Cum să utilizați un dump de memorie pentru a determina driverul care provoacă BSOD. Descărcarea Windows

Toate sistemele Windows, atunci când este detectată o eroare fatală, efectuează un dump de blocare (instantaneu) a conținutului RAM și îl salvează pe hard disk. Există trei tipuri de dump de memorie:

Dump memorie completă – salvează întregul conținut al memoriei RAM. Dimensiunea imaginii este egală cu dimensiunea RAM + 1 MB (antet). Foarte rar folosit, deoarece pe sistemele cu cantități mari de memorie dimensiunea de descărcare va fi prea mare.

Dump memorie kernel – salvează informațiile RAM legate doar de modul kernel. Informațiile despre modul utilizator nu sunt salvate deoarece nu conțin informații despre cauza prăbușirii sistemului. Dimensiunea fișierului de descărcare depinde de dimensiunea memoriei RAM și variază de la 50 MB (pentru sisteme cu 128 MB RAM) la 800 MB (pentru sisteme cu 8 GB RAM).

Mică memorie dump (mini dump) - conține o cantitate destul de mică de informații: un cod de eroare cu parametri, o listă de drivere încărcate în RAM în momentul prăbușirii sistemului etc., dar aceste informații sunt suficiente pentru a identifica driverul defect . Un alt avantaj al acestui tip de dump este dimensiunea mică a fișierului.

CONFIGURAREA SISTEMULUI

Pentru a identifica driverul care a provocat ecranul albastru, va trebui să folosim doar o mică imagine de memorie. Pentru ca sistemul să salveze un mini dump în timpul unui accident, trebuie să efectuați următorii pași:

Pentru Windows Xp

Pentru Windows 7

Calculatorul meu Proprietăți
Accesați fila În plus;
Opțiuni;
În câmp Scrierea informațiilor de depanare alege Descarcare de memorie mică (64 KB).

Faceți clic dreapta pe pictogramă Calculator din meniul contextual selectați Proprietăți(sau combinația de taste Win+Pauză);
În meniul din stânga, faceți clic pe element Setari de sistem avansate;
Accesați fila În plus;
În câmpul Descărcare și recuperare, trebuie să faceți clic pe butonul Opțiuni;
În câmp Scrierea informațiilor de depanare alege Dump de memorie mic (128 KB).

După finalizarea tuturor manipulărilor, după fiecare BSoD un fișier cu extensia .dmp va fi salvat în folderul C:\WINDOWS\Minidump. Vă sfătuiesc să citiți materialul „Cum se creează un folder”. De asemenea, puteți bifa caseta „ Înlocuiți fișierul dump existent" În acest caz, fiecare nou crash dump va fi scris peste cel vechi. Nu recomand să activați această opțiune.

ANALIZAREA UNUI CRASH DUMP FOLOSIND PROGRAMUL BLUESCREENVIEW

Așadar, după ce a apărut Ecranul Albastru al Morții, sistemul a salvat o nouă descărcare a memoriei de blocare. Pentru a analiza dump-ul, vă recomand să utilizați programul BlueScreenView. Poate fi descărcat gratuit aici. Programul este destul de convenabil și are o interfață intuitivă. După instalarea acestuia, primul lucru pe care trebuie să-l faceți este să specificați locația pentru stocarea depozitelor de memorie pe sistem. Pentru a face acest lucru, accesați elementul de meniu „ Opțiuni” și selectați „ AvansatOpțiuni" Selectați butonul radio „ Sarcinădincelca urmare aMini Dumppliant” și specificați folderul în care sunt stocate depozitele. Dacă fișierele sunt stocate în folderul C:\WINDOWS\Minidump, puteți face clic pe „ Mod implicit" Faceți clic pe OK și ajungeți la interfața programului.

Programul este format din trei blocuri principale:

Bloc meniu principal și panou de control;
Blocarea listei de descărcare în caz de accident;
În funcție de parametrii selectați, acesta poate conține:

o listă a tuturor driverelor din RAM înainte ca ecranul albastru să apară (în mod implicit);
o listă de drivere situate în stiva RAM;
captură de ecran BSoD;
și alte valori pe care nu le vom folosi.

În blocul listei de depozitare a memoriei (marcat cu numărul 2 în figură), selectați dump-ul care ne interesează și priviți lista de drivere care au fost încărcate în RAM (marcate cu numărul 3 în figură). Driverele care se aflau pe stiva de memorie sunt de culoare roz. Ele sunt cauza BSoD. Apoi, accesați meniul principal al driverului, stabiliți cărui dispozitiv sau program aparțin. În primul rând, acordați atenție fișierelor care nu sunt de sistem, deoarece fișierele de sistem sunt încărcate în RAM în orice caz. Este ușor de observat că driverul defect din imagine este myfault.sys. Voi spune că acest program a fost lansat special pentru a provoca o eroare Stop. După identificarea driverului defect, trebuie fie să îl actualizați, fie să îl eliminați din sistem.

Pentru ca programul să afișeze o listă de drivere situate pe stiva de memorie atunci când are loc un BSoD, trebuie să mergeți la elementul de meniu „ Opțiuni„click pe meniu” InferiorPanoulModul” și selectați „ NumaiȘoferiiGăsiteÎnGrămadă” (sau apăsați tasta F7) și pentru a afișa o captură de ecran a erorii, selectați „ AlbastruEcranînXPStil” (F8). Pentru a reveni la lista tuturor șoferilor, trebuie să selectați „ ToateȘoferii” (F6).

Una dintre cele mai frecvente defecțiuni Windows este excepțiile de sistem, pe care utilizatorul le vede sub forma unui „ecran albastru al morții” (BSOD). De regulă, această eroare fatală apare fie din cauza unei defecțiuni a driverelor, hardware (de obicei la încărcarea sistemului de operare), fie din cauza acțiunii virușilor și antivirusurilor.

Ecranul albastru al morții conține informații despre motivele care au cauzat excepția (sub forma unui cod de eroare STOP de forma 0x0000007b), adrese de memorie care au fost accesate atunci când a avut loc o excepție și alte informații utile. O astfel de informație se numește eroare STOP, ai cărei parametri variabili sunt exact adrese de memorie. Uneori conține și numele fișierului care a cauzat excepția.

Toate aceste informații nu sunt afișate pe ecran mult timp (până la 100 de secunde), după care computerul se repornește. În acest timp scurt, de regulă, un dump de memorie este generat și scris într-un fișier. Una dintre metodele profesionale importante pentru diagnosticarea defecțiunilor este analiza memoriei dump, care va fi discutată în detaliu în acest articol.

Ce este o groapă

dump (engleză) – garbage hap; gunoi; gaură; mahala.
dump (memory dump) – 1) dump, care scoate conținutul RAM pentru imprimare sau ecran; 2) un „instantaneu” al memoriei RAM; datele obținute ca urmare a dumpingului; 3) îndepărtare de urgență, oprire, resetare.
dumping – dumping, dump removal.

Setările pentru salvarea unei imagini de memorie sunt stocate în registrul de sistem Windows.

Informații despre descărcarea memoriei în Registrul sistemului:

În secțiunea Registry Windows, un dump de blocare este definit de următorii parametri:

– Parametrul REG_DWORD AutoReboot cu valoarea 0×1 (opțiunea Automatically reboot fereastra auxiliară Boot and Restore a casetei de dialog System Properties);

– Parametrul REG_DWORD CrashDumpEnabled cu o valoare de 0×0, dacă nu este creat un dump de memorie; 0×1 – descărcare completă a memoriei; 0×2 – Dump memorie kernel; 0x3 – Memorie mică (64KB);

– Parametru REG_EXPAND_SZ DumpFile cu valoarea implicită %SystemRoot%\MEMORY.DMP (locația de stocare a fișierului dump);

– Parametrul REG_DWORD LogEvent cu o valoare implicită de 0×1 (opțiunea Log event în jurnalul de sistem al ferestrei Boot and Recovery);

– Parametru REG_EXPAND_SZ MinidumpDir cu valoarea implicită %SystemRoot%\Minidump (opțiunea folder dump mic a ferestrei Boot and Recovery);

– Parametrul REG_DWORD Overwrite cu o valoare implicită de 0×1 (opțiunea Overscrire fișier dump existent al ferestrei Boot and Restore);

– Parametrul REG_DWORD SendAlert cu o valoare implicită de 0x1 (opțiunea Trimitere alertă administrativă a ferestrei Boot and Recovery).

Cum creează sistemul un fișier de descărcare în caz de accident

În timpul pornirii, sistemul de operare verifică setările de descărcare prin blocare din cheia de registry. Dacă este specificat cel puțin un parametru, sistemul generează o hartă a blocurilor de disc ocupate de fișierul de paginare pe volumul de boot și o stochează în memorie. Sistemul determină, de asemenea, ce driver de dispozitiv de disc controlează volumul de pornire, calculează sumele de verificare pentru imaginea de memorie a driverului și pentru structurile de date care trebuie să fie întregi pentru ca driverul să efectueze operațiuni I/O.

După o eroare, nucleul sistemului verifică integritatea hărții fișierului de pagină, a driverului de disc și a structurilor de control ale driverului de disc. Dacă integritatea acestor structuri nu este încălcată, atunci nucleul sistemului apelează funcții speciale I/O ale driverului de disc, concepute pentru a salva imaginea memoriei după o defecțiune a sistemului. Aceste funcții I/O sunt autonome și nu se bazează pe serviciile kernelului, deoarece programele responsabile cu scrierea blocării nu pot face nicio presupunere cu privire la care părți ale nucleului de sistem sau driverele de dispozitiv au fost deteriorate atunci când a avut loc un accident. Nucleul de sistem scrie date din memorie pe harta sectorului fișierelor de paginare (nu trebuie să folosească drivere de sistem de fișiere).

În primul rând, nucleul sistemului verifică starea fiecărei componente implicate în procesul de descărcare. Acest lucru se face astfel încât, atunci când scrieți direct pe sectoarele de disc, să nu deterioreze datele aflate în afara fișierului de pagină. Dimensiunea fișierului de pagină ar trebui să fie cu 1 MB mai mare decât dimensiunea memoriei fizice, deoarece atunci când informațiile sunt scrise în dump, este creat un antet care conține semnătura crash dump și valorile mai multor variabile critice ale nucleului de sistem. Antetul este mai mic de 1MB, dar sistemul de operare poate crește (sau micșora) dimensiunea fișierului de pagină cu cel puțin 1MB.

După pornirea sistemului, Session Manager (Windows NT Session Manager; adresa discului - \WINDOWS\system32\smss.exe) inițializează fișierele de pagină de sistem, folosind propria funcție NtCreatePagingFile pentru a crea fiecare fișier. NtCreatePagingFile determină dacă fișierul de pagină care este inițializat există și, dacă da, dacă are un antet dump. Dacă există un antet, atunci NtCreatePagingFile trimite un cod special la Managerul de sesiune. Managerul de sesiune pornește apoi procesul Winlogon (Programul de conectare Windows NT; adresa discului este \WINDOWS\system32\winlogon.exe), care este notificat despre existența unui dump de blocare. Winlogon rulează programul SaveDump (Windows NT Memory Copy Program; adresa disc - \WINDOWS\system32\savedump.exe), care analizează antetul de descărcare și determină acțiuni ulterioare într-o situație de urgență.

Dacă antetul indică existența unui dump, atunci SaveDump copiază datele din fișierul de pagină în fișierul crash dump, al cărui nume este specificat de parametrul REG_EXPAND_SZ al secțiunii DumpFile din Registry. În timp ce SaveDump rescrie fișierul dump, sistemul de operare nu folosește partea din fișierul de pagină care conține dump-ul de blocare. În acest timp, cantitatea de memorie virtuală disponibilă pentru sistem și aplicații este redusă de dimensiunea de descărcare (și pot apărea mesaje pe ecran care indică faptul că memoria virtuală este scăzută). SaveDump informează apoi managerul de memorie că dump-ul a finalizat salvarea și eliberează partea din fișierul de pagină în care dump-ul este stocat pentru uz general.

După salvarea fișierului dump, programul SaveDump înregistrează crearea unui dump de blocare în jurnalul de evenimente de sistem, de exemplu: „Computerul a fost repornit după o eroare critică: 0x100000d1 (0xc84d90a6, 0x00000010, 0x00000000, 0x00000000, 0x6c84). Copie din memorie salvată: C:\WINDOWS\Minidump\Mini060309-01.dmp".

Dacă opțiunea Trimitere alertă administrativă este activată, SaveDump trimite o alertă administratorului.

Tipuri de halde

Memorie completă scrie întregul conținut al memoriei sistemului atunci când apare o eroare fatală. Pentru această opțiune, trebuie să aveți un fișier de paginare pe volumul de pornire, a cărui dimensiune este egală cu cantitatea întregii RAM fizice plus 1MB. În mod implicit, în fișierul %SystemRoot%\Memory.dmp este scrisă o descărcare completă a memoriei. Când apare o nouă eroare și este creat un nou fișier de descărcare a memoriei complete (sau de descărcare a memoriei nucleului), fișierul anterior este înlocuit (suprascris). Opțiunea de descărcare completă a memoriei nu este disponibilă pe computerele care au un sistem de operare pe 32 de biți și 2 gigaocteți sau mai mult RAM.

Când apare o nouă eroare și este creat un nou fișier dump cu memorie completă, fișierul anterior este înlocuit.

Dump memorie kernel scrie doar memoria kernelului, ceea ce face ca procesul de scriere a datelor în jurnal atunci când sistemul se oprește brusc să continue mai rapid. În funcție de cantitatea de memorie fizică a computerului, în acest caz fișierul de paginare necesită de la 50 la 800 MB sau o treime din memoria fizică a computerului pe volumul de pornire. În mod implicit, descărcarea memoriei kernel este scrisă în fișierul %SystemRoot%\Memory.dmp.

Această descărcare nu include memoria nealocată sau memoria alocată programelor în modul utilizator. Include doar memoria alocată nucleului și stratului dependent de hardware (HAL) în Windows 2000 și versiunile ulterioare ale sistemului, precum și memoria alocată driverelor în modul kernel și altor programe în modul kernel. În cele mai multe cazuri, o astfel de descărcare este cea mai preferată opțiune. Ocupă mult mai puțin spațiu decât o descărcare completă a memoriei, excluzând în același timp doar acele sectoare de memorie care cel mai probabil nu sunt legate de eroare.
Când apare o nouă eroare și este creat un nou fișier de descărcare a memoriei kernelului, fișierul anterior este înlocuit.

Mic depozit de memorieînregistrează cea mai mică cantitate de informații utile necesare pentru a determina cauza problemei. Pentru a crea un dump mic de memorie, dimensiunea fișierului de pagină trebuie să fie de cel puțin 2MB pe volumul de pornire.

Fișierele mici de descărcare a memoriei conțin următoarele informații:

Mesaj de eroare fatală, parametrii săi și alte date;
lista de drivere încărcate;
contextul procesorului (PRCB) în care s-a produs defecțiunea;
informațiile despre proces și contextul nucleului (EPROCESS) pentru procesul care a cauzat eroarea;
informațiile de proces și contextul kernelului (ETHREAD) pentru firul care a cauzat eroarea;
Stiva de apeluri în modul kernel pentru firul care a cauzat eroarea.

Micul fișier de descărcare a memoriei este utilizat atunci când spațiul pe hard disk este limitat. Cu toate acestea, din cauza informațiilor limitate pe care le conține, este posibil ca analiza acestui fișier să nu detecteze întotdeauna erori care nu au fost cauzate direct de firul care rula atunci când a apărut eroarea.

Când apare următoarea eroare și este creat un al doilea fișier mic de descărcare a memoriei, fișierul anterior este salvat. Fiecare fișier suplimentar primește un nume unic. Data este codificată în numele fișierului. De exemplu, Mini051509-01.dmp este primul fișier de descărcare a memoriei creat pe 15 mai 2009. O listă cu toate fișierele mici de descărcare a memoriei este stocată în folder. %SystemRoot%\Minidump.

Sistemul de operare Windows XP este, fără îndoială, mult mai fiabil decât versiunile anterioare, datorită eforturilor atât dezvoltatorilor Microsoft, dezvoltatorilor de drivere hardware, cât și dezvoltatorilor de aplicații software. Cu toate acestea, situațiile de urgență - tot felul de defecțiuni și blocări ale sistemului - sunt inevitabile, iar dacă utilizatorul de PC are cunoștințele și abilitățile necesare pentru a le elimina depinde dacă va trebui să petreacă câteva minute pentru depanarea (de exemplu, actualizarea/depanarea unui driver). sau reinstalarea unei aplicații).program care provoacă o blocare a sistemului) - sau câteva ore pentru a reinstala/configura sistemul de operare și software-ul aplicației (ceea ce nu garantează absența defecțiunilor și a blocărilor în viitor!).

Mulți administratori de sistem încă neglijează să analizeze depozitele de blocare Windows, considerând că lucrul cu acestea este prea dificil. Este dificil, dar este posibil: chiar dacă, de exemplu, analiza unei gropi din zece se dovedește a fi de succes, eforturile depuse pentru a stăpâni cele mai simple tehnici de analiză a depozitelor de accident nu vor fi în zadar!...

Voi da exemple din practica mea „sysadmin”.

În rețeaua locală, fără niciun motiv aparent („hardware-ul este în regulă, absența virușilor este garantată, utilizatorii au „mâini normale”), mai multe stații de lucru cu Windows XP SP1/SP2 „la bord” au căzut. Nu a fost posibil să porniți computerele în modul normal - a ajuns la „Salutări” - și a durat o veșnicie pentru a reporni. În același timp, PC-urile au pornit în Safe Mode.

Studierea depozitelor de memorie a făcut posibilă identificarea cauzei defecțiunii: vinovatul s-a dovedit a fi Kaspersky Anti-Virus, mai precis, baze de date antivirus proaspete (mai precis, două module de baze de date - base372c.avc, base032c.avc) .

...A mai fost un astfel de caz. Pe un PC local care rulează Windows XP SP3, a avut loc o repornire când încercam să deschideți fișiere video în formatele .avi și .mpeg. Studierea depozitului de memorie ne-a permis să identificăm cauza problemei - fișierul nv4_disp.dll al driverului plăcii video NVIDIA GeForce 6600. După actualizarea driverului, problema a fost eliminată. În general, driverul nv4_disp.dll este unul dintre cele mai instabile drivere, ceea ce a dus adesea la BSOD.

În ambele cazuri, studierea depozitului de memorie de blocare a făcut posibilă reducerea la minimum a timpului de diagnosticare și eliminarea defecțiunii (câteva minute!).

Analiza depozitului de memorie

Există multe programe pentru analiza depozitelor de memorie de blocare, de exemplu, DumpChk, Kanalyze, WinDbg.

Să ne uităm la analiza depozitelor de memorie de blocare folosind programul WinDbg (parte a Instrumentelor de depanare pentru Windows).

Instalarea instrumentelor de depanare

vizitați site-ul Web al Microsoft Corporation http://www.microsoft.com/whdc/devtools/debugging/default.mspx;
descărcați Instrumente de depanare pentru Windows, de exemplu, pentru o versiune de Windows pe 32 de biți, acest lucru se poate face pe pagina Descărcați instrumentele de depanare pentru Windows;
după descărcare, rulați fișierul de instalare;
în fereastra Instrumente de depanare pentru Windows Setup Wizard, faceți clic pe Următorul;
în fereastra cu acordul de licență, selectați comutatorul Sunt de acord –> Următorul;
în fereastra următoare, selectați tipul de instalare (în mod implicit, instrumentele de depanare sunt instalate în folderul \Program Files\Debugging Tools pentru Windows) –> Next –> Install –> Finish;
Pentru a interpreta fișierele de descărcare a memoriei, trebuie să descărcați și pachetele de simboluri pentru versiunea dvs. de Windows - accesați pagina Descărcare pachete de simboluri Windows;
selectați versiunea dvs. de Windows, descărcați și rulați fișierul de instalare Symbol Packages;
în fereastra cu acordul de licență, faceți clic pe Da;
în fereastra următoare, selectați folderul de instalare (implicit este \WINDOWS\Symbols) –> OK –> Da;
În fereastra Simboluri Microsoft Windows cu mesajul „Instalarea este finalizată”, faceți clic pe OK.

Utilizarea WinDbg pentru a analiza depozitele de blocare

rulați WinDbg (instalat în folderul \Program Files\Debugging Tools pentru Windows în mod implicit);
selectați meniul Fișier –> Cale fișier simbol...;
în fereastra Cale de căutare simbol, faceți clic pe butonul Răsfoire...;
în fereastra Browse Folder, specificați locația folderului Simboluri (implicit – \WINDOWS\Symbols) –> OK –> OK;
selectați meniul File –> Open Crash Dump… (sau apăsați Ctrl + D);
în fereastra Open Crash Dump, specificați locația fișierului Crash Dump (*.dmp) –> Open;
în fereastra Spațiu de lucru cu întrebarea „Salvați informații pentru spațiul de lucru?”, bifați caseta Nu mai întrebați –> Fără;
Fereastra Command Dump se va deschide în fereastra WinDbg<путь_и_имя_файла_дампа>cu analiză de gunoi;
revizuirea analizei memoriei dump;
în secțiunea „Bugcheck Analysis” va fi indicată cauza posibilă a accidentului, de exemplu, „Probabil cauzată de: smwdm.sys (smwdm+454d5)”;
pentru a vedea informații detaliate, faceți clic pe linkul „!analyze -v” din linia „Utilizați !analyze -v pentru a obține informații detaliate de depanare”;
închide WinDbg;
Utilizați informațiile obținute pentru a elimina cauza problemei.

De exemplu, în următoarea captură de ecran, cauza defecțiunii este fișierul nv4_disp.dll al driverului plăcii video.

Configurarea sistemului

Pentru a identifica driverul care a provocat-o, va fi suficient să folosim un mic dump de memorie. Pentru ca sistemul să salveze un mini dump în timpul unui accident, trebuie să efectuați următorii pași:

Pentru Windows Xp

Pentru Windows 7

Calculatorul meu Proprietăți
Accesați fila În plus;
Opțiuni;
În câmp Scrierea informațiilor de depanare alege Descarcare de memorie mică (64 KB).

Faceți clic dreapta pe pictogramă Calculator din meniul contextual selectați Proprietăți(sau combinația de taste Win+Pauză);
În meniul din stânga, faceți clic pe element Setari de sistem avansate;
Accesați fila În plus;
În câmpul Descărcare și recuperare, trebuie să faceți clic pe butonul Opțiuni;
În câmp Scrierea informațiilor de depanare alege Dump de memorie mic (128 KB).

După finalizarea tuturor manipulărilor, după fiecare BSoD un fișier cu extensia .dmp va fi salvat în folderul C:\WINDOWS\Minidump. Vă sfătuiesc să citiți materialul „”. De asemenea, puteți bifa caseta „ Înlocuiți fișierul dump existent" În acest caz, fiecare nou crash dump va fi scris peste cel vechi. Nu recomand să activați această opțiune.

Analizarea unui accident de descărcare folosind BlueScreenView

Așadar, după ce a apărut Ecranul Albastru al Morții, sistemul a salvat o nouă descărcare a memoriei de blocare. Pentru a analiza dump-ul, vă recomand să utilizați programul BlueScreenView. Poate fi descărcat gratuit. Programul este destul de convenabil și are o interfață intuitivă. După instalarea acestuia, primul lucru pe care trebuie să-l faceți este să specificați locația pentru stocarea depozitelor de memorie pe sistem. Pentru a face acest lucru, accesați elementul de meniu „ Opțiuni” și selectați „ AvansatOpțiuni" Selectați butonul radio „ Sarcinădincelca urmare aMini Dumppliant” și specificați folderul în care sunt stocate depozitele. Dacă fișierele sunt stocate în folderul C:\WINDOWS\Minidump, puteți face clic pe „ Mod implicit" Faceți clic pe OK și ajungeți la interfața programului.

Programul este format din trei blocuri principale:

Bloc meniu principal și panou de control;
Blocarea listei de descărcare în caz de accident;
În funcție de parametrii selectați, acesta poate conține:

o listă a tuturor driverelor din RAM înainte ca ecranul albastru să apară (în mod implicit);
o listă de drivere situate în stiva RAM;
captură de ecran BSoD;
și alte valori pe care nu le vom folosi.

Sau, așa cum se mai numește, BSOD, poate distruge în mod semnificativ viața atât a computerului, cât și a serverului și, de asemenea, s-a dovedit a fi o mașină virtuală. Astăzi vă voi spune cum să analizați ecranul albastru al memoriei de descărcare în Windows, deoarece diagnosticarea corectă și obținerea motivului pentru care sistemul dvs. nu funcționează, 99 la sută din soluția sa, în special un inginer de sistem, este pur și simplu obligat să poată faceți acest lucru și în cel mai scurt timp posibil, deci Cum poate o afacere să piardă mulți bani din cauza timpului de nefuncționare a serviciului?

Decriptare BSOD

Să ne uităm mai întâi la ce înseamnă această abreviere, BSOD din engleza Blue Screen of Death sau, de asemenea, modul de eroare STOP.

Ecranul albastru al erorilor morții apar din diverse motive, inclusiv probleme ale driverului, o aplicație defectuoasă sau un modul RAM defect. De îndată ce aveți un ecran albastru în Windows, sistemul dumneavoastră va crea automat un fișier de descărcare a memoriei de blocare, pe care îl vom analiza.

Cum să configurați crearea de descărcare a memoriei

Implicit, atunci când există un ecran albastru, Windows creează un fișier de descărcare în blocare memory.dmp, acum voi arăta cum este configurat și unde este stocat, voi arăta folosind Windows Server 2008 R2 ca exemplu, deoarece am avut recent o sarcină pentru a studia problema unui ecran albastru într-o mașină virtuală. Pentru a afla unde este configurată ferestrele de memorie de descărcare, deschideți Start și faceți clic dreapta pe pictograma Computer și selectați proprietăți.

Cum se analizează memoria de descărcare a ecranului albastru în Windows - Proprietăți computer

Cum se analizează memoria de descărcare a ecranului albastru în setările sistemului Windows

Accesați fila Avansat - Pornire și recuperare. Faceți clic pe butonul Setări

Cum se analizează memoria de descărcare a ecranului albastru în Windows - Pornire și recuperare

Unde este stocat fișierul memory.dmp?

și vedem că în primul rând există o casetă de selectare pentru a efectua o repornire automată pentru a înregistra informațiile de depanare, este selectat dump-ul de memorie Kernel și mai jos este unde este salvat-ul de memorie %SystemRoot%\MEMORY.DMP

Să mergem la folderul c:\windows\ și să găsim fișierul MEMORY.DMP care conține ecran albastru cu coduri de moarte

Cum se analizează memoria de descărcare a ecranului albastru în Windows-memory.dmp

Cum se configurează un mini dump

Ecranul albastru al erorilor morții sunt înregistrate și în micul depozit de memorie; acesta este configurat acolo, trebuie doar să îl selectați.

Este stocat în folderul c:\windows\minidump. Avantajul este că ocupă mai puțin spațiu și este creat ca fișier separat pentru fiecare ecran albastru. Puteți vizualiza oricând istoricul aparițiilor ecranului albastru.

Acum că ne-am dat seama unde să căutăm fișierul de descărcare a memoriei, trebuie să învățăm cum să-l interpretăm și să înțelegem motivul pentru care apare ecranul albastru al morții. Microsoft Kernel Debugger ne va ajuta să rezolvăm această problemă. Puteți descărca Microsoft Kernel Debugger de pe site-ul oficial, principalul lucru este să selectați versiunea dorită a sistemului de operare Dacă cineva o rupe, o puteți descărca de pe discul Yandex folosind un link direct. De asemenea, face parte din ADK.

Descărcați Microsoft Kernel Debugger, ca urmare veți avea un fișier mic care vă va permite să descărcați tot ce aveți nevoie de pe Internet. Hai să-l lansăm.

Nu vom participa la programul de îmbunătățire a calității

Faceți clic pe Accept și sunteți de acord cu licența

Cum se instalează Microsoft Kernel Debugger - sunt de acord cu licența

Instalarea Microsoft Kernel Debugger va începe

Cum se instalează Microsoft Kernel Debugger - Instalare MKD

Vedem că Microsoft Kernel Debugger a fost instalat cu succes

După care vedem că folderul Instrumente de depanare pentru Windows a apărut la pornire atât pentru sistemele pe 32, cât și pe 64 de biți.

Pe lângă pachetul Instrumente de depanare pentru Windows în sine, veți avea nevoie și de un set de simboluri de depanare - Simboluri de depanare. Setul de simboluri de depanare este specific fiecărui OS pe care a fost înregistrat BSoD. Prin urmare, va trebui să descărcați un set de simboluri pentru fiecare sistem de operare a cărui funcționare va trebui să o analizați. Un Windows XP pe 32 de biți va necesita setul de caractere Windows XP pe 32 de biți; un sistem de operare pe 64 de biți va necesita setul de caractere Windows XP pe 64 de biți. Pentru alte sisteme de operare din familia Windows, seturile de caractere sunt selectate după același principiu. Puteți descărca simboluri de depanare de aici. Este recomandat să le instalați la %systemroot%\simboluri deși îmi place să le instalez în foldere separate și să evit să aglomerez folderul Windows.

Analiza ecran albastru în instrumentele de depanare

După ce instalați Simbolurile de depanare pentru sistemul care avea ecranul albastru al morții, lansați Instrumente de depanare

Cum se instalează Microsoft Kernel Debugger - Run

Faceți clic pe butonul Răsfoiți...

și indicați folderul în care am instalat simbolurile de depanare pentru memoria dump-ului în cauză, puteți specifica mai multe foldere separate prin virgule și puteți solicita informații despre simbolurile de depanare necesare direct prin Internet, de la un server public Microsoft. În acest fel, veți avea cea mai recentă versiune a simbolurilor. Acest lucru se poate face după cum urmează - în meniul File > Symbol File Path... introduceți.

Cât de des vezi Windows Screen of Death (BSoD)? BSoD poate apărea în diferite cazuri: atât în timpul lucrului cu sistemul, cât și în timpul încărcării sistemului de operare. Cum să determinați ce cauzează BSoD și să remediați această problemă? Sistemul de operare Windows este capabil să stocheze o descărcare de memorie atunci când apare o eroare, astfel încât administratorul de sistem să poată analiza datele de descărcare și să găsească cauza BSoD.

Există două tipuri de depozite de memorie - mici (minidump) și pline. În funcție de setările sistemului de operare, sistemul poate salva depozitele complete sau mici sau nu poate lua nicio măsură atunci când apare o eroare.

O mică groapă se află de-a lungul potecii %systemroot%\minidumpși are un nume ca Minixxxxxx-xx.dmp
Depozitul complet este situat de-a lungul potecii %systemroot%și are un nume ca Memory.dmp

Pentru a analiza conținutul depozitelor de memorie, ar trebui să utilizați un utilitar special - Microsoft Kernel Debugger.
Puteți obține programul și componentele necesare funcționării acestuia direct de pe site-ul Microsoft - Instrumente de depanare

Atunci când alegeți un depanator, ar trebui să țineți cont de versiunea sistemului de operare pe care va trebui să analizați depozitele de memorie. Pentru un sistem de operare pe 32 de biți, este necesară versiunea pe 32 de biți a depanatorului, iar pentru un sistem de operare pe 64 de biți, este de preferat să utilizați versiunea pe 64 de biți a depanatorului.

După instalarea depanatorului și a simbolurilor de depanare, lansați depanatorul. Fereastra de depanare după lansare arată astfel.

Înainte de a analiza conținutul memoriei dump, va trebui să faceți o mică configurare a depanatorului. Mai exact, spuneți programului unde să caute simboluri de depanare. Pentru a face acest lucru, selectați din meniul File > Symbol File Path... Faceți clic pe butonul Browse... și indicați folderul în care am instalat simbolurile de depanare pentru memoria dump-ului în cauză.

Puteți solicita informații despre simbolurile de depanare necesare direct pe Internet, de la un server public Microsoft. În acest fel, veți avea cea mai recentă versiune a simbolurilor. Puteți face acest lucru după cum urmează - în meniul Fișier > Cale fișier simbol..., introduceți: SRV*%systemroot%\symbols*http://msdl.microsoft.com/download/symbols

După ce ați specificat calea către simbolurile de depanare, selectați Fișier > Salvare spațiu de lucru din meniu și confirmați acțiunea făcând clic pe OK.

Pentru a începe analiza stocării memoriei, selectați File > Open Crash Dump... din meniu și selectați fișierul necesar pentru examinare.

Sistemul va analiza conținutul, după care va produce un rezultat despre cauza suspectată a erorii.

Comanda !analyze -v dată depanatorului pe linia de comandă va scoate informații mai detaliate.

Puteți opri depanarea selectând elementul de meniu Depanare > Oprire depanare

Astfel, folosind pachetul Instrumente de depanare pentru Windows, puteți obține întotdeauna o imagine destul de completă a cauzelor erorilor de sistem.