Как открыть и прочитать дамп памяти в ос windows 10, какой лучше поставить

Сведения для специалистов поддержки

Ряд фич MiniDumper реализован по просьбам моего коллеги по форуму Petya V4sechkin. Поэтому утилита очень удобна для техподдержки.

Возможности утилиты

MiniDumper работает в Windows 7 (с обновлениями) и более новых ОС. В состав программы входят Debugging Tools for Windows. Все команды, которые передаются отладочной утилите, формируются динамически в зависимости от кода ошибки и результатов предыдущих команд. Помимо !analyze -v MiniDumper:

• Анализирует как обычный стек, так и Raw-стек (командой dps) на предмет сторонних модулей. Raw-стек имеет меньшую достоверность, чем обычный стек, поскольку может содержать не относящиеся к сбою фрагменты предыдущих цепочек вызовов. Но во многих случаях он оказывается полезен (например, когда обычный стек неполон или повреждён).
• Выполняет особую обработку для кодов 0x7A, 0x77 и части 0xF4 (связаны с ошибками дисковой подсистемы), а также для 0x9F.
• Сохраняет журнал отладочных команд в папке с дампом, в том числе сведения о конфигурации (!sysinfo) и информацию о проблемных драйверах (lmvm).
• Выводит сводные результаты анализа по всем обработанным дампам в файл MiniDumper.log, который сохраняется в папке с утилитой (пример).

Отладочная информация

При анализе утилита скачивает отладочную информацию (debug symbols) в %temp%\MiniDumper. После закрытия утилиты папка удаляется автоматически.

Если вы регулярно анализируете дампы, можете задать расположение символов с помощью системных переменных среды:

_NT_SYMBOL_PATH=srv*D:\Symbols*https://msdl.microsoft.com/download/symbols
_NT_EXECUTABLE_IMAGE_PATH=srv*D:\Symbols*https://msdl.microsoft.com/download/symbols

Запуск из командной строки

В качестве параметров командной строки MiniDumper принимает путь к дампу или папке с дампами, а также ключ /S для тихого режима (указывается перед путем к папке).

Сведения для обычных пользователей

При запуске утилита автоматически анализирует найденные в системе дампы за последний год и открывает отчет в текстовом редакторе.

Вы также можете перетащить на исполняемый файл утилиты отдельный дамп или папку с дампами.

Дамп: 101017-7753-01.dmp (10.10.2017 17:57)
Код: 0x3B - SYSTEM_SERVICE_EXCEPTION
Процесс: avp.exe, вероятно вызвано: NETIO.SYS
Сторонние модули в стеке: klwtp.sys
Сторонние модули в Raw-стеке: nvlddmkm.sys, klim6.sys, klwtp.sys, adgnetworkwfpdrv.sys, klflt.sys, klif.sys

С именем драйвера уже можно идти в гуглояндекс. Если дело в сторонней программе или драйвере, надо начинать с их удаления / обновления. В примере выше – драйвер ЛК.

В более сложных случаях следует обращаться в форум.

Чем открыть файл в формате DMP

Расширение DMP может быть нескольких основных исполнений, в частности:

DMP формат является dump-файлом, генерируемым ОС в автоматическом режиме в результате появления какой-либо критической ошибки. Это своеобразный скриншот памяти устройства в момент, когда ОС дает сбой. Dump-файл с ошибкой ОС имеет формат mini000000-00.dmp, где в наименовании указывается конкретный месяц, год и дата фиксации сбоя.

Для непосредственной генерации дампа, а не просто перезагрузки ОС, следует выполнить следующую последовательность действий:

• перейти по пути “мой компьютер – свойства – восстановление компонентов – параметры”;
• снять закладку ”перезагрузка”;
• во вкладке “запись отладочных данных” пользователю предоставляется выбрать вид дамп-файла, и каталог, где он будет сгенерирован.

В случае, если DMP файл занимает значительное место дискового пространства, их допускается удалять. Данная процедура никак не повлияет на работоспособность ОС.

• формат DMP – результат деятельности программного комплекса баз данных ORACLE. Такой файл предназначен для резервного хранения схем и БД (актуально только на момент его генерации).
• dump-файл программы Steam. Предназначен для контроля и управления над игровыми приложениями.
• DMP формат – файл-карта, как результат генерации утилиты Dream Maker.

Программы для открытия и создания DMP файлов

В зависимости от своего исполнения и практического назначения, DMP формат может быть сгенерирован и открыт следующими программными приложениями:

• Visual Studio, Dumpflop Utility, Kernel Debug, Bluescreenview, Debug Tools, (DMP файл – генерируемый операционной системой в автоматическом режиме в случае возникновения какой-либо критической ошибки или сбоя);
• Oracle Dump Viewer (DMP файл – БД ORACLE);
• Steam (DMP файл – клиент для контроля и управления над игровыми приложениями);
• Dream Maker (DMP файл – файл-карта).

Если при попытке открыть формат ОС выдает ошибку, – производится открытие DMP файла с использованием некорректного приложения.

Конвертация DMP в другие форматы

Поскольку DMP формат – уникальный файл, содержащий данные о коде критической ошибке или причинах сбоя ОС, конвертация его в другие форматы не практикуется.

Исключение составляет, пожалуй, только дамп-файл базы данных ORACLE. С помощью программной утилиты NXTract допускается преобразование в CSV, SQL Server, DB2, Access, MySQL и многие другие форматы.

Почему именно DMP и в чем его достоинства?

Область практического применения формата DMP необычайно широка. С помощью данного расширения пользователю предоставляется возможность безошибочно диагностировать причину сбоя ОС, создать резервную копию БД ORACLE, управлять игровыми программами и создавать файл-карты.

Данные, «сброшенные» из памяти программы. Часто создается при ошибке или отказе программы. Может также сохраняться программой «Savedump.exe» при первой перезагрузке после отказа. Обычно носит название «Memory.dmp».

Файлы дампа памяти Windows могут применяться для разрешения ошибок системы и других проблем. Но они могут занимать значительное количество пространства и зачастую удаляются.

Чем открыть файл в формате DMP (Windows Memory Dump)

Windows: how to enable crash dump after a system crash?

Microsoft Windows 2000 / XP / Server 2003 / Vista operating systems can be configured to write debug information in three different file formats (known as memory dump files) when the PC stops unexpectedly as a result of a critical error (also known as BSOD, blue screen, «Blue screen of death», system crash).

Windows can generate a memory dump file in any of the following formats:

— complete memory dump;

— kernel memory dump;

— small memory dump.

How to configure the type of crash dump saved by the system

— log in with the Administrator account or a member of the Administrators group;

— click Start -> Settings -> Control Panel -> System;

— in the System Properties dialog box, open the Advanced tab;

— in the Startup and Recovery section, click the Options button;

— in the System Failure section of the Startup and Repair dialog box, select the check boxes corresponding to the actions that Windows should take when a fatal error occurs:

• Write the event to the system log (information about the event will be written to the system log);

• Send an administrative alert (a notification will be sent to the system administrator);

• Perform automatic reboot (Windows will automatically reboot);

— in the Logging debug information section, select the type of information that Windows should record in the event of a fatal error -> OK -> OK.

Notes

1. The boot volume contains the Windows operating system and support files. The boot volume can be the system volume at the same time (optional).

2. The system volume contains the hardware configuration files required to boot Windows. The system volume can be both bootable (optional). The system volume contains files such as boot.ini, NTDETECT.COM, and Bootfont.bin.

3. If you select the option Write event to system log or Send administrative alert, you must have a paging file of at least 2MB on the boot disk.

4. If you select Kernel memory dump or Full memory dump and select the Overwrite existing dump file check box, Windows will always write data to the same file. To save memory dumps in different files, deselect the Overwrite existing dump file checkbox and change the file name after each fatal error (rename this file after restarting the PC).

5. You can free some memory by clearing the Write event to system log and Send administrative alert check boxes.

6. If a Windows crash dump fails, it is usually because the page file on the boot volume is too small, or because there is not enough free space on the volume used to store the memory dump file. In this case, the SaveDump program will make an entry in the system log that the dump was not saved.

There are times when a memory dump cannot be saved due to damage to data structures or program code (required to save the dump) by an incorrect driver. In such cases, the program code is not executed (checksums indicate changes in the components of disk drivers), and the system kernel does not write a dump to avoid data corruption on the disk.

7. As a rule, even a small memory dump is sufficient to identify the cause of a malfunction.

8. If your PC is stable, you can configure Windows so that debug information is not written to the memory dump file. To do this, select (absent) -> OK -> OK in the drop-down list of the Write debug information section of the Startup and Restore auxiliary window of the System Properties dialog box.

Valery Sidorov (xxx)

Файлы дампа ядра

Формат

В более старых и более простых операционных системах каждый процесс имел непрерывное адресное пространство, поэтому файл дампа иногда был просто файлом с последовательностью байтов, цифр, символов или слов. На других ранних машинах файл дампа содержал отдельные записи, каждая из которых содержала адрес хранилища и соответствующее содержимое. На ранних машинах дамп часто создавался автономной программой дампа, а не приложением или операционной системой.

В IBM System / 360 стандартные операционные системы записывали отформатированные дампы ABEND и SNAP с адресами, регистрами, содержимым хранилища и т. Д., Преобразованными в формы для печати. В более поздних выпусках добавлена ​​возможность записи неформатированных дампов, которые в то время назывались дампами основного образа.

В современных операционных системах адресное пространство процесса может иметь пробелы и разделять страницы с другими процессами или файлами, поэтому используются более сложные представления; они также могут включать другую информацию о состоянии программы во время дампа.

В Unix-подобных системах дампы ядра обычно используют стандартный исполняемый формат образа :

• a.out в старых версиях Unix ,
• ELF в современных системах Linux , System V , Solaris и BSD ,
• Mach-O в macOS и т. Д.

Именование

OS / 360 и последователи

• В OS / 360 и последующих версиях задание может назначать произвольные имена наборов данных (DSN) для ddnames и для отформатированного дампа ABEND и для произвольных ddname для дампа SNAP или определять эти ddnames как SYSOUT.
• Средство оценки и устранения повреждений (DAR) добавило автоматический неформатированный дамп в набор данных во время сбоя, а также дамп консоли, запрошенный оператором.
• Дамп новой транзакции очень похож на старые формы дампа.

Unix-подобный

• Начиная с Solaris 8, системная утилита позволяет настраивать имя и расположение файлов ядра.
• Дампы пользовательских процессов традиционно создаются в виде файлов . В Linux (начиная с версий 2.4.21 и 2.6 основной ветки ядра Linux ) другое имя можно указать через procfs с помощью файла конфигурации; указанное имя также может быть шаблоном, который содержит теги, замененные, например, именем исполняемого файла, идентификатором процесса или причиной дампа.
• Общесистемные дампы в современных Unix-подобных системах часто отображаются как или .

Другие

Такие системы, как Microsoft Windows , в которых используются расширения файлов , могут использовать расширения .dmp ; например, дампы ядра могут называться memory.dmp или \Minidump\Mini051509-01.dmp .

Дампы памяти Windows

Microsoft Windows поддерживает два формата дампа памяти, описанные ниже.

Дампы в режиме ядра

Существует пять типов дампов режима ядра:

• Полный дамп памяти — содержит полную физическую память целевой системы.
• Дамп памяти ядра — содержит всю память, используемую ядром во время сбоя.
• Небольшой дамп памяти — содержит различную информацию, такую ​​как код остановки, параметры, список загруженных драйверов устройств и т. Д.
• Автоматический дамп памяти (Windows 8 и более поздние версии) — то же самое, что и дамп памяти ядра, но если одновременно управляется системой и слишком мал для захвата дампа памяти ядра, он автоматически увеличит файл подкачки как минимум до размера ОЗУ для четыре недели, затем уменьшите его до меньшего размера.
• Дамп активной памяти (Windows 10 и новее) — содержит большую часть памяти, используемой ядром и приложениями пользовательского режима.

Для анализа дампов режима ядра Windows используются Debugging Tools for Windows .

Дампы памяти в пользовательском режиме

Дамп памяти в пользовательском режиме, также известный как минидамп , представляет собой дамп памяти одного процесса. Он содержит выбранные записи данных: полную или частичную (отфильтрованную) память процесса; список потоков с их стеками вызовов и состоянием (например, регистры или TEB ); информация о дескрипторах объектов ядра; список загруженных и выгруженных библиотек . Полный список опций доступен в enum.

Анализ дампа памяти

Рейтинг:   / 303

Просмотров: 726103

Общие сведения об аварийном дампе памяти

Все Windows-системы при обнаружении фатальной ошибки делают аварийный дамп (снимок) содержимого оперативной памяти и сохраняет его на жесткий диск. Существуют три типа дампа памяти:

Полный дамп памяти – сохраняет все содержимое оперативной памяти. Размер снимка равен размеру оперативной памяти + 1 Мб (заголовок). Используется очень редко, так как в системах с большим объемом памяти размер дампа будет слишком большим.

Дамп памяти ядра – сохраняет информацию оперативной памяти, касающуюся только режима ядра. Информация пользовательского режима не сохраняется, так как не несет в себе информации о причине краха системы. Объем файла дампа зависит от размера оперативной памяти и варьируется от 50 Мб (для систем с 128 Мб оперативной памяти) до 800 Мб (для систем с 8 Гб оперативной памяти).

Малый дамп памяти (мини дамп) – содержит довольно небольшое количество информации: код ошибки с параметрами, список драйверов загруженных в оперативную память на момент краха системы и т.д., но этих сведений достаточно, для определения сбойного драйвера. Еще одним преимуществом данного вида дампа является маленький размер файла.

Настройка системы

Для выявления драйвера вызвавшего синий экран нам достаточно будет использовать малый дамп памяти. Для того чтобы система при крахе сохраняла мини дамп необходимо выполнить следующие действия:

Для Windows Xp	Для Windows 7
Правой клавишей мыши нажать на значке Мой компьютер из контекстного меню выберите Свойства (или комбинация клавиш Win+Pause); Переходите на вкладку Дополнительно; В поле Загрузка и восстановление необходимо нажать кнопку Параметры; В поле Запись отладочной информации выбираем Малый дамп памяти (64 Кб).	Правой клавишей мыши нажать на значке Компьютер из контекстного меню выберите Свойства (или комбинация клавиш Win+Pause); В левом меню щелкаем на пункт Дополнительные параметры системы; Переходите на вкладку Дополнительно; В поле Загрузка и восстановление необходимо нажать кнопку Параметры; В поле Запись отладочной информации выбираем Малый дамп памяти (128 Кб).

Проделав все манипуляции, после каждого BSoD в папке C:\WINDOWS\Minidump будет сохраняться файл с расширение .dmp. Советую ознакомиться с материалом “Как создать папку”. Также можно установить галочку на “Заменить существующий файл дампа”. В этом случае каждый новый аварийный дамп будет записываться поверх старого. Я не советую включать данную опцию.

Анализ аварийного дампа памяти с помощью программы BlueScreenView

Программа состоит из трех основных блоков:

1. Блок главного меню и панель управления;
2. Блок списка аварийных дампов памяти;
3. В зависимости от выбранных параметров может содержать в себе:

• список всех драйверов находящихся в оперативной памяти до появления синего экрана (по умолчанию);
• список драйверов находящихся в стеке оперативной памяти;
• скриншот BSoD;
• и другие значения, которые мы использовать не будем.

В блоке списка дамп памяти (на рисунке помечен цифрой 2) выбираем интересующий нас дамп и смотрим на список драйверов, которые были загружены в оперативную память (на рисунке помечен цифрой 3). Розовым цветом окрашены драйвера, которые находились в стеке памяти. Они то и являются причиной появления BSoD. Далее переходите в Главное меню драйвера, определяйте к какому устройству или программе они принадлежат

В первую очередь обращайте внимание на не системные файлы, ведь системные файлы в любом случае загружены в оперативной памяти. Легко понять, что на изображении сбойным драйвером является myfault.sys. Скажу, что это программа была специально запущена для вызова Stop ошибки

После определения сбойного драйвера, необходимо его либо обновить, либо удалить из системы

Скажу, что это программа была специально запущена для вызова Stop ошибки. После определения сбойного драйвера, необходимо его либо обновить, либо удалить из системы.

Для того чтобы программа показывала список драйверов находящихся в стеке памяти во время возникновения BSoD необходимо зайти в пункт меню “Options” кликаем на меню “LowerPaneMode” и выбираем “OnlyDriversFoundInStack” (или нажмите клавишу F7), а для показа скриншота ошибки выбираем “BlueScreeninXPStyle” (F8). Что бы вернуться к списку всех драйверов, необходимо выбрать пункт “AllDrivers” (F6).

Буду признателен, если воспользуетесь кнопочками:

Добавить комментарий

Решение

Если Вы один из тех, кто, столкнувшись с ошибкой «Memory_Management», может загрузиться на рабочий стол, хотя бы в безопасном режиме, то перед тем, как приступить к выполнению вышеописанных вариантов, следует потратить время на создание точки восстановления.

Сделать это можно следующим образом:

• Откройте «Этот компьютер» и кликом правой кнопкой по пустому месту открывшегося окна вызовите «Свойство»;
• Далее, откройте раздел «Защита системы»;
• Если кнопка «Создать» у вас неактивна, то нажмите на кнопку «Настроить»;
• Установите флажок в строке «Включить защиту системы», и используя ползунок отмерьте максимальный объём свободного пространства, которые вы предоставите системе восстановления для хранения необходимых ей файлов;
• Вернувшись к предыдущему окну, нажмите на кнопку «Создать»;
• Введите название создаваемой точки восстановления;
• Дождитесь появления окна, сигнализирующего об успешном создании точки восстановления и закройте окно «Свойства системы», нажав на кнопку «ОК».

Подробнее о том, как создать точку восстановления мы писали в статье: Как создать образ системы Windows 10

Теперь имея данную «страховку» следует приступить к подтверждению наличия обозначенных выше причин.

Как уже неоднократно говорилось, драйверы вместе с файлами библиотеки динамической компоновки (.dll) наиболее подвержены различным сбоям.

Поэтому первое на что стоит обратить внимание – это проверка корректности используемого драйверного обеспечения операционной системы. Для этого сделайте следующее:. Для этого сделайте следующее:

Для этого сделайте следующее:

• Нажмите сочетание клавиш «WIN+R» и выполните команду «verifier»;
• Перед вами откроется окно штатной утилиты «Диспетчер проверки драйверов»;
• Из представленных вариантов выберите пункт «Создать нестандартные параметры (для кода программ)» и нажмите «Далее»;
• Откроется список параметров диагностики, среди которых необходимо найти и отметить галочкой:
  • «Особый пул»;
  • «Отслеживание пула»;
  • «Обязательная проверка IRQL»;
  • «Обнаружение взаимоблокировок»;
  • «Проверки безопасности»;
  • «Проверка соответствия требованиям DDI»;
  • «Прочие проверки».
• В следующем шаге отметьте «Выбрать имя драйвера из списка» и дождитесь завершения загрузки информации;
• Полученные результаты отсортируйте по столбцу «Поставщик» и отметьте галочкой все варианты, которые поставляются не компанией «Microsoft»;
• Нажмите на кнопку «Готово» и перезагрузите компьютер, для инициирования созданной проверки.

Следует учитывать, что данная проверка будет запускаться автоматически до момента её отключения. Но если в результате проверки будут найдены ошибки, препятствующие входу, то система может выдать «BSOD» и уйти в циклическую перезагрузку, что будет продолжаться до бесконечности.

Если в вашем случае ситуация развивается именно таким образом, то во время очередного старта Windows постоянно нажимайте на клавишу «F8» и далее:

• Выберите раздел «Диагностика»;
• Далее «Дополнительные параметры» – «Восстановление при загрузке» – «Перезагрузить»;
• Отметьте параметр «Безопасный режим с поддержкой командной строки»;
• Дождитесь появления консоли командной строки и поочерёдно выполните две команды:
  • «verifier /reset» – для деактивации автоматической диагностики драйверов;
  • «shutdown -r -t 0» – для инициирования перезагрузки компьютера.

Альтернативным вариантом является использования ранее созданной точки восстановления , для отката конфигурации системы до активации проверки драйверов.

На этом список дел не заканчивается. Отключенная утилита диагностики по факту своей работы создала определённый файл, который находится в папке «C:\windows\ minidump». В нём содержится прямое указание на драйверы, имеющие в своей структуре какие-либо ошибки.

Открыть файл с подобным форматом можно и средствами операционной системы с помощью официальной утилиты «Debugging Tools for Windows», которая доступна для скачивания на официальном сайте «Microsoft», но выводимая информация будет сложна для восприятия.

Поэтому лучшим вариантом будет воспользоваться сторонним специализированным программным обеспечением, например, «BlueScreenView». Программа распознает файл дампа памяти и выведет информацию в максимально понятной интерпретации, выделив сбойный драйвер розовым цветом.

Останется только удалить «виновника» и провести его ручное обновление/установку, скачав с официального сайта разработчиков.

DMP – Дамп памяти Windows (Windows Memory Dump)

В Windows: Windows Debug Tools, Windows Kernel Debug, Microsoft Visual Studio, Microsoft Dumpflop utility, Microsoft Windows, BlueScreenView

Описание расширения DMP

Популярность:

Раздел: Системные файлы

Разработчик: Microsoft

Расширение DMP связано с файлами дампа памяти Windows – это снимок содержимого оперативной памяти. DMP файлы, как правило, создается автоматически, когда Windows падает. Дамп с ошибками Windows, как правило, имеет наименование размером 64 КБ. Часть 000000-00 в названии – это месяц, день, год и порядковый номер для этой даты (ммддгг-e2_).

Вы можете настроить Windows, чтобы также сохранялись дополнительные информационные сообщения для дампа файлов, например, стоп код, значения регистров процессора и содержимое стека. Три типа дапма памяти доступны:

полный дамп памяти, который записывается в папку %SystemRoot%\ Файл подкачки загрузочного тома должен быть достаточно большим, чтобы вместить всю физическую память плюс 1 МБ.

4. В разделе «Запись отладочной информации» можно выбрать один из трех видов дампов памяти, а так же папку, где они будут созданы.

Если компьютер уже не загружается, тогда при загрузке нажимаете на F8 и выбираете пункт меню «При отказе системы не выполнять перезагрузку». После этого вы увидите BSOD, где и будет вся информация о проблемных файлах. Для исправления ошибки необходимо или обновить файл, как правило, это файлы драйвера, или удалить из системы, если это возможно.

Примечание: Т.к. файлы .DMP могут занимать много места, то их можно удалить при необходимости.

Примечание: Вообще говоря, многие программы кроме Windows используют расширение .DMP для своих файлов дампов памяти, создаваемых при аварийной работе приложения. Они используются для решения проблем и исправления ошибок разработчиками программ. Формат таких файлов .DMP отличен от системного формата дампа памяти, используемых в Windows. Например, антивирус Касперского создает DMP файл при аварийном завершении работы антивируса, файл находится в папке C:\Documents and Settings\All Users\Application Data\Kaspersky Lab или C:\ProgramData\Kaspersky Lab\.

MIME тип: application/x-dmpHEX код: 50 41 47 45 44 55, 4D 44 4D 50 93 A7ASCII код: PAGEDU, MDMP

Другие программы, связанные с расширением DMP

1. Файл дампа ORACLE от Oracle CorporationРасширение DMP – дамп базы ORACLE, который используется для резервирования схемы и данных. DMP файл хранит данные только на момент, создания дампа. Для экспорта или импорта дампа базы данных в Oracle используются утилиты входящие в состав Oracle и находящиеся в каталоге BIN – и impNN.

exe, где NN зависит от версии Оракла. Так же данные можно просмотреть с использованием утилит Oracle Dump Viewer и NXTract, причем утилита NXTract позволяет конвертировать данные из .DMP в форматы баз данных CSV, Sybase, SQL Server, DB2, Excel, Access, Ingres, MySQL, Informix, Lotus 123, dBASE, Visual Basic, Foxpro Powerbuilder и любой другой версией Oracle.

Относится к разделу Файлы резервных копий.

Популярность:

1. Файл дампа клиента Steam от Valve CorporationРасширение DMP файла связано с клиентом инструмента управления Steam для Microsoft Windows и Apple Mac OS X, используемой для управления играми, приобретенные на Steam, разработанная Valve. В * DMP-файлах хранятся данных. Файлы находятся в каталоге /tmp/dumps с наименованием crash_YYYYMMDDHHMMSS_, где YYYY – год, MM – месяц, DD – день, HH – час, MM – минута, SS – секунда, N – счетчик.

Относится к разделу Файлы резервных копий.

Популярность:

Дамп памяти Windows и Синий Экран Смерти

Итак, если компьютер внезапно перезагружается или зависает, а cиний экран смерти не появляется или появляется на долю секунды, то все равно информацию о причинах сбоя можно восстановить.

Дело в том, что операционная система в момент сбоя сохраняет содержимое оперативной памяти в так называемый дамп-файл (имеет расширение .dmp). В дальнейшем файл дампа можно будет проанализировать и получить туже самую информацию, что и на синем экране и даже чуть больше.

Но создание дампов может быть отключено в системе, поэтому стоит убедиться, что, во-первых, система создает дампы при сбоях, а, во-вторых, стоит узнать место на диске, куда они сохраняются.

Для этого нужно зайти в раздел Система.

В Windows 10 это можно сделать через поиск, а в предыдущих версиях операционной системы через Панель управления.

Далее переходим в Дополнительные параметры, а затем на вкладке Дополнительно переходим в Параметры раздела Загрузка и восстановление.

Здесь должна быть включена запись событий в системный журнал, ну а чтобы компьютер автоматически не перезагружался и отображал нам содержимое синего экрана смерти, нужно отменить автоматическую перезагрузку, если она была включена.

Также здесь отображается путь к дампам — мы видим, что дамп сохраняется в папку %SystemRoot% — это обозначение папки Windows.

Также здесь можно выбрать «малый дамп памяти», которого будет вполне достаточно для поиска кодов ошибки.

Итак, система вылетела в синий экран смерти, после чего был создан дамп памяти.

Для анализа дампов существуют специальные программы и одной из самых популярных является утилита BlueScreenView.

Программа очень проста в использовании и не требует установки — скачиваем с официального сайта и разархивируем. При этом с официального сайта можно скачать файл, с помощью которого можно русифицировать программу. Для этого данный файл нужно будет поместить в папку с разархивированной программой.

Если после запуска в программе не отображаются дампы, хотя система «срывалась» в синий экран смерти, то стоит зайти в настройки программы и убедиться, что путь к дампам памяти указан верно, то есть он должен быть таким же, как и в настройках системы.

После этого нужно обновить информацию в окне программы и все созданные в системе дампы отобразятся. Если дампов несколько, то, ориентируемся по дате сбоя. Выбираем нужный дамп, а затем появится подробная информация по нему.

Здесь выводится название ошибки, ее STOP-код с параметрами и если причиной стал драйвер, то в соответствующем поле мы обнаружим его название.

Также в нижней части окна программы розовым будут выделяться файлы, которые также могли стать причиной сбоя. Придется по порядку разбираться с каждым из них. Алгоритм здесь аналогичен рассмотренному в прошлой заметке — ищем решение в интернете, а в качестве поискового ключа используем название файла или код ошибки.

При этом не обязательно вручную вводить данные в поисковик. Если щелкнуть правой кнопкой мыши по строке дампа, то из контекстного меню можно выбрать пункт, который позволит найти в Гугле описание именно этой проблемы.

Можно выбрать поиск в Гугл по коду ошибки, по коду ошибки и названию драйвера или по коду ошибки и параметру.

Также с помощью этой утилиты можно быстро найти местоположение проблемного файла на диске.

Иногда бывает, что файл, вызвавший проблему, принадлежит какой-то программе или игре. По местоположению файла на диске можно быстро определить, к какой именно программе или игре он относится.

Ну и стоит знать, что чистильщики вроде Ccleaner удаляют дампы памяти, поэтому если вы пользуетесь подобными программами, то на время выявления причины появления синего экрана смерти, стоит воздержаться от их использования.

И последний вопрос, на который я отвечу в рамках этой заметки — что делать, если после появления синего экрана компьютер более не запускается? То есть компьютер зависает или постоянно перегружается, а значит нет возможности проанализировать дамп памяти.

Ответ логичен и прост — нужно создать загрузочную флешку, с помощью которой «вытянуть» файл дампа с жесткого диска и проанализировать его на другом компьютере. Для этого загружаемся с флешки и на жестком диске компьютера в папке Windows или в подпапке minidump находим файл дампа, который копируем на флешку. Затем на другом компьютере с помощью утилиты BlueScreenView анализируем дамп, как было рассказано в этой заметке.

Как настроить mini dump

В малый дамп памяти тоже записываются ошибки синего экрана смерти, настраивается он там же, нужно только его выбрать.

Хранится он в папке c:\windows\minidump. Преимущество в том, что он занимает меньше места и на каждый синий экран создается отдельным файлом. Всегда можно просмотреть историю появлений синего экрана.

Теперь когда мы разобрались где искать файл memory dump, нужно научиться его интерпритировать и понимать причину из за чего происходит синий экран смерти. В решении этой задачи нам поможет Microsoft Kernel Debugger. Скачать Microsoft Kernel Debugger можно с официального сайта, главное выберите нужную версию ОС если кому то влом, то можете скачать с яндекс диска по прямой ссылке. Так же он входит в состав ADK .

Скачиваем Microsoft Kernel Debugger, в итоге у вас будет маленький файл который позволит скачать из интернета все что вам нужно. Запускаем его.

присоединяться к программе по улучшению качества участвовать не будем

жмем Accept и соглашаемся с лицензией

Как установить Microsoft Kernel Debugger-соглашаемся с лицензией

начнется установка Microsoft Kernel Debugger

Как установить Microsoft Kernel Debugger-установка MKD

Видим, что Microsoft Kernel Debugger успешно установлен

После чего видим, что в пуске появилась папка Debugging Tools for Windows как для 32 так и для 64 битных систем.

Помимо самого пакета Debugging Tools for Windows, также понадобятся набор отладочных символов — Debugging Symbols. Набор отладочных символов специфичен для каждой ОС, на которой был зафиксирован BSoD. Потому придется загрузить набор символов для каждой ОС, анализировать работу которой Вам придется. Для 32-разрядной Windows XP потребуются набор символов для Windows XP 32-бит, для 64-разрядной ОС потребуются набор символов для Windows XP 64-бит. Для других ОС семейства Windows наборы символов подбираются сообразно такому же принципу. Загрузить отладочные символы можно отсюда . Устанавливать их рекомендуется по адресу %systemroot%\symbols
хотя мне нравится устанавливать их в отдельные папки и не захламлять папку Windows.

Изучение файла сброса

Существует несколько команд, которые можно использовать для сбора сведений в файле сброса, в том числе следующие команды:

• Команда !analyze -show отображает код ошибки Stop и его параметры. Код ошибки Stop также известен как код проверки ошибок.
• Команда !analyze -v отображает многословный вывод.
• В lm N T команде перечислены указанные загруженные модули. Выход включает состояние и путь модуля.

Команда расширения !drivers отображает список всех драйверов, загруженных на компьютере назначения, а также сводную информацию об использовании их памяти. Расширение !drivers устарело в Windows XP и более поздней версии. Чтобы отобразить сведения о загруженных драйверах и других модулях, используйте lm команду. Команда lm N T отображает сведения в формате, аналогичном старому расширению драйверов!.

Справки по другим командам и полному синтаксису команд см. в документации по отладки средств справки. Документация о помощи средствам отладки можно найти в следующем расположении:

C:Program FilesDebugging Tools for WindowsDebugger.chm

Если у вас есть проблемы, связанные с символами, используйте утилиту Symchk, чтобы убедиться, что правильные символы загружены правильно. Дополнительные сведения об использовании Symchk см. в рубрике Отладка с символами.

Упрощение команд с помощью пакетного файла

После определения команды, необходимой для загрузки свалок памяти, можно создать пакетный файл для проверки файла сброса. Например, создайте пакетный файл и назови его Dump.bat. Сохраните его в папке, где установлены средства отладки. Введите следующий текст в пакетный файл:

Если вы хотите изучить файл сброса, введите следующую команду, чтобы передать путь файла сброса в пакетный файл:

Как открыть ваш файл DUMP:

Самый быстрый и легкий способ открыть свой файл DUMP — это два раза щелкнуть по нему мышью. В данном случае система Windows сама выберет необходимую программу для открытия вашего файла DUMP.

В случае, если ваш файл DUMP не открывается, весьма вероятно, что на вашем ПК не установлена необходимая прикладная программа для просмотра или редактирования файлов с расширениями DUMP.

Если ваш ПК открывает файл DUMP, но в неверной программе, вам потребуется изменить настройки ассоциации файлов в вашем реестре Windows. Другими словами, Windows ассоциирует расширения файлов DUMP с неверной программой.