BSoD: Analýza výpisov pamäte. Ako pochopiť, aký je problém, keď sa objaví modrá obrazovka (BSOD) alebo ako otvoriť súbor výpisu

Všetky systémy Windows, keď sa zistí závažná chyba, urobia núdzový výpis (snímku) obsahu pamäte RAM a uložia ju na pevný disk. Existujú tri typy výpisov pamäte:

Úplný výpis pamäte - uloží celý obsah pamäte RAM. Veľkosť snímky sa rovná veľkosti RAM + 1 MB (hlavička). Používa sa veľmi zriedka, pretože na systémoch s veľkým množstvom pamäte bude veľkosť výpisu príliš veľká.

Výpis pamäte jadra - ukladá informácie o pamäti RAM týkajúce sa iba režimu jadra. Informácie o používateľskom režime sa neuložia, pretože nenesú informácie o príčine zlyhania systému. Veľkosť súboru výpisu závisí od veľkosti pamäte RAM a pohybuje sa od 50 MB (pre systémy so 128 MB RAM) do 800 MB (pre systémy s 8 GB RAM).

Malý výpis pamäte (mini dump) - obsahuje pomerne malé množstvo informácií: kód chyby s parametrami, zoznam ovládačov načítaných do pamäte RAM v čase zlyhania systému atď., Ale tieto informácie sú dostatočné na identifikáciu neúspešného ovládača. . Ďalšou výhodou tohto typu výpisu je malá veľkosť súboru.

Nastavenie systému

Na identifikáciu ovládača, ktorý to spôsobil, nám bude stačiť malý výpis pamäte. Aby systém počas zlyhania uložil mini výpis, musíte vykonať nasledujúce kroky:

Pre Windows XP	Pre Windows 7
Môj počítač Vlastnosti Prejdite na kartu Okrem toho; Možnosti; V teréne Zápis informácií o ladení vybrať si Malý výpis pamäte (64 KB).	Kliknite pravým tlačidlom myši na ikonu Počítač z kontextovej ponuky vyberte Vlastnosti(alebo kombinácia kláves Win+Pause); V ľavom menu kliknite na položku Ďalšie systémové nastavenia; Prejdite na kartu Okrem toho; V poli Stiahnuť a obnoviť kliknite na tlačidlo Možnosti; V teréne Zápis informácií o ladení vybrať si Malý výpis pamäte (128 KB).

Po vykonaní všetkých manipulácií sa po každom BSoD uloží súbor s príponou .dmp do priečinka C:\WINDOWS\Minidump. Odporúčam vám prečítať si materiál „“. Môžete tiež zaškrtnúť políčko " Nahradiť existujúci súbor výpisu". V tomto prípade každý nový výpis z havárie prepíše starý. Neodporúčam povoliť túto možnosť.

Analýza zlyhaní výpisov pomocou BlueScreenView

Takže, keď sa objavila modrá obrazovka smrti, systém uložil nový výpis z havárie. Na analýzu výpisu odporúčam použiť program BlueScreenView. Dá sa stiahnuť zadarmo. Program je celkom pohodlný a má intuitívne rozhranie. Po jeho nainštalovaní je prvou vecou, ​​ktorú musíte urobiť, určiť miesto na ukladanie výpisov pamäte v systéme. Ak to chcete urobiť, prejdite na položku ponuky „ možnosti“ a zvoľte „ Pokročilémožnosti". Vyberte prepínač naložiťodanasledujúceMini Skládkapriečinok“ a zadajte priečinok, kde sú uložené výpisy. Ak sú súbory uložené v priečinku C:\WINDOWS\Minidump, môžete kliknúť na „ Predvolené". Kliknite na tlačidlo OK a vstúpte do rozhrania programu.

Program pozostáva z troch hlavných blokov:

1. Blok hlavného menu a ovládací panel;
2. Blok zoznamu zlyhaní výpisu;
3. V závislosti od zvolených parametrov môže obsahovať:

• zoznam všetkých ovládačov v pamäti RAM pred zobrazením modrej obrazovky (predvolené);
• zoznam ovládačov umiestnených v zásobníku RAM;
• snímka obrazovky BSoD;
• a ďalšie hodnoty, ktoré nebudeme používať.

V bloku zoznamu výpisov pamäte (na obrázku označený číslom 2) vyberte výpis, ktorý nás zaujíma, a pozrite sa na zoznam ovládačov, ktoré boli načítané do pamäte RAM (na obrázku označené číslom 3). Ovládače, ktoré boli v zásobníku pamäte, sú zafarbené na ružovo. Sú príčinou BSoD. Ďalej prejdite do hlavnej ponuky ovládača a určite, ku ktorému zariadeniu alebo programu patria. V prvom rade si dajte pozor na nesystémové súbory, pretože systémové súbory sa aj tak načítavajú do RAM. Je ľahké vidieť, že myfault.sys je chybný ovládač v obraze. Poviem, že tento program bol špeciálne spustený, aby spôsobil chybu Stop. Po identifikácii chybného ovládača ho musíte aktualizovať alebo odstrániť zo systému.

Aby program zobrazil zoznam ovládačov, ktoré sa nachádzajú v pamäťovom zásobníku počas výskytu BSoD, musíte prejsť na položku ponuky „ možnosti"klikni na menu" NižšiaPanelrežim“ a zvoľte „ IbaVodičiNájdenéInStoh“ (alebo stlačte kláves F7) a na zobrazenie snímky obrazovky s chybou zvoľte „ ModráObrazovkavXPštýl“ (F8). Ak sa chcete vrátiť do zoznamu všetkých ovládačov, musíte vybrať položku „ VšetkyVodiči“ (F6).

Hlavný technologický spisovateľ

Niekto vám poslal e-mailom súbor DUMP a vy neviete, ako ho otvoriť? Možno ste súbor DUMP našli vo svojom počítači a zaujíma Vás, na čo je dobrý? Systém Windows vám môže oznámiť, že ho nemôžete otvoriť, alebo v najhoršom prípade sa môže zobraziť príslušné chybové hlásenie súvisiace so súborom DUMP.

Pred otvorením súboru DUMP musíte zistiť, aký typ súboru má príponu súboru DUMP.

tip: Nesprávne chyby priradenia súborov DUMP môžu byť príznakom iných základných problémov vo vašom operačnom systéme Windows. Tieto neplatné položky môžu tiež spôsobiť súvisiace príznaky, ako je pomalé spúšťanie systému Windows, zamrznutie počítača a iné problémy s výkonom počítača. Preto sa dôrazne odporúča skontrolovať register systému Windows, či neobsahuje neplatné priradenia súborov a ďalšie problémy súvisiace s fragmentovaným registrom.

odpoveď:

Súbory DUMP majú rôzne súbory, ktoré sú primárne spojené s Google BreakPad (Google, Inc.), Firefox (Mozilla Foundation).

Príponu DUMP možno využívajú aj ďalšie typy súborov. Ak poznáte akékoľvek iné formáty súborov, ktoré používajú príponu súboru DUMP, kontaktujte nás, aby sme mohli zodpovedajúcim spôsobom aktualizovať naše informácie.

Ako otvoriť súbor DUMP:

Najrýchlejším a najjednoduchším spôsobom, ako otvoriť súbor DUMP, je dvakrát naň kliknúť. V tomto prípade systém Windows vyberie potrebný program na otvorenie súboru DUMP.

V prípade, že sa váš súbor DUMP neotvorí, je vysoko pravdepodobné, že v počítači nemáte nainštalovanú správnu softvérovú aplikáciu na prezeranie alebo úpravu súborov s príponami DUMP.

Ak váš počítač otvorí súbor DUMP, ale v nesprávnom programe, budete musieť zmeniť nastavenia priradenia súborov v registri Windows. Inými slovami, Windows spája prípony súborov DUMP s nesprávnym programom.

Nainštalujte voliteľné produkty - FileViewPro (Solvusoft) | | | |

DUMP Multipurpose Internet Mail Extensions (MIME):

• mime aplikácie/oktet-stream

Nástroj na analýzu súborov™ DUMP

Nie ste si istí, aký typ súboru DUMP je? Chcete získať presné informácie o súbore, jeho tvorcovi a spôsobe jeho otvorenia?

Teraz môžete okamžite získať všetky informácie, ktoré potrebujete o súbore DUMP!

Revolučný Nástroj na analýzu súborov™ DUMP skenuje, analyzuje a podáva podrobné informácie o súbore DUMP. Náš algoritmus (patentovaný) rýchlo analyzuje súbor a v priebehu niekoľkých sekúnd poskytne podrobné informácie vo vizuálnom a ľahko čitateľnom formáte.†

V priebehu niekoľkých sekúnd budete presne vedieť, aký typ súboru DUMP je, aplikáciu priradenú k súboru, meno používateľa, ktorý súbor vytvoril, stav ochrany súboru a ďalšie užitočné informácie.

Ak chcete spustiť bezplatnú analýzu súborov, jednoducho presuňte a presuňte váš DUMP súbor do nižšie uvedených bodkovaných liniek alebo kliknite na Prehľadávať môj počítač a vyberte váš súbor. Správa o analýze súboru DUMP sa zobrazí nižšie priamo v okne prehliadača.

Sem presuňte svoj DUMP súbor a spustite analýzu

Zobraziť môj počítač »

Skontrolujte tiež, či môj súbor neobsahuje vírusy

Váš súbor sa analyzuje... čakajte prosím.

Jedným z najčastejších zlyhaní systému Windows sú systémové výnimky, ktoré používateľ vidí ako „modrú obrazovku smrti“ (BSOD). Táto fatálna chyba sa spravidla vyskytuje buď v dôsledku poruchy ovládačov, hardvéru (častejšie pri načítaní operačného systému) alebo v dôsledku pôsobenia vírusov a antivírusov.

Modrá obrazovka smrti obsahuje informácie o príčinách, ktoré spôsobili výnimku (vo forme STOP chybového kódu v tvare 0x0000007b), adresy pamäte, ktoré spôsobili prístup k výnimke a ďalšie užitočné informácie. Takáto informácia sa nazýva STOP chyba, ktorej premenné parametre sú práve adresy pamäte. Niekedy obsahuje aj názov súboru, ktorý spôsobil výnimku.

Všetky tieto informácie sú na krátku dobu (do 100 sekúnd) obsiahnuté na obrazovke, po ktorej sa počítač reštartuje. Počas tohto krátkeho času sa spravidla vytvorí výpis pamäte, ktorý sa zapíše do súboru. Jedným z dôležitých profesionálnych spôsobov diagnostiky zlyhaní je analýza výpisu pamäte, ktorá bude podrobne popísaná v tomto článku.

Čo je to skládka

• skládka (anglicky) - halda odpadu; skládka; diera; slum.
• dump (výpis pamäte) - 1) výpis, výstup obsahu RAM na tlač alebo obrazovku; 2) "snímka" pamäte RAM; údaje získané v dôsledku dumpingu; 3) núdzové odstránenie, vypnutie, reset.
• dumping - dumping, dumping.

Nastavenia pre ukladanie výpisu pamäte sú uložené v registri systému Windows.

Informácie o výpise pamäte v systémovom registri:

Pod kľúčom databázy Registry systému Windows je výpis pri zlyhaní definovaný nasledujúcimi nastaveniami:

– Parameter REG_DWORD AutoReboot s hodnotou 0x1 (možnosť Vykonať automatický reštart pomocného okna Boot and Restore v dialógovom okne Vlastnosti systému);

– parameter REG_DWORD CrashDumpEnabled s hodnotou 0×0, ak sa nevytvorí výpis pamäte; 0x1 - Úplný výpis pamäte; 0x2 - výpis pamäte jadra; 0×3 – malý výpis pamäte (64 kB);

– REG_EXPAND_SZ Parameter DumpFile s predvolenou hodnotou %SystemRoot%\MEMORY.DMP (umiestnenie výpisu súborov);

– parameter REG_DWORD LogEvent s predvolenou hodnotou 0×1 (možnosť Zaznamenať udalosť do systémového denníka v okne Boot and Restore);

– Parameter REG_EXPAND_SZ MinidumpDir s predvolenou hodnotou %SystemRoot%\Minidump (možnosť Malý priečinok výpisu v okne Boot and Restore);

– Parameter REG_DWORD Prepísať predvolenou hodnotou 0×1 (možnosť Prepísať existujúci súbor výpisu v okne Načítať a obnoviť);

– Parameter REG_DWORD SendAlert s predvolenou hodnotou 0×1 (možnosť Odoslať administratívne oznámenie v okne Boot and Restore).

Ako systém vytvára súbor s výpisom zrútenia

Počas zavádzania operačný systém kontroluje nastavenia výpisu z havárie v kľúči databázy Registry. Ak je zadaný aspoň jeden parameter, systém vygeneruje mapu diskových blokov obsadených odkladacím súborom na zavádzacom zväzku a uloží ju do pamäte. Systém tiež určí, ktorý ovládač diskového zariadenia riadi zavádzací objem, vypočíta kontrolné súčty pre obraz ovládača v pamäti a pre dátové štruktúry, ktoré musia byť celé číslo, aby ovládač mohol vykonávať I/O operácie.

Po havárii systémové jadro overí integritu mapy súboru stránky, ovládača disku a riadiacich štruktúr ovládača disku. Ak sa neporuší integrita týchto štruktúr, jadro systému zavolá špeciálne I / O funkcie ovládača disku, ktoré sú určené na uloženie obrazu pamäte po zlyhaní systému. Tieto I/O funkcie sú sebestačné a nespoliehajú sa na služby systémového jadra, pretože programy zodpovedné za zapisovanie výpisu zrútenia nemôžu urobiť žiadne predpoklady o tom, ktoré časti jadra systému alebo ovládače zariadení boli poškodené počas havárie. Systémové jadro zapisuje údaje z pamäte do mapy sektorov stránkovacieho súboru (nemusí používať ovládače súborového systému).

Po prvé, jadro systému skontroluje stav každého komponentu zapojeného do procesu ukladania výpisu. Deje sa tak, aby priamy zápis do sektorov disku nepoškodil dáta, ktoré sa nachádzajú mimo stránkovacieho súboru. Veľkosť stránkovacieho súboru musí byť o 1 MB väčšia ako veľkosť fyzickej pamäte, pretože pri zápise informácií do výpisu sa vytvorí hlavička, ktorá obsahuje podpis výpisu zrútenia a hodnoty niekoľkých dôležitých premenných jadra systému. Hlavička má menej ako 1 MB, ale operačný systém môže zväčšiť (alebo zmenšiť) veľkosť stránkovacieho súboru aspoň o 1 MB.

Po spustení systému Správca relácií (Windows NT Session Manager; adresa disku \WINDOWS\system32\smss.exe) inicializuje súbory stránok systému pomocou vlastnej funkcie NtCreatePagingFile na vytvorenie každého súboru. NtCreatePagingFile určuje, či súbor stránky, ktorý sa inicializuje, existuje, a ak áno, či obsahuje hlavičku výpisu. Ak je hlavička prítomná, NtCreatePagingFile odošle špeciálny kód do správcu relácie. Správca relácií potom spustí proces prihlasovania do systému Winlogon (program na prihlásenie do systému Windows NT; adresa disku je \WINDOWS\system32\winlogon.exe), ktorý je upozornený na existenciu výpisu zrútenia. Winlogon spustí program SaveDump (program na zálohovanie pamäte Windows NT; adresa disku je \WINDOWS\system32\savedump.exe), ktorý analyzuje hlavičku výpisu a určuje, čo robiť v prípade núdze.

Ak hlavička označuje existenciu výpisu, SaveDump skopíruje údaje zo stránkovacieho súboru do súboru výpisu zrútenia, ktorého názov je určený parametrom REG_EXPAND_SZ DumpFile kľúča databázy Registry. Zatiaľ čo SaveDump prepisuje súbor výpisu, operačný systém nepoužíva časť stránkovacieho súboru, ktorá obsahuje výpis pri zlyhaní. V tomto čase sa množstvo virtuálnej pamäte dostupnej pre systém a aplikácie zníži o veľkosť výpisu (a na obrazovke sa môžu objaviť správy indikujúce nedostatok virtuálnej pamäte). SaveDump potom informuje správcu pamäte, že výpis je dokončený, a správca uvoľní časť stránkovacieho súboru, ktorý obsahuje výpis na verejné použitie.

Po uložení súboru výpisu zaznamená program SaveDump vytvorenie výpisu zrútenia do systémového denníka udalostí, napríklad: „Počítač bol reštartovaný po kritickej chybe: 0x100000d1 (0xc84d90a6, 0x00000010, 0x00000000, 0xc84d90a6). Uložená kópia pamäte: C:\WINDOWS\Minidump\Mini060309-01.dmp".

Ak je povolená možnosť Odoslať oznámenie správcu, funkcia SaveDump odošle oznámenie správcovi.

Druhy skládok

• Úplný výpis pamäte zapíše celý obsah systémovej pamäte, keď dôjde k závažnej chybe. Táto možnosť vyžaduje odkladací súbor na zavádzacom zväzku, ktorý sa rovná množstvu fyzickej pamäte RAM plus 1 MB. V predvolenom nastavení sa úplný výpis pamäte zapíše do súboru %SystemRoot%\Memory.dmp. Keď sa vyskytne nová chyba a vytvorí sa nový súbor úplného výpisu jadra (alebo výpisu jadra), predchádzajúci súbor sa nahradí (prepíše). Možnosť Full Memory Dump nie je dostupná na počítačoch s 32-bitovým operačným systémom a 2 GB alebo viac pamäte RAM.

Keď sa vyskytne nová chyba a vytvorí sa nový súbor výpisu z pamäte, predchádzajúci súbor sa nahradí.

• Výpis pamäte jadra zapisuje iba pamäť jadra, čím sa proces zapisovania údajov do protokolu pri náhlom vypnutí systému zrýchľuje. V závislosti od množstva fyzickej pamäte v počítači si v tomto prípade stránkovací súbor vyžaduje 50 až 800 MB alebo jednu tretinu fyzickej pamäte v počítači na zavádzacom zväzku. Predvolene sa výpis pamäte jadra zapíše do súboru %SystemRoot%\Memory.dmp.

Tento výpis nezahŕňa nepridelenú pamäť alebo pamäť vyhradenú pre programy v užívateľskom režime. Zahŕňa iba pamäť vyhradenú pre jadro a vrstvu závislú od hardvéru (HAL) v systéme Windows 2000 a novších a pamäť vyhradenú pre ovládače v režime jadra a iné programy v režime jadra. Vo väčšine prípadov je takáto skládka preferovanou možnosťou. Zaberá oveľa menej miesta ako úplný výpis pamäte, pričom vylučuje iba tie sektory pamäte, ktoré s najväčšou pravdepodobnosťou nesúvisia s chybou.
Keď sa vyskytne nová chyba a vytvorí sa nový súbor výpisu jadra, predchádzajúci súbor sa prepíše.

• Malý výpis pamäte zaznamenáva najmenšie množstvo užitočných informácií potrebných na určenie príčiny problému. Ak chcete vygenerovať malý výpis pamäte, veľkosť odkladacieho súboru musí byť na zavádzacom zväzku aspoň 2 MB.

Malé súbory výpisu pamäte obsahujú nasledujúce informácie:

• fatálne chybové hlásenie, jeho parametre a ďalšie údaje;
• zoznam načítaných ovládačov;
• kontext procesora (PRCB), ktorý zlyhal;
• informácie o procese a kontext jadra (EPROCESS) pre proces, ktorý spôsobil chybu;
• spracovávať informácie a kontext jadra (ETHREAD) pre vlákno, ktoré spôsobilo chybu;
• zásobník volaní režimu jadra pre vlákno, ktoré spôsobilo chybu.

Malý súbor výpisu pamäte sa používa, keď je miesto na pevnom disku obmedzené. Z dôvodu obmedzených informácií, ktoré obsahuje, však analýza tohto súboru nemusí vždy odhaliť chyby, ktoré neboli priamo spôsobené vláknom, ktoré bolo spustené v čase, keď sa chyba vyskytla.

Ak sa vyskytne nasledujúca chyba a vygeneruje sa druhý malý súbor výpisu pamäte, predchádzajúci súbor sa zachová. Každý ďalší súbor má jedinečný názov. Dátum je zakódovaný v názve súboru. Napríklad Mini051509-01.dmp je prvý súbor výpisu pamäte vytvorený 15. mája 2009. Zoznam všetkých malých súborov výpisu pamäte je uložený v priečinku %SystemRoot%\Minidump.

Operačný systém Windows XP je nepochybne oveľa spoľahlivejší ako predchádzajúce verzie, a to vďaka úsiliu vývojárov spoločnosti Microsoft, vývojárov ovládačov hardvéru a vývojárov aplikačného softvéru. Núdzovým stavom – najrôznejším zlyhaniam a pádom systému – sa však nevyhnete a záleží na tom, či má používateľ PC znalosti a zručnosti na ich odstránenie, bude musieť stráviť niekoľko minút odstraňovaním problémov (napríklad aktualizáciou/ladením ovládača resp. preinštalovanie aplikácie, programu, ktorý spôsobuje zlyhanie systému), alebo niekoľko hodín na preinštalovanie/konfiguráciu operačného systému a aplikačného softvéru (čo nezaručuje absenciu zlyhaní a pádov v budúcnosti!).

Mnohí správcovia systému stále zanedbávajú analýzu výpisov zlyhaní systému Windows a veria, že práca s nimi je príliš náročná. Zložité, ale možné: aj keď sa napríklad analýza jednej z desiatich skládok ukáže ako úspešná, úsilie vynaložené na zvládnutie najjednoduchších techník analýzy skládok pri havárii nebude márne!

Uvediem príklady z mojej „sysadminskej“ praxe.

V lokálnej sieti bez zjavného dôvodu ("hardvér" je v poriadku, neprítomnosť vírusov je zaručená, používatelia - s "normálnymi rukami") zomrelo niekoľko pracovných staníc s Windows XP SP1 / SP2 "na palube". Počítače sa nedali načítať v normálnom režime – prišlo na „Pozdravy“ – a reštartovať na neurčito. Zároveň sa v núdzovom režime načítal počítač.

Štúdium výpisov pamäte umožnilo identifikovať príčinu poruchy: vinníkom bol antivírus Kaspersky, presnejšie čerstvé antivírusové databázy (presnejšie dva databázové moduly - base372c.avc, base032c.avc).

...Bol ešte jeden takýto prípad. Pri pokuse o otvorenie video súborov .avi a .mpeg na lokálnom počítači so systémom Windows XP SP3 došlo k reštartu. Štúdia výpisu pamäte umožnila identifikovať príčinu poruchy - súbor nv4_disp.dll ovládača pre grafickú kartu NVIDIA GeForce 6600. Po aktualizácii ovládača bola porucha odstránená. Vo všeobecnosti je ovládač nv4_disp.dll jedným z najnestabilnejších ovládačov, čo často viedlo k BSOD.

V oboch týchto prípadoch umožnila štúdia výpisu z havárie minimalizovať (niekoľko minút!) čas na diagnostiku a riešenie problémov.

Analýza výpisu pamäte

Existuje mnoho programov na analýzu výpisov pri zlyhaní, napríklad DumpChk, Kanalyze, WinDbg.

Uvažujme o analýze výpisov z pádov pamäte pomocou programu WinDbg (súčasť ladiacich nástrojov pre Windows).

Inštalácia nástrojov na ladenie

• navštívte webovú lokalitu spoločnosti Microsoft http://www.microsoft.com/whdc/devtools/debugging/default.mspx;
• stiahnite si napríklad nástroje na ladenie pre systém Windows pre 32-bitovú verziu systému Windows, môžete to urobiť na stránke Stiahnite si nástroje na ladenie pre systém Windows;
• po stiahnutí spustite inštalačný súbor;
• v okne Debugging Tools for Windows Setup Wizard kliknite na Next;
• v okne s licenčnou zmluvou nastavte prepínač Súhlasím –> Ďalej;
• v ďalšom okne vyberte typ inštalácie (štandardne sú nástroje na ladenie nainštalované v priečinku \Program Files\Debugging Tools for Windows) –> Ďalej –> Inštalovať –> Dokončiť;
• na interpretáciu súborov výpisu pamäte si musíte stiahnuť aj balík symbolov (balíky symbolov, takzvané súbory symbolov alebo súbory symbolov ladenia) pre vašu verziu systému Windows – prejdite na stránku Prevziať balíky symbolov systému Windows;
• vyberte svoju verziu systému Windows, stiahnite a spustite inštalačný súbor Symbol Packages;
• v okne s licenčnou zmluvou kliknite na Áno;
• v ďalšom okne vyberte inštalačný priečinok (predvolené je \WINDOWS\Symboly) –> OK –> Áno;
• v okne Microsoft Windows Symbols so správou "Inštalácia je dokončená" kliknite na OK.

Použitie WinDbg na analýzu výpisov z pádov

• spustiť WinDbg (štandardne je nainštalovaný v priečinku \Program Files\Debugging Tools for Windows);
• vyberte menu Súbor –> Cesta k súboru symbolu…;
• v okne Symbol Search Path kliknite na tlačidlo Prehľadávať...;
• v okne Prehľadávať priečinky zadajte umiestnenie priečinka Symboly (štandardne - \WINDOWS\Symboly) –> OK –> OK;
• vyberte menu Súbor –> Otvoriť výpis z havárie… (alebo stlačte Ctrl + D);
• v okne Open Crash Dump špecifikujte umiestnenie Crash Dump File (*.dmp) –> Open;
• v okne Pracovný priestor s otázkou „Uložiť informácie pre pracovný priestor?“ začiarknite políčko Už sa nepýtať -> Nie;
• v okne WinDbg sa otvorí okno výpisu príkazov<путь_и_имя_файла_дампа>s analýzou skládky;
• skontrolovať analýzu výpisu pamäte;
• v časti „Analýza kontroly chýb“ bude označená možná príčina zlyhania, napríklad „Pravdepodobne spôsobené: smwdm.sys (smwdm + 454d5)“;
• pre zobrazenie podrobných informácií kliknite na odkaz "!analyze -v" v riadku "Použite !analyze -v na získanie podrobných informácií o ladení";
• zatvorte WinDbg;
• použiť prijaté informácie na odstránenie príčiny poruchy.

Napríklad na nasledujúcej snímke obrazovky je príčinou poruchy súbor nv4_disp.dll ovládača grafickej karty.

Dnes si povieme, čo je to výpis pamäte. Tento súbor obsahuje určité údaje, ktoré sa v určitom časovom období nachádzali v pamäti RAM konkrétneho počítača. Je to cenné aj pre špecialistov a vývojárov rôznych softvérov. Keď dôjde k výpadku pamäte, títo ľudia majú možnosť vidieť, v akom bode sa to stalo a z akých dôvodov. To vám umožní opraviť chyby a chyby v softvéri. Vždy, keď dôjde k zlyhaniu operačného systému Microsoft, vždy sa vygeneruje výpis pamäte.

Ak potrebujete nájsť umiestnenie a tiež veľkosť tohto súboru, musíte kliknúť pravým tlačidlom myši na ikonu počítača. Keď vyjde, spustite jeho vlastnosti a otvorte kartu s ďalšími informáciami. Potom v sekcii zavádzania a obnovy musíte kliknúť na tlačidlo nastavení. Zobrazí sa okno na zaznamenávanie informácií o ladení. Z rozbaľovacieho zoznamu máte možnosť vybrať jednu z nasledujúcich funkcií.

Malý výpis pamäte bude mať šesťdesiatštyri kilobajtov. V tomto prípade sa do nej zaznamenajú len najnutnejšie informácie o vzniknutých problémoch. Ďalej nasleduje výpis pamäte jadra. Jeho veľkosť je spravidla tiež šesťdesiatštyri kilobajtov. Obsahuje ladiace údaje pre jadro vášho systému. Prejdime k poslednému bodu. Nazýva sa to "Windows 7 Full Memory Dump". Šetrí všetku systémovú pamäť. V tejto chvíli sa vytvoria potrebné súbory, ktorých veľkosť zodpovedá RAM nainštalovanej vo vašom zariadení.

Môžete tiež priradiť umiestnenie, kde sa tento súbor bude nachádzať, a tiež zmeniť nastavenie zodpovedné za plytké zapisovanie do existujúceho súboru. Dôrazne vám odporúčam, aby ste tieto parametre nemenili, aby zostali tak, ako boli predvolene nastavené.

Za zmienku tiež stojí, že tento súbor môžete vytvoriť sami ručne. Ak to chcete urobiť, zavolajte do ponuky Štart, spustite službu s názvom "Spustiť" a zadajte do nej príkaz "regedit" a potom kliknite na tlačidlo "OK". Pred vami sa objaví operačný systém. Tam musíte nájsť taký kľúč, ktorý vyzerá takto: HKEYS LOCAL MACHINES/ SYSTEMA/ CurrentControlSets / Service/ i8042prt/ Parametres.

Keď ho nájdete, kliknite pravým tlačidlom myši na pravú stranu tohto okna a vyberte vytvoriť DWORLD. Potom napíšte názov kľúča „CrashOnCtrlScroll“ a priraďte mu hodnotu „1“. Potom zatvorte tento editor a reštartujte počítač alebo prenosný počítač. Ak chcete vytvoriť nový súbor obsahujúci výpis pamäte, stlačte a podržte tlačidlo Contral a potom dvakrát stlačte tlačidlo

To je všetko. Dúfam, že vyššie uvedené informácie boli prezentované prístupným spôsobom. Bez konkrétnych dôvodov však tieto postupy nemusíte vykonávať, pretože ide o systémové prostriedky. Ak urobíte chyby, môže to mať nenapraviteľné následky pre váš operačný systém.

V kapitole výpis pri zlyhaní je definovaný nasledujúcimi parametrami:

– REG_DWORD- parameter autoreboot so zmyslom 0x1(možnosť Vykonajte automatický reštart pomocné okenné okno Vlastnosti systému);

– REG_DWORD- parameter CrashDumpEnabled so zmyslom 0x0 ak sa nevygeneruje výpis pamäte; 0x1 – Úplný výpis pamäte; 0x2 – Výpis pamäte jadra; 0x3 – Malý výpis pamäte (64 kB);

– REG_EXPAND_SZ- parameter DumpFile so zmyslom %SystemRoot%\MEMORY.DMP(kde je uložený súbor výpisu);

– REG_DWORD- parameter protokolovať udalosť so zmyslom 0x1(možnosť Zapíšte udalosť do denníka okno);

– REG_EXPAND_SZ- parameter MinidumpDir so zmyslom %SystemRoot%\Minidump(možnosť);

– REG_DWORD- parameter Prepísať so zmyslom 0x1(možnosť Nahradiť existujúci súbor okno);

– REG_DWORD- parameter Odoslať upozornenie so zmyslom 0x1(možnosť Odoslať administratívne oznámenie okno).

Ako systém vytvára súbor pamäte pri zlyhaní

Počas zavádzania operačný systém kontroluje nastavenia núdzového vytvorenia v kľúči databázy Registry . Ak je zadaný aspoň jeden parameter, systém vygeneruje mapu diskových blokov obsadených zavádzacím zväzkom a uloží ju do pamäte. Systém tiež určí, ktoré diskové zariadenie riadi objem zavádzania, vypočíta kontrolné súčty pre obraz v pamäti a pre dátové štruktúry, ktoré musia byť celé čísla, aby mohli vykonávať I/O operácie.

Po zlyhaní skontroluje jadro systému integritu mapy súboru stránky, súboru disku a riadiacich štruktúr disku.. Ak sa neporuší integrita týchto štruktúr, jadro systému zavolá špeciálne diskové I/O funkcie. , určený na uloženie obrazu pamäte po havárii. Tieto I/O funkcie sú sebestačné a nespoliehajú sa na služby jadra systému, pretože programy zodpovedné za písanie výpisu zrútenia nemôžu robiť žiadne predpoklady o tom, ktoré časti jadra systému alebo zariadenia zlyhali. Systémové jadro zapisuje údaje z pamäte pomocou mapy sektorov stránkovacieho súboru (nemusí používaťsystém súborov).

Po prvé, jadro systému skontroluje stav každého komponentu zapojeného do procesu ukladania výpisu. Deje sa tak preto, aby pri priamom zápise do sektorov disku nedošlo k poškodeniu údajov mimo súboru. Veľkosť súboru musí byť 1 MB väčšia ako veľkosť fyzickej pamäte, pretože pri zápise informácií sa vytvorí hlavička, ktorá obsahuje podpis núdzového stavu a hodnoty niekoľkých dôležitých premenných jadra systému. Titul je menší ako 1 MB, ale operačný systém môže zväčšiť (alebo zmenšiť) veľkosť stránkovacieho súboru aspoň o 1 MB.

Po spustení systému manažér relácie (Správca relácií Windows NT; adresa disku - \WINDOWS\system32\smss.exe) inicializuje systémové súbory pomocou vlastnej funkcie na vytvorenie každého súboru NtCreatePagingFile. NtCreatePagingFile určuje, či inicializovaný súbor existuje, a ak áno, či má hlavičku . Ak je tam hlavička, tak NtCreatePagingFile posiela do manažér reláciešpeciálny kód. Potom manažér relácie spustí proces Winlogon (Prihlasovací program Windows NT; adresa disku - \WINDOWS\system32\winlogon.exe), ktorý je upozornený na existenciu mimoriadnej udalosti . Winlogon spustí program SaveDump (Program na zálohovanie pamäte Windows NT; adresa disku - \WINDOWS\system32\savedump.exe), ktorý analyzuje hlavičku a určí ďalší postup v prípade núdze.

Ak názov naznačuje existenciu , potom SaveDump skopíruje údaje zo súboru do pohotovostného súboru, ktorého názov je uvedený REG_EXPAND_SZ- parameter DumpFile oddiele . Až do SaveDump prepíše súbor , operačný systém nepoužíva časť stránkovacieho súboru, ktorá obsahuje núdzový stav . V tomto čase sa veľkosť virtuálnej pamäte dostupnej pre systém a aplikácie zníži o veľkosť (V tomto prípade sa na obrazovke môžu objaviť hlásenia indikujúce nedostatok virtuálnej pamäte). Potom SaveDump informuje správcu pamäte, že ukladanie je dokončené a túto časť uvoľní súbor, ktorý ukladá , na všeobecné použitie.

Ukladá sa súbor , program SaveDump zaznamenáva vznik mimoriadnej udalosti v denníku udalostí , napríklad: "Počítač bol reštartovaný po kritickej chybe: 0x100000d1 (0xc84d90a6, 0x00000010, 0x00000000, 0xc84d90a6). Uložená kópia pamäte: C:\WINDOWS\Minidump\Mini060309-01.dmp" .

Úplný výpis pamäte zapíše celý obsah pamäte, keď dôjde k závažnej chybe. Pre túto možnosť musíte mať na zavádzacom zväzku odkladací súbor, ktorého veľkosť sa rovná množstvu všetkej fyzickej pamäte RAM plus 1 MB. Predvolene plná pamäť sa zapíše do súboru %SystemRoot%\Memory.dmp. Keď sa vyskytne nová chyba a vytvorí sa nový úplný súbor pamäť (resp pamäť jadra) predchádzajúci súbor je nahradený (prepísaný). Parameter Úplný výpis pamäte nedostupné na , ktoré majú 32-bitový operačný systém a nainštalované 2 alebo viac pamäte RAM.

Keď sa vyskytne nová chyba a vytvorí sa nový úplný súbor pamäte, predchádzajúci súbor sa nahradí.

Výpis pamäte jadra zapisuje iba pamäť jadra, čím sa proces zapisovania údajov do protokolu pri náhlom vypnutí systému zrýchľuje. V závislosti od množstva fyzickej pamätev tomto prípade výmenný súbor potrebuje 50 až 800 MB alebo jednu tretinu fyzickej pamäte na zavádzacom zväzku. pamäť jadra sa zapíše do súboru %SystemRoot%\Memory.dmp.

Toto nezahŕňa nepridelenú pamäť alebo pamäť pridelenú programom v režime. Zahŕňa iba pamäť pridelenú jadru a hardvérovo špecifickej vrstve ( HAL) v Windows 2000 a novšie verzie systému, ako aj pamäť vyhradená pre režim jadra a iné programy v režime jadra. Vo väčšine prípadov napr je preferovanou možnosťou. Zaberá oveľa menej miesta ako plný pamäť, pričom sa vylúčia iba tie sektory pamäte, ktoré s najväčšou pravdepodobnosťou nie sú spojené s chybou.

Keď sa vyskytne nová chyba a vytvorí sa nový súbor pamäte jadra predchádzajúci súbor sa nahradí.

Malý výpis pamäte zaznamenáva najmenšie množstvo užitočných informácií potrebných na určenie príčiny problému. Na vytvorenie malého pamäte, veľkosť stránkovacieho súboru by mala byť aspoň 2 MB na spúšťacom zväzku.

Malé súbory pamäť obsahuje nasledujúce informácie:

– fatálne chybové hlásenie, jeho parametre a ďalšie údaje;

– zoznam stiahnutých ;

- kontext ( PRCB) na ktorom k poruche došlo;

EPROCESS) pre proces, ktorý spôsobil chybu;

– informácie o procese a kontext jadra ( ETHREAD) pre vlákno, ktoré spôsobilo chybu;

– zásobník volaní režimu jadra pre vlákno, ktoré spôsobilo chybu.

Súbor malý pamäť sa používa, keď je miesto na pevnom disku obmedzené. Z dôvodu obmedzených informácií, ktoré obsahuje, však analýza tohto súboru nemusí vždy odhaliť chyby, ktoré neboli priamo spôsobené vláknom, ktoré bolo spustené v čase, keď sa chyba vyskytla.

Keď sa vyskytne nasledujúca chyba a vytvorí sa druhý malý súbor pamäte, predchádzajúci súbor sa uloží. Každý ďalší súbor má jedinečný názov. Dátum je zakódovaný v názve súboru. Napríklad, Mini051509-01.dmp je prvý súbor pamäť vytvorená 15. mája 2009 Zoznam všetkých malých súborov pamäť je uložená v priečinku %SystemRoot%\Minidump.

Operačný systém , je nepochybne oveľa spoľahlivejšia ako predchádzajúce verzie – vďaka úsiliu oboch vývojárov Microsoft a vývojári hardvéru a vývojári aplikačného softvéru . Núdzové situácie – všetky druhy porúch a pádov systému – sú však nevyhnutné a záleží na tom, čiznalosti a zručnosti v odstraňovaní problémov, závisí od toho, či musí stráviť niekoľko minút odstraňovaním problémov (napríklad aktualizáciou/ladením alebo preinštalovaním aplikačného programu, ktorý spôsobil zlyhanie), alebo niekoľko hodín preinštalovaním/konfiguráciou operačného systému a aplikačného softvéru (čo nezaručuje absenciu porúch a pádov v budúcnosti!).

Mnoho správcov zanedbáva analýzu výpisu zrútenia Windows veriť, že je príliš ťažké s nimi pracovať. Ťažké, ale možné: aj keď napríklad analýza jedného z desiatich budú úspešné – úsilie vynaložené na zvládnutie najjednoduchších metód analýzy nehôd , nebude to márne! ..