How to read the small memory dump file that is created by windows if a crash occurs

Для чего нужен дамп памяти

Дамп памяти windows 10 является своеобразным чёрным ящиком. При аварии в системе информация, хранящаяся в нём, поможет детально изучить причины возникновения системного сбоя. Данный сбой, как правило, полностью останавливает работу операционной системы. Поэтому дамп памяти — это единственный и самый верный способ получения сведений о любом сбое в системе. И его получение — это фактический слепок информации, находящейся в системе.

Чем более точно содержимое дампа памяти будет отражать происходившее в системе на момент сбоя, тем проще будет при анализе аварийной ситуации и дальнейших действиях по её исправлению.

Крайне важно получить актуальную копию именно в тот момент, который был непосредственно перед сбоем. И единственный способ это сделать — создать аварийный дамп памяти Windows 10

Анализ дампа памяти

Рейтинг:   / 303

Просмотров: 726103

Общие сведения об аварийном дампе памяти

Все Windows-системы при обнаружении фатальной ошибки делают аварийный дамп (снимок) содержимого оперативной памяти и сохраняет его на жесткий диск. Существуют три типа дампа памяти:

Полный дамп памяти – сохраняет все содержимое оперативной памяти. Размер снимка равен размеру оперативной памяти + 1 Мб (заголовок). Используется очень редко, так как в системах с большим объемом памяти размер дампа будет слишком большим.

Дамп памяти ядра – сохраняет информацию оперативной памяти, касающуюся только режима ядра. Информация пользовательского режима не сохраняется, так как не несет в себе информации о причине краха системы. Объем файла дампа зависит от размера оперативной памяти и варьируется от 50 Мб (для систем с 128 Мб оперативной памяти) до 800 Мб (для систем с 8 Гб оперативной памяти).

Малый дамп памяти (мини дамп) – содержит довольно небольшое количество информации: код ошибки с параметрами, список драйверов загруженных в оперативную память на момент краха системы и т.д., но этих сведений достаточно, для определения сбойного драйвера. Еще одним преимуществом данного вида дампа является маленький размер файла.

Настройка системы

Для выявления драйвера вызвавшего синий экран нам достаточно будет использовать малый дамп памяти. Для того чтобы система при крахе сохраняла мини дамп необходимо выполнить следующие действия:

Для Windows Xp	Для Windows 7
Правой клавишей мыши нажать на значке Мой компьютер из контекстного меню выберите Свойства (или комбинация клавиш Win+Pause); Переходите на вкладку Дополнительно; В поле Загрузка и восстановление необходимо нажать кнопку Параметры; В поле Запись отладочной информации выбираем Малый дамп памяти (64 Кб).	Правой клавишей мыши нажать на значке Компьютер из контекстного меню выберите Свойства (или комбинация клавиш Win+Pause); В левом меню щелкаем на пункт Дополнительные параметры системы; Переходите на вкладку Дополнительно; В поле Загрузка и восстановление необходимо нажать кнопку Параметры; В поле Запись отладочной информации выбираем Малый дамп памяти (128 Кб).

Проделав все манипуляции, после каждого BSoD в папке C:\WINDOWS\Minidump будет сохраняться файл с расширение .dmp. Советую ознакомиться с материалом “Как создать папку”. Также можно установить галочку на “Заменить существующий файл дампа”. В этом случае каждый новый аварийный дамп будет записываться поверх старого. Я не советую включать данную опцию.

Анализ аварийного дампа памяти с помощью программы BlueScreenView

Программа состоит из трех основных блоков:

1. Блок главного меню и панель управления;
2. Блок списка аварийных дампов памяти;
3. В зависимости от выбранных параметров может содержать в себе:

• список всех драйверов находящихся в оперативной памяти до появления синего экрана (по умолчанию);
• список драйверов находящихся в стеке оперативной памяти;
• скриншот BSoD;
• и другие значения, которые мы использовать не будем.

В блоке списка дамп памяти (на рисунке помечен цифрой 2) выбираем интересующий нас дамп и смотрим на список драйверов, которые были загружены в оперативную память (на рисунке помечен цифрой 3). Розовым цветом окрашены драйвера, которые находились в стеке памяти. Они то и являются причиной появления BSoD. Далее переходите в Главное меню драйвера, определяйте к какому устройству или программе они принадлежат

В первую очередь обращайте внимание на не системные файлы, ведь системные файлы в любом случае загружены в оперативной памяти. Легко понять, что на изображении сбойным драйвером является myfault.sys. Скажу, что это программа была специально запущена для вызова Stop ошибки

После определения сбойного драйвера, необходимо его либо обновить, либо удалить из системы

Скажу, что это программа была специально запущена для вызова Stop ошибки. После определения сбойного драйвера, необходимо его либо обновить, либо удалить из системы.

Для того чтобы программа показывала список драйверов находящихся в стеке памяти во время возникновения BSoD необходимо зайти в пункт меню “Options” кликаем на меню “LowerPaneMode” и выбираем “OnlyDriversFoundInStack” (или нажмите клавишу F7), а для показа скриншота ошибки выбираем “BlueScreeninXPStyle” (F8). Что бы вернуться к списку всех драйверов, необходимо выбрать пункт “AllDrivers” (F6).

Буду признателен, если воспользуетесь кнопочками:

Добавить комментарий

Файлы дампа ядра

Формат

В более старых и более простых операционных системах каждый процесс имел непрерывное адресное пространство, поэтому файл дампа иногда был просто файлом с последовательностью байтов, цифр, символов или слов. На других ранних машинах файл дампа содержал отдельные записи, каждая из которых содержала адрес хранилища и соответствующее содержимое. На ранних машинах дамп часто создавался автономной программой дампа, а не приложением или операционной системой.

В IBM System / 360 стандартные операционные системы записывали отформатированные дампы ABEND и SNAP с адресами, регистрами, содержимым хранилища и т. Д., Преобразованными в формы для печати. В более поздних выпусках добавлена ​​возможность записи неформатированных дампов, которые в то время назывались дампами основного образа.

В современных операционных системах адресное пространство процесса может иметь пробелы и разделять страницы с другими процессами или файлами, поэтому используются более сложные представления; они также могут включать другую информацию о состоянии программы во время дампа.

В Unix-подобных системах дампы ядра обычно используют стандартный исполняемый формат образа :

• a.out в старых версиях Unix ,
• ELF в современных системах Linux , System V , Solaris и BSD ,
• Mach-O в macOS и т. Д.

Именование

OS / 360 и последователи

• В OS / 360 и последующих версиях задание может назначать произвольные имена наборов данных (DSN) для ddnames и для отформатированного дампа ABEND и для произвольных ddname для дампа SNAP или определять эти ddnames как SYSOUT.
• Средство оценки и устранения повреждений (DAR) добавило автоматический неформатированный дамп в набор данных во время сбоя, а также дамп консоли, запрошенный оператором.
• Дамп новой транзакции очень похож на старые формы дампа.

Unix-подобный

• Начиная с Solaris 8, системная утилита позволяет настраивать имя и расположение файлов ядра.
• Дампы пользовательских процессов традиционно создаются в виде файлов . В Linux (начиная с версий 2.4.21 и 2.6 основной ветки ядра Linux ) другое имя можно указать через procfs с помощью файла конфигурации; указанное имя также может быть шаблоном, который содержит теги, замененные, например, именем исполняемого файла, идентификатором процесса или причиной дампа.
• Общесистемные дампы в современных Unix-подобных системах часто отображаются как или .

Другие

Такие системы, как Microsoft Windows , в которых используются расширения файлов , могут использовать расширения .dmp ; например, дампы ядра могут называться memory.dmp или \Minidump\Mini051509-01.dmp .

Дампы памяти Windows

Microsoft Windows поддерживает два формата дампа памяти, описанные ниже.

Дампы в режиме ядра

Существует пять типов дампов режима ядра:

• Полный дамп памяти — содержит полную физическую память целевой системы.
• Дамп памяти ядра — содержит всю память, используемую ядром во время сбоя.
• Небольшой дамп памяти — содержит различную информацию, такую ​​как код остановки, параметры, список загруженных драйверов устройств и т. Д.
• Автоматический дамп памяти (Windows 8 и более поздние версии) — то же самое, что и дамп памяти ядра, но если одновременно управляется системой и слишком мал для захвата дампа памяти ядра, он автоматически увеличит файл подкачки как минимум до размера ОЗУ для четыре недели, затем уменьшите его до меньшего размера.
• Дамп активной памяти (Windows 10 и новее) — содержит большую часть памяти, используемой ядром и приложениями пользовательского режима.

Для анализа дампов режима ядра Windows используются Debugging Tools for Windows .

Дампы памяти в пользовательском режиме

Дамп памяти в пользовательском режиме, также известный как минидамп , представляет собой дамп памяти одного процесса. Он содержит выбранные записи данных: полную или частичную (отфильтрованную) память процесса; список потоков с их стеками вызовов и состоянием (например, регистры или TEB ); информация о дескрипторах объектов ядра; список загруженных и выгруженных библиотек . Полный список опций доступен в enum.

Типы аварийных дампов памяти Windows

На примере актуальной операционной системы Windows 10 (Windows Server 2016) рассмотрим основные типы дампов памяти, которые может создавать система:

• Мини дамп памяти (Small memory dump)
  (256 КБ). Этот тип файла включает минимальный объем информации. Он содержит только сообщение об ошибке BSOD, информацию о драйверах, процессах, которые были активны в момент сбоя, а также какой процесс или поток ядра вызвал сбой.
• Дамп памяти ядра (Kernel memory dump)
  . Как правило, небольшой по размеру — одна треть объема физической памяти. Дамп памяти ядра является более подробным, чем мини дамп. Он содержит информацию о драйверах и программах в режиме ядра, включает память, выделенную ядру Windows и аппаратному уровню абстракции (HAL), а также память, выделенную драйверам и другим программам в режиме ядра.
• Полный дамп памяти (Complete memory dump)
  . Самый большой по объему и требует памяти, равной оперативной памяти вашей системы плюс 1MB, необходимый Windows для создания этого файла.
• Автоматический дамп памяти (Automatic memory dump)
  . Соответствует дампу памяти ядра с точки зрения информации. Отличается только тем, сколько места он использует для создания файла дампа. Этот тип файлов не существовал в Windows 7. Он был добавлен в Windows 8.
• Активный дамп памяти (Active memory dump)
  . Этот тип отсеивает элементы, которые не могут определить причину сбоя системы. Это было добавлено в Windows 10 и особенно полезно, если вы используете виртуальную машину, или если ваша система является хостом Hyper-V.

Было установлено новое программное обеспечение

Если BSoD начал появляться после инсталляции или обновления какой-либо программы, драйвера или апгрейда Windows 10, необходимо все вернуть на свои места, то есть удалить последние обновления, откатить драйвер или программу до последней версии. Но прежде всего, следует выяснить виновника ситуации. Сделать это поможет чистый запуск Windows 10.

2. В текстовой строке пишем «msconfig» и нажимаем «OK» или «Ввод».

3. На первой вкладке переносим чекбокс к позиции «Выборочный запуск».

5. Посещаем вкладку «Службы», отключаем отображение сервисов от Microsoft и все остальные службы.

6. Идем во вкладку «Автозагрузка», запускаем «Диспетчер задач» и в нем в одноименной вкладке деактивируем все приложения.

7. Теперь перезагружаем компьютер и делаем все то, что вызывало появление ошибки.

Если она не возникла, вероятнее всего, ее появление связано с отключенной службой, драйвером или приложением. Здесь необходимо по порядку включать каждый отключенный элемент, если не уверены в виновнике проблемы, и выявить его. После удалить, обновить или откатить до предыдущей версии, в зависимости от ситуации.

Здесь же будет очень полезной функция отката, возврата состояния системы к одной из ранее созданных точек восстановления, если она включена. Выбирать следует последнюю точку перед появлением неполадки.

Анализ дампа памяти

Рейтинг:   / 303

Просмотров: 691311

Общие сведения об аварийном дампе памяти

Все Windows-системы при обнаружении фатальной ошибки делают аварийный дамп (снимок) содержимого оперативной памяти и сохраняет его на жесткий диск. Существуют три типа дампа памяти:

Полный дамп памяти – сохраняет все содержимое оперативной памяти. Размер снимка равен размеру оперативной памяти + 1 Мб (заголовок). Используется очень редко, так как в системах с большим объемом памяти размер дампа будет слишком большим.

Дамп памяти ядра – сохраняет информацию оперативной памяти, касающуюся только режима ядра. Информация пользовательского режима не сохраняется, так как не несет в себе информации о причине краха системы. Объем файла дампа зависит от размера оперативной памяти и варьируется от 50 Мб (для систем с 128 Мб оперативной памяти) до 800 Мб (для систем с 8 Гб оперативной памяти).

Малый дамп памяти (мини дамп) – содержит довольно небольшое количество информации: код ошибки с параметрами, список драйверов загруженных в оперативную память на момент краха системы и т.д., но этих сведений достаточно, для определения сбойного драйвера. Еще одним преимуществом данного вида дампа является маленький размер файла.

Настройка системы

Для выявления драйвера вызвавшего синий экран нам достаточно будет использовать малый дамп памяти. Для того чтобы система при крахе сохраняла мини дамп необходимо выполнить следующие действия:

Для Windows Xp	Для Windows 7
Правой клавишей мыши нажать на значке Мой компьютер из контекстного меню выберите Свойства (или комбинация клавиш Win+Pause); Переходите на вкладку Дополнительно; В поле Загрузка и восстановление необходимо нажать кнопку Параметры; В поле Запись отладочной информации выбираем Малый дамп памяти (64 Кб).	Правой клавишей мыши нажать на значке Компьютер из контекстного меню выберите Свойства (или комбинация клавиш Win+Pause); В левом меню щелкаем на пункт Дополнительные параметры системы; Переходите на вкладку Дополнительно; В поле Загрузка и восстановление необходимо нажать кнопку Параметры; В поле Запись отладочной информации выбираем Малый дамп памяти (128 Кб).

Проделав все манипуляции, после каждого BSoD в папке C:\WINDOWS\Minidump будет сохраняться файл с расширение .dmp. Советую ознакомиться с материалом «Как создать папку». Также можно установить галочку на “Заменить существующий файл дампа”. В этом случае каждый новый аварийный дамп будет записываться поверх старого. Я не советую включать данную опцию.

Анализ аварийного дампа памяти с помощью программы BlueScreenView

Программа состоит из трех основных блоков:

1. Блок главного меню и панель управления;
2. Блок списка аварийных дампов памяти;
3. В зависимости от выбранных параметров может содержать в себе:

• список всех драйверов находящихся в оперативной памяти до появления синего экрана (по умолчанию);
• список драйверов находящихся в стеке оперативной памяти;
• скриншот BSoD;
• и другие значения, которые мы использовать не будем.

В блоке списка дамп памяти (на рисунке помечен цифрой 2) выбираем интересующий нас дамп и смотрим на список драйверов, которые были загружены в оперативную память (на рисунке помечен цифрой 3). Розовым цветом окрашены драйвера, которые находились в стеке памяти. Они то и являются причиной появления BSoD. Далее переходите в Главное меню драйвера, определяйте к какому устройству или программе они принадлежат

В первую очередь обращайте внимание на не системные файлы, ведь системные файлы в любом случае загружены в оперативной памяти. Легко понять, что на изображении сбойным драйвером является myfault.sys. Скажу, что это программа была специально запущена для вызова Stop ошибки

После определения сбойного драйвера, необходимо его либо обновить, либо удалить из системы

Скажу, что это программа была специально запущена для вызова Stop ошибки. После определения сбойного драйвера, необходимо его либо обновить, либо удалить из системы.

Для того чтобы программа показывала список драйверов находящихся в стеке памяти во время возникновения BSoD необходимо зайти в пункт меню “Options” кликаем на меню “LowerPaneMode” и выбираем “OnlyDriversFoundInStack” (или нажмите клавишу F7), а для показа скриншота ошибки выбираем “BlueScreeninXPStyle” (F8). Что бы вернуться к списку всех драйверов, необходимо выбрать пункт “AllDrivers” (F6).

Буду признателен, если воспользуетесь кнопочками:

Добавить комментарий

Решение

Если Вы один из тех, кто, столкнувшись с ошибкой «Memory_Management», может загрузиться на рабочий стол, хотя бы в безопасном режиме, то перед тем, как приступить к выполнению вышеописанных вариантов, следует потратить время на создание точки восстановления.

Сделать это можно следующим образом:

• Откройте «Этот компьютер» и кликом правой кнопкой по пустому месту открывшегося окна вызовите «Свойство»;
• Далее, откройте раздел «Защита системы»;
• Если кнопка «Создать» у вас неактивна, то нажмите на кнопку «Настроить»;
• Установите флажок в строке «Включить защиту системы», и используя ползунок отмерьте максимальный объём свободного пространства, которые вы предоставите системе восстановления для хранения необходимых ей файлов;
• Вернувшись к предыдущему окну, нажмите на кнопку «Создать»;
• Введите название создаваемой точки восстановления;
• Дождитесь появления окна, сигнализирующего об успешном создании точки восстановления и закройте окно «Свойства системы», нажав на кнопку «ОК».

Подробнее о том, как создать точку восстановления мы писали в статье: Как создать образ системы Windows 10

Теперь имея данную «страховку» следует приступить к подтверждению наличия обозначенных выше причин.

Как уже неоднократно говорилось, драйверы вместе с файлами библиотеки динамической компоновки (.dll) наиболее подвержены различным сбоям.

Поэтому первое на что стоит обратить внимание – это проверка корректности используемого драйверного обеспечения операционной системы. Для этого сделайте следующее:. Для этого сделайте следующее:

Для этого сделайте следующее:

• Нажмите сочетание клавиш «WIN+R» и выполните команду «verifier»;
• Перед вами откроется окно штатной утилиты «Диспетчер проверки драйверов»;
• Из представленных вариантов выберите пункт «Создать нестандартные параметры (для кода программ)» и нажмите «Далее»;
• Откроется список параметров диагностики, среди которых необходимо найти и отметить галочкой:
  • «Особый пул»;
  • «Отслеживание пула»;
  • «Обязательная проверка IRQL»;
  • «Обнаружение взаимоблокировок»;
  • «Проверки безопасности»;
  • «Проверка соответствия требованиям DDI»;
  • «Прочие проверки».
• В следующем шаге отметьте «Выбрать имя драйвера из списка» и дождитесь завершения загрузки информации;
• Полученные результаты отсортируйте по столбцу «Поставщик» и отметьте галочкой все варианты, которые поставляются не компанией «Microsoft»;
• Нажмите на кнопку «Готово» и перезагрузите компьютер, для инициирования созданной проверки.

Следует учитывать, что данная проверка будет запускаться автоматически до момента её отключения. Но если в результате проверки будут найдены ошибки, препятствующие входу, то система может выдать «BSOD» и уйти в циклическую перезагрузку, что будет продолжаться до бесконечности.

Если в вашем случае ситуация развивается именно таким образом, то во время очередного старта Windows постоянно нажимайте на клавишу «F8» и далее:

• Выберите раздел «Диагностика»;
• Далее «Дополнительные параметры» – «Восстановление при загрузке» – «Перезагрузить»;
• Отметьте параметр «Безопасный режим с поддержкой командной строки»;
• Дождитесь появления консоли командной строки и поочерёдно выполните две команды:
  • «verifier /reset» – для деактивации автоматической диагностики драйверов;
  • «shutdown -r -t 0» – для инициирования перезагрузки компьютера.

Альтернативным вариантом является использования ранее созданной точки восстановления , для отката конфигурации системы до активации проверки драйверов.

На этом список дел не заканчивается. Отключенная утилита диагностики по факту своей работы создала определённый файл, который находится в папке «C:\windows\ minidump». В нём содержится прямое указание на драйверы, имеющие в своей структуре какие-либо ошибки.

Открыть файл с подобным форматом можно и средствами операционной системы с помощью официальной утилиты «Debugging Tools for Windows», которая доступна для скачивания на официальном сайте «Microsoft», но выводимая информация будет сложна для восприятия.

Поэтому лучшим вариантом будет воспользоваться сторонним специализированным программным обеспечением, например, «BlueScreenView». Программа распознает файл дампа памяти и выведет информацию в максимально понятной интерпретации, выделив сбойный драйвер розовым цветом.

Останется только удалить «виновника» и провести его ручное обновление/установку, скачав с официального сайта разработчиков.

Как удалить этот файл

Если пользователю понадобилось удалить minidump, то выполняет он эту процедуру ручным способом. А именно: перейти по пути месторасположения файлов на диске: C:\Windows\Minidump. Для удаления элементов minidump в каталоге Windows нужно воспользоваться встроенным инструментом системы «Очистка диска»:

Если в списке нужных объектов не нашлось, это не означает, что они отсутствуют в системе. Скорей всего, они отключены пользователем или программами по очистке.

Дамп памяти в ОС Windows 10 – инструмент, помогающий диагностировать и устранять причины сбоев и появление BSoD. Если автоматическое создание и сохранение дампов памяти отключено, рекомендуется активировать их. Чаще причиной отключения файлов становятся утилиты для очистки ПК и оптимизации работы системы.

Изучение файла сброса

Существует несколько команд, которые можно использовать для сбора сведений в файле сброса, в том числе следующие команды:

• Команда !analyze -show отображает код ошибки Stop и его параметры. Код ошибки Stop также известен как код проверки ошибок.
• Команда !analyze -v отображает многословный вывод.
• В lm N T команде перечислены указанные загруженные модули. Выход включает состояние и путь модуля.

Команда расширения !drivers отображает список всех драйверов, загруженных на компьютере назначения, а также сводную информацию об использовании их памяти. Расширение !drivers устарело в Windows XP и более поздней версии. Чтобы отобразить сведения о загруженных драйверах и других модулях, используйте lm команду. Команда lm N T отображает сведения в формате, аналогичном старому расширению драйверов!.

Справки по другим командам и полному синтаксису команд см. в документации по отладки средств справки. Документация о помощи средствам отладки можно найти в следующем расположении:

C:Program FilesDebugging Tools for WindowsDebugger.chm

Если у вас есть проблемы, связанные с символами, используйте утилиту Symchk, чтобы убедиться, что правильные символы загружены правильно. Дополнительные сведения об использовании Symchk см. в рубрике Отладка с символами.

Упрощение команд с помощью пакетного файла

После определения команды, необходимой для загрузки свалок памяти, можно создать пакетный файл для проверки файла сброса. Например, создайте пакетный файл и назови его Dump.bat. Сохраните его в папке, где установлены средства отладки. Введите следующий текст в пакетный файл:

Если вы хотите изучить файл сброса, введите следующую команду, чтобы передать путь файла сброса в пакетный файл:

Настройки дампа памяти Windows

Основное преимущество «автоматического дампа памяти» заключается в том, что он позволяет процессу подсистемы диспетчера сеансов автоматически разрешать ему уменьшать файл подкачки до размера, меньшего, чем размер ОЗУ. Для тех, кто не знает, Подсистема диспетчера сеансов отвечает за инициализацию системной среды и запуск служб и процессов, необходимых для входа пользователей в систему. Он в основном настраивает файлы подкачки для виртуальной памяти и запускает winlogon.exe процесс.

Если вы хотите изменить настройки автоматического дампа памяти, вот как это можно сделать. Нажмите Победа + X и щелкните Система. Затем нажмите «Передовой Система Настройки».

Под Запуск и восстановление, нажмите на Настройки.

Там вы увидите раскрывающееся меню, в котором написано «Напишите отладочную информацию».

Здесь вы можете выбрать желаемый вариант. Предлагаются следующие варианты:

• Никаких дампов памяти
• Небольшой дамп памяти
• Дамп памяти ядра
• Полный дамп памяти
• Автоматический дамп памяти. Добавлено в Windows 8.
• Дамп активной памяти. Добавлено в Windows 10.

Расположение файла дампа памяти -% SystemRoot% MEMORY.DMP.

Если вы используете SSD, лучше оставить его на «Автоматический дамп памяти»; но если вам нужен файл аварийного дампа, лучше всего установить для него «Малый дамп памяти», так как таким образом вы можете, если хотите, отправить его кому-нибудь для просмотра.

КОНЧИК: Вы можете анализировать файлы .dmp дампа памяти Windows с помощью WhoCrashed.

Увеличьте размер файла подкачки, чтобы создать полный дамп памяти

В некоторых случаях нам может потребоваться увеличить размер файла подкачки до размера, превышающего размер ОЗУ, чтобы уместить полный дамп памяти. В таких случаях мы можем создать раздел реестра в

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlCrashControl

называется “LastCrashTime».

Это автоматически увеличит размер файла подкачки. Чтобы уменьшить его, в дальнейшем вы можете просто удалить ключ.

Windows 10 представил новый тип файла дампа, названный Дамп активной памяти. Он содержит только самое необходимое и поэтому меньше по размеру.

Отключить автоматическое удаление дампов памяти при нехватке места на диске

Windows автоматически удалит файлы дампа при нехватке места на диске. Но если вы хотите отключить автоматическое удаление дампов памяти при нехватке места на диске, сделайте это,

Откройте Свойства системы> вкладка Дополнительно> Параметры запуска и восстановления.

В разделе Системный сбой выберите Отключить автоматическое удаление дампов памяти при нехватке места на диске вариант, нажмите ОК и выйдите.

Связанные чтения:

1. Ограничения физической памяти в файлах аварийного дампа
2. Настройте Windows 10 для создания файлов аварийного дампа на синем экране
3. Контролируйте количество файлов дампа памяти, которые Windows создает и сохраняет.

АНАЛИЗ АВАРИЙНОГО ДАМПА ПАМЯТИ С ПОМОЩЬЮ ПРОГРАММЫ BLUESCREENVIEW

Итак, после появления синего экрана смерти система сохранила новый аварийный дамп памяти. Для анализа дампа рекомендую использовать программу BlueScreenView. Её можно бесплатно скачать тут. Программа довольно удобная и имеет интуитивный интерфейс. После её установки первое, что необходимо сделать – это указать место хранение дампов памяти в системе. Для этого необходимо зайти в пункт меню “Options ” и выбрать “Advanced Options ”. Выбираем радиокнопку “Load from the following Mini Dump folder ” и указываем папку, в которой хранятся дампы. Если файлы хранятся в папке C:\WINDOWS\Minidump можно нажатием кнопки “Default ”. Нажимаем OK и попадаем в интерфейс программы.

Программа состоит из трех основных блоков:

1. Блок главного меню и панель управления;
2. Блок списка аварийных дампов памяти;
3. В зависимости от выбранных параметров может содержать в себе:

• список всех драйверов находящихся в оперативной памяти до появления синего экрана (по умолчанию);
• список драйверов находящихся в стеке оперативной памяти;
• скриншот BSoD;
• и другие значения, которые мы использовать не будем.

В блоке списка дамп памяти (на рисунке помечен цифрой 2) выбираем интересующий нас дамп и смотрим на список драйверов, которые были загружены в оперативную память (на рисунке помечен цифрой 3). Розовым цветом окрашены драйвера, которые находились в стеке памяти. Они то и являются причиной появления BSoD. Далее переходите в Главное меню драйвера, определяйте к какому устройству или программе они принадлежат

В первую очередь обращайте внимание на не системные файлы, ведь системные файлы в любом случае загружены в оперативной памяти. Легко понять, что на изображении сбойным драйвером является Скажу, что это программа была специально запущена для вызова Stop ошибки

После определения сбойного драйвера, необходимо его либо обновить, либо удалить из системы.

Для того чтобы программа показывала список драйверов находящихся в стеке памяти во время возникновения BSoD необходимо зайти в пункт меню “Options ” кликаем на меню “Lower Pane Mode ” и выбираем “Only Drivers Found In Stack ” (или нажмите клавишу F7), а для показа скриншота ошибки выбираем “Blue Screen in XP Style ” (F8). Что бы вернуться к списку всех драйверов, необходимо выбрать пункт “All Drivers ” (F6).

Или как его еще называют BSOD, может изрядно подпортить жизнь как компьютеру так и серверу, а еще выяснилось и виртуальной машине. Сегодня расскажу как анализировать синий экран dump memory в Windows, так как правильная диагностика и получение причины из за чего не работает ваша система, 99 процентов ее решения, тем более системный инженер, просто обязан уметь это делать, да и еще в кратчайшие сроки, так как от этого бизнес может в следствии простоя сервиса, терять кучу денег.

BSOD расшифровка

Давайте для начала разберем, что означает данная аббревиатура, BSOD от английского Blue Screen of Death или еще режим STOP ошибки.

Анализ синего экрана в Debugging Tools

После установки Debugging Symbols под систему на которой был синий экран смерти запускаем Debugging Tools

Как установить Microsoft Kernel Debugger-Запуск

Перед анализом содержимого дампа памяти, потребуется провести небольшую настройку отладчика. Конкретно — сообщить программе, по какому пути следует искать отладочные символы. Для этого выбираем в меню File > Symbol File Path…

Как установить Microsoft Kernel Debugger-09

Нажимаем кнопку Browse…

Как установить Microsoft Kernel Debugger10

и указываем папку, в которую мы установили отладочные символы для рассматриваемого дампа памяти, можно указать несколько папок через запятую и можно запрашивать информацию о требуемых отладочных символах прямо через Интернет, с публичного сервера Microsoft. Таким образом у вас будет самая новая версия символов. Сделать это можно следующим образом — в меню File > Symbol File Path… вводим:

Как установить Microsoft Kernel Debugger-11

Анализ с помощью BlueScreenView

Запускаем и настраиваем. Нажмите «Настройки» (Options) – «Дополнительные параметры» (Advanced Options). Выберите первый пункт «Загружать МиниДампы из этой папки» и указываем каталог — C:\WINDOWS\Minidump. Хотя можно просто нажать кнопку «По умолчанию». Нажимаем ОК.

В главном окне должны появится файлы дампа. Он может быть, как один, так и несколько. Для его открытия достаточно нажать по нему мышкой.

В нижней части окна будут отображены компоненты, которые были задействованы на момент сбоя. Красным цветом будет выделен виновник аварии.

Теперь нажимаем «Файл» и выбираем, например, пункт «Найти в Google код ошибки + драйвер». Если нашли нужный драйвер, установите и перезагрузите компьютер. Возможно ошибка исчезнет.