Как да отворите дъмп на памет на Windows 10. Анализиране на дъмп на памет

Грешки се случват много често в Windows OS, дори в случай на „чиста“ система. Ако често срещаните програмни грешки могат да бъдат разрешени (появява се съобщение за липсващ компонент), критичните грешки ще бъдат много по-трудни за отстраняване.

Какво е дъмп на памет в Windows

За решаване на проблеми със системата обикновено се използва сметище - това е моментна снимка част или цялото количество RAM и го поставете на енергонезависим носител (твърд диск). С други думи, съдържанието на основната памет се копира изцяло или частично на носителя и потребителят може да анализира дъмп на паметта.

Има няколко типа сметища на паметта:

Малко сметище (Small Memory Dump) - запазва минималното количество RAM, където се намира информация за критични грешки (BSoD) и компоненти, които са били заредени по време на работа на системата, например драйвери, програми. MiniDump съхранявани в пътя C: \\ Windows \\ Minidump.

Пълно изхвърляне (Complete Memory Dump) - запазва се цялото количество RAM. Това означава, че размерът на файла ще бъде равен на количеството RAM. Ако няма достатъчно място на диска, ще бъде проблематично да се спестят например 32 GB. Има и проблеми със създаването на файл за изхвърляне на памет, по-голям от 4 GB. Този тип се използва много рядко. Съхранява се в пътя C: \\ Windows \\ MEMORY.DMP.

Изхвърлете памет на ядрото - запазва се само информация, свързана със системното ядро.

Когато потребителят стигне до анализа на грешката, той трябва само да използва minidamp (малък бункер). Но преди това трябва да се включи, в противен случай проблемът няма да бъде разпознат. Също така е за предпочитане да се използва пълна снимка за по-добро откриване на произшествие.

Информация в регистъра

Ако погледнете в системния регистър на Windows, ще намерите някои полезни опции за моментна снимка. Кликваме комбинацията от клавиши Win + R, въвеждаме командата regedit и отворете следните клонове:

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ CrashControl

В тази нишка потребителят ще намери следните параметри:

• Автоматично рестартиране - активиране или деактивиране на рестартиране след създаване на син екран на смъртта (BSoD).
• DumpFile - име на типовете сметища и местоположение.
• CrashDumpEnabled - номер на файла, който ще се създаде, например номер 0 - не се създава дъмп; 1 - създаване на пълно изхвърляне; 2 - създаване на дъмп на ядро; 3 - създаване на малко сметище.
• DumpFilters - този параметър ви позволява да добавяте нови функции, преди да направите моментна снимка. Например криптиране на файл.
• MinidumpDir - името на малкото сметище и местоположението му.
• LogEvent - активиране на запис на информация в системния дневник.
• MinidumpsCount - задайте броя на малките сметища, които да бъдат създадени. (Превишаването на този брой ще унищожи стари файлове и ще ги замени).
• Презапис - функция за пълно изхвърляне или система. Когато създавате нова снимка, предишната винаги ще бъде заменена с нова.
• DedicatedDumpFile - създаване на алтернативен файл с изображение и уточняване на пътя му.
• IgnorePagefileSize - използва се за временно разположение на моментната снимка, без да се използва пейджинг файл.

Как работи

Ако възникне неуспех, системата напълно спира работата си и ако дъмпингът е активен, той ще бъде записан във файл, поставен на диск. информация за проблема... Ако нещо се е случило с физическите компоненти, тогава аварийният код ще работи и хардуерът, който се е провалил, ще направи промени, които определено ще бъдат отразени в моментната снимка.

Обикновено файлът се записва в блок от твърдия диск, отреден за файла за пейджинг, след появата на BSoD, файлът се презаписва във формата, която потребителят сам е конфигурирал (малък, пълен или основен дъмп). Въпреки че в съвременните операционни системи файлът за пейджинг не се изисква.

Как да активирам сметища

IN Windows 7:

IN Windows 8 и 10:

Тук процесът е малко подобен, можете да влезете в системната информация по същия начин, както в Windows 7. В "Топ десет" не забравяйте да отворите " Този компютър", Щракнете върху свободното място с десния бутон на мишката и изберете" Имоти". Като алтернатива можете да стигнете до там чрез контролния панел.

Втори вариант за Windows 10:

Трябва да се отбележи, че в новите версии на Windows 10 се появиха нови елементи, които не бяха в „седемте“:

• Малко сметище памет 256 KB - Минимални данни за срив.
• Активно изхвърляне - появи се в десетата версия на системата и съхранява само активната памет на компютъра, системното ядро \u200b\u200bи потребителя. Препоръчва се за използване на сървъри.

Как да премахнете сметището

Достатъчно е да отидете в директорията, където се съхраняват моментните снимки и просто да ги изтриете. Но има и друг начин за деинсталиране - с помощта на помощната програма за почистване на диска:

Ако не са намерени предмети, сметищата може да не са били включени.

Дори ако сте ги активирали веднъж, някои използвани помощни програми за оптимизация на системата могат лесно деактивирайте някои функционалности... Често много неща се деактивират при използване на SSD устройства, тъй като многократните процедури за четене и запис са много вредни за здравето на това устройство.

Анализиране на дъмп на памет с WinDbg

Изтегляме тази програма от официалния уебсайт на Microsoft в стъпка 2, където е описано „ ИнсталацияWDK"- https://docs.microsoft.com/en-us/windows-hardware/drivers/download-the-wdk.

За да работите с програмата, имате нужда и от специален пакет от символи за отстраняване на грешки. Нарича се Символи за отстраняване на грешки, по-рано можеше да бъде изтеглен от уебсайта на Microsoft, но сега те се отказаха от тази идея и ще трябва да използват функцията на файловата програма - “ Път на символния файл", Където трябва да въведете следния ред и да щракнете върху OK:

задайте _NT_SYMBOL_PATH \u003d srv * DownstreamStore * https: //msdl.microsoft.com/download/symbols

Ако не работи, опитайте тази команда:

SRV *% systemroot% \\ symbols * http: //msdl.microsoft.com/download/symbols

Щракнете отново върху елемента „Файл“ и изберете опцията „Запазване на работното пространство“.

Помощната програма вече е конфигурирана. Остава да се посочи пътят до файловете с дъмп на паметта. За да направите това, щракнете върху Файл и щракнете върху опцията “ ОхимилкаКатастрофаИзхвърлете". Местоположението на всички сметища е посочено в началото на статията.

След избора анализът ще приключи и проблемният компонент ще бъде автоматично подчертан. За да получите повече информация в същия прозорец, можете да въведете следната команда: ! анализиране –v

Анализ с BlueScreenView

Можете да изтеглите инструмента безплатно от този сайт - http://www.nirsoft.net/utils/blue_screen_view.html. Инсталирането не изисква никакви умения. Използва се само в Windows 7 и по-нови версии.

Стартирайте и конфигурирайте. Щракнете върху „Опции“ - „ Допълнителни опции"(Разширени опции). Изберете първия елемент " Заредете MiniDumps от тази папка"И посочете директорията - C: \\ WINDOWS \\ Minidump... Въпреки че можете просто да щракнете върху бутона "По подразбиране". Щракнете върху OK.

Файловете за изхвърляне трябва да се появят в главния прозорец. Тя може да бъде една или няколко. За да го отворите, просто кликнете върху него с мишката.

Долната част на прозореца ще показва компонентите, които са били използвани по време на повредата. Виновникът за инцидента ще бъде подчертан в червено.

Сега натискаме "Файл" и избираме например елемента " Намерете в Google код за грешка + драйвер". Ако намерите желания драйвер, инсталирайте и рестартирайте компютъра. Може би грешката ще изчезне.

По време на критичен срив операционната система Windows прекъсва и показва син екран на смъртта (BSOD). Съдържанието на RAM и цялата информация за възникналата грешка се записва във файла за пейджинг. Следващият път, когато Windows стартира, се генерира срив с информация за отстраняване на грешки въз основа на запазените данни. Критична грешка се генерира в системния регистър на събитията.

Внимание! Дамп при срив не се генерира, ако дисковата подсистема се повреди или възникне критична грешка в началния етап на стартиране на Windows.

Видове сметища за срив на Windows

Използвайки примера на текущата операционна система Windows 10 (Windows Server 2016), ще разгледаме основните типове сметища на паметта, които системата може да създаде:

• Малък дъмп на паметта (256 KB). Този тип файл съдържа минимално количество информация. Той съдържа само съобщението за грешка BSOD, информация за драйверите, процесите, които са били активни по време на срива и кой процес или нишка на ядрото е причинила срив.
• Дъмпинг на паметта на ядрото... Типично малък по размер - една трета от физическата памет. Дъмпингът на паметта на ядрото е по-подробен от мини дъмп. Той съдържа информация за драйверите и програмите в режим на ядро, включва памет, разпределена за ядрото на Windows и слой за абстракция на хардуер (HAL), и памет, разпределена за драйвери и други програми в режим на ядро.
• Пълно изхвърляне на паметта... Най-голям по размер и изисква памет, равна на RAM на вашата система плюс 1 MB, необходима на Windows за създаване на този файл.
• Автоматично изхвърляне на паметта... Съответства на дъмп на паметта на ядрото по отношение на информация. Различава се само по това колко място използва за генериране на файла за изхвърляне. Този тип файл не съществува в Windows 7. Той е добавен в Windows 8.
• Дъмпинг на активна памет... Този тип филтрира елементи, които не могат да определят причината за повредата на системата. Това е добавено в Windows 10 и е особено полезно, ако използвате виртуална машина или ако вашата система е хост Hyper-V.

Как да активирам дъмп на памет в Windows?

Използвайте Win + Pause, за да отворите прозореца на системните настройки, изберете " Допълнителни параметри на системата"(Разширени настройки на системата). В раздела „ Освен това"(Разширени), раздел" "(Стартиране и възстановяване) кликнете" Настроики"(Настройки). В прозореца, който се отваря, конфигурирайте действията в случай на отказ на системата. Поставете отметка в квадратчето „ Напишете събития в системния дневник(Напишете събитие в системния дневник), изберете типа изхвърляне, което да се генерира, когато системата се срине. Ако в квадратчето за отметка „ Презапишете съществуващия файл за изхвърляне"(Запишете всеки съществуващ файл) поставете отметка в квадратчето, след което файлът ще бъде заменен при всяка грешка. По-добре е да премахнете това квадратче, тогава ще имате повече информация за анализ. Деактивирайте и автоматичното рестартиране на системата (Автоматично рестартиране).

В повечето случаи, малък дъмп на памет ще бъде достатъчен, за да се анализира причината за BSOD.

Сега, когато възникне BSOD, можете да анализирате файла за изхвърляне и да намерите причината за сривовете. По подразбиране minidump се записва в папката% systemroot% \\ minidump. За да анализирате файла на дъмп, препоръчвам да използвате програмата WinDBG(Debugger на ядрото на Microsoft).

Инсталиране на WinDBG на Windows

Полезност WinDBG е включен в " Windows 10 SDK"(Windows 10 SDK). ...

Файлът се извиква winsdksetup.exe, размер 1.3 MB.

Стартирайте инсталацията и изберете какво точно искате да направите - инсталирайте пакета на този компютър или го изтеглете за инсталиране на други компютри. Инсталирайте пакета на вашия локален компютър.

Можете да инсталирате целия пакет, но за да инсталирате само инструмента за отстраняване на грешки, изберете Инструменти за отстраняване на грешки за Windows.

Веднъж инсталирани, клавишните комбинации на WinDBG могат да бъдат намерени в менюто за старт.

Настройване на асоциирането на .dmp файлове с WinDBG

За да отворите dump файлове с просто щракване, свържете разширението .dmp с помощната програма WinDBG.

1. Отворете командния ред като администратор и изпълнете 64-битови команди: cd C: \\ Program Files (x86) \\ Windows Kits \\ 10 \\ Debuggers \\ x64
   windbg.exe –IA
   за 32-битова система:
   C: \\ Program Files (x86) \\ Windows Kits \\ 10 \\ Debuggers \\ x86
   windbg.exe –IA
2. В резултат на това типовете файлове: .DMP, .HDMP, .MDMP, .KDMP, .WEW - ще бъдат свързани с WinDBG.

Настройване на сървър за отстраняване на грешки в WinDBG

Символите за отстраняване на грешки (символи за отстраняване на грешки или файлове със символи) са блокове от данни, генерирани по време на компилирането на програма заедно с изпълним файл. Такива блокове данни съдържат информация за имената на променливи, наречени функции, библиотеки и т.н. Тези данни не са необходими при изпълнение на програмата, но са полезни при отстраняване на грешки. Компонентите на Microsoft се компилират със символи, разпространявани чрез Microsoft Symbol Server.

Конфигурирайте WinDBG да използва Microsoft Symbol Server:

• Отворете WinDBG;
• Отидете в менюто Файл –> Път на символния файл;
• Добавете ред, съдържащ URL адреса за изтегляне на символи за отстраняване на грешки от сайта на Microsoft и папката за запазване на кеша: SRV * E: \\ Sym_WinDBG * http: //msdl.microsoft.com/download/symbols В примера кешът се зарежда в папката E: \\ Sym_WinDBG, можете да посочите всяка.
• Не забравяйте да запазите промените в менюто Файл–> Запазване на WorkSpace;

WinDBG ще търси символи в локалната папка и ако не намери необходимите символи в нея, автоматично ще изтегли символи от посочения сайт. Ако искате да добавите своя собствена папка със символи, можете да го направите по следния начин:

SRV * E: \\ Sym_WinDBG * http: //msdl.microsoft.com/download/symbols; c: \\ Symbols

Ако нямате връзка с интернет, първо изтеглете пакета със символи от ресурса на Windows Symbol Packages.

Анализ на изхвърляне при срив в WinDBG

Дебъгерът на WinDBG отваря файла за изхвърляне и изтегля необходимите символи за отстраняване на грешки от локална папка или от Интернет. По време на този процес не можете да използвате WinDBG. В долната част на прозореца (в командния ред за отстраняване на грешки) се появява надпис Дебюджетът не е свързан.

Командите се въвеждат в командния ред, разположен в долната част на прозореца.

Най-важното нещо, на което трябва да обърнете внимание, е кодът за грешка, който винаги е посочен в шестнадесетична стойност и изглежда така 0xXXXXXXXX (посочено в една от опциите - СТОП :, 02.07.2019 0008F, 0x8F). В нашия пример кодът за грешка е 0x139.

Дебъгерът ви подканва да стартирате командата! Analyze -v, просто задръжте курсора на мишката върху връзката и щракнете. За какво е тази команда?

• Той извършва предварителен анализ на дъмп на паметта и предоставя подробна информация за започване на анализа.
• Тази команда ще покаже STOP кода и символното име на грешката.
• Той показва стека повиквания на командите, които са причинили необичайното прекратяване.
• Освен това тук се показват грешки в IP адреса, процесите и регистрите.
• Екипът може да предостави готови препоръки за решаване на проблема.

Основните моменти, на които трябва да обърнете внимание при анализ след стартиране на командата! Analyze –v (списъкът е непълен).

1: kd\u003e! Анализирайте -v

* *
* Анализ на Bugcheck *
* *
*****************************************************************************
Символичното име на грешката STOP (BugCheck)
KERNEL_SECURITY_CHECK_FAILURE (139)
Описание на грешката (Компонентът на ядрото е повредил критична структура от данни. Тази повреда може потенциално да позволи на атакуващия да поеме контрола над тази машина):

Компонентът на ядрото е повредил критична структура от данни. Повредата може потенциално да позволи на злонамерен потребител да получи контрол над тази машина.
Аргументи за грешка:

Аргументи:
Arg1: 0000000000000003, LIST_ENTRY е повреден (т.е. двойно премахване).
Arg2: ffffd0003a20d5d0, Адрес на рамката за улавяне за изключението, което е причинило проверка на грешки
Arg3: ffffd0003a20d528, Адрес на записа за изключение за изключението, което е причинило проверката на грешки
Arg4: 0000000000000000, Резервирано
Подробности за отстраняване на грешки:
------------------

Броячът показва колко пъти системата се е сринала с подобна грешка:

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: FAIL_FAST_CORRUPT_LIST_ENTRY

STOP код за грешка в съкратен формат:

BUGCHECK_STR: 0x139

Процесът, по време на изпълнението на който е възникнал отказ (не е задължително причината за грешката, точно по време на отказа в паметта, този процес е стартиран):

PROCESS_NAME: sqlservr.exe

Дешифриране на кода за грешка: Системата откри препълване на буфер на стека в това приложение, което може да позволи на атакуващия да поеме контрола над това приложение.

ERROR_CODE: (NTSTATUS) 0xc0000409 - Системата откри превишаване на базирания на стека буфер в това приложение. Това превишаване може потенциално да позволи на злонамерен потребител да получи контрол над това приложение.
EXCEPTION_CODE: (NTSTATUS) 0xc0000409 - Системата откри превишаване на базирания на стека буфер в това приложение. Това превишаване може потенциално да позволи на злонамерен потребител да получи контрол над това приложение.

Последно обаждане в стека:

LAST_CONTROL_TRANSFER: от fffff8040117d6a9 до fffff8040116b0a0

Стек разговори по време на неуспех:

STACK_TEXT:
ffffd000`3a20d2a8 fffff804`0117d6a9: 00000000`00000139 00000000`00000003 ffffd000`3a20d5d0 ffffd000`3a20d528: nt! KeBugCheckEx
ffffd000`3a20d2b0 fffff804`0117da50: ffffe000`f3ab9080 ffffe000`fc37e001 ffffd000`3a20d5d0 fffff804`0116e2a2: nt! KiBugCheckDispatch + 0x69
ffffd000`3a20d3f0 fffff804`0117c150: 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000: nt! KiFastFailDispatch + 0xd0
ffffd000`3a20d5d0 fffff804`01199482: ffffc000`701ba270 ffffc000`00000001 000000ea`73f68040 fffff804`000006f9: nt! KiRaiseSecurityCheckFailure + 0x3d0
ffffd000`3a20d760 fffff804`014a455d: 00000000`00000001 ffffd000`3a20d941 ffffe000`fcacb000 ffffd000`3a20d951: nt! ?? :: FNODOBFM :: `низ" + 0x17252
ffffd000`3a20d8c0 fffff804`013a34ac: 00000000`00000004 00000000`00000000 ffffd000`3a20d9d8 ffffe001`0a34c600: nt! IopSynchronousServiceTail + 0x379
ffffd000`3a20d990 fffff804`0117d313: ffffffff`fffffffe 00000000`00000000 00000000`00000000 000000eb`a0cf1380: nt! NtWriteFile + 0x694
ffffd000`3a20da90 00007ffb`475307da: 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000: nt! KiSystemServiceCopyEnd + 0x13
000000ee`f25ed2b8 00000000`00000000: 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000: 0x00007ffb`475307da

Разделът на кода, където е възникнала грешката:

FOLLOWUP_IP:
nt! KiFastFailDispatch + d0
fffff804`0117da50 c644242000 mov байт ptr, 0
FAULT_INSTR_CODE: 202444c6
SYMBOL_STACK_INDEX: 2
SYMBOL_NAME: nt! KiFastFailDispatch + d0
FOLLOWUP_NAME: MachineOwner

Името на модула в таблицата на обекта на ядрото. Ако анализаторът открие проблемен драйвер, името се показва в полетата MODULE_NAME и IMAGE_NAME:

MODULE_NAME: nt
IMAGE_NAME: ntkrnlmp.exe

1: kd\u003e lmvm nt
Прегледайте пълния списък с модули
Зареден файл с изображение на символ: ntkrnlmp.exe
Файл с изображение на картирана памет: C: \\ ProgramData \\ dbg \\ sym \\ ntoskrnl.exe \\ 5A9A2147787000 \\ ntoskrnl.exe
Път на изображението: ntkrnlmp.exe
Име на изображението: ntkrnlmp.exe
Вътрешно име: ntkrnlmp.exe
OriginalFilename: ntkrnlmp.exe
ProductVersion: 6.3.9600.18946
FileVersion: 6.3.9600.18946 (winblue_ltsb_escrow.180302-1800)

В горния пример анализът сочи към файла на ядрото ntkrnlmp.exe. Когато анализът на дъмп на памет сочи към системен драйвер (като win32k.sys) или файл на ядрото (като ntkrnlmp.exe в нашия пример), най-вероятно този файл не е причината за проблема. Много често се оказва, че проблемът се крие в драйвера на устройството, настройките на BIOS или неизправността на хардуера.

Ако сте видели, че BSOD е причинен от драйвер на трета страна, името му ще бъде посочено в стойностите MODULE_NAME и IMAGE_NAME.

Например:

Път на изображението: \\ SystemRoot \\ system32 \\ drivers \\ cmudaxp.sys
Име на изображението: cmudaxp.sys

Отворете драйвера си и проверете версията му. В повечето случаи проблемът с драйверите се решава чрез актуализирането им.

В Windows 8 Microsoft представи ново изхвърляне на памет - опция за автоматично изхвърляне на памет. Този параметър е зададен по подразбиране в операционната система. Windows 10 представи нов тип dump файл - активна дъмп памет. За тези, които не знаят, в Windows 7 имаме малък дъмп, дъмп на ядро \u200b\u200bи пълен дъмп на памет. Може би се чудите защо Microsoft реши да създаде тази нова настройка за изхвърляне на памет? Според Робърт Симпкинс, старши инженер по поддръжката, автоматичното изхвърляне на паметта може да създаде поддръжка за страницата „система“ в конфигурационния файл.
Системата за управление на конфигурацията на файла за пейджинг е отговорна за управлението на размера на файла за пейджинг - това избягва ненужното място за суап или размера. Тази опция е въведена главно за персонални компютри, работещи на SSD, които обикновено имат по-малък размер, но огромно количество RAM.

Опции за изваждане на паметта

Основното предимство на Auto Memory Dump е, че позволява на сесията на подсистемата в Process Manager автоматично да свива файла за пейджинг до по-малко от размера на RAM. За тези, които не знаят, сесията на мениджъра на подсистемата е отговорна за инициализирането на системата, стартовата среда за услуги и процеси, необходими на потребителя за влизане в системата. По принцип настройва страницата на файла на виртуална памет и стартира процеса winlogon.exe.

Ако искате да промените настройките за автоматично изваждане на паметта, ето как да го направите. Натиснете клавиш Windows + X и изберете - Система. След това кликнете върху бутона „Разширени системни настройки - Предварително Система Настройки”.

Щракнете върху бутона Разширени системни настройки.

Тук можете да видите падащо меню, където пише „Още“.

Тук можете да изберете опцията, която искате. Предложени опции:

Няма дъмп памет.
Малък дъмп на паметта.
Дъмпинг на паметта на ядрото.
Пълно изхвърляне на паметта.
Автоматично изхвърляне на паметта. Добавено в Windows 8.
Дъмпинг на активна памет. Добавено към Windows 10.
Местоположението на файла за изваждане на паметта е във файла% SystemRoot% \\ MEMORY.DMP.

Ако използвате SSD устройство, най-добре е да го оставите на „Automatic Memory Dump“; но ако имате нужда от файл за изхвърляне на срив, по-добре е да го зададете на „малък извад на паметта“, с него можете да го изпратите на някой, ако искате да го разгледате.

В някои случаи може да се наложи да увеличите размера на файла за пейджинг по-голям от RAM, за да може да побере пълен дъмп на паметта. В такива случаи трябва да създадете ключ на системния регистър:

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ CrashControl

нарича се „LastCrashTime“.

Това автоматично ще увеличи размера на файла за пейджинг. За да го намалите по-късно, можете просто да изтриете този ключ.

Windows 10 представи нов файл за дъмп на активна памет. Той съдържа само най-важното и следователно е по-малък.

Нямам начин да го тествам, но генерирах този ключ и наблюдавах размера на файла за пейджинг. Знам, че рано или късно ще получа критична грешка. Тогава ще го проверя.

Можете да анализирате дъмп на паметта на Windows.dmp файлове, като използвате WhoCrashed. Помощната програма WhoCrashed Home е безплатна и включва драйвери, които са вградени във вашия компютър с едно щракване. В повечето случаи той може да идентифицира счупен драйвер, който причинява страдание на компютъра ви. Това е дъмпинг на срив на системен анализ, сметища на паметта и цялата събрана информация е представена тук в достъпна форма.

Обикновено кутията с инструменти за отстраняване на грешки отваря дъмпинга на срива на анализа. С тази програма не са ви необходими никакви знания и умения за отстраняване на грешки, за да разберете кои драйвери създават проблеми на вашия компютър.

WhoCrashed разчита на пакета за отстраняване на грешки на Microsoft (програми windbg). Ако този пакет не е инсталиран, WhoCrashed ще изтегли и автоматично ще извлече този пакет за вас. Просто стартирайте програмата и кликнете върху бутона Анализ. Когато сте инсталирали WhoCrashed в системата и ако тя се нулира или неочаквано се затвори, програмата ще ви уведоми дали демпферът на срив е активиран на вашия компютър и ще ви предложи предложения как да ги активирате.

Ако така нареченият син екран на смъртта се появи пред вас в Windows 10 и вече сте готови да изпаднете в нервна кома, дръпнете се и се опитайте да разрешите възникналия проблем. За начало си струва да се каже, че това зловещо съобщение ви сигнализира за критична системна грешка. Освен това далеч не винаги е възможно да уловите момента и да имате време да прочетете кода за грешка, когато Windows попадне в синия екран на смъртта и устройството се рестартира. Веднага отбелязваме, че има огромен брой решения на този проблем, както и причините за появата на син екран. В тази статия ще се опитаме да разгледаме вероятните причини за синия екран на щастието, както и възможните решения на проблема.

В по-голямата част от случаите синият екран на смъртта сигнализира за грешка BAD_POOL_CALLER - стоп 0x000000c2. Нека си признаем, трудно е да се диагностицира тази грешка, но може би ще се опитаме да опишем алгоритъма за следващите ви действия, като използваме тази грешка като пример.

За да диагностицирате правилно проблема, първо трябва да анализирате специален системен файл, наречен минидумп (дъмп на паметта). Системна неизправност води до създаването на такива файлове; освен това те могат да ни информират какво точно е причинило неуспеха.

1. За да активирате такъв автоматичен запис на малък дъмп на паметта (деактивиран по подразбиране), отидете на свойствата на компютъра и отидете в раздела „Разширени системни настройки“ (тази опция се предлага за всички системи, а не само за Windows 10):

По правило всички файлове на minidump се записват, когато се появи син екран на смъртта (BSOD) и можете да ги намерите в папката C: \\ Windows \\ Minidump. Забележително е, че името на файла съдържа текущата дата - когато е създаден, което улеснява много по-лесно идентифицирането на датата на грешката, особено като се има предвид, че може да има повече от един такъв файл.

Два начина за декриптиране на мини дамп за малки дами

Първият начин, е да използвате доста популярната помощна програма BlueScreenView. Тази помощна програма също може да бъде добър вариант за анализ на дъмп на памет. Използването на тази помощна програма ще бъде полезно като начин за идентифициране на проблемния драйвер.

Освен това е особено забележително с факта, че с негова помощ е възможно да видите BSOD (син екран на смъртта) като в замръзнала рамка, както беше при срив на системата. Той показва часа и датата на повредата, информация за драйвера или модула с версията и кратко описание. Освен това помощната програма се предлага на много езици, включително руски. Така че помощната програма BlueScreenView е точно това, ако трябва да извършите бърз анализ на сметищата на паметта в случай на BSOD.

За втори начин трябва да инсталирате инструменти за отстраняване на грешки за Windows, както и да изтеглите помощната програма bsdos_utility. След това, след разопаковане на скрипта bsdos_utility.cmd, трябва да го преместите на C: \\ устройството (можете да създадете отделна папка, но не забравяйте, че адресният ред за стартиране на скрипта ще се различава от нашия пример). След това в командния ред трябва да напишете:

C: \\ bsdos_utility.cmd

След изброяване на всички сметища от списъка C: \\ Windows \\ Minidump \\, след което скриптът ще попита кой дъмп трябва да бъде анализиран. Можете също така сами да изберете необходимия minidump, когато стартирате скрипта:

По подобен начин е възможно да се открият много грешки на Windows 10, поради които BSOD отпадна, както и problematic.exe програми, които предизвикаха син екран.

Днес ще говорим за това какво е дъмп на паметта. Този файл съдържа определени данни, които са били в RAM на определен компютър в определен период от време. Също така е ценно за професионалисти и разработчици на различен софтуер. Когато възникне дъмпинг на катастрофа, тези хора имат възможност да видят в кой момент се е случило и по какви причини. Това ви позволява да отстраните недостатъци и софтуерни грешки. Винаги, когато операционните системи на Microsoft се провалят, винаги се генерира дъмп на паметта.

Ако трябва да намерите местоположението, както и размера на даден файл, трябва да щракнете с десния бутон върху иконата на компютъра. Когато излезе, стартирайте свойствата му и отворете раздела с повече информация. След това в секцията за зареждане и възстановяване трябва да кликнете върху бутона за настройки. Ще видите прозорец за запис на информация за отстраняване на грешки. От падащия списък имате възможност да изберете една от следните функции.

Малка дъмп памет ще бъде равна на шестдесет и четири килобайта. В този случай в него ще бъде записана само най-необходимата информация за възникналите проблеми. Следва дъмп на паметта на ядрото. Размерът му по правило също е шестдесет и четири килобайта. Той съдържа данни за отстраняване на грешки за вашето системно ядро. Нека да преминем към последната точка. Нарича се „Windows 7 Full Memory Dump“. Цялата системна памет е напълно запазена в него. В този момент се създават необходимите файлове, чийто размер е еквивалентен на RAM, инсталиран на вашето устройство.

Също така си струва да се отбележи, че можете ръчно да създадете този файл сами. За да направите това, извикайте менюто "Старт", стартирайте услугата, наречена "Run", и въведете в нея командата "regedit" и след това щракнете върху бутона "OK". Операционната система ще се появи пред вас. Там трябва да намерите ключ, който изглежда така: HKEYS LOCAL MACHINES / SYSTEMA / CurrentControlSets / Service / i8042prt / Parametres.

Когато го намерите, щракнете с десния бутон на мишката върху вашия манипулатор от дясната страна на този прозорец и изберете Create DWORLD. След това напишете името на ключа "CrashOnCtrlScroll" и след това му присвойте стойността "1". След това затворете този редактор и рестартирайте компютъра или лаптопа си. За да създадете нов файл, съдържащ дъмп на памет, натиснете и задръжте бутона Contra, след това натиснете клавиша два пъти

Това е всичко. Надявам се горната информация да е представена в достъпна форма. Но без конкретна причина не е необходимо да изпълнявате посочените процедури, тъй като това са системни ресурси. Ако допуснете грешки, могат да настъпят непоправими последици за вашата операционна система.