Къде се съхраняват bsod windows 10. Дъмпинг на памет при срив

По време на критичен срив операционната система Windows прекъсва и показва син екран на смъртта (BSOD). Съдържанието на RAM и цялата информация за възникналата грешка се записва във файла за пейджинг. Следващият път, когато Windows стартира, се генерира срив с информация за отстраняване на грешки въз основа на записаните данни. Критична грешка се генерира в системния регистър на събитията.

Внимание! Дамп при срив не се генерира, ако дисковата подсистема се повреди или възникне критична грешка в началния етап на стартиране на Windows.

Видове сметища за срив на Windows

Използвайки примера на текущата операционна система Windows 10 (Windows Server 2016), ще разгледаме основните типове сметища на паметта, които системата може да създаде:

• Малък дъмп на паметта (256 KB). Този тип файл съдържа минимално количество информация. Той съдържа само съобщението за грешка BSOD, информация за драйверите, процесите, които са били активни по време на срива и кой процес или нишка на ядрото са причинили срив.
• Дъмпинг на паметта на ядрото... Типично малък по размер - една трета от физическата памет. Дъмпингът на паметта на ядрото е по-подробен от мини дъмп. Той съдържа информация за драйверите и програмите в режим на ядро, включва памет, разпределена на ядрото на Windows и хардуерния абстракционен слой (HAL), и памет, разпределена на драйвери и други програми в режим на ядро.
• Пълно изхвърляне на паметта... Най-голям по обем и изисква памет, равна на RAM на вашата система плюс 1MB, необходима на Windows за създаване на този файл.
• Автоматично изхвърляне на паметта... Съответства на дъмп на паметта на ядрото по отношение на информация. Различава се само по това колко място използва за генериране на файла за изхвърляне. Този тип файл не съществува в Windows 7. Той е добавен в Windows 8.
• Дъмпинг на активна памет... Този тип филтрира елементи, които не могат да определят причината за повредата на системата. Това е добавено в Windows 10 и е особено полезно, ако използвате виртуална машина или ако вашата система е хост Hyper-V.

Как да активирам дъмп на памет в Windows?

Използвайте Win + Pause, за да отворите прозореца на системните настройки, изберете " Допълнителни параметри на системата"(Разширени настройки на системата). В раздела „ Освен това"(Разширени), раздел" "(Стартиране и възстановяване) кликнете" Настроики"(Настройки). В прозореца, който се отваря, конфигурирайте действията в случай на отказ на системата. Поставете отметка в квадратчето „ Напишете събития в системния дневник"(Напишете събитие в системния дневник), изберете типа изхвърляне, което да се генерира, когато системата се срине. Ако квадратчето за отметка „ Заменете съществуващия файл за изхвърляне"(Запишете всеки съществуващ файл) поставете отметка в квадратчето, след което файлът ще бъде заменен при всяка грешка. По-добре е да премахнете това квадратче, тогава ще имате повече информация за анализ. Деактивирайте и автоматичното рестартиране на системата (Автоматично рестартиране).

В повечето случаи, малък дъмп на памет ще бъде достатъчен, за да се анализира причината за BSOD.

Сега, ако възникне BSOD, можете да анализирате файла за изхвърляне и да намерите причината за сривовете. Minidump по подразбиране се записва в папката% systemroot% \\ minidump. За да анализирате файла за изхвърляне, препоръчвам да използвате програмата WinDBG(Debugger на ядрото на Microsoft).

Инсталиране на WinDBG на Windows

Полезност WinDBG включен в " Windows 10 SDK"(Windows 10 SDK). ...

Файлът се извиква winsdksetup.exe, размер 1.3 MB.

Стартирайте инсталацията и изберете какво точно искате да направите - инсталирайте пакета на този компютър или го изтеглете за инсталиране на други компютри. Инсталирайте пакета на вашия локален компютър.

Можете да инсталирате целия пакет, но за да инсталирате само инструмента за отстраняване на грешки, изберете Инструменти за отстраняване на грешки за Windows.

Веднъж инсталирани, клавишните комбинации на WinDBG могат да бъдат намерени в менюто "Старт".

Настройване на асоциирането на .dmp файлове с WinDBG

За да отворите dump файлове с просто щракване, свържете разширението .dmp с помощната програма WinDBG.

1. Отворете командния ред като администратор и изпълнете командите за 64-битова система: cd C: \\ Program Files (x86) \\ Windows Kits \\ 10 \\ Debuggers \\ x64
   windbg.exe –IA
   за 32-битова система:
   C: \\ Program Files (x86) \\ Windows Kits \\ 10 \\ Debuggers \\ x86
   windbg.exe –IA
2. В резултат на това типовете файлове: .DMP, .HDMP, .MDMP, .KDMP, .WEW - ще бъдат свързани с WinDBG.

Настройване на сървър за отстраняване на грешки в WinDBG

Символите за отстраняване на грешки (символи за отстраняване на грешки или файлове със символи) са блокове от данни, генерирани по време на компилирането на програма заедно с изпълним файл. Такива блокове данни съдържат информация за имената на променливи, наречени функции, библиотеки и т.н. Тези данни не са необходими при изпълнение на програмата, но са полезни при отстраняване на грешки. Компонентите на Microsoft се компилират със символи, разпространявани чрез Microsoft Symbol Server.

Конфигурирайте WinDBG да използва Microsoft Symbol Server:

• Отворете WinDBG;
• Отидете в менюто Файл –> Път на символния файл;
• Добавете ред, съдържащ URL адреса за изтегляне на символи за отстраняване на грешки от сайта на Microsoft и папката за запазване на кеша: SRV * E: \\ Sym_WinDBG * http: //msdl.microsoft.com/download/symbols В примера кешът се зарежда в папката E: \\ Sym_WinDBG посочете всеки.
• Не забравяйте да запазите промените в менюто Файл–> Запазване на WorkSpace;

WinDBG ще търси символи в локалната папка и ако не намери необходимите символи в нея, автоматично ще изтегли символи от посочения сайт. Ако искате да добавите своя собствена папка със символи, можете да го направите по следния начин:

SRV * E: \\ Sym_WinDBG * http: //msdl.microsoft.com/download/symbols; c: \\ Symbols

Ако нямате връзка с интернет, първо изтеглете пакета със символи от ресурса на Windows Symbol Packages.

Анализ на изхвърляне при срив в WinDBG

Дебъгерът на WinDBG отваря файла за изхвърляне и изтегля необходимите символи за отстраняване на грешки от локална папка или от Интернет. По време на този процес не можете да използвате WinDBG. В долната част на прозореца (в командния ред за отстраняване на грешки) се появява надпис Дебюджетът не е свързан.

Командите се въвеждат в командния ред в долната част на прозореца.

Най-важното нещо, на което трябва да обърнете внимание, е кодът за грешка, който винаги е посочен в шестнадесетична стойност и изглежда така 0xXXXXXXXX (посочено в една от опциите - СТОП :, 02.07.2019 0008F, 0x8F). В нашия пример кодът за грешка е 0x139.

Дебъгерът ви подканва да стартирате командата! Analyze -v, просто задръжте курсора на мишката върху връзката и щракнете. За какво е тази команда?

• Той извършва предварителен анализ на дъмп на паметта и предоставя подробна информация за започване на анализа.
• Тази команда ще покаже STOP кода и символното име на грешката.
• Той показва стека на повикванията на командите, довели до необичайно прекратяване.
• Освен това тук се показват грешки в IP адреса, процесите и регистрите.
• Екипът може да предостави готови препоръки за решаване на проблема.

Основните моменти, на които трябва да обърнете внимание при анализ след стартиране на командата! Analyze –v (списъкът е непълен).

1: kd\u003e! Анализирайте -v

* *
* Анализ на грешки *
* *
*****************************************************************************
Символичното име на грешката STOP (BugCheck)
KERNEL_SECURITY_CHECK_FAILURE (139)
Описание на грешката (Компонентът на ядрото е повредил критична структура от данни. Тази повреда може потенциално да позволи на атакуващия да получи контрол над тази машина):

Компонентът на ядрото е повредил критична структура от данни. Повредата може потенциално да позволи на злонамерен потребител да получи контрол над тази машина.
Аргументи за грешка:

Аргументи:
Arg1: 0000000000000003, LIST_ENTRY е повреден (т.е. двойно премахване).
Arg2: ffffd0003a20d5d0, Адрес на рамката за улавяне за изключението, което е причинило проверка на грешки
Arg3: ffffd0003a20d528, Адрес на записа за изключение за изключението, което е причинило проверката на грешки
Arg4: 0000000000000000, Резервирано
Подробности за отстраняване на грешки:
------------------

Броячът показва колко пъти системата се е сринала с подобна грешка:

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: FAIL_FAST_CORRUPT_LIST_ENTRY

STOP код за грешка в съкратен формат:

BUGCHECK_STR: 0x139

Процесът, по време на изпълнението на който е възникнал отказ (не е задължително причината за грешката, точно по време на отказа в паметта, този процес е стартиран):

PROCESS_NAME: sqlservr.exe

Дешифриране на кода за грешка: Системата откри препълване на буфер на стека в това приложение, което може да позволи на атакуващия да поеме контрола над това приложение.

ERROR_CODE: (NTSTATUS) 0xc0000409 - Системата откри превишаване на базирания на стека буфер в това приложение. Това превишаване може потенциално да позволи на злонамерен потребител да получи контрол над това приложение.
EXCEPTION_CODE: (NTSTATUS) 0xc0000409 - Системата откри превишаване на базирания на стека буфер в това приложение. Това превишаване може потенциално да позволи на злонамерен потребител да получи контрол над това приложение.

Последно обаждане в стека:

LAST_CONTROL_TRANSFER: от fffff8040117d6a9 до fffff8040116b0a0

Стек разговори по време на неуспех:

STACK_TEXT:
ffffd000`3a20d2a8 fffff804`0117d6a9: 00000000`00000139 00000000`00000003 ffffd000`3a20d5d0 ffffd000`3a20d528: nt! KeBugCheckEx
ffffd000`3a20d2b0 fffff804`0117da50: ffffe000`f3ab9080 ffffe000`fc37e001 ffffd000`3a20d5d0 fffff804`0116e2a2: nt! KiBugCheckDispatch + 0x69
ffffd000`3a20d3f0 fffff804`0117c150: 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000: nt! KiFastFailDispatch + 0xd0
ffffd000`3a20d5d0 fffff804`01199482: ffffc000`701ba270 ffffc000`00000001 000000ea`73f68040 fffff804`000006f9: nt! KiRaiseSecurityCheckFailure + 0x3d0
ffffd000`3a20d760 fffff804`014a455d: 00000000`00000001 ffffd000`3a20d941 ffffe000`fcacb000 ffffd000`3a20d951: nt! ?? :: FNODOBFM :: `низ" + 0x17252
ffffd000`3a20d8c0 fffff804`013a34ac: 00000000`00000004 00000000`00000000 ffffd000`3a20d9d8 ffffe001`0a34c600: nt! IopSynchronousServiceTail + 0x379
ffffd000`3a20d990 fffff804`0117d313: ffffffff`fffffffe 00000000`00000000 00000000`00000000 000000eb`a0cf1380: nt! NtWriteFile + 0x694
ffffd000`3a20da90 00007ffb`475307da: 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000: nt! KiSystemServiceCopyEnd + 0x13
000000ee`f25ed2b8 00000000`00000000: 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000: 0x00007ffb`475307da

Разделът на кода, където е възникнала грешката:

FOLLOWUP_IP:
nt! KiFastFailDispatch + d0
fffff804`0117da50 c644242000 mov байт ptr, 0
FAULT_INSTR_CODE: 202444c6
SYMBOL_STACK_INDEX: 2
SYMBOL_NAME: nt! KiFastFailDispatch + d0
FOLLOWUP_NAME: MachineOwner

Името на модула в таблицата на обекта на ядрото. Ако анализаторът открие проблемен драйвер, името се показва в полетата MODULE_NAME и IMAGE_NAME:

MODULE_NAME: nt
IMAGE_NAME: ntkrnlmp.exe

1: kd\u003e lmvm nt
Прегледайте пълния списък с модули
Зареден файл с изображение на символ: ntkrnlmp.exe
Файл с изображение на картирана памет: C: \\ ProgramData \\ dbg \\ sym \\ ntoskrnl.exe \\ 5A9A2147787000 \\ ntoskrnl.exe
Път на изображението: ntkrnlmp.exe
Име на изображението: ntkrnlmp.exe
Вътрешно име: ntkrnlmp.exe
OriginalFilename: ntkrnlmp.exe
ProductVersion: 6.3.9600.18946
FileVersion: 6.3.9600.18946 (winblue_ltsb_escrow.180302-1800)

В горния пример анализът сочи към файла на ядрото ntkrnlmp.exe. Когато анализът на дъмп на памет сочи към системен драйвер (например win32k.sys) или файл на ядрото (както в нашия пример ntkrnlmp.exe), този файл най-вероятно не е причината за проблема. Много често се оказва, че проблемът се крие в драйвера на устройството, настройките на BIOS или неизправността на хардуера.

Ако видите, че BSOD се дължи на драйвер на трета страна, името му ще бъде посочено в стойностите MODULE_NAME и IMAGE_NAME.

Например:

Път на изображението: \\ SystemRoot \\ system32 \\ drivers \\ cmudaxp.sys
Име на изображението: cmudaxp.sys

Отворете драйвера си и проверете версията му. В повечето случаи проблемът с драйверите се решава чрез актуализирането им.

Всички системи на Windows, след като открият фатална грешка, правят изваждане на срив (моментна снимка) на съдържанието на RAM и го записват на твърдия диск. Има три вида сметища на паметта:

Дъмпинг на пълна памет - запазва цялото съдържание на основната памет. Размерът на моментната снимка е равен на размера на RAM + 1 MB (заглавна част). Това се използва рядко, тъй като размерът на сметището ще бъде твърде голям за системи с много памет.

Изхвърляне на паметта на ядрото - Съхранява информация от основната памет, която е специфична само за режима на ядрото. Информацията за потребителския режим не се запазва, тъй като не носи информация за причината за срива на системата. Размерът на файла за изхвърляне зависи от размера на RAM и варира от 50 MB (за системи с 128 MB RAM) до 800 MB (за системи с 8 GB RAM).

Малък дъмп на памет (мини дъмп) - съдържа доста малко количество информация: код за грешка с параметри, списък с драйвери, заредени в RAM по време на срива на системата и т.н., но тази информация е достатъчна за идентифициране на неуспешен драйвер. Друго предимство на този тип дъмп е малкият размер на файла.

Системни настройки

За да идентифицирате драйвера, който го е извикал, ще бъде достатъчно да използвате малък дъмп на паметта. За да може системата да запази мини дъмп по време на срив, трябва да изпълните следните стъпки:

След извършване на всички манипулации, след всяка BSoD, файл с разширението .dmp ще бъде запазен в папката C: \\ WINDOWS \\ Minidump. Съветвам ви да прочетете материала "". Можете също да поставите отметка в квадратчето „ Заменете съществуващия файл за изхвърляне”. В този случай всеки нов дъмпинг на срив ще замени стария. Не препоръчвам да активирате тази опция.

Анализ на изхвърляне при срив с помощта на BlueScreenView

И така, след като се появи синият екран на смъртта, системата запази ново сметище. Препоръчвам да използвате програмата BlueScreenView за анализ на сметището. Може да се изтегли безплатно. Програмата е доста удобна за потребителя и има интуитивен интерфейс. След като го инсталирате, първото нещо, което трябва да направите, е да посочите местоположението на сметищата на паметта в системата. За да направите това, отидете в елемента от менюто „ Настроики„И изберете„ РазширеноНастроики”. Избиране на радио бутона “ ЗаредетеотнаследващиМини сметищепапка”И посочете папката, в която се съхраняват сметищата. Ако файловете се съхраняват в папката C: \\ WINDOWS \\ Minidump, можете да щракнете върху „ По подразбиране”. Щракнете върху OK и влезте в програмния интерфейс.

Програмата се състои от три основни блока:

1. Блок на главното меню и контролен панел;
2. Блок на списъка на сривовете на паметта;
3. В зависимост от избраните параметри, той може да съдържа:

• списък на всички драйвери в RAM преди появата на синия екран (по подразбиране);
• списък с драйвери, разположени в стека RAM;
• bSoD екранна снимка;
• и други ценности, които няма да използваме.

В блока на списъка за изваждане на паметта (на фигурата той е отбелязан с номер 2) изберете сметището, което ни интересува, и разгледайте списъка с драйвери, които са били заредени в RAM (на фигурата е отбелязан с номер 3). Драйверите, които бяха в стека памет, са оцветени в розово. Те са причината за появата на BSoD. След това отидете в Главното меню на драйвера, определете към кое устройство или програма принадлежат. На първо място, обърнете внимание на несистемните файлове, тъй като и без това системните файлове се зареждат в RAM. Лесно е да се види, че дефектният драйвер на изображението е myfault.sys. Ще кажа, че тази програма е стартирана специално, за да извика грешката Stop. След като идентифицирате дефектния драйвер, трябва или да го актуализирате, или да го премахнете от системата.

За да може програмата да покаже списъка с драйвери, намиращи се в стека памет по време на появата на BSoD, отидете на елемента от менюто „ Настроики"Щракнете върху менюто" НисъкПанелРежим„И изберете„ СамоШофьориНамеренВСтек"(Или натиснете клавиша F7) и за да покажете екранна снимка на грешката, изберете" СинЕкранвXPСтил”(F8). За да се върнете към списъка с всички драйвери, изберете елемента „ всичкоШофьори”(F6).

Грешки се случват много често в Windows OS, дори в случай на „чиста“ система. Ако често срещаните програмни грешки могат да бъдат разрешени (появява се съобщение за липсващ компонент), критичните грешки ще бъдат много по-трудни за отстраняване.

Какво е дъмп на памет в Windows

За решаване на проблеми със системата обикновено се използва сметище - това е моментна снимка част или цялото количество RAM и го поставете на енергонезависим носител (твърд диск). С други думи, съдържанието на основната памет се копира изцяло или частично на носителя и потребителят може да анализира дъмп на паметта.

Има няколко типа сметища на паметта:

Малко сметище (Small Memory Dump) - запазва минималното количество RAM, където се намира информация за критични грешки (BSoD) и компоненти, които са били заредени по време на работа на системата, например драйвери, програми. MiniDump съхранявани в пътя C: \\ Windows \\ Minidump.

Пълно изхвърляне (Complete Memory Dump) - запазва се цялото количество RAM. Това означава, че размерът на файла ще бъде равен на размера на RAM. Ако няма достатъчно място на диска, ще бъде проблематично да се спестят например 32 GB. Има и проблеми със създаването на файл за изхвърляне на памет, по-голям от 4 GB. Този тип се използва много рядко. Съхранява се в пътя C: \\ Windows \\ MEMORY.DMP.

Изхвърлете памет на ядрото - запазва се само информация, свързана със системното ядро.

Когато потребителят дойде да анализира грешката, той трябва само да използва minidamp (малък бункер). Но преди това трябва да се включи, в противен случай проблемът няма да бъде разпознат. Също така е за предпочитане да се използва снимка с пълна памет, за да се открие по-добре инцидент.

Информация в регистъра

Ако погледнете в системния регистър на Windows, ще намерите някои полезни опции за моментна снимка. Кликваме комбинацията от клавиши Win + R, въвеждаме командата regedit и отворете следните клонове:

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ CrashControl

В тази нишка потребителят ще намери следните параметри:

• Автоматично рестартиране - активиране или деактивиране на рестартиране след създаване на син екран на смъртта (BSoD).
• DumpFile - име на типовете сметища и местоположение.
• CrashDumpEnabled - номер на файла, който ще бъде създаден, например номер 0 - не се създава дъмп; 1 - създаване на пълно изхвърляне; 2 - създаване на дъмп на ядро; 3 - създаване на малък бунище.
• DumpFilters - този параметър ви позволява да добавяте нови функции, преди да направите моментна снимка. Например криптиране на файлове.
• MinidumpDir - името на малкото сметище и местоположението му.
• LogEvent - активиране на запис на информация в системния дневник.
• MinidumpsCount - задайте броя на създадените малки сметища. (Превишаването на този брой ще унищожи стари файлове и ще ги замени).
• Презапис - функция за пълно изхвърляне или система. Когато създавате нова снимка, предишната винаги ще бъде заменена с новата.
• DedicatedDumpFile - създаване на алтернативен файл с изображение и уточняване на пътя му.
• IgnorePagefileSize - използва се за временно разположение на моментната снимка, без да се използва пейджинг файл.

Как работи

Ако възникне отказ, системата напълно спира работата си и ако дъмпингът е активен, той ще бъде записан във файл, поставен на диск информация за проблема... Ако нещо се е случило с физическите компоненти, тогава аварийният код ще работи и хардуерът, който е неуспешен, ще направи промени, които определено ще бъдат отразени в моментната снимка.

Обикновено файлът се записва в блока на твърдия диск, отреден за файла за пейджинг, след появата на BSoD файлът се презаписва във формата, която потребителят сам е конфигурирал (малък, пълен или основен дъмп). Въпреки че в съвременните операционни системи файлът за пейджинг не се изисква.

Как да активирам сметища

IN Windows 7:

IN Windows 8 и 10:

Тук процесът е малко подобен, можете да влезете в системната информация по същия начин, както в Windows 7. В "Топ десет" не забравяйте да отворите " Този компютър", Щракнете върху свободното място с десния бутон на мишката и изберете" Имоти". Като алтернатива можете да стигнете до там чрез контролния панел.

Втори вариант за Windows 10:

Трябва да се отбележи, че в новите версии на Windows 10 се появиха нови елементи, които не бяха в "седемте":

• Малко сметище памет 256 KB - минимални данни за неизправност.
• Активно изхвърляне - появи се в десетата версия на системата и съхранява само активната памет на компютъра, системното ядро \u200b\u200bи потребителя. Препоръчва се за използване на сървъри.

Как да премахнете сметището

Достатъчно е да отидете в директорията, където се съхраняват моментните снимки и просто да ги изтриете. Но има и друг начин за деинсталиране - с помощта на помощната програма за почистване на диска:

Ако не са намерени предмети, сметищата може да не са били включени.

Дори ако сте ги активирали някога, някои използвани помощни програми за оптимизация на системата могат лесно деактивирайте някои функционалности... Често много неща се деактивират при използване на SSD устройства, тъй като многократните процедури за четене и запис са много вредни за здравето на това устройство.

Анализиране на дъмп на памет с WinDbg

Изтегляме тази програма от официалния уебсайт на Microsoft на стъпка 2, където е описано „ ИнсталацияWDK"- https://docs.microsoft.com/en-us/windows-hardware/drivers/download-the-wdk.

За да работите с програмата, имате нужда и от специален пакет от символи за отстраняване на грешки. Нарича се Символи за отстраняване на грешки, по-рано можеше да бъде изтеглен от уебсайта на Microsoft, но сега те се отказаха от тази идея и ще трябва да използват функцията File file - “ Път на символния файл", Където трябва да въведете следния ред и щракнете върху OK:

задайте _NT_SYMBOL_PATH \u003d srv * DownstreamStore * https: //msdl.microsoft.com/download/symbols

Ако не работи, опитайте тази команда:

SRV *% systemroot% \\ symbols * http: //msdl.microsoft.com/download/symbols

Щракнете отново върху елемента „Файл“ и изберете опцията „Запазване на работното пространство“.

Помощната програма вече е конфигурирана. Остава да се посочи пътят до файловете с дъмп на паметта. За да направите това, щракнете върху Файл и щракнете върху опцията “ ОхимилкаКатастрофаИзхвърлете". Местоположението на всички сметища е посочено в началото на статията.

След избора анализът ще приключи и проблемният компонент ще бъде автоматично подчертан. За да получите повече информация в същия прозорец, можете да въведете следната команда: ! анализиране –v

Анализ с BlueScreenView

Можете да изтеглите инструмента безплатно от този сайт - http://www.nirsoft.net/utils/blue_screen_view.html. Инсталирането не изисква никакви умения. Използва се само за Windows 7 и по-нови версии.

Стартирайте и конфигурирайте. Щракнете върху „Опции“ - „ Допълнителни опции"(Разширени опции). Изберете първия елемент " Заредете MiniDumps от тази папка"И посочете директорията - C: \\ WINDOWS \\ Minidump... Въпреки че можете просто да щракнете върху бутона "По подразбиране". Щракнете върху OK.

Файловете за изхвърляне трябва да се появят в главния прозорец. Тя може да бъде една или няколко. За да го отворите, просто кликнете върху него с мишката.

Долната част на прозореца показва компонентите, които са били използвани по време на повредата. Виновникът за инцидента ще бъде подчертан в червено.

Сега щракнете върху "Файл" и изберете например елемента " Намерете в Google код за грешка + драйвер". Ако намерите желания драйвер, инсталирайте и рестартирайте компютъра. Грешката може да изчезне.

Ако видите така наречения син екран на смъртта в Windows 10 и вече сте готови да изпаднете в нервна кома, дръпнете се заедно и се опитайте да разрешите възникналия проблем. За начало си струва да се каже, че това зловещо съобщение ви сигнализира за критична системна грешка. Освен това далеч не винаги е възможно да уловите момента и да имате време да прочетете кода за грешка, когато Windows попадне в синия екран на смъртта и устройството се рестартира. Веднага отбелязваме, че има огромен брой решения на този проблем, както и причините за появата на син екран. В тази статия ще се опитаме да разгледаме вероятните причини за синия екран на щастието, както и възможните решения на проблема.

В по-голямата част от случаите синият екран на смъртта сигнализира за грешка BAD_POOL_CALLER - стоп 0x000000c2. Нека си признаем, трудно е да се диагностицира тази грешка, но може би ще се опитаме да опишем алгоритъма за следващите ви действия, като използваме тази грешка като пример.

За да диагностицирате правилно проблема, първо трябва да анализирате специален системен файл, наречен minidump (дъмп на паметта). Системна неизправност води до създаването на такива файлове, освен това те могат да ни информират - какво точно е причинило неуспеха.

1. За да активирате такъв автоматичен запис на малък дъмп на паметта (деактивиран по подразбиране), отидете на свойствата на компютъра и отидете в раздела „Разширени системни настройки“ (тази опция е предоставена за всички системи, а не само за Windows 10):

По правило всички файлове на minidump се записват, когато се появи син екран на смъртта (BSOD) и можете да ги намерите в папката C: \\ Windows \\ Minidump. Забележително е, че името на файла съдържа текущата дата - когато е създаден, което улеснява много по-лесно идентифицирането на датата на грешката, особено като се има предвид, че може да има повече от един такъв файл.

Два начина за декриптиране на мини дамп за малки дами

Първият начин, е да използвате доста популярната помощна програма BlueScreenView. Тази помощна програма също може да бъде добър вариант за анализ на дъмп на памет. Използването на тази помощна програма ще бъде полезно като начин за идентифициране на проблемния драйвер.

Освен това е особено забележително с факта, че с негова помощ е възможно да видите BSOD (син екран на смъртта) като в замръзнала рамка, както беше при срив на системата. Той показва часа и датата на повредата, информация за драйвера или модула с версията и кратко описание. Освен това помощната програма се предлага на много езици, включително руски. Така че програмата BlueScreenView е точно това, от което се нуждаете, за да направите бърз анализ на сметищата на паметта в случай на BSOD.

За втори начин трябва да инсталирате инструменти за отстраняване на грешки за Windows и да изтеглите помощната програма bsdos_utility. След това, след разопаковане на скрипта bsdos_utility.cmd, трябва да го преместите в C: \\ устройството (можете да създадете отделна папка, но не забравяйте, че адресният ред за стартиране на скрипта ще се различава от нашия пример). След това в командния ред трябва да напишете:

C: \\ bsdos_utility.cmd

След изброяване на всички сметища от списъка C: \\ Windows \\ Minidump \\, след което скриптът ще попита кой дъмп трябва да бъде анализиран. Можете също така сами да изберете необходимия minidump, когато стартирате скрипта:

По подобен начин е възможно да се открият много грешки в Windows 10, поради които BSOD е отпаднал, както и програми problematic.exe, поради които е възникнал син екран.