Kontakty
hlavný

Čo je súbor výpisu. Čo je to pamäťová výpis? Dump Dump Analýza pomocou Debugger Microsoft Kernel

Na opraviť modrú obrazovku Je potrebné identifikovať dôvod jeho vzhľadu. Ak to chcete urobiť, musíte analyzovať núdzový súbor výpisu pamäte. Môže sa konať analýza núdzového výpisu rôzne cesty. Toto len hovorí o tomto článku.

V predchádzajúcom článku na stránke sme už napísali o dôvodoch, ktoré najčastejšie vedú k modrej obrazovke smrti. Tiež ukázali, ako správne nakonfigurovať vytváranie núdzových pamäťových skládok a povedané, kde sa to najviac skladuje súbor. Melm sa dotkol skutočnosti, že na zastavenom kóde a podľa informácií zo skládky súboru môžete umožniť presnejšie dôvody, prečo dávať dôvod BSOD..
Zostáva zistiť, ako a s tým, čo môžete analyzovať informácie z skládky súboru. Zoberme si niekoľko spôsobov, ako zahrnúť ako analytický nástroj z samotných developerov systému Windows a nástrojov tretích strán.

Dump Analysis File pomocou systému Microsoft Kernel Debugger.

Debugger Microsoft Kernel. - Špeciálny nástroj na analýzu nárazových skládok. Stiahnite si nástroje, ako aj komponenty, ktoré potrebujete z miesta potrebného na jeho prevádzku. Microsoft. - Nástroje ladenia. Verzia balíka Debugovanie nástrojov pre Windows musí zodpovedať bitke operačný systém. O tom, kde a ako stiahnuť tento nástroj napísal.
Spolu s samotným Debugger musíte stiahnuť súbor ladenie znakov - ladenie symbolov. Pre každú verziu systému Windows, vrátane a na starosti. Tak, pre 32-bitový systém Windows 7, musíte si stiahnuť balík znakov Windows 7 x32a pre 64-bitový súbor Windows 7 znakov Windows 7 x64.. Rovnakým spôsobom, musíte si vybrať súbor znakov a pre iné verzie systému Windows (vdovy 10, XP atď.). Požadovaná sada znakov možno tiež stiahnuť v samotnom debugger, ale o tom nižšie.
Po inštalácii pomôcka a množiny debugovacích znakov môžete spustiť samotný debugger. Po spustení musíte zadať cestu k debugovým znakom v jeho nastaveniach. Pre to:
Kliknite na tlačidlo File ⇒ Symbol File Path ...
Ďalej kliknite na tlačidlo Prehľadávať a zadajte priečinok, kde sa uloží znaková súprava.
Stiahnite sa nová verzia Symboly môžu používať samotný nástroj. Ak to chcete urobiť, v poli Súbor ⇒ Symbol File Path ... Zadajte:
SRV * C: symboly * http: //msdl.microsoft.com/download/symbols

Ďalej kliknite na súbor ⇒ Uložiť pracovný priestor a potom kliknite na tlačidlo OK.
Nástroj teda požiada o informácie o debugovaní znakov prostredníctvom internetu priamo z servera Microsoft.
Ak chcete pokračovať v analýze, kliknite na súbor\u003e Otvoriť skládku havárie ... a zadajte požadovaný súbor s výpisom pamäte (Small Memory Dump).
Systém bude vykonávať analýzu výpisu a výsledky umožnia možnú príčinu chyby.

Kliknutím na hypertextový odkaz Analyze-V Otvoria sa pokročilejšie informácie o chybách.
Debug môžete vyplniť pomocou položky menu Debug. > Zastaviť ladenie..

Analýza súboru výpisu s BluescreenView

BluescreenView. toto je bezplatný nástroj Analyzovať malý súbor núdzového výpisu. Tento nástroj Má podporu ruského jazyka. Hlavným plusom tohto programu je, že nemusí sťahovať debugging znakov. Týmto nástrojom je úplne autonómny a nezávislý. Ďalším plusom tohto programu je prítomnosť prenosnej verzie, to znamená, že verzie, ktoré nemusia byť inštalované v systéme. Autorom programu je Nier Sofer.. Môžete si stiahnuť C. oficiálna stránka autora. Prenosná verzia programu si môžete stiahnuť odkazom na oficiálnu stránku, v názve, ktorého v zátvorkách v súbore zip..
Pri sťahovaní je dôležité vziať do úvahy vypúšťanie vášho OS.
Sracks tesne nižšie. Môžete si stiahnuť Russhiption File - BluescreenView_lng.ini, ktorú stačí hodiť do priečinka s samotným programom. Pripravil som program na prevzatie programu s už naladeným jazykom. Tu sú priame odkazy:

A teraz priamo o procese analýzy.

Ako analyzovať súbor s výpisom s BluescreenView?

Po spustení programu okamžite skenuje štandardný zoznam súborov Skladovanie súborov -% Systemroot% Minidump. Adresár je možné zmeniť v dodatočných parametroch programu. Rozhranie okna programu môže byť podmienečne rozdelené do 3 oblastí:

  • Tvorba menu Top Area
  • Priemerná oblasť so zoznamom súborov výpisu
  • Dolná časť s zoznamom vodičov


Údaje o analýze sa zobrazujú v formulár tabuľky. Uvádzame najdôležitejšie zo stĺpcov strednej oblasti okna programu (v zátvorkách Názov z anglickej verzie):

  • Chybový text (check check reťazec). Tu sa zobrazí popis chyby podľa klasifikácie Microsoft. V našom príklade je to driver_irql_not_less_or_equal.
  • Kód chyby (check kód chyby). Zobrazí sa kód chyby zastavte - 0x000000d1
  • Vodiča). Zobrazí názov ovládača alebo modulu, ktorý s najväčšou pravdepodobnosťou spôsobil chybu. Všimnite si, že ide o 100% bug páchateľ, ale len pravdepodobne. V našom príklade je to E1G6032E.sys
  • Spôsobená adresou). Zobrazí vodiča ihneď po adrese pokynov, ktoré spôsobili zlyhanie. Máme to E1G6032E.SYS + 9EF530 / li\u003e
  • Adresa nehody (crash adresa). Adresu, pre ktorú sa vyskytla chyba. V našom prípade Ntoskrnl.exe + 1509A0.

Teraz uveďte najdôležitejšie stĺpce z dolnej oblasti:

  • Názov súboru (názov súboru). Označuje názov ovládača alebo modulu
  • Adresa v zásobníku (adresa v zásobníku). Zobrazí sa adresa pamäte vodiča zo stohu pamäte.
  • Popis súboru (popis súboru).
  • Verzia súboru (verzia súboru). Zobrazí sa verzia verzie ovládača.

Analyzovať pridelenie požadovaný súbor. Dump v strednej oblasti užitočného okna. Pri zvýraznení spodnej časti je okamžite vyplnená údajmi. Pozeráme sa na tabuľkové údaje z hlavných stĺpcov, ktoré som priniesol vyššie. V spodnej časti okna sú pravdepodobne problémové ovládače alebo moduly zvýraznené červenou farbou. Zriedka sa stane zadaný program V strednej areáli nie je vodič zdrojom chýb BSOD. V takýchto prípadoch je pravdepodobne prítomný aj medzi odlišnými diskami, ktoré sú uvedené nižšie. modrá obrazovka smrti. V mojom prípade je: E1G6032E.sys a Ntoskrnl.exe. Mimochodom, obe sú celkom bežné príčiny BSOD.
Ak si zdroje, ktoré našiel program, nehovoríte nič o programe, môžete jednoducho zadať názov problémových ovládačov vo vyhľadávači a určite ich nájdete, ako ich prekonať.
Ak chcete presnejšie určiť ovládače a moduly problémov, môžete použiť niekoľko spôsobov, ako analyzovať. Našťastie v tomto článku sme mali rozobrať dve najobľúbenejšie. Dajte si pozor na publikácie a ďalej bude ďalším článkom o analýze skládok.

Všetky systémy systému Windows Keď je zistená fatálna chyba, vytvorte obsah katastrof (snímka) náhodný vstup do pamäťe A uloží ho na pevný disk. Existujú tri typy pamäte Dump:

Kompletná pamäťová skládka - zachráni všetok obsah pamäte RAM. Veľkosť snímky sa rovná veľkosti RAM + 1 MB (hlavička). Používa sa veľmi zriedkavé, ako v systémoch s veľkým množstvom pamäte, veľkosť skládky bude príliš veľká.

Výpis pamäte jadra uloží informácie RAM len do režimu jadra. Informácie o režime používateľa nie sú uložené, pretože nenesie informácie o príčine kolapsu systému. Objem skládky závisí od veľkosti RAM a mení sa od 50 MB (pre systémy s 128 MB RAM) na 800 MB (pre systémy s 8 GB pamäte RAM).

Malý pamäťový výpis (Mini Dump) - obsahuje pekné malé množstvo Informácie: Chybový kód s parametrami, zoznam ovládačov naložených do pamäte RAM v čase kolapsu systému atď., Ale tieto informácie stačí na určenie ovládača zlyhania. Ďalšou výhodou tohto typu výpisu je malá veľkosť súboru.

Nastavenie systému

Ak chcete identifikovať vodiča, ktorý nám spôsobil dostatok, použijeme malú pamäťovú skládku. Aby systém mohol uložiť minimum MINI s haváriou, musíte vykonať nasledujúce kroky:

Pre systém Windows XP. Pre Windows 7.
  1. Môj počítač Vlastnosť
  2. Prejdite na kartu Okrem toho;
  3. Parametre;
  4. V teréne Informácie o písaní ladíkov Vyberať Malý pamäťový výpis (64 KB).
  1. Pravé tlačidlo myši na ikonu Počítačz kontextového menu vyberte Vlastnosť(Alebo kombinácia kľúčov WIN + PAUSE);
  2. V ľavom menu kliknite na položku Extra možnosti Systém;
  3. Prejdite na kartu Okrem toho;
  4. V poli preberania a obnovy musíte kliknúť Parametre;
  5. V teréne Informácie o písaní ladíkov Vyberať Small Memory Dump (128 KB).

Po vykonaní všetkých manipulácií po každom BSOD v C: Windows Minidump priečinok sa uloží s rozšírením .DMP. Odporúčam vám, aby ste sa zoznámili s materiálom "". Môžete tiež nainštalovať začiarknuté tlačidlo " Vymeňte existujúci súbor výpisov". V tomto prípade bude každá nová núdzová výpis zaznamenaná na vrchole starého. Neodporúčam vám, aby ste túto možnosť zahrnuli.

Analýza výpisu núdzovej pamäte pomocou programu BluescreenView

Takže, po modrej obrazovke smrti, systém si ponechal novú núdzovú pamäťovú skládku. Aby som analyzoval skládku, odporúčam používať program BluescreenView. Možno ho stiahnuť zadarmo. Program je pomerne pohodlný a má intuitívne rozhranie. Po nainštalovaní, prvá vec, ktorú potrebujete urobiť, je určiť miesto ukladania skládok pamäte v systéme. Ak to chcete urobiť, prejdite na položku menu " Možnosti."A Vyberte" PokročiléMožnosti.". Vyberte tlačidlo RADIO " Naložiť.z.ichnasledovať.Mini Dumppriečinok."A zadajte priečinok, v ktorom sú skládky uložené. Ak sú súbory uložené v priečinku C: Windows Minidump, môžete stlačiť tlačidlo " Predvolené.". Kliknite na tlačidlo OK a dostať sa do programového rozhrania.

Program sa skladá z troch hlavných blokov:

  1. Hlavná jednotka menu a ovládací panel;
  2. Blok zoznamu núdzových pamäťových skládok;
  3. V závislosti od zvolených parametrov môže obsahovať:
  • zoznam všetkých ovládačov v RAM, kým sa neobjaví modrá obrazovka (predvolené);
  • zoznam ovládačov umiestnených v stohu pamäte RAM;
  • bSOD Screenshot;
  • a iné významy, ktoré nebudeme používať.

V zozname Dump Memory (na obrázku označenom 2) vyberte výpis z nás a pozrite sa na zoznam vodiča, ktorý bol stiahnutý do pamäte RAM (na obrázku označenom číslom 3). Ružové farby maľovali ovládače, ktoré boli v pamäťovom zásobníku. Sú dôvodom vzhľadu BSOD. Ďalej prejdite do hlavného menu vodiča, definujete, na ktoré zariadenie alebo program patria. V prvom rade venujte pozornosť nie systémové súbory, Koniec koncov, systémové súbory sú v každom prípade naložené do pamäte RAM. Je ľahké pochopiť, že neúspešný ovládač je Myfault.sys. Poviem, že tento program bol špeciálne spustený na volanie Chyba zastavenia. Po určení ovládača havárie musíte aktualizovať alebo odstrániť zo systému.

Aby program mohol zobraziť zoznam ovládačov umiestnených v stohu pamäte počas výskytu BSOD, musíte prejsť do položky menu " Možnosti."Kliknite na menu" NižšíTablesRežim."A Vyberte" Len.Vodičov.Nájdené.V.Stoh"(Alebo stlačte kláves F7) a vyberte obrazovku chyby, ktorú chcete zobraziť" ModráObrazovky.v.XP.Štýl."(F8). Čo sa vrátite do zoznamu všetkých ovládačov, musíte vybrať položku " Všetko.Vodičov."(F6).

V systéme Windows 8 Microsoft predstavil nový výpis pamäte - možnosť automatického výpisu pamäte. Tento parameter v operačnom systéme je štandardne nastavený. V systéme Windows 10 zadal nový typ skládky - aktívna pamäťová skládka. Pre tých, ktorí nevedia, v systéme Windows 7 máme malú skládku, skládku a plnú pamäťovú skládku. Môžete byť prekvapení, prečo Microsoft sa rozhodol vytvoriť tento nový parameter Dump Memory? Podľa Roberta Simpkins, senior podporný inžinier, automatický výpis pamäte, môže vytvoriť podporu pre stránku "System" v konfiguračnom súbore.
Systém riadenia konfigurácie kontrolného súboru je zodpovedný za ovládanie veľkosti stránkovacieho súboru - umožňuje vyhnúť sa zbytočnej rezervnej rezerv alebo veľkosti stránkovacieho súboru. Táto možnosť je predstavená hlavne pre počítače, ktoré pracujú na diskoch SSD, ktoré majú spravidla menšiu veľkosť, ale veľká suma Náhodný vstup do pamäťe.

Parametre výpisu pamäte

Hlavnou výhodou "Automatic Memory Dump" je, že to umožní reláciu subsystému v správcovi procesu, aby automaticky zmenšil stránkovací súbor na veľkosť menšiu ako veľkosť pamäte RAM. Pre tých, ktorí nevedia, zasadnutie Dispatcher subsystému zodpovedá za inicializáciu systému, spustenie služieb a procesov, ktoré sú potrebné pre užívateľské prihlásenie. V podstate nastaví stránku súborov do virtuálnej pamäte a spustí proces WinLogon.exe.

Ak chcete zmeniť parametre automatickej pamäte skládky, toto je spôsob, akým sa dá urobiť. Kliknúť key Windows + X a vyberte systém. Ďalej kliknite na "Rozšírené nastavenia systému - Vopred. Systém. nastavenie”.

Kliknite na tlačidlo Rozšírené nastavenia.

Tu môžete vidieť rozbaľovaciu ponuku, kde je zapísaná "navyše".

Tu si môžete vybrať požadovanú možnosť. Navrhované možnosti:

Žiadne skládky pamäte.
Dump.
Dump pamäte jadra.
Dump.
Automatická pamäťová skládka. Pridané v systéme Windows 8.
Dump Active Memory. Pridané do systému Windows 10.
Umiestnenie súboru výpisu pamäte v súbore% SystemRoot% Memory.dMP.

Ak používate Disk SSD, Je lepšie ho ponechať na "AUTOMATICKÝ NÁPOJE MEMORY"; Ale ak potrebujete súbor núdzového výpisu, je lepšie ho nainštalovať na "malú pamäťovú skládku", s ním, môžete, ak ju chcete poslať niekomu, aby sa na neho mohol pozerať.

V niektorých prípadoch možno budete musieť zvýšiť veľkosť pagingového súboru viac ako RAM, aby sa zabezpečilo, že sa môže zhodovať s plnou pamäťou. V takýchto prípadoch musíte vytvoriť kľúč databázy Registry:

HKEY_LOCAL_MACHINE SYSTÉMUJÚCE SYSTÉMU SKÚŠKACIE

nazýva sa "Lastcrashtime".

Tým sa automaticky zvýši veľkosť pagingového súboru. Ak ho chcete znížiť, neskôr môžete tento kľúč jednoducho odstrániť.

V systéme Windows 10 zadali novú skládku aktívneho pamäte. Obsahuje len tie najbezpečnejšie, a preto je menšie.

Nemám schopnosť otestovať, ale tento kľúč som vytvoril a sledoval veľkosť pagingového súboru. Viem, že skôr alebo neskôr dostanem kritickú chybu. Potom to skontrolujem.

Analyzujte súbor skladacích súborov Windows.DMP. Domácnosť Whocrashed je zadarmo, predstavuje ovládače, ktoré boli vložené do počítača pomocou jedného kliknutia. Vo väčšine prípadov to môže definovať nepríjemný ovládač, ktorý spôsobuje utrpenie vášho počítača. Toto je nárazová výpis analýzy systému, pamäte skládok a tu je prezentovaný tu zozbierané informácie v cenovom formulári.

Súbor nástrojov Debug spravidla otvára výpis pre núdzovú analýzu. S týmto nástrojom nepotrebujete žiadne znalosti a zručnosti ladíkov, aby ste zistili, ktoré ovládače spôsobujú problémy v počítači.

WHOKROKRASED spolieha na ladenie balenia (Windbg Program) od spoločnosti Microsoft. Ak tento balík nie je nainštalovaný, WHCROCRASHED si stiahne a automaticky odstráni tento balík pre vás. Stačí spustiť program a kliknite na tlačidlo Analýza. Keď máte nainštalovaný wwakrashed nainštalovaný v systéme, a ak to náhle kvapky alebo zatvára, program vám dá vedieť, či je núdzový výpis na vašom počítači, a bude vám ponúknuť návrhy, ako im umožniť.

Jedna z najčastejších nedostatkov windows funguje - Výnimky systému, ktoré používateľ vidí vo forme "modrej obrazovky smrti" (BSOD). Táto fatálna chyba sa spravidla vyskytuje alebo z dôvodu poruchy ovládačov, zariadení (častejšie pri nakladaní OS) alebo v dôsledku pôsobenia vírusov a antivírusov.

Modrá obrazovka smrti obsahuje informácie o dôvodoch, ktoré spôsobili výnimku (vo forme zastavovacieho chybového kódu typu 0x0000007b), adresy v pamäti, pri prístupe, ak sa vyskytla výnimka a iné užitočné informácie. Takéto informácie sa nazývajú Stop-Chyba, premenlivé parametre Ktoré sú adresy pamäte. Niekedy tu obsahuje názov súboru, ktorý spôsobil výnimku.

Všetky tieto informácie sú k dispozícii na obrazovke, ktoré nie sú dlhé (až 100 sekúnd), po ktorom počítač reštartuje. V tomto krátkom čase sa vytvorí skládka pamäte, ktorá je zapísaná do súboru. Jedným z dôležitých profesionálnych spôsobov, ako diagnostikovať zlyhania - Analýza výpisu pamäte, ktorá bude podrobne diskutovaná v tomto článku.

Čo je to skládka

  • dump (Eng.) - Dour Bunch; výpis; otvor; slum.
  • výpis (pamäťový výpis) - 1) Výpis, výstup obsahu pamäte RAM na tlač alebo obrazovku; 2) "Snímka" RAM; údaje získané v dôsledku dumpingu; 3) Núdzové odstránenie, vypnutie, resetovanie.
  • dumping - Dumping, Demontáž výpisu.

Nastavenia Na uloženie pamäte Dump sú uložené v systémový register Windows.

Informácie o výpisu pamäte v systémovom registri:

V sekcii databázy Registry Windows je výpis na núdzovú pamäť určený nasledujúcimi parametrami:

- Reg_DWord-Parameter AutoReboot s hodnotou 0 × 1 (spustiť možnosť automatický reštart Pomocné download okien a obnovte dialógové okno Vlastnosti systému);

- reg_dword-parameter CrashDumpeNabled s hodnotou 0 × 0, ak nie je vytvorená pamäťová výpis; 0 × 1 - plná pamäťová výpis; 0 × 2 - výpis pamäte jadra; 0 × 3 - Dump (64 kb);

- REG_EXPAND_SZ-Parameter Dumpfile s predvolenou hodnotou% SystemRoot% pamäte.DMP (Skladovanie súborov);

- reg_dword-parameter logetant s predvolenou hodnotou 0 × 1 (napíšte udalosť v schránke na prevzatie a obnovy systému);

- REG_EXPAND_SZ-Parameter Minidumpdir s predvolenou hodnotou% Systemroot% Minidump (možnosť Loading a reštaurovanie priečinka Malý výpis);

- reg_dword parameter prepísanie s predvolenou hodnotou 0 × 1 (možnosť nahradenie existujúceho zaťaženia a obnovy skladacieho skladacieho skla);

- REG_DWORD-Parameter Sendalert s predvolenou hodnotou 0 × 1 (možnosť Odoslať administratívny okno na prevzatie a obnovenie administratívneho oznámenia).

Ako systém vytvorí súbor núdzového výpisu

Počas zavádzania operačného systému kontroluje parametre na vytvorenie núdzového výpisu v sekcii databázy Registry. Ak je zadaný aspoň jeden parameter, systém vytvára kartu blokov disku obsadených stránkovacím súborom objem zavádzaniaa uloží ho do pamäte. Systém tiež určuje, ktorý vodič disk Ovláda hlasitosť načítania, vypočíta kontrolné súčty pre obrázok ovládača v pamäti a pre dátové štruktúry, ktoré musia byť celé číslo, aby mohol vodič vykonať vstupnú / výstupnú operáciu.

Po zlyhá zlyhanie systému, skontroluje integritu mapy súboru stránky, disk a kontrolné štruktúry ovládača disku. Ak sa integrita týchto štruktúr nerozpadá, systémové jadro Špeciálne funkcie Vstup / výstup ovládača disku určeného na uloženie pamäte po zlyhaní systému. Tieto I / O funkcie sú sebestačné a nespoliehajú sa na systém jadra systému, pretože v programoch zodpovedných za nahrávanie núdzového výpisu nemôžete urobiť žiadne predpoklady, ktoré časti systému jadra alebo ovládačov zariadenia počas zlyhania boli poškodené . Systém Kernel zaznamenáva údaje z pamäte sektorov stránkovacích súborov (v tomto prípade nemusí používať ovládače súborov).

Po prvé, systémové jadro kontroluje stav každej zložky zapojenej do procesu úspory skládky. Toto sa vykonáva s cieľom priamo zapisovať do sektorov disku, aby ste poškodili údaje, ktoré sú mimo súboru stránky. Veľkosť súboru stránky musí byť 1 MB viac ako veľkosť fyzickej pamäte, pretože pri nahrávaní informácií v skládke sa vytvorí hlavička, v ktorej sa vytvorí výpis alarmu a hodnota niekoľkých najvýznamnejších premenných systému jadra sú vytvorené. Názov trvá menej ako 1 MB, ale operačný systém môže zvýšiť (alebo znížiť) veľkosť pagingového súboru nie je nižšia ako 1 MB.

Po načítaní manažéra relácie (Windows NT Session Manager; adresa disku - \\ t NTCREATEPAGEPAINGFILE Určuje, či existuje súbor inicializovaného stránky, a ak áno, potom je v ňom záhlavie výpisu. Ak je hlavička, potom NTCREATEPACTSFILE pošle špeciálny kód v správcovi relácie. Správca relácií spustí proces WinLogon (prihlasovací program na Windows NT; Disk Adresa - Windows System32 winlogon.exe), ktorý je informovaný o existencii núdzového výpisu. WinLogon spúšťa Sa Savdeump (program Windows NT Memory Copy Copy; Disk Adresa - Windows System32 SavePump.exe), ktorý analyzuje záhlavie výpisu a určuje ďalšie opatrenia v prípade núdze.

Ak titul poukazuje na existenciu skládky, sa Savtemp spisuje údaje z súboru stránky na súbor núdzového výpisu, ktorých názov je špecifikovaný reg_expand_sz-parameter Dumpfile secy Registry. Zatiaľ čo SavePUPUP prepíše súbor výpisu, operačný systém nepoužíva časť súboru stránky obsahujúcej núdzovú skládku. V tomto čase virtuálna pamäťK dispozícii na systém a aplikácie, klesá na veľkosť výpisu (existujú správy, ktoré označujú nedostatok virtuálnej pamäte na obrazovke). Savtemp potom informuje pamäťový manažér o ukončení ukladania skládok a uvoľňuje časť súboru stránky, v ktorom je skládka uložená na všeobecné použitie.

Uloženie súboru výpisu, program SavePUMPUMPUPUJÚCE REGISTRÁCIE O POUŽÍVANÍ NA VYKONÁVANÍ NÚDZOVÉHO DLOŽKU VYKONÁVACIEHO SYSTÉMU, Napríklad: "Počítač bol reštartovaný po kritickej chybe: 0x100000D1 (0xc84D90A6, 0 × 00000010, 0 × 00000000, 0xc84D90A6) . Kópia pamäte sa uloží: C: Windows Minidump \\ MMI060309-01.DMP.

Ak je povolená možnosť odosielania administratívnej upozornenia, SaveDump odosiela upozornenie administrátora.

Odrody skládok

  • Displej plnej pamäte Zaznamenáva všetok obsah pamäťová pamäť Ak je vyblednutá chyba. Pre túto možnosť musíte mať stránkovací súbor na hlasitosti zavádzania, ktorých veľkosť je rovnaká ako objem celej fyzickej pamäte plus 1 MB. V predvolenom nastavení sa plná pamäťová skládka zaznamenáva v súbore% systemroot% Memory.dMP. Keď sa vyskytne novú chybu a vytvára nový súbor plného pamäte (alebo skládka pamäte jadra) predchádzajúci súbor. Nahradené (prepísané). Parameter plnej pamäte nie je k dispozícii na PC, ktorý má 32-bitový operačný systém a 2 alebo viac gigabajtov RAM.

Keď sa vyskytne novinka a vytvorí nový súbor s plnou dump, predchádzajúci súbor je nahradený.

  • Výpis jadrovej pamätezaznamenáva iba pamäť jadra, takže proces nahrávania údajov do protokolu s náhlou zastávkou systému prebieha rýchlejšie. V závislosti od objemu fyzickej pamäte PC v tomto prípade vyžaduje stránkovací súbor od 50 do 800 MB alebo jednu tretinu fyzickej pamäte počítača na hlasitosti zavádzania. V predvolenom nastavení je skládka pamäte jadra zaznamenaná v súbore% Systemroot% Memory.dMP.

Tento výpis neobsahuje nepridelenú pamäť alebo pamäť pridelené pre programy režimu používateľa. Zahŕňa iba pamäť pridelené pre úroveň jadra a hardvéru závislá (HAL) v systéme Windows 2000 a novších verziách systému, ako aj pamäť pridelená pre ovládače režimu jadra a iných programov režimu jadra. Vo väčšine prípadov je takýto výpis najvýhodnejší. Trvá to oveľa menej miesta v porovnaní s plnou pamäťou, pričom sa vylučuje len tie sektory pamäte, ktoré sú s najväčšou pravdepodobnosťou nesúvisí s chybou.
Keď sa vyskytne novú chybu a vytvorí nový súbor výpisu pamäte jadra, predchádzajúci súbor je nahradený.

  • Malý pamäťový výpis Zaznamenáva najmenší objem užitočná informáciapotrebné na určenie príčiny porúch. Ak chcete vytvoriť malý výpis pamäte, je potrebné, aby veľkosť pagingového súboru bola aspoň 2 MB na hlasitosti zavádzania.

Súbory pre malé pamäte obsahujú nasledujúce informácie:

  • správa o slabom chybách, jej parametroch a iných údajoch;
  • zoznam prevzatých ovládačov;
  • kontext procesora (PRCB), ktorý zlyhal;
  • informácie o procese a kontexte jadra (eProcess) pre proces, ktorý spôsobil chybu;
  • informácie o kontexte procesu a jadra (ETREAD) pre prietok, ktorý spôsobil chybu;
  • call Stack v režime jadra pre prúd spôsobený chybou.

Malý súbor skládky sa používa s obmedzeným priestorom na pevnom disku. Z dôvodu obmedzených informácií obsiahnutých v ňom však v dôsledku analýzy tohto súboru nie je vždy možné zistiť chyby, ktoré neboli priamo spôsobené prúdom, ktorý bol vykonaný v čase jeho výskytu.

V prípade Ďalšia chyba a vytvorenie druhej malej pamäte skládky do predchádzajúceho súboru je uložený. Každému prídavný súbor Uvádza sa jedinečný názov. Dátum je kódovaný v názve súboru. Napríklad Mini051509-01.DMP je prvá pamäť skládka vytvorená 15. mája 2009. Zoznam všetkých súborov pre malé pamäte sú uložené v priečinku % Systemroot% Minidump.

Operatívny systém Windows XP je nepochybne oveľa spoľahlivejšie predchádzajúce verzie- Vďaka úsiliu vývojárov spoločnosti Microsoft a vývojárov vodičov hardvéra aplikovaných vývojárov softvér. Avšak, núdzové situácie - všetky druhy porúch a kolaftov systému sú nevyhnutné, a o tom, či používateľ PC vlastní vedomosti a zručnosti v ich eliminácii, bude musieť minúť niekoľko minút na riešenie porúch (napríklad na aktualizáciu / Debug vodič alebo preinštalovanie aplikačný programSpôsobenie zlyhania systému) - alebo niekoľko hodín preinštalovať / nakonfigurovať operačný systém a aplikačný softvér (ktorý nezaručuje absenciu porúch a obojkov v budúcnosti!).

Mnoho správcovia systému Stále zanedbávaná analýzou núdzových skládok systému Windows, verí, že je príliš ťažké pracovať s nimi. Je to ťažké, ale môžete: aj keď napríklad analýza jedného výpisu z desiatich bude úspešná, - úsilie vynaložené na rozvoj najjednoduchších metód analýzy núdzových skládok nebude márne! ..

Uverejujem príklady z praxe "SYSADMIN".

V lokálna sieť bez viditeľné dôvody ("Železo" v poriadku, nie sú zaručené žiadne vírusy, používatelia - s "normálnymi rukami") "poleg" niekoľko pracovných staníc s Windows XP SP1 / SP2 "na palube". Počítače načítané v normálnom režime zlyhali - rebootované na "pozdravy" - a reštartovať do nekonečna. V rovnakej dobe, v režime Secure PC načítaný.

Štúdium pamäte skládok umožnilo identifikovať príčinu chyby: vinník sa ukázal ako Kaspersky antivírus, presnejšie, čerstvé antivírusové základy (Ak je presnejšie, potom dve databázové moduly - base372c.avc, base032c.avc).

... stále takýto prípad. Na miestnom počítači so systémom Windows XP SP3, keď sa pokúsite otvoriť video súbory. Formát .avi a.mpeg bol reštartovaný. Štúdia pamäte Dump bola umožnená identifikovať príčinu chyby - súbor nv4_disp.dll vodiča grafickej karty NVIDIA GEFORCE. 6600. Po aktualizácii vodiča bola chyba odstránená. Všeobecne platí, že vodič NV4_DISP.dll je jedným z najstabilnejších ovládačov, ktoré často viedli k BSOD.

V oboch prípadoch sa štúdium núdzovej pamäte výpisu umožnila minimalizovať (niekoľko minút!) Znížiť čas na diagnostiku a riešenie problémov.

Analýza výpisu pamäte

Existuje mnoho programov na analýzu núdzových pamäťových skládok, napríklad Dumpchk, Kanalyze, Windbg.

Zvážte analýzu skládok pamäte alarmu pomocou programu WindbG (časť debugovacích nástrojov pre Windows).

Inštalácia debugovacích fondov

  • navštívte webovú stránku http://www.microsoft.com/whdc/devtools/debugging/default.mspx Microsoft Corporation;
  • stiahnite si ladiace nástroje pre Windows, napríklad pre 32-bitovú verziu systému Windows, môže sa to uskutočniť na stiahnutí racking nástrojov pre stránku Windows;
  • po stiahnutí, beh inštalačný súbor.;
  • v nástrojoch ladenia pre Sprievodcu nastavením systému Windows, kliknite na tlačidlo Ďalej;
  • v okne Licenčnej zmluvy nastavte súhlasím -\u003e ďalší spínač;
  • v ďalšom okne vyberte typ inštalácie (predvolené ladiace nástroje sú nainštalované v programových súboroch Debugging Tools pre priečinok Windows) -\u003e Ďalšie -\u003e Install -\u003e Dokončenie;
  • ak chcete interpretovať súbory výpisu pamäte, musíte tiež stiahnuť znakové balíčky (symbolové balíky, takzvané znakové súbory alebo ladenie súborov) pre vašu verziu systému Windows - Prejdite na stránku Stiahnite si Balíky symbolov Windows;
  • vyberte svoju verziu systému Windows, sťahovať a spustiť inštalačný súbor symbolov;
  • v okne Licenčnej zmluvy kliknite na tlačidlo Áno;
  • v ďalšom okne vyberte priečinok pre inštaláciu (predvolené je ponúkané možnosť Windows Symboly) -\u003e OK -\u003e Áno;
  • v okne Microsoft Windows. Symboly s "Inštalácia je kompletná", kliknite na tlačidlo OK.

Pomocou programu WindbG na analýzu skládok núdzového pamäte

  • spustite WindbG (predvolené je nainštalované v programových súboroch Debugging Nástroje pre priečinok Windows);
  • vyberte súbor -\u003e Symbol File Path Menu ...
  • v okne Cesta symbol vyhľadávania kliknite na tlačidlo Prehľadávať ...;
  • v okne Prehľad priečinkov zadajte umiestnenie priečinka Symboly (predvolené - Windows symbols) -\u003e OK -\u003e OK;
  • vyberte ponuku Súbor -\u003e Otvorenie nárazovej skládky ... (alebo stlačte CTRL + D);
  • v okne Open Crash Sump zadajte umiestnenie súboru s výpisom zlyhania (* .DMP) -\u003e otvorené;
  • v okne pracovného priestoru s otázkou "Uložiť informácie pre pracovný priestor?", Skontrolujte znova Don "T opýtať sa -\u003e Nie;
  • okno príkazového výpisu sa otvorí v okne WindbG<путь_и_имя_файла_дампа> s analýzou výpisu;
  • preskúmajte analýzu výpisu pamäte;
  • v "Bugcheck analýza" bude špecifikovaná možný dôvod Crash, napríklad, "pravdepodobne spôsobené: SMWDM.sys (SMWDM + 454D5)";
  • zobraziť detailné informácie Kliknite na odkaz "! Analyze--V" v "Použite! AnalyzeE -V, ak chcete získať podrobné informácie o ladení;
  • zavrieť Windbg;
  • použite informácie prijaté na odstránenie príčiny poruchy.

Napríklad v nasledujúcom screenshote, príčinou poruchy je súbor NV4_DISP.dll ovládača grafickej karty.

V systéme Windows sa okná veľmi často vyskytujú chyby, dokonca aj v prípade systému "čistého". Ak je možné vyriešiť zvyčajné chyby programu (zobrazí sa správa o chýbajúcej zložke), potom správne kritické chyby budú oveľa zložitejšie.

Čo je pamäťová výpis v oknách

Na riešenie problémov so systémom sa zvyčajne používa skládka núdzovej pamäte - toto je obrázok Alebo plné množstvo pamäte RAM a umiestnením na nestabilný nosič ( hdd). Inými slovami, obsah pamäte RAM plne alebo čiastočne skopírovaný do média a užívateľ môže analyzovať výpis pamäte.

Existuje niekoľko typov pamäti skládok:

Dump (Malý pamäťový výpis) - Uloží minimálny objem RAM, kde sú informácie o kritických chybách (BSOD) a komponentoch, ktoré boli prevzaté počas prevádzky systému, napríklad vodič, programy. Mínus Uložené pozdĺž cesty C: Windows Minidump.

Plná skládka (Kompletná pamäťová skládka) - Uchováva sa celkový objem RAM. To znamená, že veľkosť súboru sa rovná množstvu RAM. Ak je na disku málo miesta, bude to problematické na udržanie, napríklad 32 GB. Existujú aj problémy s vytvorením súboru výpisu pamäte viac ako 4 GB. Tento druh Sa používa veľmi zriedka. Uložené pozdĺž cesty C: Windows pamäte.dmp.

Výpis pamäťové jadro - Uložia sa iba informácie týkajúce sa jadra systému.

Keď sa užívateľ príde na analýzu chýb, stačí používať iba minidamp (malý skládka). Ale predtým, musí byť zapnutý, inak nebude možné rozpoznať problém. Aj pre efektívnejšie zisťovanie nehody. Používanie kompletného obrazu pamäte je vhodnejšie.

Informácie v registri

Ak sa pozriete do registra systému Windows, môžete zistiť niektoré užitočné nastavenia snímok. Kliknite na kombináciu tlačidiel WIN + R, zadajte príkaz regedit. a otvorte nasledujúce pobočky:

HKEY_LOCAL_MACHINE SYSTÉMUJÚCE SYSTÉMU SKÚŠKACIE

V tejto pobočke užívateľ zistí nasledujúce parametre:

  • AutoReboot. - Aktivácia alebo vypnutie reštartu po vytvorení modrej obrazovky smrti (BSOD).
  • Dumpfile - názov typov skládok a umiestnenia.
  • Crashdumpd. - Počet vytvorenej súboru, napríklad, číslo 0 - výpis nie je vytvorený; 1 - Vytvorenie plnej skládky; 2 - Vytvorenie nukleusovej skládky; 3 - Vytvorenie malého skládky.
  • Dumpfilters. - Parameter vám umožní pridať nové funkcie pred vytvorením obrázka. Napríklad šifrovanie súborov.
  • Miniidumpdir - názov malej skládky a jeho umiestnenia.
  • Logent. - Aktivujte záznam informácií v systémovom denníku.
  • Miniidumppscount - Opýtajte sa počet vytvorených malých skládok. (Prekročenie tejto sumy zničí staré súbory a nahradiť ich).
  • Prepísať. - Funkcia pre kompletný výpis alebo systémový. Pri vytváraní novej snímky bude predchádzajúci vždy nahradený novým.
  • Dedrateddump - Vytvorenie alternatívneho obrazového súboru a indikuje jeho cestu.
  • Ignorovaťpagefilesize - Používa sa na dočasné usporiadanie obrázka bez použitia pagingového súboru.

Ako to funguje

Ak sa vyskytne zlyhanie, systém úplne zastaví svoju prácu a ak je vytvorenie skládok aktívne, sa zaznamená do súboru, ktorý je umiestnený na disku informácie o probléme. Ak sa niečo stalo fyzickým komponentom, núdzový kód bude fungovať, a žehlička, ktoré urobili zlyhanie, urobí akékoľvek zmeny, ktoré budú nevyhnutne ovplyvniť obraz.

Typicky sa súbor uloží do bloku pevného disku určeného pre súbor BSOD, po zobrazení BSOD sa súbor prepíše k názoru, že používateľ bol nakonfigurovaný (malý, úplný alebo sklápací jadro). Aj keď v modernom OS, účasť súbor nemusí nevyhnutne.

Ako zapnúť skládky

V Windows 7.:

V Windows 8 a 10:

Tu je proces trochu ako trochu, v informáciách o systéme, ktorý môžete získať rovnako ako v systéme Windows 7. V "desiatok" Tento počítač", Kliknite na pravé miesto pravé tlačidlo myši a vyberte položku" Vlastnosť" Iným spôsobom sa môžete dostať cez ovládací panel.

Druhá možnosť Windows 10.:


Treba poznamenať, že v nových verzie systému Windows 10 sa objavilo nové položky, ktoré neboli v "sedem":

  • Dump Pamäť 256 KB - Minimálne údaje o zlyhaní.
  • Aktívny výpis - objavili sa v desiatej verzii systému a uloží iba aktívnu pamäť počítača, systémové jadrá a používateľa. Odporúča sa používať na serveroch.

Ako odstrániť výpis

Stačí ísť do adresára, kde sa pamäť uložia a jednoducho ich odstránia. Existuje však ďalší spôsob, ako odstrániť - pomocou pomôcky na čistenie disku:

Ak neboli nájdené žiadne položky, možno neboli zahrnuté skládky.

Aj keď ste ich kedysi zahrnovali, niektoré použité utility optimalizácie systému môžu ľahko vypnite určitú funkciu. Často sa veľa vecí vypne SSD diskyKeďže viaceré možnosti čítania a záznamov sú pre zdravie tohto disku veľmi škodlivé.

Analýza výpisu pamäte s WindbG

Stiahnite si z oficiálnej stránky Microsoft to Program v kroku 2, kde je opísaný " InštaláciaWDK."- https://docss.microsoft.com/en-us/windows-hardware/Drivers/download-the-wDK.

Ak chcete pracovať s programom, budete stále potrebovať špeciálny balík debugovacích znakov. To sa nazýva Ladiace symboly., Predtým, než by sa mohol stiahnuť z spoločnosti Microsoft, ale teraz opustia túto myšlienku a musia používať funkciu súborové programy — « Cesta symbolu.", Kde zadať ďalší riadok a kliknite na tlačidlo OK:

nastaviť _nt_symbol_path \u003d SRV * DownstreamStore * https: //msdl.microsoft.com/download/symbols

Ak som nefungoval, skúste tento príkaz:

SRV *% Systemroot% Symboly * http: //msdl.microsoft.com/download/symbols

Znova stlačte položku "File" a vyberte možnosť "Save Workspace".

Nástroj je nakonfigurovaný. Zostáva určiť cestu k súborom výpisu pamäte. Ak to chcete urobiť, kliknite na položku Súbor a kliknite na možnosť " O.pero.Havárie.Výpis" Umiestnenie všetkých skládok je uvedené na začiatku článku.

Po výbere sa analýza skončí a komponent problému sa automaticky zvýrazní. Pre získanie viac Informácie V tom istom okne môžete zadať taký príkaz: Analyzujte -V.

Analýza s BluescreenView

Nástroj môžete stiahnuť zadarmo z tejto stránky - http://www.nirsoft.net/utils/blue_screen_view.html. Inštalácia nevyžaduje žiadne zručnosti. Používa len v systéme Windows 7 a vyššie.

Spustiť a konfigurovať. Kliknite na "Nastavenia" (možnosti) - " Extra možnosti"(Pokročilé nastavenia). Vyberte prvú položku " Stiahnite si minidamps z tohto priečinka"A špecifikujte katalóg - C: Windows Minidump. Aj keď môžete jednoducho kliknúť na tlačidlo "Predvolené". Kliknite na tlačidlo OK.

V hlavnom okne sa musia zobraziť súbory výpisu. Môže to byť ako jeden a niekoľko. Ak ho chcete otvoriť, stačí ho na to stlačiť.

V spodnej časti okna sa zobrazia komponenty, ktoré sa podieľali v čase zlyhania. Červená farba bude zvýraznená vinník nehody.

Teraz kliknite na "Súbor" a vyberte napríklad položku " Nájsť.kód chyby ONGA + vodič" Ak sa nájde potrebný vodičInštalácia a reštartovanie počítača. Možno, že chyba zmizne.



Páči sa vám článok? Zdieľaj to
Odporúčané články na tému
Magnetometria v najjednoduchšej verzii Ferrozond sa skladá z feromagnetického jadra a dvoch cievok na ňomMagnetometria v najjednoduchšej verzii Ferrozond sa skladá z feromagnetického jadra a dvoch cievok na ňom
Efektívny hľadaný kurz práceEfektívny hľadaný kurz práce
Hlavné charakteristiky a parametre fotodiódyHlavné charakteristiky a parametre fotodiódy
Návštevníci teraz diskutujú
Ako upraviť PDF (päť aplikácií na zmenu súborov PDF) Ako odstrániť jednotlivé stránky z PDFAko upraviť PDF (päť aplikácií na zmenu súborov PDF) Ako odstrániť jednotlivé stránky z PDF Bezdrôtový
Prečo sa okno vystreleného programu dlho rozvíjalo?Prečo sa okno vystreleného programu dlho rozvíjalo? iPhone / iPad.
DXF2TXT - Export a preklad textu od AutoCADu na zobrazenie bodu DWG Traffic v txtDXF2TXT - Export a preklad textu od AutoCADu na zobrazenie bodu DWG Traffic v txt Problém
Čo robiť, ak kurzor myši zmizneČo robiť, ak kurzor myši zmizne Nastavenie