Névjegyzék
a fő

Mi a dump fájl. Mi a memória dömping? Dump Dump analízis a Microsoft Kernel hibakereső használatával

Nak nek fix egy kék képernyőt Meg kell határozni a megjelenésének okait. Ehhez elemeznie kell a memóriakártya vészhelyzeti fájlját. A vészhelyzeti lerakás elemzése különböző módon végezhető el. Ez csak erről a cikkről beszél.

Az előző cikkben a helyszínen már írta az okokat, amelyek leggyakrabban a halál kék képernyőhöz vezetnek. Azt is megmutatták, hogyan kell megfelelően beállítani a sürgősségi memória lerakók létrehozását, és azt mondta, hol van ez a leginkább tárolt dampa fájl. A MELM megérintette azt a tényt, hogy a leállítási kódon és a fájl dumpájából származó információk szerint lehetővé teheti, hogy pontosabb legyen az oka annak, hogy az oka Kékhalál..
Továbbra is megtanulja, hogyan és azzal, amit az információ elemezhet a fájlbillentyűzetről. Tekintsünk többféle módon, mint egy elemzési eszközt a Windows fejlesztőktől és a harmadik féltől származó eszközökből.

Dump analitikai fájl a Microsoft Kernel hibakeresővel.

Microsoft kernel debugger. - Különleges segédprogram a Crash Dumps elemzéséhez. Töltse le a segédprogramot, valamint a működéshez szükséges webhelyen szükséges összetevőket. Microsoft. - hibakeresési eszközök. Csomagverzió A Windows hibakeresési eszközei Meg kell felelnie az operációs rendszer kibocsátásának. Arról, hogy hol és hogyan kell letölteni ezt a segédprogramot.
A hibakeresővel együtt letöltenie kell egy sor hibakeresési karaktereket - hibakeresési szimbólumokat. A karakterkészlet is változatos a Windows minden egyes verziójához, beleértve a felelősséget is. Így a 32 bites Windows 7 esetében le kell töltenie egy karaktercsomagot Windows 7 x32, és 64 bites Windows 7 karakterkészletre Windows 7 x64.. Ugyanígy kell választania egy karakterkészletet és a Windows egyéb verzióit (Widows 10, XP stb.). A kívánt karakterkészlet is letölthető a hibakeresőben, de az alábbiakban.
Miután telepítette a segédprogramot és a hibakeresési karakterek készletét, futtathatja a hibakeresőt. Az indítás után meg kell adnia a beállítások hibakeresési útvonalát a beállításokba. Ezért:
Kattintson a Fájl gombra ⇒ szimbólumfájlút ...
Ezután kattintson a Tallózás gombra, és adja meg azt a mappát, ahol a karakterkészlet mentett.
Töltse le a karakterek új verzióját a segédprogrammal. Ehhez a fájlmezőben ⇒ szimbólumfájlpálya ... Enter:
SRV * C: szimbólumok * http: //msdl.microsoft.com/download/symbols

Ezután kattintson a Fájl ⇒ Mentse meg a munkaterületet, majd kattintson az OK gombra.
Így a segédprogram információt kérni hibakeresés karakter az interneten keresztül közvetlenül a Microsoft szerver.
Annak érdekében, hogy folytassa az elemzést, kattintson a Fájl\u003e Open Crash Dump ... és adja meg a kívánt memória dump fájlt (kis memória dump).
A rendszer elvégzi a dump elemzését, és az eredmények megadják a hibát.

A hiperhivatkozásra kattintva Az elemzés-v Megnyílik egy fejlettebb hibainformáció.
A hibakeresést a menüpont segítségével töltheti ki Hibakeresés. > Hagyja abba a hibakeresést..

A dump fájl elemzése bluescreenview-vel

Bluescreenview. Ez egy ingyenes segédprogram a memória kis vészhelyzeti lerakójának elemzéséhez. Ez a segédprogram támogatja az orosz nyelvet. A program fő pluszja az, hogy nem kell letöltenie a hibakeresési karaktereket. Ez teszi ezt a segédprogramot teljesen autonóm és független. Ennek a programnak egy másik plusz egy hordozható verzió jelenléte, vagyis a rendszerbe nem szükséges verziók. A program szerzője Nier Sofer.. Letöltheti a C.-t a szerző hivatalos honlapja. A program hordozható változata a hivatalos oldalra történő hivatkozással letölthető, amelynek címében a jelzett zárójelben van zip fájlban..
A letöltés során fontos figyelembe venni az operációs rendszert.
Alább lent. Letöltheti az Russification File - Bluescreenview_lng.ini, amelyet csak a programmal kell dobni a mappába. Elkészítettem egy programot, hogy letöltse a programot a már hangolt nyelvvel. Itt vannak közvetlen linkek:

És most közvetlenül az elemzési eljárásról.

Hogyan lehet elemezni a bluescreenview-szel?

A kezdet után a program azonnal beolvassa a szabványos dump fájl tárolási könyvtárát -% Systemroot% \\ minidump. A könyvtár megváltoztatható a program kiegészítő paramétereiben. A programablak interfésze feltételesen 3 területre osztható:

  • Top terület menügombjai
  • Átlagos terület a dump fájlok listájával
  • Alsó terület vezető listával


Az elemzési adatok táblázatos formában jelennek meg. A program ablak középső területének oszlopaitól a legfontosabbak közül a legfontosabbak (az angol változatból származó zárójelben):

  • Hiba szöveg (hibaellenőrző karakterlánc). A Microsoft besorolása szerint egy hiba leírás jelenik meg. Példánkban ez a driver_irql_not_less_or_equal.
  • Hibakód (hibaellenőrző kód). A STOP hibakód jelenik meg - 0x000000d1
  • Vezetõ által okozott). Megjeleníti az illesztőprogram vagy a modul nevét, amely valószínűleg hibát okozott. Értesítés, ez egy 100% -os hiba elkövető, de csak valószínű. Példánkban ez az e1g6032e.sys
  • Cím által okozott). A meghibásodást okozó utasítások címe után azonnal megjeleníti az illesztőprogramot. Nekünk megvan E1g6032e.sys + 9EF530 / Li\u003e
  • Baleset címe (összeomlási cím). A hiba, amelyre hiba történt. A mi esetünkben Ntoskrnl.exe + 1509A0.

Most adja meg az alsó terület legfontosabb oszlopait:

  • Fájlnév (fájlnév). Jelzi az illesztőprogram vagy a modul nevét
  • Cím a veremben (cím a veremben). Megjelenik a vezető memória címe a memóriakártyáról.
  • Fájl leírása (fájl leírása).
  • Fájlverzió (fájlverzió). Megjelenik az illesztőprogram verzió verziója.

Az elemzéshez válassza ki a kívánt dump fájlt a segédprogram ablak középső területén. Amikor kiemelve az alsó terület azonnal tele van adatokkal. Megnézzük az asztaladatokat a fent említett fő oszlopokból. Az ablak alsó részén a valószínű problémás illesztőprogramok vagy modulok piros színnel vannak kiemelve. Ritkán vannak olyan esetek, amikor a vezető nem a BSOD hibák forrása, amikor a program az ablak középső területén van megadva. Ilyen esetekben az alábbiakban kiemelt különálló meghajtók közül valószínűleg jelen van a halál kék képernyőjének valódi forrása. Az én esetemben: e1g6032e.sys és ntoskrnl.exe. By the way, mindkettő a BSOD elég gyakori okai.
Ha a program által talált források nem mondanak semmit a programról, egyszerűen írja be a keresőmotor problémás illesztőprogramjának nevét, és biztosan megtalálja őket, hogyan lehet leküzdeni őket.
A problémás illesztőprogramok és modulok pontosabb meghatározásához számos módszert használhat az elemzésre. Szerencsére ebben a cikkben szétszereltük a két legnépszerűbbet. Vigyázz a kiadványokra, és tovább lesz egy másik cikk a lerakók elemzéséről.

Minden Windows rendszert, amikor végzetes hiba észlelhető, tegye meg a RAM-tartalom katasztrófa-lerakását (pillanatképet), és megmenti a merevlemezre. Háromféle memória dump:

Teljes memória dömping - megmenti a RAM összes tartalmát. A pillanatfelvétel mérete megegyezik a RAM + 1 MB (fejléc) méretével. Nagyon ritka, mint a nagymemóriával rendelkező rendszerekben, a dump mérete túl nagy lesz.

A kernel memória dömping csak a kernel módba kerül. A felhasználói rendszer információi nincsenek mentve, mivel nem hordoz információt a rendszer összeomlásának okairól. A dump fájl térfogata a RAM méretétől függ, és 50 MB-ot (128 MB RAM-os rendszerekhez) változik 800 MB-ig (8 GB RAM-os rendszerekhez).

Kis memóriakép (mini lerakó) - tartalmaz egy meglehetősen kis mennyiségű információ: hibakód paraméterekkel, illesztőprogramok listáját betöltött RAM idején a rendszer összeomlása, stb, de ez az információ ahhoz, hogy meghatározza a hiba driver. Az ilyen típusú dump másik előnye egy kis fájlméret.

Rendszer telepítés

Annak érdekében, hogy azonosítsuk a vezetőt, ami eléggé okozott minket, használjon egy kis memória dumpot. Annak érdekében, hogy a rendszer mentse a mini dumpot az összeomlással, a következő lépéseket kell végrehajtania:

Windows XP esetén. Windows 7 esetén.
  1. A számítógépem Tulajdonságok
  2. Menjen a fülre Emellett;
  3. Paraméterek;
  4. Területen A hibakeresési információk írása Választ Kis memóriamező (64 kb).
  1. Jobb egérgombbal kattintson az ikonra Egy számítógépa helyi menüből válassza ki Tulajdonságok(vagy a WIN + szünetkulcsok kombinációja);
  2. A bal menüben kattintson az elemre További rendszerparaméterek;
  3. Menjen a fülre Emellett;
  4. A letöltési és helyreállítási mezőben kattintson a gombra Paraméterek;
  5. Területen A hibakeresési információk írása Választ Kis memória dump (128 kb).

Miután elvégezte az összes manipulációt, miután minden egyes BSOD a C: \\ Windows \\ minidump mappában a .dmp kiterjesztéssel kerül mentésre. Azt tanácsolom, hogy megismerje az anyagot "". Telepíthet egy jelölőnégyzetet Cserélje ki a meglévő dump fájlt". Ebben az esetben minden új sürgősségi lerakás kerül rögzítésre a régi tetején. Nem javaslom, hogy adja meg ezt az opciót.

A vészhelyzeti memória dömping elemzése a BluescreenView program segítségével

Tehát a halál kék képernyője után a rendszer megőrizte az új vészhelyzeti memória dumpot. A dump elemzéséhez javaslom a Bluescreenview program használatával. Letölthető ingyen. A program meglehetősen kényelmes és intuitív kezelőfelülete van. A telepítés után az első dolog, amit meg kell tennie, megadja a memóriakártya tárolásának helyét a rendszerben. Ehhez menjen a menüelemre " Opciók."És válassza a" FejlettOpciók.". Válasszon rádiógombot " Betöltés.tól től.azkövetkező.Mini dumpmappa."És adja meg azt a mappát, amelyben a lerakók tárolódnak. Ha a fájlok a C: \\ Windows \\ minidump mappában vannak tárolva, megnyomhatja a " Alapértelmezett.". Kattintson az OK gombra, és lépjen be a programfelületbe.

A program három fő blokkból áll:

  1. Főmenüegység és kezelőpanel;
  2. A sürgősségi memória lerakók listájának blokkja;
  3. A kiválasztott paraméterek függvényében tartalmazhat:
  • a RAM összes illesztőprogramjának listája, amíg meg nem jelenik a kék képernyő (alapértelmezett);
  • a RAM-ban található illesztőprogramok listája;
  • bSOD screenshot;
  • És más jelentések, amelyeket nem fogunk használni.

A memóriakártya-listában (a 2. jelzésű ábrán) válassza ki az USA-ot, és nézze meg az illesztőprogramlistát, amelyet letöltött a RAM-ba (a 3. számmal jelölt ábrán). A rózsaszín színek festették azokat a járművezetőket, amelyek a memóriaállványban voltak. Ezek a BSOD megjelenésének oka. Ezután menjen a vezető főmenüjéhez, határozza meg, hogy melyik eszközre vagy programra tartoznak. Először is, figyeljen a nem rendszerfájlokra, mivel a rendszerfájlok minden esetben a RAM-ban vannak betöltve. Könnyen érthető, hogy a sikertelen illesztőprogram a myfault.sys. Azt fogom mondani, hogy ez a program kifejezetten fut, hogy hívja a STOP hibákat. A Crash illesztőprogram meghatározása után frissítenie kell, vagy eltávolítani kell a rendszert.

Annak érdekében, hogy a program megjelenítse a memóriamegényen található illesztőprogramok listáját a BSOD előfordulása során, meg kell mennie a menüelemre " Opciók."Kattintson a menüre" AlsóAblaktáblaMód."És válassza a" CSAK.Illesztőprogramok.Megtalált.BAN BEN.Kazal"(Vagy nyomja meg az F7 billentyűt), és válassza ki a megjelenítendő hiba képernyőjét" KékKépernyő.bAN BEN.XP.Stílus."(F8). Mit kell térni az összes illesztőprogram listájához, meg kell választania az elemet " Minden.Illesztőprogramok."(F6).

A Windows 8 rendszerben a Microsoft bevezetett egy új memória dumpot - automatikus memória dömping opciót. Ez a paraméter az operációs rendszerben alapértelmezés szerint van beállítva. A Windows 10 rendszerben új típusú dump fájlt adott meg - aktív memória dump. Azok számára, akik nem tudják, a Windows 7-ben van egy kis dump, dump kernel és egy teljes memória dump. Lehet, hogy meglepődve miért döntött a Microsoft úgy döntött, hogy létrehozza ezt az új memória dump paramétert? Robert Simpkins szerint egy vezető támogató mérnök, egy automatikus memória dump, amely támogatást nyújt a "System" oldalhoz a konfigurációs fájlban.
A Control File Configuration Management System felelős a lapozófájl méretének ellenőrzéséért - lehetővé teszi a lapozófájl szükségtelen tartalékának vagy méretének elkerülését. Ezt az opciót elsősorban az SSD lemezeken működő PC-khez vezetik be, amely szabályként kisebb méretű, de hatalmas mennyiségű RAM van.

Memória dump paraméterei

A fő előnye az „automatikus memória dump”, hogy ez lehetővé teszi az alrendszer ülésén a Process Manager automatikusan csökkenti a lapozófájl mérete kisebb, mint a RAM mérete. Azok számára, akik nem tudják, az alrendszer diszpécserének ülésszaka felelős a rendszer inicializálásáért, a szolgáltatások elindításáért és a felhasználói bejelentkezéshez szükséges folyamatokhoz. Ez alapvetően a fájloldalt virtuális memóriába állítja, és elindítja a winlogon.exe folyamatot.

Ha módosítani szeretné az automatikus memória dump paramétereit, így lehet elvégezni. Nyomja meg a Windows + X gombokat, és válassza ki a rendszert. Ezután kattintson a "Speciális rendszerbeállítások - Előleg. Rendszer. Beállítások”.

Kattintson a Speciális beállítások gombra.

Itt láthatja a legördülő menüt, ahol "emellett" van írva.

Itt kiválaszthatja a kívánt opciót. Javasolt lehetőségek:

Nincs memória lerakó.
Kis memória dump.
Kernel memória dump.
Teljes memória dump.
Automatikus memória dömping. Hozzáadva a Windows 8-ban.
Aktív memória dömping. Hozzáadódik a Windows 10-hez.
A memória dump fájl helye a% systemroot% \\ memory.dmp fájlban.

Ha SSD lemezt használ, akkor jobb, ha elhagyja az "automatikus memória dump" -t; De ha szükséged van egy sürgősségi dump fájlra, akkor jobb, ha egy "kis memóriameződömre" kell telepíteni, vele, ha azt szeretné, hogy küldje el valakinek, hogy meg tudja nézni őt.

Bizonyos esetekben előfordulhat, hogy növelnie kell a Paging fájl méretét, mint a RAM, hogy megfeleljen a teljes memória dumpnak. Ilyen esetekben létrehoznia kell a rendszerleíró kulcsot:

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CREETCONTROLSET \\ CONTROL \\ CrashControl

a "Lastcrashtime" -nek nevezik.

Ez automatikusan növeli a lapozófájl méretét. A csökkentéshez, később egyszerűen törölheti ezt a kulcsot.

A Windows 10 rendszerben egy új dump fájl aktív memória dump. Csak a leginkább szükséges, és ezért kisebb.

Nem tudom tesztelni, de létrehoztam ezt a kulcsot, és figyeltem a lapozófájl méretét. Tudom, hogy előbb-utóbb kritikus hibát kapok. Aztán megnézem.

Elemezheti a Windows.dmp fájl dump fájl segítségével whinkrashed. A WhoRocred Home Utility ingyenes, olyan illesztőprogramokat mutat be, amelyek egy kattintással beágyazottak a számítógépébe. A legtöbb esetben olyan kényelmetlen vezetőt határozhat meg, amely a szenvedést okozza a számítógépére. Ez a rendszerelemzés, a memória lerakók, és itt a teljes összegyűjtött információ megfizethető formában kerül bemutatásra.

Általános szabályként egy sor hibakeresési eszköz megnyit egy vészhelyzeti elemzést. Ezzel a segédprogrammal nem kell semmilyen tudás- és hibakeresési készségre, hogy megtudja, melyik illesztőprogram problémákat okoz a számítógépen.

Whsocreded a Microsoft hibakeresési csomagjára támaszkodik (WINDBG program). Ha ez a csomag nincs telepítve, akkor a Whulryed letölti és automatikusan eltávolítja ezt a csomagot az Ön számára. Csak futtassa a programot, és kattintson az elemzés gombra. Ha van egy whukrashed a rendszerbe, és ha hirtelen csökken, vagy bezárul, akkor a program megadja, hogy tudja, hogy a sürgősségi lerakás a számítógépen van-e, és javaslatokat fog adni, hogyan lehet engedélyezni.

A Windows egyik leggyakoribb újratöltése a rendszerkivételek, amelyeket a felhasználó "kék halálképernyő" formájában (BSOD) lát. Rendszerint ez a végzetes hiba történik, vagy a járművezetők, berendezések (gyakrabban az OS betöltésekor) vagy a vírusok és vírusok hatásának köszönhetően.

A halál kék képernyője olyan információkat tartalmaz, amelyek kivételt okozott (a 0x00007b típusú ütközési hibakód formájában), a memória címe, amikor elérjük a kivételt, és más hasznos információkat. Az ilyen információkat a stop hiba, amelynek változók a memóriacímek. Néha tartalmazza a kivételt okozó fájl nevét is.

Mindezek az információ a képernyőn nem hosszú (legfeljebb 100 másodpercig) elérhető, majd a számítógép újraindul. Ebben a rövid idő alatt létrejött egy memória dömping, amelyet a fájlba írt. Az egyik fontos szakmai módja a hibák diagnosztizálására - a memória dump elemzése, amelyet részletesen tárgyalunk ebben a cikkben.

Mi a dump

  • dump (Eng.) - Dour Bunch; lerak; lyuk; nyomornegyed.
  • dump (Memory Dump) - 1) Dump, a nyomtatás vagy a képernyő tartalmának kimenete; 2) RAM "pillanatfelvétel"; a dömping következtében kapott adatok; 3) Vészhelyzeti eltávolítás, leállítás, visszaállítás.
  • dömping - dömping, dump eltávolítása.

A memóriakártya mentéséhez szükséges beállítások a Windows rendszer rendszerleíró adatbázisában vannak tárolva.

Információ a Rendszer-nyilvántartás memóriájáról:

A Windows rendszerleíró részlegében a vészhelyzeti memória dumpot a következő paraméterek határozzák meg:

- REG_DWORD-paraméter Autoreboot 0 × 1 értékkel (opció A segédablak automatikus újraindításához A rendszer tulajdonságai párbeszédpanel letöltése és visszaállítása);

- REG_DWORD-paraméter CrashdumpEnled A 0 × 0 értékkel, ha a memóriakártya nincs létrehozva; 0 × 1 - teljes memória dump; 0 × 2 - A kernel memória dumpája; 0 × 3 - Kis memória dömp (64kb);

- REG_EXPAND_SZ-paraméter dömpefile alapértelmezett érték% Systemroot% \\ memory.dmp (Dump fájl tárolása);

- REG_DWORD paraméteres LogEvent alapértelmezett értéke 0 × 1 (írj egy eseményt a letöltési és hasznosítási rendszer log doboz);

- REG_EXPAND_SZ paraméteres MINIDUMPDIR az alapérték% Systemroot% \\ minidump (opció Kis Billenő mappaablak betöltése és restaurálása);

- REG_DWORD paraméter felülírja az alapértelmezett értéket 0 × 1 (opció helyett egy meglévő dump fájl ablak betöltése és helyreállítása);

- REG_DWORD-paraméter Sendalert alapértelmezett értékkel 0 × 1 (opció küldése adminisztrációs értesítési ablak letöltése és visszaállítása).

A rendszer létrehozása sürgősségi dump fájlt hoz létre

A rendszerindítás során az operációs rendszer ellenőrzi a paramétereket a rendszerleíró adatbázisban lévő vészhelyzeti lerakás létrehozásához. Ha legalább egy paraméter van megadva, akkor a rendszer létrehoz egy lemezblokkot a Paging fájlban a csomagtartó hangerején, és megmenti a memóriában. A rendszer azt is meghatározza, hogy mely merevlemez meghajtó vezérli a csomagtartó térfogata, kiszámítja az ellenőrző összegeket a vezető képet a memóriában, és adatszerkezetek egésznek kell lennie, hogy a vezető, hogy végre egy input / output műveletet.

A rendszermag meghibásodása után a rendszer ellenőrzi az oldalfájl-térkép, a lemezmeghajtó és a lemezmeghajtó vezérlőképességének integritását. Ha ezeknek a struktúráknak az integritását nem törik meg, akkor a rendszer magja a lemezmeghajtó speciális I / O funkcióit okozza, amelyet a rendszer meghibásodása után mentheti el a memóriakép mentését. Ezek az I / O funkciók önellátóak, és nem támaszkodnak a rendszermag rendszerére, mivel a vészhelyzeti lerakás rögzítéséért felelős programokban nem lehet olyan feltételezéseket tenni, amelyekről a rendszermag vagy az eszköz-illesztőprogramok a kudarc során megsérültek . A rendszer kernel rögzíti az adatokat a Paging fájlszektor memóriájából (ebben az esetben nem kell használnia a fájlrendszer illesztőprogramjait).

Először is, a rendszer kernel ellenőrzi az egyes komponensek állapotát a dump mentésének folyamatában. Ez történik annak érdekében, hogy közvetlenül írjon a lemezszektoroknak, hogy károsítsák az oldalfájlon kívüli adatokat. Az oldal mérete fájlt kell 1MB több, mint a méret a fizikai memória, mert amikor felvételi információ a lerakó, a fejléc létrehozása, ahol a riasztás lerakó aláírás és az értéke több a legfontosabb változók a rendszer kernel létrejöttek. A cím kevesebb, mint 1 MB, de az operációs rendszer növelheti (vagy csökkentheti) a lapozófájl méretét nem kevesebb, mint 1 MB.

Betöltése után a Session Manager (Windows NT munkamenet-kezelő; lemez cím - \\ Windows \\ System32 \\ Smss.exe) inicializálja a rendszert oldalt fájlokat a NTCreatePagingFile saját funkciója, hogy hozzon létre minden fájlt. Az NTCreatePagingfile meghatározza, hogy létezik-e az inicializált oldalfájl, és ha igen, akkor van egy billentyűzet fejléc. Ha van egy fejléc, akkor az NTCreatePagingfile speciális kódot küld a munkamenet-kezelőben. Ezután a Session Manager elindítja a Winlogon folyamatot (bejelentkezési program a Windows NT; lemezcím - \\ Windows \\ system32 \\ winlogon.exe), amelyet értesítenek a vészhelyzet létezéséről. A WinLogon elindítja a Savedump (Windows NT memória másolási programot, a lemezcímet - \\ Windows \\ system32 \\ satedump.exe), amely elemzi a dump fejlécét, és további intézkedéseket határoz meg vészhelyzetben.

Ha a cím utal a létezésére egy szeméttelep, a Savedump átmásolja az adatokat a lapozófájl a sürgősségi memóriaképfájlt, melynek nevét határozza REG_EXPAND_SZ paraméter DumpFile részén a rendszerleíró adatbázist. Míg a SAVEDUMP újraírja a dump fájlt, az operációs rendszer nem használja a vészlapot tartalmazó oldalfájl részét. Jelenleg a rendszer és az alkalmazások számára rendelkezésre álló virtuális memória mennyisége csökken a dump méretére (lehet üzenetek, amelyek jelzik a virtuális memória hiányát a képernyőn). A SAVEDUMP informálja a memória menedzser befejezéséről a kiírási megtakarítás, és elengedi a részét a lapozófájl, amely a lerakó tároljuk általános használatra.

A dump fájl mentése, a Savedump program rekordot tesz az eseménynapló rendszerbe történő vészhelyzeti lerakás létrehozásáról, például: "A számítógép újraindításra került egy kritikus hiba után: 0x100000d1 (0x84d90a6, 0 × 00000010, 0 × 00000000, 0xc84d90a6) . A memória másolata mentésre kerül: C: Windows \\ minidump \\ mini060309-01.dmp. "

Ha a Küldés adminisztrációs riasztási opció engedélyezve van, a Savedump elküldi az adminisztrátori figyelmeztetést.

A lerakók fajtái

  • Teljes memória dump Rögzíti a rendszer memóriájának összes tartalmát, ha indokolatlan hiba történik. Ehhez az opcióhoz meg kell adnia egy lapozófájlt a rendszerindító hangerején, amelynek mérete megegyezik a teljes fizikai memória és az 1 MB térfogatával. Alapértelmezés szerint a teljes memória dump a% Systemroot% \\ memory.dmp fájlban van rögzítve. Amikor egy új hiba történik, és létrehoz egy új fájlt, amely tele van memória dump (vagy a kernel), az előző fájl cserélhető (felülírva). A teljes memória dump paraméter nem érhető el a számítógépen, amelynek 32 bites operációs rendszere és 2 vagy több gigabájt RAM.

Ha új hiba lép fel és új teljes dump fájl létrehozása, az előző fájl cseréje.

  • Nukleáris memória dumpcsak a kernel memóriáját rögzíti, hogy a rendszer hirtelen leállításával a naplóba való felvételi folyamat gyorsabban haladjon. A PC fizikai memória térfogatától függően ebben az esetben a Paging fájl 50-800 MB vagy egyharmada a számítógép fizikai memóriáját a rendszerindító hangerején. Alapértelmezés szerint a kernel memória dump a% systemroot% \\ memory.dmp fájlban van rögzítve.

Ez a dump nem tartalmazza a fel nem osztott memóriát vagy memóriát a felhasználói üzemmód programokhoz. Ez magában foglalja a kizárólag lefoglalt memóriát a kernel és a hardver-függő (HAL) a Windows 2000 és újabb verziói a rendszer, valamint a memória mennyiségét a kernel módú illesztőprogramok és más kernel módú programokat. A legtöbb esetben egy ilyen dump a legelőnyösebb lehetőség. Sokkal kevesebb helyet foglal el a teljes memória dumphoz képest, miközben kizárja a memória e szektorát, amelyek valószínűleg nem kapcsolódnak a hibához.
Amikor új hiba történik, és létrehoz egy új rendszermag memória dump fájlt, az előző fájl cseréje.

  • Kis memória dump Nyilvántartja a legkisebb hasznos információkat a problémák okainak meghatározásához. Egy kis memóriamező létrehozásához szükséges, hogy a lapozófájl mérete legalább 2 MB-ot tartalmazza a rendszerindító mennyiségen.

A kis memóriakártya-fájlok a következő információkat tartalmazzák:

  • Üzenetet egy halvány hiba, paraméterei és egyéb adatai;
  • a letöltött illesztőprogramok listája;
  • processzor kontextus (PRCB), amely nem sikerült;
  • információkat a folyamatról és a kernel kontextusról (eProcess) a hiba miatt;
  • információ a folyamatról és a kernel kontextusáról (Etreread) a hibát okozó áramlásra;
  • hívja a veremet a kernel módban a hiba által okozott áramra.

A kis dump fájl korlátozott merevlemez-területet használ. Azonban az e fájl elemzésének eredményeképpen azonban nem mindig lehetséges olyan hibák észlelése, amelyeket közvetlenül az előfordulási időpontjában végrehajtott áram okozta.

Ha a következő hiba történik, és létrehozza a második kis dump fájlt, az előző fájl mentésre kerül. Minden további fájl egyedi nevet kap. A dátumot a fájlnév kódolja. Például a Mini051509-01.dmp a 2009. május 15-én létrehozott első memória dump fájl. Az összes kis memóriás dump fájl listája a mappában van tárolva % Systemroot% \\ minidump.

A Windows XP operációs rendszer kétségtelenül megbízhatóbb, mint a korábbi verziók, mind a Microsoft-fejlesztők, mind a hardver illesztőprogramok és az alkalmazás szoftverfejlesztők erőfeszítéseinek köszönhetően. Azonban vészhelyzetben mindenféle kudarcok és collafts a rendszer - elkerülhetetlen, és attól, hogy a PC-felhasználó tulajdonában ismeretek és készségek azok megszüntetésére függ, akkor meg kell tölteni néhány percet elhárítása hibajelenség (például a frissítés / debug vezető vagy újratelepítése alkalmazott programok okozott a rendszerben hiba) - vagy néhány óra újratelepíteni / configure az operációs rendszer és szoftver (amely nem garantálja a hiánya kudarcok és nyakörvek a jövőben!).

Sok rendszergazda továbbra is elhanyagolja a Windows riasztási lerakókat, úgy véli, hogy túl nehéz dolgozni velük. Nehéz, de akkor is: akkor is, ha például a tízből származó dump elemzése sikeres lesz, - a sürgősségi lerakók elemzésének legegyszerűbb módszereinek fejlesztésére költött erőfeszítések nem hiábavalóak ..

Példákat adok a "sysadmin" gyakorlatából.

A helyi hálózatban nincs látható ok ("vas" sorrendben, nincs garantált vírusok, a felhasználók - "normál kezek") "POLEG" több munkaállomás a Windows XP SP1 / SP2 "fedélzeten". Számítógépek betöltve normál módban nem sikerült - újraindul a „üdvözlet” - és újraindítás a végtelenségig. Ugyanakkor, biztonságos PC üzemmódban betöltve.

A memóriakártyák tanulmányozása lehetővé tette a hiba okának azonosítását: a bűnösnek kiderült, hogy Kaspersky Anti-Virus, pontosabban, friss víruskereső bázisok (ha pontosabban, akkor két adatbázis modul - base372c.avc, base032c.avc ).

... még mindig ilyen eset volt. A helyi számítógépen a Windows XP SP3-val, ha megpróbálja megnyitni a videofájlokat. Formátum .avi and.mpeg újraindul. A memória dump tanulmányozása lehetővé tette a hiba okának azonosítását - az NVIDIA GeForce 6600 videokártya-illesztőprogram Nv4_disp.dll fájlja. Az illesztőprogram frissítése után a hiba megszűnt. Általánosságban elmondható, hogy az NV4_DISP.DLL illesztőprogram az egyik leginkább instabilabb illesztőprogram, amely gyakran BSOD-hez vezetett.

Mindkét esetben a vészhelyzeti memória dump tanulmányozása lehetővé tette a minimalizálás (néhány perc!), Hogy csökkentse az időt a diagnosztizálás és a hibaelhárításhoz.

Memória dump analízis

Számos program létezik a vészhelyzeti memóriakártyák elemzésére, például Dumpchk, Kanalyze, WINDBG.

Tekintsük az elemzés memória riasztás guba a WinDbg program keretében (hibakereső Tools for Windows).

A hibakeresési alapok telepítése

  • látogasson el a http://www.microsoft.com/whdc/devtools/debugging/default.mspx Microsoft Corporation webhelyére;
  • töltse le a hibakeresési eszközöket a Windows rendszerhez, például a Windows 32 bites verziójához, ez a Windows oldal hibakeresési eszközeinek letöltése;
  • a letöltés után indítsa el a telepítőfájlt;
  • a Windows Setup varázsló hibakeresési eszközeiben kattintson a Tovább gombra;
  • a Licencszerződés ablakban állítsa be az Elfogadom -\u003e Következő kapcsoló;
  • a következő ablakban válassza ki a telepítési típust (alapértelmezett hibakeresési eszközök telepítve vannak a Windows mappa hibakeresési eszközeibe) -\u003e Következő -\u003e Telepítés -\u003e Befejezés;
  • az eredmények értelmezéséhez memóriaképfájljainak, akkor is le kell tölteni a karakter csomagokat (Symbol Csomagok, az úgynevezett karakter fájlokat, vagy hibát fájlok) a Windows-verzió - Ugrás az oldal letöltése a Windows Symbol csomagok;
  • válassza ki a Windows verzióját, töltse le és futtassa a szimbólumcsomag telepítési fájlt;
  • a Licencszerződés ablakban kattintson az Igen gombra;
  • a következő ablakban válasszon ki egy mappát a telepítéshez (az alapértelmezett értéket \\ Windows \\ szimbólumokat kínálja) -\u003e OK -\u003e Igen;
  • a Microsoft Windows Symbols ablakban a telepítés befejeződött, kattintson az OK gombra.

A WINDBG program használata a vészhelyzeti memóriakártyák elemzéséhez

  • run windbg (alapértelmezés szerint telepítve van a \\ Program Files \\ hibakereső eszközök Windows mappa);
  • válassza a Fájl -\u003e Symbol File Path menü ...
  • a Symbol Search Path ablakban kattintson a Tallózás gombra ...;
  • a Mappa áttekintése ablakban adja meg a szimbólumok mappájának helyét (alapértelmezett - \\ Windows \\ szimbólumok) -\u003e OK -\u003e OK;
  • válassza ki a Fájl menüt -\u003e Nyissa meg a Crash Dump ... (vagy nyomja meg a Ctrl + D gombot);
  • a Megnyitás Crash Dump ablakban adja a helyét a Crash Dump fájl (* .dmp) -\u003e Open;
  • a munkaterület ablakban a "Munkahelyi információk mentése?", Ellenőrizze a don "t újra -\u003e nem;
  • a Program Dump ablak megnyílik a Windbg ablakban<путь_и_имя_файла_дампа> a dumpanalízis;
  • tekintse át a memória dump elemzését;
  • a "Bugcheck analízis" szakaszban az összeomlás esetleges oka lesz, például "valószínűleg okozza: smwdm.sys (SMWDM + 454D5)";
  • a részletes információk megtekintéséhez kattintson a "! Elemzés -v" linkre a "Használat! Elemzése -Valízisével, hogy részletes hibakeresési információt kapjon" sorba;
  • szoros szélpont;
  • használja a kapott információkat a hiba okának kiküszöböléséhez.

Például a következő képernyőképen a hiba oka a videokártya-illesztőprogram nv4_disp.dll fájlja.

A Windows rendszerben az ablakok gyakran előfordulnak hibák, még a "tiszta" rendszer esetében is. Ha a szokásos programhibák megoldhatók (megjelenik egy üzenet a hiányzó összetevőről), akkor a helyes kritikus hibák sokkal bonyolultabbak lesznek.

Mi a memória dömping a Windows rendszerben

A rendszerrel kapcsolatos problémák megoldásához a vészhelyzeti memória dumpot általában használják - ez egy kép Alkatrészek vagy teljes mennyiségű RAM és elhelyezve nem illékony közeg (merevlemez). Más szóval, a RAM tartalma teljesen vagy részben másolódik a médiához, és a felhasználó elemezheti a memória dumpot.

Számos típusú memória lerakás létezik:

Kis dump (Kis memóriakép) - Menti a minimális mennyiségű RAM-mal, ahol információt a kritikus hibák (BSOD) és alkatrészek a már letöltött a rendszer működése során, például driver, programok. Minidump A C: \\ Windows \\ minidump út mentén tárolva.

Teljes dump (Teljes memória dömping) - A RAM teljes mennyisége megmarad. Ez azt jelenti, hogy a fájlméret megegyezik a RAM mennyiségével. Ha kevés hely van a lemezen, akkor problémás lesz, például 32 GB. Vannak még problémák létrehozásával memóriaképfájlba több mint 4 GB. Ezt a fajt nagyon ritkán használják. A C: \\ Windows \\ memory.dmp útvonal mentén tárolva.

Lerak memória mag - Csak a rendszermaggal kapcsolatos információk mentésre kerülnek.

Ha a felhasználó hibás elemzést eredményez, elegendő csak minidamp (kis dump) használni. De korábban be kell kapcsolni, különben nem fogja felismerni a problémát. A baleset hatékonyabb kimutatására is. A memória teljes képének használata előnyös.

Információ a rendszerleíró adatbázisban

Ha megnézed a Windows rendszerleíró adatbázisát, felismerheti a hasznos pillanatfelvétel beállításait. Kattintson a Win + R gombok kombinációjára, írja be a parancsot regedit. és nyissa meg a következő ágakat:

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CREETCONTROLSET \\ CONTROL \\ CrashControl

Ebben a fiókban a felhasználó észleli a következő paramétereket:

  • AutoreBoot. - Az újraindítás aktiválása vagy letiltása a kék halál képernyő (BSOD) létrehozása után.
  • Dömphile - A dumpok és a helyek típusainak neve.
  • CrashdumpEnabled. - a létrehozott fájl száma, például a 0 szám - a dump nem jött létre; 1 - teljes dump létrehozása; 2 - Nucleus dump létrehozása; 3 - Kis dump létrehozása.
  • Dumpfilters. - A paraméter lehetővé teszi, hogy új funkciókat adjon hozzá egy kép létrehozása előtt. Például fájl titkosítás.
  • Minidumpdir - Egy kis dump és annak helyének neve.
  • Logevent. - Aktiválja a rekordot a rendszernaplóban.
  • Minidumppscount - Kérje meg a létrehozott kis lerakók számát. (Ezen összeg meghaladja a régi fájlokat, és cserélje ki őket).
  • Átír. - Teljes dump vagy szisztémás funkció. Új pillanatkép létrehozásakor az előzőt mindig újnak kell cserélni.
  • Dediceddumpfile - Alternatív képfájl létrehozása és az útvonal jelzése.
  • IgnorePageFilesize - A kép átmeneti rendezése, a lapozófájl használata nélkül.

Hogyan működik

Ha hiba lép fel, a rendszer teljesen leállítja a munkáját, és ha a lerakók létrehozása aktívan van, akkor a lemezre helyezett fájl rögzítésre kerül információ a problémáról. Ha valami történt a fizikai összetevőkkel, akkor a vészhelyzeti kód működik, és a vasaló, amely meghibásodást hajtott végre, megváltoztatja a képet, ami szükségszerűen befolyásolja a képet.

Jellemzően a fájl mentése a merevlemez blokk szentelt a BSOD fájlt, miután a BSOD jelenik meg, a fájl felülírja az állásponton van, hogy a felhasználó maga lett állítva (kicsi, teljes vagy billenő kernel). Bár a modern operációs rendszerben a részvételi fájl nem feltétlenül.

A lerakók bekapcsolása

BAN BEN Windows 7.:

BAN BEN Windows 8 és 10:

Itt a folyamat egy kicsit olyan, mint egy kis, a tájékoztatás a rendszer akkor kap, mint a Windows 7. A „tucat” határozottan nyitott " Ez a számítógép", Kattintson a jobb oldal jobb egérgombbal, és válassza a" Tulajdonságok" Különböző módon átjuthat a kezelőpanelen.

A második lehetőség Windows 10.:


Meg kell jegyezni, hogy az új elemek megjelentek a Windows 10 új verzióiban, amelyek nem voltak a "Seven":

  • Kis dump Memória 256 KB - Minimális adatok a kudarcon.
  • Aktív dump - Megjelent a rendszer tizedik verziójában, és csak a számítógép aktív memóriáját, a rendszer magokat és a felhasználót takarít meg. Javasoljuk a szervereken.

A dump eltávolítása

Elég ahhoz, hogy menjen a könyvtárba, ahol a memóriatestek tárolódnak, és egyszerűen eltávolítják őket. De van egy másik módja annak, hogy törölje - használja a lemez tisztítását:

Ha nincs elem, akkor talán a lerakók nem tartoztak.

Még ha egyszer is bevonta őket, néhány használt rendszer optimalizálási segédprogramok könnyen tiltsa le néhány funkciót. Gyakran sok mindent kikapcsol az SSD meghajtók használatakor, mivel a többszörös olvasási és rekord eljárások nagyon ártalmasak a lemez egészségére.

Memória dump analízis windbg

Töltse le a hivatalos Microsoft webhelyét a 2. lépésben, ahol leírja " TelepítésWDK."- https://docs.microsoft.com/en-us/windows-hardware/driszterek/download-the-wdk.

A programhoz való munkához még mindig szükség van egy speciális hibakeresési csomagolásra. Ez az úgynevezett Hibakeresési szimbólumok., mielőtt letölthető a Microsoft weboldaláról, de most elhagyták ezt az ötletet, és a fájlfájl funkciót kell használniuk - " Szimbólumfájlpálya.", Hol írja be a következő sort, és kattintson az OK gombra:

set _nt_symbol_path \u003d srv * downstreamstore * https: //msdl.microsoft.com/download/symbols

Ha nem dolgoztam, próbáld ki ezt a parancsot:

SRV *% Systemroot% \\ Symbols * http: //msdl.microsoft.com/download/symbols

Nyomja meg újra a "Fájl" elemet, és válassza ki a "Munkaterület mentése" opciót.

A segédprogram konfigurálva van. Továbbra is meg kell adnia a memóriakártya-fájlok elérési útját. Ehhez kattintson a Fájl gombra, és kattintson az Opció gombra " O.toll.Összeomlik.Lerak" Az összes lerakás elhelyezkedése a cikk elején jelenik meg.

A kiválasztás után az elemzés befejeződik, és a probléma komponense automatikusan kiemelhető. Ha több információt szeretne szerezni ugyanabban az ablakban, megadhat egy ilyen parancsot: ! Elemezze -v.

Elemzés bluescreenview

Az eszközt ingyen letöltheti az oldalról - http://www.nirsoft.net/utils/blue_screen_view.html. A telepítés nem igényel semmilyen készséget. Csak a Windows 7 és a fenti.

Futtassa és konfigurálja. Kattintson a "Beállítások" (Opciók) gombra. Extra lehetőségek"(Haladó beállítások). Válassza ki az első elemet " Letöltés Minidamps Ebből a mappából"És adja meg a katalógust - C: Windows \\ minidump. Bár egyszerűen kattintson az "Alapértelmezett" gombra. Kattintson az OK gombra.

A dump fájloknak megjelennek a főablakban. Olyan lehet, mint egy és néhány. Nyissa ki, elég ahhoz, hogy nyomja meg.

Az ablak alsó részén megjelenik a kudarc időpontjában részt vevő komponensek. A piros szín kiemeli a baleset bűncselekményét.

Most kattintson a "Fájl" gombra, és válasszon például az elemet " Keresse meg.onGA hibakód + vezető" Ha megtalálta a kívánt illesztőprogramot, telepítse és indítsa újra a számítógépet. Talán a hiba eltűnik.



Tetszett a cikket? Oszd meg
Ajánlott cikkek a témában
A Flash Player miért nem működik, és hibaelhárításA Flash Player miért nem működik, és hibaelhárítás
Maga a laptop kikapcsol, mit kell tennie?Maga a laptop kikapcsol, mit kell tennie?
HP Pavilion DV6: Jellemzők és véleményekHP Pavilion DV6: Jellemzők és vélemények
A látogatók most beszélnek
Formázási pont ábrázolása lebegőpontos számok Hogyan tárolják a negatív számokat a számítógép memóriájábanFormázási pont ábrázolása lebegőpontos számok Hogyan tárolják a negatív számokat a számítógép memóriájában Asus
Számítógépes krumplit, és nem kapcsolja be, mit tegyen?Számítógépes krumplit, és nem kapcsolja be, mit tegyen? D-link
Miért nem működik az egér egy laptopon vagy egéren?Miért nem működik az egér egy laptopon vagy egéren? Android
Hogyan lehet növelni vagy csökkenteni az oldal méretét (betűtípus) az osztálytársakban?Hogyan lehet növelni vagy csökkenteni az oldal méretét (betűtípus) az osztálytársakban? Problémák