mic decât dump-ul. Puteți stoca informații despre drivere și programe în modul kernel, inclusiv memoria văzută de kernel-ul Windows și nivelul de abstractizare hardware (HAL), precum și memoria văzută de drivere și alte programe în modul kernel.
  • Dump complet de memorie. Cea mai mare cantitate de memorie necesară este memoria RAM curentă a sistemului dvs. plus 1 MB, Windows necesar pentru crearea fișierului.
  • Evacuarea automată a memoriei. Afișează dintr-o privire o imagine a memoriei kernelului. Depinde de cât spațiu există pentru crearea unei gropi. Acest tip de fișier nu este disponibil în Windows 7. A fost adăugat la Windows 8.
  • Memorie activă. Acest tip include elemente care pot indica cauza unei defecțiuni a sistemului. Totul a fost actualizat la Windows 10 și este deosebit de cool, deoarece ești vikorist mașină virtuală, deoarece sistemul dvs. este o gazdă Hyper-V.

Cum să eliminați un dump de memorie creat din Windows?

Pentru ajutor suplimentar Win+Pause, deschideți fereastra cu parametrii sistemului, selectați „ Parametri suplimentari de sistem"(Setari de sistem avansate). La depozit " Dodatkovo" (Avansat), secțiunea "" (Pornire și recuperare) apăsați butonul " Parametrii„(Setări). În fereastră, ajustați activitățile din sistemul video. Bifați caseta de selectare Notați în jurnalul de sistem„(Scrieți un eveniment în jurnalul de sistem), selectați tipul de descărcare care poate fi creat în timpul unei defecțiuni a sistemului. Ce este în caseta de selectare A inlocui Dosarul original haldă» (Suprascrieți orice fișier existent) bifați caseta, fișierul va fi suprascris în cazul unor probleme ale pielii. Este mai bine să debifați această casetă, atunci veți avea mai multe informații pentru analiză. Apăsați de asemenea reangajarea automată sistem (reporniți automat).

Cel mai adesea, pentru a analiza cauza BSOD, o mică descărcare de memorie vă va fi suficientă.

Acum, dacă aveți un BSOD, puteți analiza fișierul dump și puteți găsi cauza defecțiunii. Minidump este stocat în folderul %systemroot%\minidump. Pentru a analiza fișierul dump, vă recomand să utilizați programul WinDBG(Microsoft Kernel Debugger).

Instalarea WinDBG pe Windows

Utilitate WinDBG introduce " Windows 10 SDK(Windows 10 SDK). .

Fișierul este numit winsdksetup.exe, Dimensiune 1,3 MB.

Rulați instalarea și alegeți ce trebuie să faceți - instalați pachetul pe computer sau descărcați-l pentru instalare pe alte computere. Instalați pachetul pe computerul local.

Puteți instala întregul pachet, dar pentru a instala fără instrumentul de instalare, selectați Instrumente de depanare pentru Windows.

Odată instalate, comenzile rapide WinDBG pot fi găsite în meniul de pornire.

Configurarea fișierelor association.dmp cu WinDBG

Pentru a recupera fișierele dump vă rugăm să faceți clic Instalați extension.dmp cu utilitarul WinDBG.

  1. Deschide Linie de comanda Ca administrator, introduceți comenzile pentru un sistem pe 64 de biți: cd C:\Program Files (x86)\Windows Kits\10\Debuggers\x64
    windbg.exe -IA
    pentru un sistem pe 32 de biți:
    C:\Program Files (x86)\Windows Kits\10\Debuggers\x86
    windbg.exe -IA
  2. Ca rezultat, tipurile de fișiere: .DMP, .HDMP, .MDMP, .KDMP, .WEW vor fi instalate cu WinDBG.

Configurarea serverului pentru simboluri personalizate în WinDBG

Simbolurile de depanare (simboluri de depanare sau fișiere de simbol) sunt blocuri de date care sunt generate în timpul procesului de compilare a unui program împreună cu un fișier care este compilat. Astfel de blocuri de date conțin informații despre schimbarea numelor, funcțiilor, bibliotecilor etc. Aceste date nu sunt necesare atunci când programele sunt instalate sau când sunt instalate. componente Microsoft sunt compilate din simboluri care sunt distribuite prin Microsoft Symbol Server.

Ajustați WinDBG la Microsoft wiki Server de simboluri:

  • Deschideți WinDBG;
  • Accesați meniu Fişier –> Calea fișierului simbol;
  • Scrieți un rând pentru a plasa adresa URL pentru descărcarea simbolurilor de pe site-ul Microsoft și folderul pentru salvarea memoriei cache: SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols În aplicație, memoria cache este salvată în folderul E:\Sym_WinDBG, puteți spune că be-yaku.
  • Nu uitați să salvați modificările din meniu Fişier–>Salvați spațiul de lucru;

WinDBG poate căuta simboluri în folderul local și, dacă nu detectează simbolurile necesare, poate importa în mod independent simboluri de pe site-ul alocat. Ce vrei să adaugi? Îți trimit folderul Cu simboluri, puteți proceda astfel:

SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols;c:\Symbols

Dacă sunteți conectat la Internet zilnic, mai întâi descărcați pachetul de simboluri din resursa Windows Symbol Packages.

Analiza depozitelor de blocare WinDBG

WinDBG Manager deschide fișierul dump și descarcă simbolurile necesare pentru operație folderele locale sau pe Internet. În acest moment, nu puteți utiliza WinDBG. În partea de jos a ferestrei (lângă linia de comandă a editorului) există un mesaj Debugee nu are conexiuni.

Comenzile sunt introduse în rândul de comandă din partea de jos a ferestrei.

Cel mai important lucru pentru care trebuie să arăți respect este codul grațierii, care este întotdeauna afișat în a șaisprezecea valoare și arată ca 0xXXXXXXXXX(Specificați într-una dintre opțiuni - STOP: , 07/02/2019 0008F, 0x8F). Capul are un cod de avertizare de 0x139.

Administratorul lansează comanda!analyze -v, doar îndreptați cursorul mouse-ului spre text și apăsați. Ce comandă este necesară?

  • Acesta finalizează analiza preliminară a depozitului de memorie și oferă informații de raportare pentru începutul analizei.
  • Această comandă de afișare a codului STOP este simbolică pentru mesaj.
  • Afișează teancul de apeluri de comandă care au dus la accident.
  • În plus, aici sunt afișate problemele cu adresa IP, procesele și registrele.
  • Echipa poate oferi recomandări gata făcute pentru a rezolva problema.

Principalele puncte care trebuie luate în considerare în timpul analizei după victoria comenzii!analiza –v (listarea este nouă).

1: kd>! Analizează -v


* *
* Analiza de verificare a erorilor *
* *
*****************************************************************************
Numele simbolic al STOP-amendament (BugCheck)
KERNEL_SECURITY_CHECK_FAILURE (139)
Descrierea atacului (componenta nucleului a corupt structura critică a datelor. Această corupție ar putea permite atacatorului să preia controlul asupra acestei mașini):

O componentă a nucleului a corupt o structură critică de date. Corupția poate permite unui mic koristuvach să keruvannya cu o mașină.
Argumente pentru milă:

Argumente:
Arg1: 0000000000000003, LIST_ENTRY poate fi coruptă (adică eliminarea dublă).
Arg2: ffffd0003a20d5d0, adresa cadrului capcanei pentru excepția care a provocat verificarea erorilor
Arg3: ffffd0003a20d528, adresa înregistrării excepției pentru excepția care a provocat verificarea erorilor
Arg4: 0000000000000000, Rezervat
Detalii de depanare:
------------------

Medicul arată de câte ori sistemul a suferit o eroare similară:

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: FAIL_FAST_CORRUPT_LIST_ENTRY

Cod STOP în format prescurtat:

BUGCHECK_STR: 0x139

Procesul, în momentul morții, a fost pierdut (nu neapărat motivul morții, doar în momentul morții, acest proces a fost uitat în memorie):

PROCESS_NAME: sqlservr.exe

Decriptarea codului de atac: Pentru acest addendum, sistemul a detectat o re-aplicare a stivei tampon, care poate permite unui atacator să ia controlul asupra acestui program.

ERROR_CODE: (NTSTATUS) 0xc0000409 - Sistemul a detectat o versiune nevalidă a tamponului rezervorului în această aplicație. Această depășire poate permite unui utilizator rău intenționat să obțină controlul asupra acestei aplicații.
EXCEPTION_CODE: (NTSTATUS) 0xc0000409 - Sistemul a detectat o versiune nevalidă a rezervorului în această aplicație. Această depășire poate permite unui utilizator rău intenționat să obțină controlul asupra acestei aplicații.

Ultimul strigăt de pe stivă:

LAST_CONTROL_TRANSFER: de la fffff8040117d6a9 la fffff8040116b0a0

Stiva de clicuri în momentul eșecului:

STACK_TEXT:
ffffd000`3a20d2a8 fffff804`0117d6a9: 00000000`00000139 00000000`00000003 ffffd000`3a20d5d0 ffffd000`3a2d!
ffffd000`3a20d2b0 fffff804`0117da50: ffffe000`f3ab9080 ffffe000`fc37e001 ffffd000`3a20d5d0 fffff804`0116e2a2: nt!
ffffd000`3a20d3f0 fffff804`0117c150: 00000000`00000000 00000000`00000000 00000000`00000000 0000000000
ffffd000`3a20d5d0 fffff804`01199482: ffffc000`701ba270 ffffc000`00000001 000000ea`73f68040 fffff804`000006f9:
ffffd000`3a20d760 fffff804`014a455d: 00000000`00000001 ffffd000`3a20d941 ffffe000`fcacb000 ffffd000`3a20d95: ?? ::FNODOBFM::`string”+0x17252
ffffd000`3a20d8c0 fffff804`013a34ac: 00000000`00000004 00000000`00000000 ffffd000`3a20d9d8 ffffe001`0a34c60
ffffd000`3a20d990 fffff804`0117d313: ffffffff`fffffffe 00000000`00000000 00000000`00000000 000000eb`a0cf1306: 0
ffffd000`3a20da90 00007ffb`475307da: 00000000`00000000 00000000`00000000 00000000`00000000 0000000000 0000000000
000000ee`f25ed2b8 00000000`00000000: 00000000`00000000 00000000`00000000 00000000`00000000 00000000 070000

Dilyanka code, de vinikla pace:

FOLLOWUP_IP:
nt!KiFastFailDispatch+d0
fffff804`0117da50 c644242000 mov byte ptr ,0
FAULT_INSTR_CODE: 202444c6
SYMBOL_STACK_INDEX: 2
SYMBOL_NAME: nt!KiFastFailDispatch+d0
FOLLOWUP_NAME: proprietarul mașinii

Numele modulului din tabelul de obiecte kernel. Dacă analizorul a reușit să identifice un driver problematic, numele este afișat în câmpurile MODULE_NAME și IMAGE_NAME:

MODULE_NAME:nt
IMAGE_NAME: ntkrnlmp.exe

1: kd> lmvm nt
Răsfoiți lista completă de module
Fișierul imagine simbol încărcat: ntkrnlmp.exe
Fișier imagine de memorie mapată: C:\ProgramData\dbg\sym\ntoskrnl.exe\5A9A2147787000\ntoskrnl.exe
Calea imaginii: ntkrnlmp.exe
Nume imagine: ntkrnlmp.exe
InternalName: ntkrnlmp.exe
Nume fișier original: ntkrnlmp.exe
Versiune produs: 6.3.9600.18946
Versiune fișier: 6.3.9600.18946 (winblue_ltsb_escrow.180302-1800)

Această analiză poate fi făcută indicând fișierul kernel ntkrnlmp.exe. Dacă analiza de descărcare a memoriei indică un driver de sistem (de exemplu, win32k.sys) sau un fișier kernel (de exemplu, ntkrnlmp.exe în aplicația noastră), cel mai fiabil dosar Danemarca nu este cauza problemei. Se dovedește adesea că problema este în driverul dispozitivului, configurarea BIOS-ului sau există o lipsă de posesie.

Dacă ați descoperit că BSOD a avut loc printr-un driver terță parte, numele acestuia va fi indicat în valorile MODULE_NAME și IMAGE_NAME.

De exemplu:

Calea imaginii: \SystemRoot\system32\drivers\cmudaxp.sys
Nume imagine: cmudaxp.sys

Deschideți fișierul driverului și schimbați versiunea acestuia. Cel mai adesea, problema cu driverele se datorează actualizărilor acestora.

Unul dintre cele mai extinse domenii roboți Windows— erori de sistem care cauzează probleme cu Ecranul albastru al morții (BSOD). De regulă, această problemă fatală apare fie printr-o funcționare defectuoasă a driverelor, hardware-ului (adesea sub sistemul de operare), fie prin funcționarea virușilor și antivirusurilor.

Pe ecranul albastru al morții există informații despre motivele care au cauzat defecțiunea (în codul STOP arată ca 0x0000007b), adrese în memorie și alte informații relevante când defecțiunea a fost salvată. Această informație se numește mesaj STOP, modificând parametri precum adresele de memorie. Uneori există un loc pentru numele fișierului făcând clic pe vină.

Toate aceste informații sunt afișate pe ecran pentru o perioadă scurtă de timp (până la 100 de secunde), după care computerul este repornit. În acest moment, un dump de memorie este generat și scris în fișier. Una dintre cele importante moduri profesionale diagnosticare defecțiuni - analiza de descărcare a memoriei, care este discutată în detaliu în acest articol.

Ce este această groapă?

  • dump (engleză) - kupa smittya; seif; gaură; netri.
  • dump (memory dump) – 1) dump, afișat în locul RAM pe celălalt ecran; 2) „instantaneu” a memoriei operative; datele care sunt eliminate ca urmare a dumpingului; 3) eliberare de urgență, avertizare, aruncare.
  • dumping - dumping, dumping.

Setările pentru salvarea depozitelor de memorie sunt salvate în registru de sistem Windows.

Informații despre descărcarea memoriei în Registrul sistemului:

În separat Registrul Windows O descărcare a memoriei de blocare este indicată de următorii parametri:

– REG_DWORD-parametru AutoReboot cu valori 0×1 (opțiunea Viconati va reactiva automat fereastra suplimentară a Repornirii și va actualiza fereastra de dialog a Autorității de sistem);

– Parametrul REG_DWORD CrashDumpEnabled cu valori 0×0, deoarece nu se creează un dump de memorie; 0×1 - Memorie nouă; 0×2 – Core memory dump; 0×3 - Dump minim de memorie (64KB);

– REG_EXPAND_SZ-parametru DumpFile din valorile %SystemRoot%\MEMORY.DMP (locul în care este salvat fișierul dump);

– REG_DWORD-parametru LogEvent cu valori implicite de 0×1 (opțiunea Scrieți un mesaj în jurnalul de sistem al ferestrei Vizualizați și actualizați);

– REG_EXPAND_SZ-parametru MinidumpDir cu valorile %SystemRoot%\Minidump (opțiunea folder dump mic în fereastra Vantage și actualizare);

– Parametrul REG_DWORD Overwrite cu valori de 0×1 (opțiunea Suprascrie fișierul dump existent al ferestrei Vantage și actualizează);

– REG_DWORD-parametru SendAlert cu valori 0×1 (opțiunea Trimite alerte administrative în fereastra de reînnoire).

Cum creează sistemul un fișier de descărcare în caz de accident

Când sistemul de operare este restaurat, verifică setările de descărcare în caz de accident în secțiunea de registry. Când este specificat un parametru, sistemul generează o hartă a blocurilor de disc ocupate de fișierul de paginare pe volumul de rezervă și le stochează în memorie. Sistemul determină, de asemenea, ce driver de dispozitiv de disc deține volumul utilizat, calculează sumele de verificare pentru imaginea driverului din memorie și pentru structurile de date implicate, astfel încât driverul să poată anula operațiunile I/O.

După o eroare, nucleul de sistem verifică integritatea hărții cu fișierul lateral, driverul de disc și structurile driverului de disc care sunt gestionate. Atâta timp cât integritatea acestor structuri nu este deteriorată, nucleul sistemului invocă funcții speciale la intrarea/ieșirea driverului de disc, concepute pentru a salva imaginea de memorie după o defecțiune a sistemului. Aceste funcții I/O sunt autonome și nu se bazează pe serviciile kernel-ului de sistem; fragmentele din programele care sunt responsabile pentru înregistrarea unui dump de blocare nu pot fi utilizate pentru a lucra pe acele părți ale nucleului de sistem sau drivere de dispozitiv care au fost corupte. Nucleul de sistem scrie date din memorie pe harta sectorului în fișierul de paginare (caz în care driverele sistemului de fișiere nu trebuie modificate).

Inițial, nucleul sistemului verifică starea componentei pielii implicate în procesul de depozitare a gunoiului. Este important să vă asigurați că atunci când scrieți direct în sectoarele discului, nu deteriorați datele stocate ca fișier lateral. Dimensiunea părții fișierului se datorează faptului că este cu 1 MB mai mare decât dimensiunea memoriei fizice, așa că atunci când scrieți informații într-un dump, este creat un antet care conține semnătura dump-ului de blocare și valorile mai multor importante. nuclee minime de sistem. Antetul ocupă mai puțin de 1MB, dar sistemul de operare poate crește (sau modifica) dimensiunea fișierului de swap cu cel puțin 1MB.

După instalarea sistemului, Session Manager (Windows NT Session Manager; adresa disc - \WINDOWS\system32\smss.exe) inițializează fișierele laterale ale sistemului, folosind funcția NtCreatePagingFile pentru a crea un fișier separat. NtCreatePagingFile indică ce pagini sunt inițializate și, dacă da, antetul de descărcare. Deoarece antetul este gol, NtCreatePagingFile adaugă cod special la Managerul de sesiuni. După aceasta, Session Manager pornește procesul Winlogon (Programul de conectare Windows NT; adresa discului - WINDOWSsystem32winlogon.exe), care vă anunță că a fost creat un dump de blocare. Winlogon rulează programul SaveDump (Windows NT Memory Saving Program; adresa discului - WINDOWSsystem32savedump.exe), care analizează antetul dump și determină acțiuni ulterioare într-o situație de urgență.

Deoarece antetul indică faptul că a fost generat un dump, SaveDump copiază datele din fișierul alăturat în fișierul dump de blocare, al cărui nume este specificat de parametrul REG_EXPAND_SZ al secțiunii DumpFile din Registry. În timp ce SaveDump suprascrie fișierul de descărcare, sistemul de operare nu vizualizează acea parte a fișierului în care este localizată descărcarea. În acest moment, cantitatea de memorie virtuală disponibilă pentru sistem și programe este modificată de dimensiunea depozitului (moment în care pot apărea notificări pe ecran care indică faptul că există o lipsă de memorie virtuală). Apoi SaveDump informează managerul de memorie despre finalizarea salvării dump-ului și alocă o parte din fișierul side-by-side în care este salvat dump-ul, în scopul editării directe.

După ce a salvat fișierul de descărcare, programul SaveDump face o înregistrare a creării descarcării în jurnalul de sistem, de exemplu: Computerul este repornit după o resetare critică: 0x100000d1 (0xc84d90a6, 0x00000010, 0x00000010, 0x00000000 K: Toată memoria salvată: C: Toată memoria salvată: \WINDOWS\ Minidump\Mini060309-01.dmp".

Dacă este selectată opțiunea Trimitere alerte administrative, SaveDump trimite alerte administratorului.

Tipuri de halde

  • Memorie completă scrie totul împreună memorie de sistem există o vină de lapte nediscriminatoriu. Pentru această opțiune, trebuie să plasați un fișier de schimb pe volumul original, a cărui dimensiune este egală cu toată memoria RAM fizică plus 1MB. Ulterior, o nouă descărcare de memorie este scrisă în fișierul %SystemRoot%\Memory.dmp. Ori de câte ori se lansează un fișier nou și este creat un nou fișier de dump de memorie (sau un dump de memorie kernel), fișierul anterior este înlocuit (suprascris). Opțiunea de descărcare a memoriei proaspete nu este disponibilă pe computerele care au instalat un sistem de operare pe 32 de biți și 2 sau mai mulți gigaocteți de RAM.

Ori de câte ori se lansează un fișier nou și se creează un nou fișier dump de memorie, fișierul anterior este înlocuit.

  • Dump de memorie de bază Scrie doar în memoria kernelului, motiv pentru care procesul de scriere a datelor în jurnal în timpul părții captivate a sistemului decurge mai rapid. Este important să aveți grijă de memoria fizică a computerului; fișierul de paginare necesită 50 până la 800 MB sau o treime din memoria fizică a computerului pe volumul necesar. Odată finalizată, descărcarea memoriei kernel este scrisă în fișierul %SystemRoot%\Memory.dmp.

Această descărcare nu include memoria nealocată sau memoria alocată modului program utilizator. Aceasta include memoria alocată la nivel de kernel și hardware (HAL) în Windows 2000 și versiunile ulterioare ale sistemului, precum și memoria alocată driverelor în modul kernel și altor programe în modul kernel. În cele mai multe cazuri, o astfel de descărcare este cea mai scurtă opțiune. Ocupă mult mai puțin spațiu în memoria totală, ceea ce exclude acele sectoare de memorie care, în general, nu sunt asociate cu descărcarea.
Ori de câte ori este eliberat un nou patch și este creat un nou fișier de descărcare a memoriei kernelului, fișierul anterior este înlocuit.

  • Mic depozit de memorieînregistrează cele mai puțin relevante informații, cauzele necesare și semnificative ale problemelor. Pentru a crea un mic dump de memorie, trebuie să vă asigurați că dimensiunea fișierului de paginare este mai mică de 2 MB pe volumul de stocare.

Fișierele mici de descărcare a memoriei conțin următoarele informații:

  • informații despre non-over-frezare, parametri și alte date;
  • lista de drivere dorite;
  • contextul procesorului (PRCB), care a devenit dezactivat;
  • informațiile despre proces și contextul nucleului (EPROCESS) pentru procesul care a provocat blocarea;
  • jurnalul de proces și contextul kernelului (ETHREAD) pentru firul care a provocat blocarea;
  • Stiva de clic în modul kernel pentru firul care provoacă blocarea.

Micul fișier de descărcare a memoriei este descărcat cu spațiu limitat hard disk. Cu toate acestea, din cauza interconectarii înregistrărilor care se află într-una nouă, ca urmare a analizei acestui fișier, nu este întotdeauna posibilă dezvăluirea erorilor care nu au fost imediat trasate de fluxul care s-a încheiat în momentul executării acestuia. .

Ori de câte ori este creat un fișier nou, este salvată o mică imagine de memorie a fișierului anterior. cutanat fișier suplimentar Sunt date nume unice. Data este codificată în numele fișierului. De exemplu, Mini051509-01.dmp este primul fișier de descărcare a memoriei creat pe 15 mai 2009. O listă cu toate fișierele mici de descărcare a memoriei este salvată într-un folder %SystemRoot%\Minidump.

Sistemul de operare Windows XP este absolut, absolut fiabil Versiuni anterioare, – întotdeauna în beneficiul atât furnizorilor Microsoft, furnizorilor de drivere hardware, cât și furnizorilor de aplicații securitatea software-ului. Cu toate acestea, situațiile de urgență - tot felul de defecțiuni și blocări ale sistemului - sunt inevitabile și, chiar dacă proprietarul PC-ului, cu cunoștințele și abilitățile pe care le-a învățat, minte, va trebui să cheltuiască mulți bani căutând și învățând despre el. . defecțiuni (de exemplu, actualizarea/reglarea unui driver sau reinstalarea unei aplicații) programe care provoacă o defecțiune a sistemului), - sau este nevoie de mult timp pentru a reinstala/regla sistemul de operare și software-ul aplicației (ceea ce nu garantează absența eșecuri sau accidente!).

Bagato administratorii de sistemÎncă nu îmi pasă să analizez depozitele de blocare Windows, dar este important să lucrez cu ele. Este important, totuși, că, dacă, de exemplu, analiza unui depozit din zece se dovedește a fi de succes, suma de bani cheltuită pentru stăpânirea celor mai simple tehnici de analiză a depozitelor de crash va merita!

Vă voi da câteva exemple de propriile mele practici de administrare a sistemului.

U măsuri locale fără motiv aparent(„încărcarea” este în regulă, prezența virușilor este garantată, lucrătorii sunt cu „mâni normale”) o serie de stații de lucru cu Windows XP SP1/SP2 „la bord”. Nu a fost posibil să reactivezi computerul în modul normal - a venit la „Vitannya” - și să-l reactivezi până la infinit. Când sunt în Safe Mode, PC-urile sunt fermecate.

Analiza depozitelor de memorie a făcut posibilă identificarea cauzei defecțiunii: de vină a fost Kaspersky antivirus, mai exact, noi baze de date antivirus (mai precis, două module de baze de date - base372c.avc, base032c.avc).

...E atât de păcat. Pe un PC local care rulează Windows XP SP3, când am încercat să deschid fișiere video în formatele .avi și .mpeg, a fost reactivat. Evacuarea memoriei ne-a permis să identificăm cauza problemei - fișierul driver nv4_disp.dll placi video NVIDIA GeForce 6600. După actualizarea driverului, problema a fost rezolvată. De fapt, driverul nv4_disp.dll este unul dintre cele mai instabile drivere, ceea ce duce adesea la BSOD.

În ambele cazuri, utilizarea unui depozit de memorie de blocare a permis un timp minim (un dracu de mult timp!) pentru a diagnostica și corecta problema.

Analiza descarcarii memoriei

Există multe programe disponibile pentru analiza depozitelor de memorie de blocare, de exemplu, DumpChk, Kanalyze, WinDbg.

Să aruncăm o privire la analiza depozitelor de memorie de blocare folosind programul suplimentar WinDbg (inclus în depozitul Instrumente de depanare pentru Windows).

Instalarea instalațiilor de asistență socială

  • Vizitați site-ul web Microsoft Corporation http://www.microsoft.com/whdc/devtools/debugging/default.mspx;
  • Descărcați Instrumente de depanare pentru Windows, de exemplu, pentru o versiune de Windows pe 32 de biți o puteți obține pe pagina Descărcați Instrumente de depanare pentru Windows;
  • după descărcare, rulați fișier de instalare;
  • În fereastra Instrumente de depanare pentru Windows Setup Wizard, faceți clic pe Următorul;
  • instalați un remixer în fereastra cu licență Sunt de acord -> Următorul;
  • În fereastra următoare, selectați tipul de instalare (după instalare, instalarea va fi instalată în folderul \Program Files\Debugging Tools pentru Windows) -> Next -> Install -> Finish;
  • Pentru a interpreta fișierele de descărcare a memoriei, trebuie să descărcați și pachetul de simboluri (pachete de simboluri, așa-numitele fișiere de simbol sau fișiere de simbol) pentru versiunea dvs. de Windows - accesați pagina Descărcare pachete de simboluri Windows;
  • alege-l pe al tău Versiunea Windows, descărcați și rulați fișierul de instalare Symbol Packages;
  • În fereastra zonei de licență, faceți clic pe Da;
  • În fereastra următoare, selectați folderul pentru instalare (la urma urmei, este indicat \WINDOWS\Symbols) -> OK -> Da;
  • la fereastra Microsoft Windows Faceți clic pe OK făcând clic pe butonul Simboluri cu notificarea „Instalarea este finalizată”.

Utilizarea programelor WinDbg pentru a analiza depozitele de memorie de blocare

  • rulați WinDbg (instalat prompt în folderul \Program Files\Debugging Tools pentru Windows);
  • selectați meniul Fișier -> Cale fișier simbol...;
  • în fereastra Cale de căutare simbol, faceți clic pe butonul Răsfoire...;
  • În fereastra Browse foldere, selectați Extindeți folderul Simboluri (în mod implicit - \WINDOWS\Symbols) -> OK -> OK;
  • selectați meniul File -> Open Crash Dump... (sau apăsați Ctrl + D);
  • În fereastra Open Crash Dump, selectați Uninstall Crash Dump File (*.dmp) –> Open;
  • la Vіknі Workspace cu mâncare „Salvați informații pentru spațiul de lucru?”, setați ensign Nu mai întrebați –> Nu;
  • Fereastra Command Dump se va deschide în fereastra WinDbg<путь_и_имя_файла_дампа>cu analiză de gunoi;
  • Aruncă o privire la analiza memoriei dump;
  • în secțiunea „Analiza de verificare a erorilor”, va fi indicat un posibil motiv al accidentului, de exemplu, „Probabil cauzat de: smwdm.sys (smwdm+454d5)”;
  • pentru o a doua privire informatii detaliate faceți clic pe „!analyze -v” lângă linia „Utilizați !analyze -v pentru a obține informații detaliate de depanare”;
  • închideți WinDbg;
  • Verificați informațiile eliminate pentru a determina cauza problemei.

De exemplu, în captura de ecran de mai sus, cauza defecțiunii este fișierul driverului plăcii video nv4_disp.dll.

Bună ziua, colegi și cititori ai site-ului blogului. Astăzi vreau să vă spun cum se efectuează analiza dump memoria windows 10 Redstone. De cele mai multe ori, veți ajunge cu un ecran albastru al morții, după care computerul va reporni. Această analiză ajută la înțelegerea cauzei defecțiunii.

Configurarea unui dump de memorie Windows 10

Și așadar, ce este o descărcare de memorie în sistemul de operare Windows 10 Redstone. V-am descris deja cel mai frecvent motiv pentru care apare o descărcare a memoriei de sistem și astfel apare un ecran albastru al morții. Motivele pentru ele sunt și mai mari:

  • Nu este nevoie de suplimente
  • Eșecul șoferului
  • Nou Windows Update
  • Nebunia dispozitivelor

Este doar o mică listă, fragmente de coduri de eroare pe ecranul albastru, toate întunecate, le voi aduce pe restul.

Sarcina noastră este să găsim aceste fișiere pentru diagnosticare și să le interpretăm pentru a obține informații despre problemă.

Dump-ul de blocare Windows 10 este remediat

Mai întâi, să ne dăm seama unde să configurați setările care indică o descărcare a memoriei de blocare în Windows 10. Faceți clic dreapta pe butonul de pornire Windows 10 și selectați Sistem din meniul contextual.

În fereastra Sistem, în colțul din stânga sus, selectați Parametri suplimentari de sistem.

Aici puteți descărca descărcarea memoriei Windows 10. Selectați elementul de setări din Actualizări și actualizări.

Actualizat, descărcarea memoriei Windows 10, vreau să știu următorii pași:

  • Înregistrarea acestui lucru în jurnalul de sistem > aici informațiile despre ecranul albastru vor fi adăugate la jurnalele sistemului de operare.
  • Vikonati reactivează automat > să continue lucrul după moarte
  • Înregistrarea informațiilor personale > vă permite să alegeți tipul de fișier dump, la un preț mai jos.
  • Înlocuiți fișierul de descărcare existent, casetă de selectare, deoarece datele de descărcare pot fi de zeci de gigaocteți, ceea ce este critic chiar și pentru discuri mici.

Tipuri de depozite de memorie

Să aruncăm o privire la diferitele opțiuni pentru înregistrarea informațiilor personale.

  • Dump de memorie mică 256 kb: fișierele de descărcare de memorie mici conțin următoarele informații:

– informații despre non-over-frezare, parametrii acestuia și alte date;

- Lista șoferilor doriti;

- contextul procesorului ( PRCB), cine s-a îmbolnăvit;

EPROCES) pentru procesul care a cauzat o milă;

– informații despre proces și contextul nucleului ( ETHREAD) pentru curgere, făcând îndurare;

– teanc de apeluri în modul kernel pentru firul care a provocat blocarea.

Yogo vikorist, dacă nu ai suficient spatiu pe disc pe dumneavoastră disc local. Prin urmare, sacrificăm informații valoroase care ar putea să nu fie disponibile pentru a diagnostica un ecran albastru.

Dump-ul este salvat în C:\Windows\Minidump

  • Dump memorie kernel > scrie memoria kernelului. Este important să acordați atenție memoriei fizice a computerului, în acest caz, pentru fișierul de descărcat, aveți nevoie de 50 până la 800 MB sau o treime din memoria fizică a computerului se află pe un volum privat.
  • New memory dump > bine, aici și totul este clar din nume. Scrieți absolut tot ceea ce oferă informații maxime despre ecranul albastru, care oferă sute de diagnostice ale problemei.

Rotită în funcție de doza C:\Windows\Memory.dmp

  • Memorie activă dump > aceasta consumă memoria activă a mașinii gazdă, această funcție este mai mare pentru platformele server, unele dintre ele pot fi folosite pentru virtualizare și pentru ca dump-ul să nu piardă informații despre mașinile virtuale, a fost inventată o opțiune .

Fișierul de descărcare a memoriei este salvat în timpul mesajelor STOP (sau Black Screens of Death, BSOD). Să vedem cum este salvată imaginea de memorie în Windows 7.

Atac violent butonul corect Pictograma Misha Calculator V meniul contextual colectăm Proprietăți.

Selectați din coloana din stânga Parametri suplimentari de sistem (Setari de sistem avansate).

La fereastra Proprietatile sistemului selectați o filă Dodatkovo (avansat) la sectie Pornire și recuperare sub presiune Parametrii(Setări).

La fereastra Pornire și recuperare) ajustăm dump-ul la fișierul cu numele dvs., precum și alți parametri legați de actualizările și actualizările sistemului.

Scrieți calea către fișier în câmpul de text Fișier de descărcare.

%SystemRoot% - ascuțire modificabilă, care este înlocuită cu un sistem pe calea de sus până la folderele Windows, unde se află fișierele de sistem.

Atac violent Bine pentru salvare, faceți ajustări (de îndată ce au fost făcute modificări).

Vă rugăm să rețineți că puteți elimina steagul din caseta de selectare Viconati este re-fermecat automat Dacă nu doriți ca computerul să repornească automat și permițându-vă să înregistrați informații despre achiziție, va apărea un ecran albastru. Este mai bine să te minunezi de statistici.

 

 
Tse tsikavo: