Анализ креш-дампов памяти Windows

Во время сбоев в работе операционной системы часто на экране появляется BSOD ("голубой экран смерти-п) или компьютер просто перезагружается. При перезагрузке невозможно узнать причину возникновения ошибки. Для ее определения используют файлы дампа памяти, которые не так-то просто открываются.

Вам понадобится

• - программное обеспечение BlueScreenView.

Инструкция

Если в настройках операционной системы включить опцию записи дампа, при сбоях можно узнать причину возникшей ошибки. Файлы дампа памяти имеют расширение dmp. Для их открытия используются специальные программы, например, BlueScreenView или Microsoft debugging tools. Последняя утилита хоть и предназначена именно для Windows-платформ, она требует наличие установленного пакета.NET Framework последней версии, поэтому он редко используется.

Изначально вам необходимо отключить возможность автоматической перезагрузки системы, чтобы увидеть номер ошибки и ее расшифровку, а также включить возможность создания файлов дампа памяти во время падения системы. Перейдите к рабочему столу и нажмите правой кнопкой мыши на значке «Мой компьютер». В контекстном меню выберите пункт «Свойства».

В открывшемся окне перейдите к вкладке «Дополнительно», в блоке «Загрузка и восстановление» нажмите кнопку «Параметры». Уберите отметку с пункта «Выполнить автоматическую перезагрузку». Если вы столкнулись с ситуацией, когда систему уже невозможно загрузить, активируйте данную опцию через меню загрузки: нажмите клавишу F8 при загрузке системы и выберите строку«При отказе системы не выполнять перезагрузку». Теперь вы сможете увидеть «голубой экран смерти» и записав код ошибки, узнать ее происхождение при помощи другого компьютера.

Но не всегда по 2-3 строчкам можно выяснить причину появления BSOD. Если воспользоваться программой BlueScreenView, можно узнать больше подробностей. Скачать программу можно по следующей ссылке http://nirsoft.net/utils/bluescreenview.zip, а руссификатор можно скачать по этой ссылке http://nirsoft.net/utils/trans/bluescreenview_russian.zip.

После запуска этой программы в главном окне программы вы сможете увидеть все файлы дампа, которые есть в вашей системе. Их отсутствие говорит, что аварийных отключений питания компьютера не происходило или возможность записи dmp-файлов еще не использовалась.

Выберите последний по дате создания файл дампа и прочитайте подробное пояснение к нему. Если информации слишком мало для решения проблемы, нажмите меню «Файл» и выберите пункт «Найти в Google код ошибки и драйвер». При помощи поисковой системы можно найти решение.

Как часто Вам приходится лицезреть экран смерти Windows (BSoD)? BSoD может возникать в разных случаях: как уже при работе с системой, так и в процессе загрузки операционной системы. Как же определить, чем вызвано появление BSoD и устранить эту проблему? Операционная система Windows способна сохранять дамп памяти при появлении ошибки, чтобы системный администратор мог проанализировать данные дампа и найти причину возникновения BSoD.

Существует два вида дампов памяти - малый (minidump) и полный. В зависимости от настроек операционной системы, система может сохранять полный или малый дампы, либо не предпринимать никаких действий при возникновении ошибки.

Малый дамп располагается по пути %systemroot%\minidump и имеет имя вроде Minixxxxxx-xx.dmp
Полный дамп располагается по пути %systemroot% и имеет имя вроде Memory.dmp

Для анализа содержимого дампов памяти следует применять специальную утилиту - Microsoft Kernel Debugger.
Получить программу и компоненты, необходимые для ее работы, можно напрямую с сайта Microsoft - Debugging Tools

При выборе отладчика следует учитывать версию операционной системы, на которой Вам придется анализировать дампы памяти. Для 32-разрядной ОС необходима 32-битовая версия отладчика, а для 64-разрядной ОС предпочтительно использовать 64-битовую версию отладчика.

Помимо самого пакета Debugging Tools for Windows, также понадобятся набор отладочных символов - Debugging Symbols. Набор отладочных символов специфичен для каждой ОС, на которой был зафиксирован BSoD. Потому придется загрузить набор символов для каждой ОС, анализировать работу которой Вам придется. Для 32-разрядной Windows XP потребуются набор символов для Windows XP 32-бит, для 64-разрядной ОС потребуются набор символов для Windows XP 64-бит. Для других ОС семейства Windows наборы символов подбираются сообразно такому же принципу. Загрузить отладочные символы можно отсюда . Устанавливать их рекомендуется по адресу %systemroot%\symbols

После установки отладчика и отладочных символов, запускаем отладчик. Окно отладчика после запуска выглядит следующим образом.

Перед анализом содержимого дампа памяти, потребуется провести небольшую настройку отладчика. Конкретно - сообщить программе, по какому пути следует искать отладочные символы. Для этого выбираем в меню File > Symbol File Path… Нажимаем кнопку Browse… и указываем папку, в которую мы установили отладочные символы для рассматриваемого дампа памяти.

Можно запрашивать информацию о требуемых отладочных символах прямо через Интернет, с публичного сервера Microsoft. Таким образом у вас будет самая новая версия символов. Сделать это можно следующим образом - в меню File > Symbol File Path… вводим: SRV*%systemroot%\symbols*http://msdl.microsoft.com/download/symbols

После указания пути к отладочным символам, выбираем в меню File > Save workspace и подтверждаем действие нажатием на кнопку OK.

Чтобы приступить к анализу дампа памяти, выбираем в меню File > Open Crash Dump… и выбираем требуемый для рассмотрения файл.

Система проведет анализ содержимого, по окончанию которого выдаст результат о предполагаемой причине ошибки.

Команда!analyze -v, данная отладчику в командной строке, выведет более детальную информацию.

Завершить отладку можно выбором пункта меню Debug > Stop Debugging

Таким образом, используя пакет Debugging Tools for Windows, всегда можно получить достаточно полное представление о причинах возникновения системных ошибок.

Если файл.DMP известен Вашей системе, то открыть его можно двойным нажатием мышкой или клавишей ENTER. Эта операция запустит ассоциируемые с файлом.DMP аппликации, установленные в системе. Если система встречает файл впервые и отсутствуют соответствующие ассоциации, то акция закончится предложением системы, найти соответствующее программное обеспечение в компьютере либо сети интернет.

Иногда случается, что для обслуживания типа файлов.DMP приписана неправильная программа. Это случается в следствии действия враждебных программ, таких как вирусы или вредоносные программы, но чаще всего это результат ошибочного совмещения аппликации с расширением файла.DMP. Если во время обслуживания нового типа файлов.DMP мы укажем системе неправильную программу, то система ошибочно будет рекомендовать ее использование всякий раз, когда будет встречаться файл этого типа. В таком случае следует попробовать повторно выбрать соответствующую аппликацию. Нажмите правой кнопкой мышки на файл.DMP, а затем выберите из меню опцию "Открыть с помощью..." затем "Выбрать программу по умолчанию" . Сейчас выберите одну из установленных аппликаций из вышеуказанного списка и попробуйте снова.

Программы, которые откроют файл.DMP

Ручное редактирование Реестра Windows

Если наша система не справляется с расширением.DMP и подвели все автоматические и полуавтоматические методы обучения его этому искусству, остается ручное редактирование реестра Windows. Этот реестр хранит всю информацию, касающуюся рабоы нашей операционной системы, в том числе соединения расширений файлов с программами для их обслуживания. Команда REGEDIT вписанная в окне „поиск программ и файлов” или „запустить в случае старших версий операционной системы, предоставляет нам доступ к реестру нашей операционной системы. Все операции, проведенные в реестре (даже не очень сложные, касающееся расширения файла.DMP) имеют значительное влияние на работу нашей системы, поэтому прежде чем проводить какие-либо модификации следует убедится, что сделана копия актуального реестра. Интересующий нас раздел - это ключ HKEY_CLASSES_ROOT . Следующая инструкция показывает, шаг за шагом, как модифицировать реестр, а конкретно запись в реестре, содержащую информацию о файле.DMP.

Шаг за шагом

• Нажмите кнопку “start”
• В окне „найти программы и файлы” (в старших версиях системы Windows это окно „Запустить”) впишите команду „regedit” а затем утвердите операцию клавишей „ENTER”. Эта операция запустит системный редактор реестра. Этот инструмент позволит не только просмотреть существующие записи, но также провести их модификацию, добавление или удаление вручную. В связи с тем, что реестр системы Windows ключевой для ее работы, все операции, проводящиеся на ней, следует выполнять рассудительно и сознательно. Неосторожное устранение или модификация несоответственного ключа может необратимо повредить операционную систему.
• С помощью комбинации клавишей ctr+F или меню Редактирование и опции „Найти” найдите интересующее вас расширение.DMP, вписав его в окне поисковика. Утвердите, нажав OK или с помощью клавиши ENTER.
• Запасная копия. Чрезвычайно важным является создание запасной копии реестра, прежде чем совершить в нем какие-либо изменения. Каждое изменение имеет влияние на действие нашего компьютера. В крайних случаях ошибочная модификация реестра может привести к невозможности повторного запуска системы.
• Интересующее Вас значение, касающееся расширения, можно вручную редактировать изменяя ключи, приписанные к найденному расширению.DMP. В этом месте Вы можете также самостоятельно создать нужную запись с расширением а.DMP если такое отсутствует в реестре. Все доступные варианты находятся в подручном меню (правая кнопка мышки) или в меню "Редактирование" после размещения курсора в соответствующем месте на экране.
• После окончания редактирования записи, касающейся расширения.DMP закройте системный реестр. Введенные изменения войдут в жизнь после повторного запуска операционной системы.

Наверное, каждый пользователь Windows хоть раз сталкивался с так называемым «Синим экраном» или «Экраном смерти» (Blue Screen of Death, BSOD). Такие ошибки могут быть при каждой загрузке, а могут проявляться очень редко. Точно определить причину часто бывает довольно непросто.

Как раз для того, чтобы определить, из-за чего происходит крах системы, Windows в момент ошибки сохраняет на жесткий диск образ памяти. В последствии его можно изучить, чтобы понять причину ошибок.

В зависимости от настроек Windows, может сохраняться как полный образ (местонахождение C:\Windows\Memory.dmp), так и частичный (местонахождение: C:\Windows\minidump). В первом случае файл может быть очень большого размера.

Откройте «Панель управления» - > «Система» -> «Дополнительные параметры системы». В разделе «Загрузка и восстановление» нажмите кнопку «Параметры».

Здесь вы сможете выбрать путь сохранение файла Memory.dmp, выбрать тип отладочной информации для сохранения и даже полностью отключить создание таких файлов.

Чем открыть Memory.dmp

Для открытия файла необходим пакет Debugging tools for Windows. Скачать его можно абсолютно бесплатно с сайта Microsoft . Обратите внимание, для работы с файлом Memory.dmp необходимо обладать серьезным опытом.

Можно ли удалять файл Memory.dmp

Если у вас нет проблем с работой Windows, или если вы уже решили проблемы, файл Memory.dmp можно смело удалять. На работе системы это абсолютно никак не скажется.

Если у вас остались вопросы – обязательно , наши эксперты помогут вам!