Contacte
principalul

Ce este un fișier de depozitare. Ce este o dump memorie? ANALIZA DE BAZĂ DAPS utilizând depanatorul Microsoft Kernel

La fixați un ecran albastru Este necesar să se identifice motivul apariției sale. Pentru a face acest lucru, trebuie să analizați fișierul de urgență al dumpului de memorie. O analiză a dumpului de urgență poate fi efectuată în diferite moduri. Vorbește doar despre acest articol.

În articolul precedent de pe site, am scris deja despre motivele care au mai adesea la un ecran albastru de moarte. A arătat, de asemenea, cum să configurați în mod corespunzător crearea de halde de memorie de urgență și a spus unde sunt cele mai stocate dosarul dampa.. Melm a atins faptul că pe codul de oprire și în funcție de informațiile din dumpul de fișiere, puteți face posibilă mai precis motivul pentru a da motivul BSOD..
Rămâne să înveți cum și cu ceea ce puteți analiza informațiile din dumpul de fișiere. Luați în considerare mai multe modalități de includere ca instrument de analiză de la dezvoltatorii de Windows și instrumentele terțe.

Fișier de analiză a depozitelor utilizând depanatorul Microsoft Kernel.

Microsoft Kernel Debugger. - Utilitate specială pentru analizarea haldelor de accident. Descărcați utilitarul în sine, precum și componentele de care aveți nevoie de pe site-ul necesar funcționării sale. Microsoft. - Instrumente de depanare. Versiunea pachetului. Instrumente de depanare pentru ferestre Trebuie să corespundă descărcarea sistemului de operare. Despre unde și cum să descărcați acest utilitar a scris.
Împreună cu debuggerul în sine, trebuie să descărcați un set de caractere de depanare - simboluri de depanare. Un set de caractere este de asemenea variat pentru fiecare versiune de Windows, inclusiv și responsabilă. Astfel, pentru Windows 7 de 32 de biți, trebuie să descărcați un pachet de caractere Windows 7 x32., și pentru setul de caractere de pe 64 de biți Windows 7 x64.. În același mod, trebuie să alegeți un set de caractere și pentru alte versiuni de ferestre (văduve 10, XP etc.). Setul dorit de caractere poate fi descărcat și în depanarea însăși, dar despre el mai jos.
După instalarea utilitarului și a setului de caractere de depanare, puteți rula depanarea în sine. După pornire, trebuie să specificați calea de depanare a caracterelor în setările sale. Pentru aceasta:
Faceți clic pe butonul de fișier ⇒ Calea de fișier simbol ...
Apoi, faceți clic pe butonul Răsfoiți și specificați dosarul în care este salvat setul de caractere.
Puteți descărca noua versiune de caractere utilizând utilitatea în sine. Pentru a face acest lucru, în câmpul de fișiere ⇒ simbol calea fișierului ... Enter:
SRV * C: \\ simboluri * http: //msdl.microsoft.com/download/symbols

Apoi, faceți clic pe FILE ⇒ Salvați spațiul de lucru și apoi faceți clic pe OK.
Astfel, utilitatea va solicita informații despre debugarea caracterelor prin intermediul internetului direct de pe serverul Microsoft.
Pentru a continua cu analiza, faceți clic pe Fișier\u003e Deschidere Crash Dump ... și specificați fișierul de memorie de memorie dorit (memorie mică).
Sistemul va efectua o analiză a dumpului, iar rezultatele vor da o posibilă cauză a erorii.

Făcând clic pe hyperlink ! Analyze-V Se deschide o informație mai avansată de eroare.
Puteți completa Debug utilizând elementul de meniu Debug. > Opriți depanarea..

Analiza fișierului de depozit cu BluesCreenView

Bluescreenview. Acesta este un utilitar gratuit pentru analizarea unei mici date de memorie de urgență. Acest utilitar are sprijinul limbii rusești. Principalul plus al acestui program este că nu este nevoie să descărcați caractere de depanare. Acest lucru face ca acest utilitar să fie complet autonom și independent. Un alt plus al acestui program este prezența unei versiuni portabile, adică versiuni care nu trebuie instalate în sistem. Autorul programului este Mai jos.. Puteți descărca C. site-ul oficial al autorului. Versiunea portabilă a programului poate fi descărcată prin referință pe pagina oficială, în titlu, în paranteze indicate în fișierul zip..
La descărcarea, este important să luați în considerare descărcarea sistemului de operare.
Siguranțele de mai jos. Puteți descărca fișierul Russificare - Bluesscreenview_lng.ini, pe care trebuie doar să aruncați în dosarul cu programul în sine. Am pregătit un program pentru a descărca programul cu limba deja reglată. Aici sunt link-uri directe:

Și acum direct despre procedura de analiză.

Cum se analizează un fișier de depozit cu BluesCreenView?

După pornire, programul scanează imediat directorul de stocare a fișierelor de depozit standard -% Systemroot% \\ minidump. Directorul poate fi modificat în parametrii suplimentari ai programului. Interfața ferestrei programului poate fi împărțită condiționat în 3 zone:

  • Butoane de meniu de top din zona
  • Zona medie cu o listă de fișiere de depozit
  • Zona inferioară cu lista de șoferi


Datele de analiză sunt afișate într-o formă tabară. Listăm cele mai importante din coloanele din zona mijlocie a ferestrei programului (în paranteze Numele de la versiunea în limba engleză):

  • Eroare text (șir de verificare a bug-ului). O descriere a erorii este afișată aici în funcție de clasificarea Microsoft. În exemplul nostru, este driver_irql_not_less_or_equal.
  • Codul de eroare (codul de verificare a erorilor). STOP Codul de eroare este afișat - 0x000000D1
  • Cauzate de șofer). Afișează numele șoferului sau modulul, care a provocat cel mai probabil o eroare. Observați, acesta este un permis de bug de 100%, dar numai probabil. În exemplul nostru, este e1g6032e.sys
  • Cauzate de adresa). Afișează driver imediat după adresa instrucțiunilor care au cauzat eșecul. Il avem E1G6032E.SYS + 9EF530 / LI\u003e
  • Adresa de accident (adresa de crash). Adresa pentru care sa întâmplat o eroare. În cazul nostru, Ntoskrnl.exe + 1509A0.

Acum enumeră cele mai importante coloane din zona inferioară:

  • Numele fișierului (numele fișierului). Indică numele driverului sau al modulului
  • Adresa în stack (adresa în stack). Adresa de memorie a șoferului din stiva de memorie este afișată.
  • Descrierea fișierului (descrierea fișierului).
  • Versiunea fișierului (versiunea fișierului). Versiunea versiunii șoferului este afișată.

Pentru a analiza, selectați fișierul de depozit dorit din zona mijlocie a ferestrei Utility. La evidențierea zonei inferioare sunt imediat umplute cu date. Ne uităm la datele de masă din coloanele principale pe care le-am adus mai sus. În zona inferioară a ferestrei, driverele sau modulele probabile ale problemelor sunt evidențiate în roșu. Rareori, există cazuri în care șoferul nu este sursa erorilor BSOD atunci când este specificată de program în zona mijlocie a ferestrei. În astfel de cazuri, printre acțiunile distincte evidențiate mai jos, este probabil o adevărată sursă a ecranului albastru al morții. În cazul meu, este: e1g6032e.sys și ntoskrnl.exe. Apropo, ambele sunt cauze destul de frecvente ale BSOD.
În cazul în care sursele găsite de program, nu spuneți nimic despre program, puteți introduce numele driverelor de probleme în motorul de căutare și le veți găsi cu siguranță cum să le depășiți.
Pentru a determina mai precis driverele și modulele problematice, puteți utiliza mai multe modalități de analiză. Din fericire, în acest articol am dezasamblat cele două cele mai populare. Aveți grijă la publicații și va fi un alt articol despre analiza haldelor.

Toate sistemele Windows Când este detectată o eroare fatală, faceți o depmortă de dezastru (instantaneu) a conținutului RAM și o salvează pe hard disk. Există trei tipuri de memorie:

O memorie completă - salvează tot conținutul RAM. Dimensiunea instantaneului este egală cu dimensiunea RAM + 1 MB (antet). Este folosit foarte rar, ca în sistemele cu o cantitate mare de memorie, dimensiunea dumpului va fi prea mare.

Dumpul de memorie kernel salvează informațiile RAM numai în modul kernel. Informațiile privind regimul utilizatorului nu sunt salvate, deoarece nu transportă informații despre cauza colapsului sistemului. Volumul fișierului de depozitare depinde de dimensiunea memoriei RAM și variază de la 50 MB (pentru sisteme cu RAM de 128 MB) la 800 MB (pentru sisteme cu 8 GB de memorie RAM).

Dump mic de memorie (Mini Dump) - conține o cantitate destul de mică de informații: Codul de eroare cu parametrii, o listă de drivere încărcate în memoria RAM în momentul prăbușirii sistemului etc., dar aceste informații sunt suficiente pentru a determina driverul de defectare. Un alt avantaj al acestui tip de depozit este o dimensiune mică a fișierului.

Configurarea sistemului

Pentru a identifica șoferul care ne-a provocat suficient, va folosi o mică cantitate de memorie. Pentru ca sistemul să salveze mini-ul cu accidentul, trebuie să efectuați următorii pași:

Pentru Windows XP. Pentru Windows 7.
  1. Calculatorul meu Proprietăți
  2. Du-te la fila În plus;
  3. Parametri;
  4. În câmpul Scrierea informațiilor de depanare Alege Dump mic de memorie (64 kb).
  1. Faceți clic dreapta pe pictograma Un calculatordin meniul contextual, selectați Proprietăți(sau combinație de taste de win + pauză);
  2. În meniul din stânga, faceți clic pe element Parametri suplimentari ai sistemului;
  3. Du-te la fila În plus;
  4. În câmpul de descărcare și recuperare, trebuie să faceți clic pe Parametri;
  5. În câmpul Scrierea informațiilor de depanare Alege Dump mic de memorie (128 kb).

După ce a făcut toate manipulările, după fiecare BSOD în dosarul C: \\ Windows \\ Minidump va fi salvat cu extensia .dmp. Vă sfătuiesc să vă familiarizați cu materialul "". De asemenea, puteți instala o bifare " Înlocuiți un fișier de depozitare existent". În acest caz, fiecare depozit de urgență nouă va fi înregistrat pe partea de sus a vechiului. Nu vă sfătuiesc să includeți această opțiune.

Analiza depozitului de memorie de urgență utilizând programul BluesCreenView

Deci, după ecranul albastru al morții, sistemul a păstrat o nouă haldă de memorie de urgență. Pentru a analiza dumpul, recomand să utilizați programul BluescreenView. Poate fi descărcat gratuit. Programul este destul de convenabil și are o interfață intuitivă. După instalarea acesteia, primul lucru pe care trebuie să-l faceți este să specificați locul de stocare a haldelor de memorie în sistem. Pentru a face acest lucru, mergeți la elementul de meniu " Opțiuni."Și alegeți" AvansatOpțiuni.". Alegeți un buton radio " Sarcină.din.al lorca urmare a.Mini Dump.pliant."Și specificați folderul în care sunt stocate haldele. Dacă fișierele sunt stocate în dosarul C: \\ Windows \\ minidump, puteți apăsa butonul " Mod implicit.". Faceți clic pe OK și intrați în interfața programului.

Programul este alcătuit din trei blocuri principale:

  1. Unitatea de meniu principală și panoul de control;
  2. Blocul listei de haldele de memorie de urgență;
  3. În funcție de parametrii selectați pot conține:
  • o listă a tuturor driverelor în memoria RAM până când apare ecranul albastru (implicit);
  • lista driverelor situate într-un teanc de memorie RAM;
  • bSOD SCRESSHOT;
  • Și alte semnificații pe care nu le vom folosi.

În lista de memorie de memorie (în figura marcată 2), selectați dumpul de noi și uitați-vă la lista de șofer care au fost descărcate în memoria RAM (în figura marcată cu un număr 3). Culorile roz au pictat driverele care se aflau în stack-ul de memorie. Acestea sunt motivul pentru apariția BSOD. Apoi, accesați meniul principal al driverului, definiți la ce dispozitiv sau program aparțin. În primul rând, acordați atenție fișierelor non-sistem, deoarece fișierele de sistem sunt în orice caz încărcate în memoria RAM. Este ușor de înțeles că driverul eșuat este MyFault.sys. Voi spune că acest program a alergat în mod specific pentru a apela erori de oprire. După determinarea driverului de accident, trebuie să îl actualizați sau să eliminați din sistem.

Pentru ca programul să arate o listă de drivere situate în stack-ul de memorie în timpul apariției BSOD, trebuie să mergeți la elementul de meniu " Opțiuni."Faceți clic pe meniu" InferiorPanou.Mod."Și alegeți" NUMAI.Drivere.Găsite.ÎN.Grămadă"(Sau apăsați tasta F7) și selectați ecranul de eroare pentru a afișa" AlbastruEcran.ÎN.XP.Stil."(F8). Ce să reveniți la lista tuturor driverelor, trebuie să alegeți elementul " Toate.Drivere."(F6).

În Windows 8, Microsoft a introdus o nouă depozit de memorie - o opțiune de memorie automată. Acest parametru din sistemul de operare este setat în mod implicit. În Windows 10, a intrat într-un nou tip de fișier de depozit - o memorie activă. Pentru cei care nu știu, în Windows 7 avem un mic dump, kernel de dump și o memorie completă. S-ar putea să fiți surprins de ce Microsoft a decis să creeze acest nou parametru de memorie de memorie? Potrivit lui Robert Simpkins, un inginer de susținere senior, o memorie automată, poate crea suport pentru pagina "System" din fișierul de configurare.
Sistemul de management al configurației fișierului de control este responsabil pentru controlul dimensiunii fișierului de paginare - vă permite să evitați rezerva sau dimensiunile inutile ale fișierului de paginare. Această opțiune este introdusă în principal pentru PC-urile care funcționează pe discuri SSD, care, de regulă, au o dimensiune mai mică, dar o cantitate imensă de memorie RAM.

Parametrii de memorie de memorie

Principalul avantaj al "Dumpului de memorie automată" este că acest lucru va permite sesiunii subsistemului în managerul de proces pentru a reduce automat fișierul de paginare la o dimensiune mai mică decât dimensiunea memoriei RAM. Pentru cei care nu știu, sesiunea dispecerii subsistemului este responsabilă pentru inițializarea sistemului, lansarea serviciilor și a proceselor necesare pentru conectarea utilizatorilor. Practic stabilește pagina fișiere în memorie virtuală și pornește procesul WinLogon.exe.

Dacă doriți să modificați parametrii de memorie automată, acesta este modul în care se poate face. Apăsați tastele Windows + X și selectați sistemul. Apoi, faceți clic pe "Setări avansate de sistem - Avans. Sistem. Setări.”.

Faceți clic pe butonul Advanced Settings.

Aici puteți vedea meniul derulant în care este scris "suplimentar".

Aici puteți alege opțiunea dorită. Opțiuni propuse:

Nu există halde de memorie.
Memorie mică.
Memorie de memorie kernel.
Dumpul de memorie completă.
Dumpul de memorie automată. Adăugat în Windows 8.
Memorie activă. Adăugat la Windows 10.
Locația fișierului de memorie de memorie în fișierul% SystemRoot% \\ memorie.dmp.

Dacă utilizați un disc SSD, este mai bine să îl lăsați pe "Dumpul de memorie automată"; Dar dacă aveți nevoie de un fișier de evacuare de urgență, este mai bine să îl instalați pe o "depozit de memorie mică", cu el puteți, dacă doriți să îl trimiteți pe cineva astfel încât să se poată privi.

În unele cazuri, este posibil să fie necesar să măriți dimensiunea fișierului de paginare mai mult decât memoria RAM pentru a vă asigura că se poate potrivi cu dumpul de memorie completă. În astfel de cazuri, trebuie să creați o cheie de registry:

Hkey_local_machine \\ sistem \\ CurrentControlset \\ Control \\ CrashControl

se numește "LastCraShTime".

Aceasta va crește automat dimensiunea fișierului de paginare. Pentru ao reduce, mai târziu, puteți șterge pur și simplu această tastă.

În Windows 10, a intrat într-o nouă haldă de memorie activă de fișier de memorie. Conține numai cele mai necesare și, prin urmare, este mai mică.

Nu am capacitatea de a testa, dar am creat această cheie și am monitorizat dimensiunea fișierului de paginare. Știu că mai devreme sau mai târziu voi obține o eroare critică. Atunci o voi verifica.

Puteți analiza fișierul de depozit de fișiere Windows.dmp folosind whocrashed. Utilitarul Houcrashed Home este gratuit, prezintă drivere care au fost încorporate în computerul dvs. utilizând un singur clic. În cele mai multe cazuri, poate defini un driver incomod care provoacă suferințele la computer. Aceasta este gradul de blocare a analizei sistemului, haldele de memorie și aici sunt prezentate întreaga informație colectată într-o formă accesibilă.

De regulă, un set de instrumente de depanare deschide o haldă de analiză de urgență. Cu acest utilitar nu aveți nevoie de cunoștințe și abilități de depanare pentru a afla ce șoferi cauzează probleme pe computer.

Whocrashed se bazează pe pachetul de depanare (Programul WindBG) de la Microsoft. Dacă acest pachet nu este instalat, se va descărca și va elimina automat acest pachet pentru dvs. Doar rulați programul și faceți clic pe butonul Analiză. Când aveți un whocrasit instalat în sistem și, dacă brusc scade sau se închide, programul vă va oferi să știți dacă dumpul de urgență este pe computer și vă va oferi sugestii despre cum să le activați.

Una dintre cele mai frecvente reflamente ale Windows este excepțiile de sistem pe care utilizatorul le vede sub forma unui "ecran albastru" (BSOD). De regulă, această eroare fatală apare sau datorită funcționării defectuoase a driverelor, a echipamentelor (mai des la încărcare OS) sau datorită acțiunii virușilor și antivirusurilor.

Ecranul albastru al decesului conține informații despre motivele care au cauzat o excepție (sub forma unui cod de eroare de tip 0x0000007b), adresa memoriei, atunci când au apărut o excepție și alte informații utile. Astfel de informații se numește eroarea de oprire, ale căror variabile sunt adresele de memorie. Uneori conține, de asemenea, numele fișierului care a provocat o excepție.

Toate aceste informații sunt disponibile pe ecran nu lungime (până la 100 de secunde), după care computerul repornește. În acest timp scurt, este generat o dumpă de memorie, care este scrisă în fișier. Una dintre modalitățile profesionale importante de a diagnostica defecțiunile - analiza haldei de memorie, care va fi discutată în detaliu în acest articol.

Ce este o dump

  • dump (eng.) - Bunch Dour; dump; gaură; mahala.
  • dump (Dumpul de memorie) - 1) Dump, ieșirea conținutului memoriei RAM la imprimare sau ecran; 2) "instantaneu" de memorie RAM; Datele obținute ca rezultat al dumpingului; 3) îndepărtarea de urgență, oprirea, resetarea.
  • dumping - dumping, îndepărtarea depozitului.

Setări pentru a salva dulapul de memorie sunt stocate în registrul sistemului Windows.

Informații despre memoria Dump din registrul sistemului:

În secțiunea Registry Windows, memoria de urgență este determinată de următorii parametri:

- Autoreboot Reg_DWord-parametru cu o valoare de 0 × 1 (opțiunea de a reporni automat descărcarea ferestrei auxiliare și restaurarea casetei de dialog ale proprietăților sistemului);

- reg_dword-parametru crashdumpabild cu o valoare de 0 × 0, dacă nu este creată dumpul de memorie; 0 × 1 - Dumpul de memorie completă; 0 × 2 - Dumpul memoriei kernelului; 0 × 3 - Dump mic de memorie (64kb);

- reg_expand_sz-parametru de gunoi cu valoare implicită% Systemroot% \\ memorie.dmp (stocare fișierele de depozit);

- logovent reg_dword-parametru cu valoare implicită 0 × 1 (scrieți un eveniment în caseta de logare a sistemului de descărcare și recuperare);

- reg_expand_sz-parametru minIdumpdir cu valoarea implicită% systemroot% \\ minidump (opțiunea de încărcare și restaurare a ferestrelor de depozitare mică);

- Suprascrierea parametrilor Reg_DWord cu valoare implicită 0 × 1 (opțiunea de înlocuire a unei încărcări și recuperare a ferestrei de fișier de depozit existent);

- Reg_DWord-Parameter SendAlert cu valoare implicită 0 × 1 (opțiune Trimiteți o fereastră de notificare administrativă Descărcați și restabiliți).

Modul în care sistemul creează un fișier de urgență

În timpul încărcării, sistemul de operare verifică parametrii pentru crearea unei dumbări de urgență în secțiunea de registru. Dacă este specificat cel puțin un parametru, sistemul generează un bloc de disc al fișierului de paginare pe volumul de încărcare și îl salvează în memorie. Sistemul determină, de asemenea, driverul de disc pe disc, calculează volumul de încărcare, calculează verificările pentru imaginea șoferului în memorie și pentru structurile de date care trebuie să fie întregi pentru a face driverul să efectueze o operație de intrare / ieșire.

După eșecul kernelului, sistemul verifică integritatea hărții fișierului de pagină, a driverului discului și a structurilor de control ale driverului de disc. Dacă integritatea acestor structuri nu este ruptă, atunci miezul sistemului determină funcții speciale I / O ale driverului de disc, concepute pentru a salva imaginea memoriei după eșecul sistemului. Aceste funcții I / O sunt autosuficiente și nu se bazează pe sistemul de nucleu al sistemului, deoarece în programele responsabile pentru înregistrarea unei depozite de urgență, nu puteți face nicio ipoteză despre ce părți ale kernelului de sistem sau a driverelor de dispozitiv în timpul eșecului au fost deteriorate . Kernel-ul sistemului înregistrează date din memoria sectoarelor fișierelor de paginare (în acest caz, nu trebuie să utilizeze driverele de sistem de fișiere).

În primul rând, kernelul de sistem verifică starea fiecărei componente implicate în procesul de salvare a dumpului. Acest lucru se face pentru a scrie direct la sectoarele discului pentru a deteriora datele în afara fișierului de pagină. Dimensiunea fișierului de pagină trebuie să fie de 1MB mai mult decât dimensiunea memoriei fizice, deoarece atunci când înregistrați informații în dump, se creează un antet în care semnătura de alarmă și valoarea mai multor dintre cele mai importante variabile ale kernelului de sistem sunt create. Titlul durează mai puțin de 1MB, dar sistemul de operare poate crește (sau poate scădea) dimensiunea fișierului de paginare nu este mai mic de 1MB.

După încărcarea managerului sesiunii (manager de sesiune Windows NT; adresa de disc - \\ Windows \\ System32 \\ smss.exe) Inițializează fișierele de pagină de sistem utilizând funcția proprie NTCREATEPagingfile pentru a crea fiecare fișier. NtcreatePagingfile determină dacă fișierul de pagină inițializat există și, dacă da, atunci există un antet de depozitare în ea. Dacă există un antet, atunci NtcreatePagingfile trimite un cod special în managerul sesiunilor. După aceea, managerul de sesiune lansează procesul WinLogon (program de conectare la Windows NT, adresa de disc - \\ Windows \\ System32 \\ Winlogon.exe), care este notificată cu privire la existența unei dumbări de urgență. WinLogon lansează SAVEDUMP (programul de copiere a memoriei Windows NT, adresa de disc - \\ Windows \\ System32 \\ savedump.exe), care analizează antetul Dump și determină acțiuni suplimentare în caz de urgență.

Dacă titlul indică existența unui depozit, SAVEDumpul copiază datele din fișierul de pagină în fișierul de evacuare de urgență, numele căruia este specificat de reg_expand_sz-parametru secțiunea de depozitare a registrului. În timp ce SAvedump rescrie fișierul de depozit, sistemul de operare nu utilizează partea din fișierul de pagină care conține o haldă de urgență. În acest moment, cantitatea de memorie virtuală disponibilă pentru sistem și aplicații este redusă la dimensiunea de memorie (pot exista mesaje care indică lipsa memoriei virtuale pe ecran). Savedumpul informează apoi managerul de memorie cu privire la finalizarea salvării de depozitare și eliberează partea din fișierul de pagină în care este stocată dumpul pentru uz general.

Salvarea fișierului de depozit, programul SAVEDUMP face o înregistrare despre crearea unei dumbări de urgență în sistemul de jurnal de evenimente, de exemplu: "Computerul a fost repornit după o eroare critică: 0x100000D1 (0xc84d90a6, 0 × 00000010, 0 × 00000000, 0xc84d90a6) . O copie a memoriei este salvată: C: \\ Windows \\ minidump \\ mini060309-01.dmp. "

Dacă este activată opțiunea de alertă administrativă Trimitere, SAVEDUMP trimite alerta de administrator.

Soiuri de halde

  • Depozitare completă de memorie Înregistrează tot conținutul memoriei sistemului atunci când apare o eroare nerezonabilă. Pentru această opțiune, trebuie să aveți un fișier de paginare pe volumul de încărcare, al cărui dimensiune este egal cu volumul întregii memorie fizică plus 1MB. În mod implicit, depozitul de memorie completă este înregistrat în fișierul% SystemRoot% \\ memorie.dmp. Atunci când apare o nouă eroare și crearea unui nou fișier plin de memorie de memorie (sau de depozitare a kernelului), fișierul anterior este înlocuit (suprascris). Parametrul de memorie completă nu este disponibil pe PC, care are un sistem de operare pe 32 de biți și 2 sau mai multe gigaocteți de memorie RAM.

Când apare o nouă eroare și crearea unui nou fișier complet, fișierul anterior este înlocuit.

  • Dumpul de memorie nuclearăÎnregistrează numai memoria kernelului, astfel încât procesul de înregistrare a datelor în jurnal cu o oprire bruscă a sistemului, se desfășoară mai repede. În funcție de volumul memoriei fizice PC în acest caz, fișierul de paginare necesită de la 50 la 800MB sau o treime din memoria fizică a computerului pe volumul de încărcare. În mod implicit, memoria de memorie kernel este înregistrată în fișierul% SystemRroot% \\ memorie.dmp.

Această dumpă nu include memoria sau memoria nealocată alocată programelor de moduri de utilizator. Acesta include numai memoria alocată pentru nivelul de dependenți de kernel și hardware (HAL) în versiunile Windows 2000 și mai târziu ale sistemului, precum și memoria alocată pentru driverele modului de kernel și alte programe de mod al kernelului. În majoritatea cazurilor, o astfel de depozit este cea mai preferată opțiune. Este nevoie de mult mai puțin spațiu în comparație cu depozitul de memorie completă, excluzând numai acele sectoare ale memoriei, care sunt cel mai probabil nu legate de eroare.
Când apare o nouă eroare și crearea unui nou fișier de memorie de memorie de kernel, fișierul anterior este înlocuit.

  • Dumpul de memorie mică Înregistrează cele mai mici informații utile necesare pentru a determina cauza problemelor. Pentru a crea o memorie mică, este necesar ca dimensiunea fișierului de paginare să fie de cel puțin 2 MB pe volumul de încărcare.

Fișierele de memorie mică conțin următoarele informații:

  • mesaj despre o eroare slabă, parametrii și alte date;
  • lista driverelor descărcate;
  • contextul procesorului (PRCB), care a eșuat;
  • informații despre proces și contextul kernel (epocess) pentru procesul care a cauzat eroarea;
  • informații despre procesul de proces și kernel (etled) pentru un flux care a cauzat eroarea;
  • sTANK STANK în modul kernel pentru fluxul cauzat de eroare.

Fișierul mic de depozitare este utilizat cu spațiu pe hard disk limitat. Cu toate acestea, datorită informațiilor limitate conținute în acesta, ca urmare a analizei acestui dosar, nu este întotdeauna posibilă detectarea erorilor care nu au fost cauzate direct de fluxul care a fost efectuat la momentul apariției sale.

Dacă apare următoarea eroare și crearea celui de-al doilea fișier de depozit mic, fișierul anterior este salvat. Fiecare fișier suplimentar este dat un nume unic. Data este codificată în numele fișierului. De exemplu, Mini051509-01.dmp este primul fișier de memorie de memorie creat la data de 15 mai 2009. Lista tuturor fișierelor de memorie mică este stocată în dosar % Systemroot% \\ minidump.

Sistemul de operare Windows XP este, fără îndoială, mult mai fiabil decât versiunile anterioare, datorită eforturilor atât dezvoltatorilor Microsoft, cât și al șoferilor hardware și dezvoltatorilor de software pentru aplicații. Cu toate acestea, situațiile de urgență sunt tot felul de eșecuri și colatorii ale sistemului - inevitabile și dacă utilizatorul PC-ului deține cunoștințele și abilitățile în eliminarea lor depinde, va trebui să petreacă câteva minute pentru a depana o defecțiune (de exemplu, pentru a actualiza / depanarea driverului sau reinstalarea programelor aplicate cauzând o eroare de sistem) - sau câteva ore pentru a reinstala / configura sistemul de operare și software-ul de aplicație (care nu garantează absența eșecurilor și a colierelor în viitor!).

Mulți administratori de sisteme neglijează încă haldele de alarmă Windows, crezând că este prea dificil să lucrați cu ei. Este dificil, dar puteți: Chiar dacă, de exemplu, analiza unui dump din zece va avea succes, - eforturile cheltuite pentru dezvoltarea celor mai simple metode de analiză a haldelor de urgență nu vor fi în zadar! ..

Voi da exemple din practica dvs. "Sysadmin".

În rețeaua locală, nu este garantată nici o cauză vizibilă ("fier", nu sunt garantate viruși, utilizatorii - cu "mâini normale") "Poleg" mai multe stații de lucru cu Windows XP SP1 / SP2 "la bord". Computerele încărcate în modul normal au eșuat - reporniți la "Salutări" - și pentru a reporni la infinit. În același timp, în modul Secure PC încărcat.

Studiul haldelor de memorie a făcut posibilă identificarea cauzei defecțiunii: vinovatul sa dovedit a fi Kaspersky Anti-Virus, mai precis, baze antivirus proaspete (dacă este mai precis, apoi două module de bază de date - base372C.AVC, base032C.AVC ).

... a existat încă un astfel de caz. Pe PC-ul local cu Windows XP SP3 când încercați să deschideți fișiere video. Format .avi și.mpeg a rebootat. Studierea dumpului de memorie a făcut posibilă identificarea cauzei defecțiunii - fișierul NV4_Disp.dll al driverului cardului video NVIDIA GeForce 6600. După actualizarea driverului, defecțiunea a fost eliminată. În general, șoferul NV4_Disp.dll este unul dintre cele mai instabile drivere, care au condus adesea la BSOD.

În ambele cazuri, studiul depozitului de memorie de urgență a făcut posibilă minimizarea (câteva minute!) Pentru a reduce timpul pentru a diagnostica și depana.

Analiza memoriei de memorie.

Există multe programe de analiză a haldelor de memorie de urgență, de exemplu, Dumpchk, Kanalyze, Windbg.

Luați în considerare analiza haldelor de alarmă de memorie utilizând programul WALBG (parte a instrumentelor de depanare pentru Windows).

Instalarea fondurilor de depanare

  • vizitați site-ul http://www.microsoft.com/whdc/devtools/debugging/default.mspx Microsoft Corporation;
  • descărcați instrumente de depanare pentru Windows, de exemplu, pentru o versiune pe 32 de biți de Windows, acest lucru poate fi realizat pe descărcarea instrumentelor de depanare pentru Windows;
  • după descărcare, porniți fișierul de instalare;
  • În Instrumentele de depanare pentru Windows Setup Wizard, faceți clic pe Următorul;
  • În fereastra Acordului de licență, setați conceptul de acord -\u003e următorul comutator;
  • În fereastra următoare, selectați tipul de instalare (instrumentele implicite de depanare sunt instalate în instrumentele de depanare \\ program \\ pentru Windows Folder) -\u003e Următor -\u003e Instalare -\u003e Finish;
  • pentru a interpreta fișierele de memorie, trebuie, de asemenea, să descărcați pachetele de caractere (pachete de simboluri, așa-numitele fișiere de caractere sau fișiere de depanare) pentru versiunea dvs. de Windows - Du-te la pagina Descărcați pachetele de simboluri Windows;
  • selectați versiunea Windows, descărcați și executați fișierul de instalare a pachetelor de simboluri;
  • În fereastra Acordului de licență, faceți clic pe Da;
  • În fereastra următoare, selectați un dosar pentru instalare (se oferă implicit \\ Windows \\ simboluri) -\u003e OK -\u003e Da;
  • În fereastra Microsoft Windows simboluri cu instalația este un mesaj complet, faceți clic pe OK.

Utilizarea programului WINDBG pentru a analiza haldele de memorie de urgență

  • rulați WindBG (Implicit este instalat în instrumentele de depanare \\ Program \\ pentru folderul Windows);
  • selectați Fișier -\u003e Simbol Calea de fișiere Meniu ...
  • În fereastra de căutare simbolică, faceți clic pe butonul Răsfoiți ...;
  • În fereastra Prezentare generală a folderului, specificați locația folderului simboluri (implicit - \\ Windows \\ simboluri) -\u003e OK -\u003e OK;
  • selectați meniul Fișier -\u003e Deschideți hard disk ... (sau apăsați Ctrl + D);
  • În fereastra Deschis de basculare, specificați locația fișierului de depozitare a accidentelor (* .dmp) -\u003e deschis;
  • În fereastra Spațiului de lucru cu întrebarea "Salvați informații pentru spațiul de lucru?", Verificați din nou Don "T întrebați din nou -\u003e Nu;
  • fereastra de comandă a comenzii se deschide în fereastra WindBG<путь_и_имя_файла_дампа> cu analize de depozitare;
  • examinați analiza dumpului de memorie;
  • În secțiunea "Analiza Bugcheck", va exista o posibilă cauză de colaps, de exemplu ", probabil cauzată de: SMWDM.SYS (SMWDM + 454d5)";
  • pentru a vizualiza informațiile detaliate, faceți clic pe linkul "! Analizați -V" din "Utilizare! Analizați -V pentru a obține informații detaliate despre depanare" rând;
  • Închideți Windbg;
  • utilizați informațiile primite pentru a elimina cauza defecțiunii.

De exemplu, în următoarea screenshot, cauza defecțiunii este fișierul NV4_Disp.dll al driverului cardului video.

În Windows, ferestrele apar adesea erori, chiar și în cazul unui sistem "curat". Dacă erorile obișnuite ale programului pot fi rezolvate (apare un mesaj despre componenta lipsă), atunci erorile critice corecte vor fi mult mai complicate.

Ce este o memorie de memorie în Windows

Pentru a rezolva problemele cu sistemul, memoria de urgență este de obicei utilizată - aceasta este o poză Părți sau cantități complete de memorie RAM și plasarea acestuia pe mediu non-volatil (hard disk). Cu alte cuvinte, conținutul berbecului complet sau parțial copiat în mass-media și utilizatorul poate analiza dumpul de memorie.

Există mai multe tipuri de halde de memorie:

Mic dump. (Dumpul de memorie mică) - salvează volumul minim de memorie RAM, unde există informații despre erorile critice (BSOD) și componentele care au fost descărcate în timpul funcționării sistemului, de exemplu, driver, programe. Minidump. Stocate de-a lungul căii C: \\ Windows \\ minidump.

Depozit complet (Dumpul de memorie completă) - Volumul total al RAM este păstrat. Aceasta înseamnă că dimensiunea fișierului va fi egală cu cantitatea de memorie RAM. Dacă pe disc există un spațiu mic, acesta va fi problematic pentru a menține, de exemplu, 32 GB. Există, de asemenea, probleme cu crearea unui fișier de memorie de memorie mai mare de 4 GB. Această specie este folosită foarte rar. Stocate de-a lungul căii C: \\ Windows \\ memorie.dmp.

Dump nucleul de memorie - Numai informațiile referitoare la miezul sistemului sunt salvate.

Când utilizatorul ajunge la o analiză de eroare, este suficient să se utilizeze numai MiniIDAMP (Dump mic). Dar, înainte de aceasta, trebuie să fie activată, altfel nu va fi posibilă recunoașterea problemei. De asemenea, pentru a detecta mai eficient un accident. Utilizarea unei imagini complete a memoriei este preferabilă.

Informații în registru

Dacă vă uitați în registrul Windows, puteți detecta unele setări instantanee utile. Faceți clic pe combinația tastelor Win + R, introduceți comanda regedit. și deschideți următoarele ramuri:

Hkey_local_machine \\ sistem \\ CurrentControlset \\ Control \\ CrashControl

În această ramură, utilizatorul va detecta următorii parametri:

  • Autoreboot. - Activarea sau dezactivarea unei reporniri după crearea unui ecran albastru (BSOD).
  • Dumpfile - Numele tipurilor de halde și locație.
  • Crashdumpenabled. - numărul fișierului creat, de exemplu, numărul 0 - Dumpul nu este creat; 1 - Crearea unei depozite complete; 2 - Crearea unui dump nucleu; 3 - Crearea unui mic depozit.
  • Șumpătoare. - Parametrul vă permite să adăugați noi caracteristici înainte de a crea o imagine. De exemplu, criptarea fișierului.
  • Minidumpdir. - Numele unui mic depozit și locația sa.
  • Loghevent. - Activați înregistrarea informațiilor din jurnalul de sistem.
  • Minidumppscount. - Cereți numărul de halde mici create. (Depășirea acestei sume va distruge fișierele vechi și le va înlocui).
  • Suprascrie. - Funcția pentru un depozit complet sau sistemic. Când creați un nou instantaneu, cel precedent va fi întotdeauna înlocuit cu unul nou.
  • Dedicatdumpfile. - Crearea unui fișier imagine alternativ și indicând calea acestuia.
  • IgnorageFilesize. - Folosit pentru a aranja temporar o imagine, fără a utiliza fișierul de paginare.

Cum functioneaza

Dacă apare un eșec, sistemul își oprește pe deplin activitatea și, dacă crearea de halde este activă, la un fișier care plasat pe disc va fi înregistrat informații despre această problemă. Dacă sa întâmplat ceva cu componentele fizice, codul de urgență va funcționa, iar fierul, care a făcut un eșec va face orice modificări care vor afecta neapărat imaginea.

În mod tipic, fișierul este salvat pe hard diskul dedicat fișierului BSOD, după ce apare BSOD, fișierul este suprascris în opinia că utilizatorul în sine a fost configurat (kernel mic, complet sau de depozitare). Deși, în sistemul de operare modern, dosarul de participare nu este neapărat.

Cum să porniți haldele

ÎN Windows 7.:

ÎN Windows 8 și 10:

Aici procesul este un pic cam ca un pic, în informațiile despre sistemul pe care îl puteți obține la fel ca în Windows 7. În "duzina" cu siguranță deschizăm " Acest calculator", Faceți clic pe butonul drept al locului drept și alegeți" Proprietăți" Într-un mod diferit, puteți trece prin panoul de control.

A doua opțiune pentru Wi.ndows 10.:


Trebuie remarcat faptul că articolele noi au apărut în versiunile noi de Windows 10, care nu au fost în "șapte":

  • Mic dump. Memorie 256 KB - Date minime privind eșecul.
  • Dump active - A apărut în cea de-a zecea versiune a sistemului și salvează numai memoria activă a computerului, miezurile sistemului și utilizatorul. Se recomandă utilizarea pe servere.

Cum să eliminați dumpul

Este suficient să mergeți în directorul în care se păstrează fixarea memoriei și pur și simplu le eliminați. Dar există o altă modalitate de a șterge - utilizați utilitarul de curățare a discurilor:

Dacă nu s-au găsit elemente, poate că haldele nu au fost incluse.

Chiar dacă le-ați inclus odată, unele utilități de optimizare a sistemului utilizate pot cu ușurință dezactivați o anumită caracteristică. Adesea, o mulțime de lucruri se opresc atunci când se utilizează unități SSD, deoarece procedurile multiple de citire și înregistrare sunt foarte dăunătoare pentru sănătatea acestui disc.

Analiza memoriei de memorie cu WindBG

Descărcați de pe site-ul oficial Microsoft Acest program la pasul 2, unde este descris " InstalareWdk."- https://docs.microsoft.com/en-us/windows-hardware/drivers/download-the-wdk.

Pentru a lucra cu programul, veți avea nevoie de un pachet special de depanare a caracterelor. Se numeste Debuging simboluri., înainte de a fi descărcat de pe site-ul Microsoft, dar acum au abandonat această idee și trebuie să utilizeze funcția fișierului de fișiere - " Calea fișierului simbolului.", Unde să introduceți următoarea linie și faceți clic pe OK:

setați _NT_SYMBOL_PATH \u003d SRV * Downstreamstore * HTTPS: //msdl.microsoft.com/download/symbols

Dacă nu am lucrat, încercați această comandă:

SRV *% Systemroot% \\ Simboluri * http: //msdl.microsoft.com/download/symbols

Apăsați din nou articolul "Fișier" și selectați opțiunea "Salvați spațiul de lucru".

Utilitarul este configurat. Rămâne să specificați calea către fișierele de memorie de memorie. Pentru a face acest lucru, faceți clic pe Fișier și faceți clic pe opțiunea " O.pix.Crash.Dump" Localizarea tuturor haldelor este indicată la începutul articolului.

După selecție, analiza se va încheia, iar componenta problema va fi evidențiată automat. Pentru a obține mai multe informații în aceeași fereastră, puteți introduce o astfel de comandă: ! Analizați -V.

Analiza cu BluesCreenEnview.

Puteți descărca instrumentul gratuit de pe acest site - http://www.nirsoft.net/utils/blue_screen_view.html. Instalarea nu necesită abilități. Utilizat numai în Windows 7 și mai mare.

Rulați și configurați. Faceți clic pe "Setări" (Opțiuni) - " Opțiuni suplimentare"(Opțiuni avansate). Alegeți primul element " Descărcați MinidAmps din acest dosar"Și specificați catalogul - C: \\ Windows \\ minidump. Deși puteți doar să faceți clic pe butonul "Implicit". Faceți clic pe OK.

Fișierele de depozitare trebuie să apară în fereastra principală. Poate fi ca unul și câțiva. Pentru ao deschide, este suficient să o apăsați pe el.

În partea inferioară a ferestrei, se vor afișa componentele implicate în momentul defectării. Culoarea roșie va fi evidențiată vinovatul accidentului.

Acum faceți clic pe "Fișier" și alegeți, de exemplu, elementul " Găsiți în mișcare.codul de eroare onga + driverul" Dacă ați găsit driverul dorit, instalați și reporniți computerul. Poate că eroarea va dispărea.



Ți-a plăcut articolul? Împărtășește-l
Articole recomandate pe această temă
Cauze de ce Flash Player nu funcționează și depanareaCauze de ce Flash Player nu funcționează și depanarea
Laptopul în sine se oprește, ce să facă?Laptopul în sine se oprește, ce să facă?
HP Pavilion DV6: Caracteristici și recenziiHP Pavilion DV6: Caracteristici și recenzii
Vizitatorii discută acum
Reportarea reprezentării unui număr de puncte plutitoare Cum numerele negative sunt stocate în memoria computeruluiReportarea reprezentării unui număr de puncte plutitoare Cum numerele negative sunt stocate în memoria computerului ASUS.
Cartofi prăjiți și nu pornește ce să facă?Cartofi prăjiți și nu pornește ce să facă? D-Link.
De ce nu funcționează mouse-ul pe un laptop sau mouse?De ce nu funcționează mouse-ul pe un laptop sau mouse? Android
Cum să măriți sau să micșorați amploarea paginii (font) în colegii de clasă?Cum să măriți sau să micșorați amploarea paginii (font) în colegii de clasă? Probleme