Contactos
el principal

Qué es un archivo de volcado. ¿Qué es un volcado de memoria? Análisis de descarga de basura usando Microsoft Kernel Depurador

A arreglar una pantalla azul Es necesario identificar la razón de su apariencia. Para hacer esto, debe analizar el archivo de emergencia del volcado de memoria. Se puede realizar un análisis del basurero de emergencia. diferentes caminos. Esto está hablando de este artículo.

En el artículo anterior sobre el sitio, ya escribimos sobre las razones que más a menudo conducen a una pantalla azul de la muerte. También mostró cómo configurar correctamente la creación de volcados de memoria de emergencia y le dijo dónde se almacena más archivo de Dampa. MELM tocó el hecho de que en el código de parada y de acuerdo con la información del volcado de archivos, puede permitir que sea posible más preciso la razón para dar la razón Bsod..
Queda por aprender cómo y con lo que puede analizar información del volcado de archivos. Considere varias formas de incluir como una herramienta de análisis de los desarrolladores de Windows y herramientas de terceros.

Archivo de análisis de descarga utilizando el depurador de kernel de Microsoft.

Microsoft Kernel Depurador. - Utilidad especial para analizar los volcados de choque. Descargue la utilidad en sí, así como los componentes que necesita desde el sitio necesario para su operación. Microsoft. - Herramientas de depuración. Versión de paquete Herramientas de depuración para Windows debe corresponder a la broca sistema operativo. Sobre dónde y cómo descargar esta utilidad escribió.
Junto con el propio depurador, debe descargar un conjunto de caracteres de depuración: símbolos de depuración. También se varía un conjunto de caracteres para cada versión de Windows, incluyendo y a cargo. Por lo tanto, para Windows 7 de 32 bits, necesita descargar un paquete de caracteres Windows 7 x32, y para el conjunto de caracteres de Windows 7 de 64 bits Windows 7 x64.. De la misma manera, debe elegir un conjunto de caracteres y para otras versiones de Windows (viudas 10, XP, etc.). El conjunto deseado de caracteres también se puede descargar en el propio depurador, pero a continuación.
Después de instalar la utilidad y el conjunto de caracteres de depuración, puede ejecutar el propio depurador. Después de la puesta en marcha, debe especificar la ruta para depurar caracteres en su configuración. Para esto:
Haga clic en el botón Archivo ⇒ Símbolo de la ruta de archivo ...
A continuación, haga clic en el botón Examinar y especifique la carpeta donde se guarda el conjunto de caracteres.
Descárgalo usted mismo nueva versión Los símbolos pueden estar utilizando la utilidad en sí. Para hacer esto, en el campo Archivo ⇒ Symbol File Ruta ... ingrese:
Srv * c: \\ Symbols * http: //msdl.microsoft.com/download/symbols

A continuación, haga clic en Archivo ⇒ Guardar espacio de trabajo y luego haga clic en Aceptar.
Por lo tanto, la utilidad solicitará información sobre la depuración de caracteres a través de Internet directamente desde el servidor de Microsoft.
Para continuar con el análisis, haga clic en Archivo\u003e Abrir volcado de bloqueo ... y especifique el archivo de volcado de memoria deseado (volcado de memoria pequeña).
El sistema realizará un análisis del basurero y los resultados darán una posible causa del error.

Haciendo clic en el hipervínculo ! Analizace-v Se abre una información de error más avanzada.
Puede completar la depuración con el elemento del menú Depurar. > Detener la depuración..

Análisis del archivo de descarga con bluescreenview

Bluescreenview. esto es utilidad gratuita Para analizar el pequeño archivo de volcado de emergencia. Esta utilidad Tiene el apoyo de la lengua rusa. La ventaja principal de este programa es que no necesita descargar caracteres de depuración. Esto hace que esta utilidad sea completamente autónoma e independiente. Otra ventaja de este programa es la presencia de una versión portátil, es decir, versiones que no necesitan instalarse en el sistema. El autor del programa es Nier Sofer.. Puedes descargar C. el sitio oficial del autor.. La versión portátil del programa se puede descargar por referencia en la página oficial, en el título del cual, entre paréntesis indicado. en el archivo zip..
Al descargar, es importante tener en cuenta la descarga de su sistema operativo.
Sracks justo debajo. Puede descargar el archivo de Rusificación - Bluescreenview_lng.ini, que solo necesita para tirar la carpeta con el programa en sí. Preparé un programa para descargar el programa con el idioma ya sintonizado. Aquí están los enlaces directos:

Y ahora directamente sobre el procedimiento de análisis.

¿Cómo analizar un archivo de volcado con bluescreenview?

Después de comenzar, el programa escanea inmediatamente el directorio de almacenamiento de archivos de volcado estándar -% SystemRoot% \\ Minidump. El directorio se puede cambiar en los parámetros adicionales del programa. La interfaz de la ventana del programa se puede dividir condicionalmente en 3 áreas:

  • Botones de menú de área superior
  • Área media con una lista de archivos de volcado
  • Área inferior con lista de controladores


Los datos de análisis se muestran en forma de mesa. Enumeramos los más importantes de las columnas del área intermedia de la ventana del programa (nombre de los soportes de la versión en inglés):

  • Texto de error (cadena de verificación de errores). Se muestra una descripción de error aquí según la clasificación de Microsoft. En nuestro ejemplo, es conducir_irql_not_less_or_equal.
  • Código de error (código de verificación de errores). Se muestra el código de error de DETENER - 0x000000d1
  • Causado por el conductor). Muestra el nombre del conductor o el módulo, que más probablemente causó un error. AVISO, este es un perpetrador de errores del 100%, pero solo probable. En nuestro ejemplo, es E1G6032E.SYS
  • Causado por la dirección). Muestra el controlador inmediatamente después de la dirección de las instrucciones que causaron fallas. Lo tenemos E1G6032E.SYS + 9EF530 / LI\u003e
  • Dirección de accidente (dirección de choque). La dirección para la que ocurrió un error. En nuestro caso, ntoskrnl.exe + 1509a0.

Ahora listas las columnas más importantes del área inferior:

  • Nombre del archivo (nombre de archivo). Indica el nombre del conductor o el módulo.
  • Dirección en pila (dirección en pila). Se muestra la dirección de memoria del conductor de la pila de memoria.
  • Descripción del archivo (descripción del archivo).
  • Versión de archivo (versión de archivo). Se muestra la versión de la versión del controlador.

Analizar la asignación el archivo deseado. Vuelos en el área central de la ventana Utilidad. Al resaltar el área inferior se llena inmediatamente con datos. Miramos los datos de la tabla de las columnas principales que mencioné anteriormente. En el área inferior de la ventana, los principales impulsores o módulos problemáticos se resaltan en rojo. Rara vez sucede programa especificado En el área del medio, el conductor no es una fuente de errores de BSOD. En tales casos, entre los distintos impulsos destacados a continuación, la verdadera fuente es probablemente presente. pantalla azul de la muerte. En mi caso, es: E1G6032E.SYS y NTOSKRNL.EXE. Por cierto, ambas son causas bastante comunes de BSOD.
Si las fuentes encontradas por el programa, no dice nada sobre el programa, simplemente puede ingresar el nombre de los controladores de problemas en el motor de búsqueda y seguramente los encontrará cómo superarlos.
Para determinar con mayor precisión los controladores y módulos problemáticos, puede usar varias formas de analizar. Afortunadamente, en este artículo, hemos desmontado los dos más populares. Tenga cuidado con las publicaciones y además será otro artículo sobre el análisis de los vertederos.

Todos los sistemas de Windows cuando se detecta un error fatal, haga un contenido de descarga de desastres (instantánea) memoria de acceso aleatorio Y lo guarda al disco duro. Hay tres tipos de volcado de memoria:

Un volcado de memoria completo: guarda todos los contenidos de la RAM. El tamaño de la instantánea es igual al tamaño del RAM + 1 MB (encabezado). Se usa muy raro, como en los sistemas con una gran cantidad de memoria, el tamaño del volcado será demasiado grande.

El volcado de memoria del kernel ahorra información de RAM solo al modo Kernel. La información del régimen de usuario no se guarda, ya que no lleva información sobre la causa del colapso del sistema. El volumen del archivo de volcado depende del tamaño de la RAM y varía de 50 MB (para sistemas con 128 MB de RAM) a 800 MB (para sistemas con 8 GB de RAM).

Pequeño volcado de memoria (mini descarga) - contiene bonita una pequena cantidad de Información: Código de error con parámetros, una lista de controladores cargados en la RAM en el momento del colapso del sistema, etc., pero esta información es suficiente para determinar el controlador de falla. Otra ventaja de este tipo de volcado es un pequeño tamaño de archivo.

Configuración del sistema

Para identificar al conductor que nos causó lo suficiente, usará un pequeño volcado de memoria. Para que el sistema guarde el mini volcado con el bloqueo, debe realizar los siguientes pasos:

Para Windows XP. Para Windows 7.
  1. Mi computadora Propiedades
  2. Ir a la pestaña Adicionalmente;
  3. Parámetros;
  4. En campo Escribir información de depuración Escoger Pequeño volcado de memoria (64 kb).
  1. Ratón derecho haga clic en el icono Un ordenadordesde el menú contextual, seleccione Propiedades(o combinación de las teclas de pausa para ganar +);
  2. En el menú de la izquierda, haga clic en el artículo. Opciones extra Sistemas;
  3. Ir a la pestaña Adicionalmente;
  4. En el campo de descarga y recuperación, debe hacer clic en Parámetros;
  5. En campo Escribir información de depuración Escoger PEQUEÑO MEMORIA DESGO (128 KB).

Habiendo realizado todas las manipulaciones, después de cada BSOD en la carpeta C: \\ Windows \\ Minidump se guardará con la extensión .dmp. Le aconsejo que se familiarice con el material "". También puedes instalar una marca en " Reemplace un archivo de volcado existente". En este caso, cada nuevo volcado de emergencia se registrará en la parte superior de lo antiguo. No le aconsejo que incluya esta opción.

Análisis del volcado de memoria de emergencia utilizando el programa BluescreenView

Entonces, después de la pantalla azul de la muerte, el sistema ha conservado un nuevo volcado de memoria de emergencia. Para analizar el volcado, recomiendo usar el programa Bluescreenview. Se puede descargar de forma gratuita. El programa es bastante conveniente y tiene una interfaz intuitiva. Después de instalarlo, lo primero que debe hacer es especificar el lugar de almacenamiento de volcados de memoria en el sistema. Para hacer esto, vaya al elemento del menú " Opciones."Y elige" AvanzadoOpciones.". Elija un botón de radio " Carga.de.susiguiente.Mini descargacarpeta."Y especifique la carpeta en la que se almacenan los vertederos. Si los archivos se almacenan en la carpeta C: \\ Windows \\ Minidump, puede presionar el botón " Defecto.". Haga clic en Aceptar y ingrese a la interfaz del programa.

El programa consta de tres bloques principales:

  1. Unidad de menú principal y panel de control;
  2. Bloque de la lista de vertederos de memoria de emergencia;
  3. Dependiendo de los parámetros seleccionados puede contener:
  • una lista de todos los conductores en RAM hasta que aparezca la pantalla azul (predeterminado);
  • lista de controladores ubicados en una pila de ram;
  • captura de pantalla de bsod;
  • y otros significados que no usaremos.

En la lista de volcado de memoria (en la figura marcada 2), seleccione el volcado de nosotros y consulte la lista del controlador que se ha descargado en la RAM (en la figura marcada con un número 3). Los colores rosados \u200b\u200bpintaron los conductores que estaban en la pila de memoria. Son la razón de la aparición de BSOD. A continuación, vaya al menú principal del controlador, define a qué dispositivo o programa pertenecen. En primer lugar, preste atención a no archivos del sistema, Después de todo, los archivos del sistema están en cualquier caso se cargan en RAM. Es fácil de entender que el controlador fallido es MyFault.sys. Diré que este programa estaba especialmente corriendo para llamar. Error de parada. Después de determinar el controlador de bloqueo, debe actualizarlo o eliminarlo del sistema.

Para que el programa muestre una lista de los controladores ubicados en la pila de memoria durante la aparición de BSOD, debe ir al elemento del menú " Opciones."Haga clic en el menú" Más bajoCristalModo."Y elige" SOLO.ConductoresEncontró.EN.Apilar"(O presione la tecla F7) y seleccione la captura de pantalla de error para mostrar" AzulPantalla.eN.Xp.Estilo."(F8). ¿Qué volver a la lista de todos los conductores, necesita elegir el artículo " Todas.Conductores"(F6).

En Windows 8, Microsoft introdujo un nuevo volcado de memoria: una opción de volcado de memoria automática. Este parámetro en el sistema operativo se establece de forma predeterminada. En Windows 10, ingresó un nuevo tipo de archivo de volcado, un volcado de memoria activa. Para aquellos que no saben, en Windows 7 tenemos un pequeño yeso, el kernel de descarga y un volcado de memoria completo. Es posible que se sorprenda por qué Microsoft decidió crear esto. nuevo parámetro Memoria de descarga? Según Robert Simpkins, un ingeniero de soporte para personas mayores, un volcado de memoria automático, puede crear soporte para la página "Sistema" en el archivo de configuración.
El sistema de administración de configuración de archivos de control es responsable de controlar el tamaño del archivo de paginación: le permite evitar reservas o tamaños innecesarios del archivo de paginación. Esta opción se introduce principalmente para PC que funcionan en los discos SSD, que, por regla general, tienen un tamaño más pequeño, pero gran cantidad memoria de acceso aleatorio.

Parámetros de volcado de memoria

La principal ventaja del "volcado de memoria automático" es que esto permitirá que la sesión del subsistema en el Administrador de procesos reduzca automáticamente el archivo de paginación a un tamaño más pequeño que el tamaño de la RAM. Para aquellos que no saben, la sesión del despachador del subsistema es responsable de la inicialización del sistema, el lanzamiento de los servicios y los procesos que son necesarios para el inicio de sesión del usuario. Básicamente, establece la página de archivos en la memoria virtual e inicia el proceso WinLogon.exe.

Si desea cambiar los parámetros del volcado de memoria automática, así es como se puede hacer. Hacer clic teclas de Windows + X y seleccione el sistema. A continuación, haga clic en "Configuración avanzada del sistema - Avance. Sistema. Ajustes”.

Haga clic en el botón Configuración avanzada.

Aquí puede ver el menú desplegable donde se escribe "adicionalmente".

Aquí puede elegir la opción deseada. Opciones propuestas:

No hay volcados de memoria.
Pequeño volcado de memoria.
Derrame de memoria del kernel.
Volcado de memoria completo.
DUMP DE MEMORIA AUTOMÁTICO. Añadido en Windows 8.
Volcado de memoria activa. Añadido a Windows 10.
La ubicación del archivo de volcado de memoria en el archivo% Systemroot% \\ Memory.dmp.

Si estas usando Disco SSD, es mejor dejarlo en el "basurero automático de la memoria"; Pero si necesita un archivo de volcado de emergencia, es mejor instalarlo en un "volcado de memoria pequeña", con él, si desea enviarlo a alguien para que pueda mirarlo.

En algunos casos, es posible que deba aumentar el tamaño del archivo de paginación más que la RAM para asegurarse de que pueda coincidir con el volcado de memoria completo. En tales casos, necesita crear una clave de registro:

HKEY_LOCAL_MACHINE \\ SISTEMA \\ CurrentControlSet \\ Control \\ CrashControl

se llama "Lastcrashtime".

Esto aumentará automáticamente el tamaño del archivo de paginación. Para reducirlo, más tarde, simplemente puede eliminar esta tecla.

En Windows 10, ingresó un nuevo volcado de memoria de volcado activo. Contiene solo lo más necesario y, por lo tanto, es más pequeño.

No tengo la capacidad de probarlo, pero creé esta clave y he supervisado el tamaño del archivo de paginación. Sé que tarde o temprano obtendré un error crítico. Entonces lo comprobaré.

Puede analizar el archivo de volcado de archivos Windows.dmpk usando Whocrahed. La utilidad de Whocrashed Home es gratuita, presenta a los conductores que se incrustieron en su computadora usando un clic. En la mayoría de los casos, puede definir un conductor incómodo que cause los sufrimientos a su computadora. Este es el volcado de choque del análisis del sistema, los volcados de memoria y aquí se presenta aquí. información recolectada en una forma asequible.

Como regla general, un conjunto de herramientas de depuración abre un volcado de análisis de emergencia. Con esta utilidad, no necesita ningún conocimiento y habilidades de depuración para descubrir qué controladores causan problemas en su computadora.

Whocrahed se basa en el paquete de depuración (programa WINDBG) de Microsoft. Si este paquete no está instalado, el whocrashed se descargará y eliminará automáticamente este paquete para usted. Simplemente ejecute el programa y haga clic en el botón Analizar. Cuando tiene un whocrahed instalado en el sistema y, si de repente cae o se cierra, el programa le dará saber si el volcado de emergencia está encendido en su computadora, y le ofrecerá sugerencias sobre cómo habilitarlas.

Una de las fallas más comunes. windows funciona - Las excepciones del sistema que el usuario ve en forma de una "pantalla de muerte azul" (BSOD). Como regla general, este error fatal se produce o debido al mal funcionamiento de los controladores, el equipo (más a menudo al cargar el sistema operativo) o debido a la acción de virus y antivirus.

La pantalla azul de la muerte contiene información sobre las razones que causaron una excepción (en forma de un código de error de detención del tipo 0x0000007b), la dirección en la memoria, al acceder a cuál se ha producido una excepción y otra información útil. Dicha información se llama error de parada, parámetros variables Cuales son las direcciones de memoria. A veces, también contiene el nombre del archivo que causó una excepción.

Toda esta información está disponible en la pantalla, no larga (hasta 100 segundos), después de lo cual la computadora se reinicia. En este corto tiempo, se genera un volcado de memoria, que se escribe en el archivo. Una de las formas profesionales importantes de diagnosticar fallas: análisis del basurero de la memoria, que se discutirá en detalle en este artículo.

Que es un basurero

  • dump (eng.) - Dour Bunch; vertedero; agujero; barrio bajo.
  • volcado (volcado de memoria) - 1) volcado, salida de los contenidos de la RAM para imprimir o la pantalla; 2) "Snapshot" de RAM; Datos obtenidos como resultado del dumping; 3) Extracción de emergencia, apagado, restablecimiento.
  • dumping - Dumping, Dump Removing.

Los ajustes para guardar el volcado de memoria se almacenan en registro del sistema Windows.

Información sobre el volcado de memoria en el registro del sistema:

En la sección Registro de Windows, el volcado de memoria de emergencia está determinado por los siguientes parámetros:

- Reg_dWord-Parámetro AutoreBoot con un valor de 0 × 1 (Opción de ejecución reinicio automático Descarga de la ventana auxiliar y restaurar el cuadro de diálogo Propiedades del sistema);

- Reg_dWord-Parámetro CrashdumpNabled con un valor de 0 × 0, si no se crea el volcado de memoria; 0 × 1 - volcado de memoria completo; 0 × 2 - vertedero de la memoria del kernel; 0 × 3 - Pequeño volcado de memoria (64kb);

- reg_expand_sz-parameter dumpfile con valor predeterminado% systemroot% \\ memory.dmp (almacenamiento de archivos de volcado);

- Reg_dWord-Parámetro Levegevent con el valor predeterminado 0 × 1 (escriba un evento en el cuadro de registro del sistema de descarga y recuperación);

- REG_EXPAND_SZ-Parámetro MinidumpDir con el valor predeterminado% SYSTEMROOT% \\ MINIDUMP (Opción Pequeña ventana de descarga de carpetas Carga y restauración);

- reg_dword parámetro sobrescribir con el valor predeterminado 0 × 1 (opción que reemplaza una ventana de volcado existente de carga y recuperación);

- REG_DWORD-PARAMETER SENDALERT con el valor predeterminado 0 × 1 (Opción Enviar una ventana de notificación administrativa descargar y restaurar).

Cómo el sistema crea un archivo de volcado de emergencia

Durante el inicio, el sistema operativo verifica los parámetros para crear un volcado de emergencia en la sección de registro. Si se especifica al menos un parámetro, el sistema genera una tarjeta de los bloques de disco ocupados por el archivo de paginación en volumen de arranquey lo guarda en la memoria. El sistema también determina qué controlador. dispositivo de disco Controla el volumen de carga, calcula las sumas de comprobación para la imagen del controlador en la memoria y para las estructuras de datos que deben ser enteras para que el conductor realice una operación de entrada / salida.

Después de que falla la falla del sistema, verifique la integridad del mapa del archivo de la página, controlador de disco y estructuras de control del controlador de discos. Si la integridad de estas estructuras no está rota, el kernel del sistema causa funciones especiales La entrada / salida del controlador de disco pretendía guardar la imagen de memoria después de la falla del sistema. Estas funciones de E / S son autosuficientes y no confían en el sistema del núcleo del sistema, ya que en los programas responsables de registrar un volcado de emergencia, no puede hacer ninguna suposición sobre qué partes del kernel del sistema o los controladores de dispositivo durante el fracaso se dañaron . El kernel del sistema registra los datos de la memoria de los sectores de archivos de paginación (en este caso, no tiene que usar los controladores del sistema de archivos).

Primero, el kernel del sistema verifica el estado de cada componente involucrado en el proceso de guardar el volcado. Esto se hace para escribir directamente a los sectores de disco para dañar los datos que están fuera del archivo de la página. El tamaño del archivo de página debe ser de 1MB más que el tamaño de la memoria física, ya que al registrar la información en el volcado, se crea un encabezado en el que la firma de descarga de alarma y el valor de varias de las variables más importantes del kernel del sistema son creados. El título toma menos de 1 MB, pero el sistema operativo puede aumentar (o disminuir) el tamaño del archivo de paginación no es inferior a 1 MB.

Después de cargar el administrador de sesión (Windows NT Session Manager; Dirección de disco - \\ Windows \\ System32 \\ SMSS.exe), inicializa los archivos de la página del sistema utilizando la función propia de NTCREATEPAGEFILE para crear cada archivo. NTCREATEPAYFILE Determina si existe el archivo de página inicializado, y si es así, entonces hay un encabezado de volcado en él. Si hay un encabezado, entonces NTCREATEPAGEFILE envía un código especial en Session Manager. Después de eso, Session Manager lanza el proceso WinLogon (programa de inicio de sesión en Windows NT; Dirección de disco - \\ Windows \\ System32 \\ winlogon.exe), que se notifica de la existencia de un volcado de emergencia. Winlogon lanza Savedump (Programa de copia de memoria de Windows NT; Dirección de disco - \\ Windows \\ System32 \\ Savedump.exe), que analiza el encabezado de volcado y determina las acciones adicionales en una emergencia.

Si el título apunta a la existencia de un volcado, el Savedump copia los datos del archivo de página al archivo de volcado de emergencia, el nombre que se especifica mediante la sección REG_EXPAND_SZ-PARAMETER DEPARTER DE PARÁTICO DEL REGISTRO. Si bien Savedump reescribe el archivo de volcado, el sistema operativo no usa la parte del archivo de la página que contiene un volcado de emergencia. En este tiempo de volumen memoria virtualDisponible para el sistema y las aplicaciones, disminuye al tamaño del volcado (hay mensajes que indican la falta de memoria virtual en la pantalla). Luego, el Savedump informa al administrador de memoria sobre la finalización del ahorro de volcado, y libera la parte del archivo de página en el que se almacena el volcado para uso general.

Guardar el archivo de volcado, el programa Savedump hace un registro sobre la creación de un volcado de emergencia en el sistema de registro de eventos, por ejemplo: "La computadora se ha reiniciado después de un error crítico: 0x100000d1 (0xc84d90a6, 0 × 00000010, 0 × 00000000, 0 × 00000000, 0xc84d90a6) . Se guarda una copia de la memoria: C: \\ Windows \\ Minidump \\ mini060309-01.DMP ".

Si la opción Enviar alerta administrativa está habilitada, Savedump envía la alerta del administrador.

Variedades de vertederos

  • Volcado de memoria completa Registra todo el contenido memoria del sistema Si hay un error descolorido. Para esta opción, debe tener un archivo de paginación en el volumen de arranque, cuyo tamaño es igual al volumen de toda la memoria física más 1 MB. De forma predeterminada, el volcado de memoria completo se registra en el archivo% Systemroot% \\ Memory.dmp. Cuando se produce un nuevo error y crea un archivo nuevo archivo de memoria completo (o volcado de memoria del kernel) archivo anterior. Reemplazado (sobrescrito). El parámetro de volcado de memoria completo no está disponible en la PC, que tiene un sistema operativo de 32 bits y 2 o más gigabytes de RAM.

Cuando se produce un nuevo error y crea un nuevo archivo de volcado completo, se reemplaza el archivo anterior.

  • Volcado de memoria nuclearregistra solo la memoria del kernel, de modo que el proceso de grabación de datos en el registro con una parada repentina del sistema procede más rápido. Dependiendo del volumen de la memoria física de PC en este caso, el archivo de paginación requiere de 50 a 800 MB o un tercio de la memoria física de la computadora en el volumen de arranque. De forma predeterminada, el volcado de memoria del kernel se registra en el archivo% Systemroot% \\ Memory.dmp.

Este descarga no incluye la memoria sin asignar ni la memoria asignada para los programas de modo de usuario. Incluye solo la memoria asignada para el nivel de kernel y dependiente del hardware (HAL) en las versiones de Windows 2000 y posteriores del sistema, así como la memoria asignada para los controladores de modo kernel y otros programas de modo kernel. En la mayoría de los casos, tal dump es la opción más preferida. Se necesita mucho menos espacio en comparación con el volcado de memoria completo, al tiempo que excluye solo aquellos sectores de la memoria, lo que probablemente no está relacionado con el error.
Cuando se produce un nuevo error y crea un nuevo archivo de volcado de memoria del kernel, se reemplaza el archivo anterior.

  • Volcado de memoria pequeña Registra el volumen más pequeño información útilNecesario para determinar la causa de mal funcionamiento. Para crear un pequeño volcado de memoria, es necesario que el tamaño del archivo de paginación sea de al menos 2 MB en el volumen de arranque.

Los pequeños archivos de volcado de memoria contienen la siguiente información:

  • mensaje sobre un débil error, sus parámetros y otros datos;
  • lista de controladores descargados;
  • contexto del procesador (PRCB), que ha fallado;
  • información sobre el proceso y el contexto del kernel (eProcess) para el proceso que causó el error;
  • información sobre el contexto del proceso y el kernel (ethread) para un flujo que causó el error;
  • pila de llamadas en modo kernel para la secuencia causada por error.

El pequeño archivo de volcado se utiliza con espacio limitado del disco duro. Sin embargo, debido a la información limitada contenida en ella, como resultado del análisis de este archivo, no siempre es posible detectar errores que no fueron causados \u200b\u200bdirectamente por la corriente que se realizó en el momento de su aparición.

En caso siguiente error y la creación de un segundo archivo de volcado de memoria pequeño se guarda el archivo anterior. A cada archivo adicional Se da un nombre único. La fecha está codificada en el nombre del archivo. Por ejemplo, MINI051509-01.DMP es el primer archivo de volcado de memoria creado el 15 de mayo de 2009. La lista de todos los archivos de volcado de memoria pequeña se almacena en la carpeta % Systemroot% \\ minidump.

Operacional sistema de Windows XP es, sin duda, mucho más confiable versión anterior- Gracias a los esfuerzos de los desarrolladores de Microsoft y de los desarrolladores de conductores. hardwarey desarrolladores aplicados software. Sin embargo, las situaciones de emergencia, todo tipo de fallas y copas de los copas del sistema son inevitables, y sobre si el usuario de la PC posee conocimiento y habilidades en su eliminación depende, tendrá que pasar unos minutos para solucionar un mal funcionamiento (por ejemplo, para actualizar / Controlador de depuración o reinstalación programa de aplicaciónCausando una falla del sistema): o unas pocas horas reinstalar / configurar el sistema operativo y el software de la aplicación (¡que no garantiza la ausencia de fallas y collares en el futuro!).

Muchos administradores del sistema Todavía descuidado por el análisis de los vertederos de emergencia de Windows, creyendo que es demasiado difícil trabajar con ellos. Es difícil, pero puede: incluso si, por ejemplo, el análisis de un vertedero de cada diez tendrá éxito, ¡los esfuerzos gastados en el desarrollo de los métodos más simples para analizar los vertederos de emergencia no serán en vano! ..

Le daré ejemplos de su práctica de "SYSADMIN".

EN red local sin razones visibles ("Hierro" en orden, no se garantizan virus, usuarios, con "Manos normales") "Poleg" varias estaciones de trabajo con Windows XP SP1 / SP2 "a bordo". Las computadoras cargadas en modo normal fallaron: reiniciadas a "saludos", y para reiniciar hasta el infinito. Al mismo tiempo, en modo seguro de PC cargado.

El estudio de los vertederos de memoria hizo posible identificar la causa de la falla: el culpable resultó ser un antivirus Kaspersky, más precisamente, fresco. bases antivirus (Si es más preciso, luego dos módulos de base de datos - BASE372C.AVC, BASE032C.AVC).

... todavía había un caso tal. En la PC local con Windows XP SP3 cuando intenta abrir archivos de video. Formatee .Avi y.MPEG se ha reiniciado. El estudio de volcado de memoria hizo posible identificar la causa de la falla: el archivador NV4_DISP.DLL TARJETA DE VIDEO NVIDIA GEFORCE. 6600. Después de actualizar el conductor, se eliminó la falla. En general, el conductor NV4_disp.dll es uno de los conductores más inestables, que a menudo llevaron a BSOD.

En ambos casos, el estudio del volcado de memoria de emergencia hizo posible minimizar (¡unos minutos!) Para reducir el tiempo para diagnosticar y solucionar problemas.

Análisis de volcado de memoria

Hay muchos programas para el análisis de los volcados de memoria de emergencia, por ejemplo, DumpChk, Kanalyze, Windbg.

Considere el análisis de los volcados de alarma de memoria utilizando el programa WINDBG (parte de las herramientas de depuración para Windows).

Instalación de fondos de depuración

  • visite el sitio web http://www.microsoft.com/whdc/devtools/debugging/default.mspx Microsoft Corporation;
  • descargue las herramientas de depuración para Windows, por ejemplo, para una versión de 32 bits de Windows, esto se puede hacer en la descarga de las herramientas de depuración para Windows Página;
  • después de descargar, ejecute archivo de instalación.;
  • en las herramientas de depuración para el asistente de configuración de Windows, haga clic en Siguiente;
  • en la ventana Acuerdo de licencia, configure el I Acepto -\u003e Siguiente Switch;
  • en la siguiente ventana, seleccione el tipo de instalación (las herramientas de depuración predeterminadas se instalan en las herramientas de \\ Archivos de programa \\ Herramientas de depuración para la carpeta de Windows) -\u003e Siguiente -\u003e Instalar -\u003e Finalizar;
  • para interpretar los archivos de volcado de memoria, también debe descargar los paquetes de caracteres (paquetes de símbolos, los llamados archivos de caracteres o archivos de depuración) para su versión de Windows - Ir a la página Descargar paquetes de símbolos de Windows;
  • seleccione su versión de Windows, descargue y ejecute el archivo de instalación de los paquetes de símbolos;
  • en la ventana Acuerdo de licencia, haga clic en Sí;
  • en la siguiente ventana, seleccione una carpeta para la instalación (se ofrece el valor predeterminado \\ Windows \\ Symbols) -\u003e OK -\u003e Sí;
  • en la ventana Microsoft Windows. Símbolos con el mensaje "Instalación es completa" Haga clic en Aceptar.

Uso del programa Windbg para analizar los volcados de memoria de emergencia

  • ejecutar WINDBG (el valor predeterminado está instalado en las herramientas de \\ Archivos de depuración de archivos para la carpeta de Windows);
  • seleccione Archivo -\u003e Menú de ruta de archivo de símbolos ...
  • en la ventana Ruta de búsqueda de símbolos, haga clic en el botón Examinar ...;
  • en la ventana Descripción general de la carpeta, especifique la ubicación de la carpeta de símbolos (predeterminado - \\ Windows \\ Symbols) -\u003e OK -\u003e OK;
  • seleccione el menú Archivo -\u003e Abrir volcado de bloqueo ... (o presione CTRL + D);
  • en la ventana Abrir volcado de choque, especifique la ubicación del archivo de volcado de bloqueo (* .dmp) -\u003e Abrir;
  • en la ventana del espacio de trabajo con la pregunta "¡GUANDO INFORMACIÓN DE LA INFORMACIÓN PARA EL ESPACIO DE TRABAJO?", Marque la Preguntar nuevamente:\u003e No;
  • la ventana de volcado de comandos se abre en la ventana de Windbg<путь_и_имя_файла_дампа> con análisis de descarga;
  • revisar el análisis del volcado de memoria;
  • en el "Análisis de BUGCHECK" se especificará razón posible Choque, por ejemplo, "probablemente causado por: smwdm.sys (SMWDM + 454D5)";
  • para ver información detallada Haga clic en el enlace "! Analizar -V" en el "Usar! Analizar -V para obtener información detallada de la información de depuración";
  • cerrar windbg;
  • utilice la información recibida para eliminar la causa de la falla.

Por ejemplo, en la siguiente captura de pantalla, la causa de la falla es el archivo nv4_disp.dll del controlador de la tarjeta de video.

En Windows, las ventanas se producen a menudo errores, incluso en el caso de un sistema "limpio". Si se pueden resolver los errores de programa habituales (aparece un mensaje sobre el componente que falta), entonces los errores críticos correctos serán mucho más complicados.

¿Qué es un volcado de memoria en Windows?

Para resolver problemas con el sistema, generalmente se usa el volcado de memoria de emergencia. esto es una foto Partes o cantidad total de RAM y colocándola en portador no volátil ( hdd). En otras palabras, los contenidos de la RAM completa o parcialmente copiados a los medios de comunicación, y el usuario puede analizar el volcado de memoria.

Hay varios tipos de vertederos de memoria:

Volcado pequeño (Pequeño volcado de memoria): guarda el volumen mínimo de RAM, donde hay información sobre errores críticos (BSOD) y componentes que se han descargado durante la operación del sistema, por ejemplo, el controlador, los programas. Minidumpio Almacenado a lo largo del camino C: \\ Windows \\ Minidump.

Volcado completo (Toque completo de memoria): se conserva el volumen total de RAM. Esto significa que el tamaño del archivo será igual a la cantidad de RAM. Si hay poco espacio en el disco, será problemático mantener, por ejemplo, 32 GB. También hay problemas para crear un archivo de volcado de memoria más de 4 GB. Esta especie Se utiliza muy raramente. Almacenado a lo largo del camino C: \\ Windows \\ Memory.dmp.

Vertedero núcleo de memoria - Solo se guarda la información relacionada con el núcleo del sistema.

Cuando el usuario llega a un análisis de error, es suficiente usar solo minidamp (pequeño volcado). Pero antes, debe estar encendido, de lo contrario, no será posible reconocer el problema. También para detectar más eficientemente un accidente. El uso de una imagen completa de la memoria es preferible.

Información en el Registro.

Si busca en el Registro de Windows, puede detectar algunas configuraciones útiles de instantáneas. Haga clic en la combinación de las teclas Win + R, ingrese el comando regedit. y abre las siguientes ramas:

HKEY_LOCAL_MACHINE \\ SISTEMA \\ CurrentControlSet \\ Control \\ CrashControl

En esta sucursal, el usuario detectará los siguientes parámetros:

  • Autoreboot. - Activación o desactivación de un reinicio después de crear una pantalla de muerte azul (BSOD).
  • Mancha de basura - El nombre de los tipos de vertederos y ubicación.
  • CrashdumpNabled. - el número del archivo que se está creando, por ejemplo, el número 0: el volcado no se crea; 1 - Crear un volcado completo; 2 - Crear un basurio de núcleo; 3 - Crear un pequeño basurero.
  • Dumpfilters. - El parámetro le permite agregar nuevas funciones antes de crear una imagen. Por ejemplo, cifrado de archivos.
  • Minidumpdir - Nombre de un pequeño volcado y su ubicación.
  • LOGEVENT. - Active el registro de información en el registro del sistema.
  • MinidumppScount. - Pregunte a la cantidad de pequeños basureros creados. (Exceder a esta cantidad destruirá los archivos antiguos y los reemplazará).
  • Sobrescribir. - Función para un volcado completo o sistémico. Al crear una nueva instantánea, la anterior siempre será reemplazada por una nueva.
  • Dedicateddumpfile - Creación de un archivo de imagen alternativo e indicando su camino.
  • IgnorePageFileSize - Se utiliza para organizar temporalmente una imagen, sin usar el archivo de paginación.

Cómo funciona

Si se produce una falla, el sistema detiene completamente su trabajo y, si la creación de volcados está activamente, a un archivo que se coloca en el disco se grabará información sobre el problema. Si algo le sucedió a los componentes físicos, el código de emergencia funcionará, y el hierro, que hizo una falla hará cambios que necesariamente afecten la imagen.

Normalmente, el archivo se guarda en el bloque de disco duro dedicado para el archivo BSOD, después de que aparezca BSOD, el archivo se sobrescribe en la vista de que el propio usuario se ha configurado (pequeño, completo o de descarga de kernel). Aunque, en el sistema operativo moderno, el archivo de participación no necesariamente.

Cómo encender los vertederos

EN Windows 7.:

EN Windows 8 y 10:

Aquí el proceso es un poco como un poco, en la información sobre el sistema que puede obtener como en Windows 7. En la "docena" definitivamente abrimos " Este computador", Haga clic en el botón derecho del botón derecho del botón y elija" Propiedades" De una manera diferente, puede superar el panel de control.

La segunda opción para Wisconsinndows 10.:


Cabe señalar que en nuevo versiones de Windows 10 aparecieron nuevos artículos que no estaban en los "siete":

  • Volcado pequeño Memoria 256 KB - Datos mínimos sobre el fracaso.
  • Volcado activo - Apareció en la décima versión del sistema y guarda solo la memoria activa de la computadora, los núcleos del sistema y el usuario. Se recomienda usar en servidores.

Cómo eliminar el volcado

Basta con ir al directorio donde se almacenan las rutas de memoria y simplemente elimíntelas. Pero hay otra forma de eliminar: use la utilidad de limpieza del disco:

Si no se encontraron artículos, tal vez no se incluyeran los vertederos.

Incluso si una vez los incluía, algunas utilidades de optimización de sistemas usadas pueden fácilmente deshabilitar alguna característica. A menudo, muchas cosas se apagan cuando se usan Unidades SSDDado que los procedimientos de lectura y registro múltiples son muy dañinos para la salud de este disco.

Análisis de volcado de memoria con windbg

Descargar desde el sitio oficial Microsoft este El programa en el Paso 2, donde se describe " InstalaciónWDK."- https://docs.microsoft.com/en-us/windows-hardware/drivers/Download-the-wdk.

Para trabajar con el programa, aún necesitará un paquete especial de caracteres de depuración. Se llama Símbolos de depuración., antes de que se pueda descargar de Microsoft, pero ahora abandonan esta idea y tienen que usar la función. programas de archivo — « Ruta del archivo de símbolo.", Dónde ingresar la siguiente línea y haga clic en Aceptar:

set _NT_SYMBOL_PATH \u003d SRV * DownStreamStore * https: //msdl.microsoft.com/download/symbols

Si no funcionara, prueba este comando:

Srv *% systemroot% \\ Symbols * http: //sdl.microsoft.com/download/symbols

Presione nuevamente el elemento "Archivo" y seleccione la opción "Guardar espacio de trabajo".

La utilidad está configurada. Queda por especificar la ruta a los archivos de volcado de memoria. Para hacer esto, haga clic en Archivo y haga clic en la opción " O.bolígrafo.Choque.Vertedero" La ubicación de todos los vertederos se indica al comienzo del artículo.

Después de la selección, el análisis terminará y el componente problemático se resaltará automáticamente. Para conseguir más Información En la misma ventana, puede ingresar dicho comando: ! Analizar -v.

Análisis con bluescreenview

Puede descargar la herramienta de forma gratuita desde este sitio - http://www.nirsoft.net/utils/blue_screen_view.html. La instalación no requiere ninguna habilidad. Se utiliza solo en Windows 7 y superior.

Correr y configurar. Haga clic en "Configuración" (Opciones) - " Opciones extra"(Opciones avanzadas). Elige el primer artículo " Descargar minidamps de esta carpeta"Y especifique el catálogo - C: \\ Windows \\ Minidump. Aunque simplemente puede hacer clic en el botón "Predeterminado". Haga clic en Aceptar.

Los archivos de volcado deben aparecer en la ventana principal. Puede ser como uno y unos pocos. Para abrirlo, es suficiente para presionarlo.

En la parte inferior de la ventana, se mostrarán los componentes que estaban involucrados en el momento del fallo. El color rojo se destacará el culpable del accidente.

Ahora haga clic en "Archivo" y elija, por ejemplo, el artículo " Encuentra en Go.código de error Onga + controlador" Si se encuentra conductor necesarioInstale y reinicie la computadora. Tal vez el error desaparecerá.



¿Te gustó el artículo? Compártelo
Artículos recomendados sobre el tema.
Magnetometría en la versión más sencilla El Ferrozond consiste en un núcleo ferromagnético y dos bobinas en élMagnetometría en la versión más sencilla El Ferrozond consiste en un núcleo ferromagnético y dos bobinas en él
Búsqueda de curso de búsqueda de trabajo efectivoBúsqueda de curso de búsqueda de trabajo efectivo
Las principales características y parámetros del fotodiodo.Las principales características y parámetros del fotodiodo.
Los visitantes ahora están discutiendo
Cómo editar PDF (cinco aplicaciones para cambiar archivos PDF) Cómo eliminar páginas individuales de PDFCómo editar PDF (cinco aplicaciones para cambiar archivos PDF) Cómo eliminar páginas individuales de PDF Inalámbrica
¿Por qué la ventana del programa de despedida se desarrolla durante mucho tiempo?¿Por qué la ventana del programa de despedida se desarrolla durante mucho tiempo? iPhone / iPad.
DXF2TXT - Exportación y traducción del texto desde AutoCAD para mostrar un punto de tráfico DWG en TXTDXF2TXT - Exportación y traducción del texto desde AutoCAD para mostrar un punto de tráfico DWG en TXT Problemas
Qué hacer si el cursor del mouse desaparece.Qué hacer si el cursor del mouse desaparece. Configuración