Descărcare. Analiza descarcarii memoriei

Scriitor șef de tehnologie

Te-a trimis cineva e-mail DUMP și nu știți cum să-l deschideți? Poate ați găsit un fișier DUMP pe computerul dvs. și vă întrebați la ce folosește? Windows vă poate spune că nu îl puteți deschide sau, în cel mai rău caz, puteți întâlni un mesaj de eroare legat de fișierul DUMP.

Înainte de a putea deschide un fișier DUMP, trebuie să aflați ce fel de fișier este extensia de fișier DUMP.

bacsis: Erorile de asociere incorectă a fișierelor DUMP pot fi un simptom al altor probleme de fond în Windows sistem de operare. Aceste intrări nevalide pot produce, de asemenea, simptome asociate, cum ar fi porniri lente ale Windows, înghețarea computerului și alte probleme de performanță a computerului. Prin urmare, este foarte recomandat să scanați registrul Windows pentru asocieri de fișiere nevalide și alte probleme legate de un registru fragmentat.

Răspuns:

Fișierele DUMP au Fișiere diverse, care este asociat în principal cu Google BreakPad (Google, Inc.), Firefox (Mozilla Foundation).

Tipuri suplimentare de fișiere pot utiliza, de asemenea, extensia DUMP. Dacă cunoașteți orice alte formate de fișiere care utilizează extensia de fișier DUMP, vă rugăm să ne contactați pentru a ne putea actualiza informațiile în consecință.

Cum să vă deschideți fișierul DUMP:

Cel mai rapid și calea ușoară pentru a deschide fișierul DUMP este să faceți dublu clic pe el. În acest caz sistem Windows va alege programul necesar pentru a deschide fișierul DUMP.

În cazul în care fișierul dvs. DUMP nu se va deschide, este foarte probabil să nu aveți aplicația adecvată instalată pe computer pentru a vizualiza sau edita fișiere cu extensii DUMP.

Dacă computerul dvs. deschide fișierul DUMP, dar în programul greșit, va trebui să modificați setările de asociere a fișierelor din dvs Registrul Windows. Cu alte cuvinte, Windows asociază extensiile de fișiere DUMP cu programul greșit.

Instalați produse opționale - FileViewPro (Solvusoft) | | | |

DUMP Extensii de poștă Internet multifuncțională (MIME):

  • mime application/octet-stream

DUMP File Analysis Tool™

Nu sunteți sigur ce tip este fișierul DUMP? Doriți să obțineți informații exacte despre un fișier, despre creatorul acestuia și despre cum poate fi deschis?

Acum puteți obține instantaneu toate informațiile de care aveți nevoie despre fișierul DUMP!

Instrumentul revoluționar de analiză a fișierelor DUMP™ scanează, analizează și raportează informatii detaliate despre fișierul DUMP. Algoritmul nostru (în curs de brevet) va analiza rapid fișierul și va oferi informații detaliate într-un format vizual și ușor de citit în câteva secunde.†

În câteva secunde, veți ști exact ce tip este fișierul dvs. DUMP, aplicația asociată fișierului, numele utilizatorului care a creat fișierul, starea de protecție a fișierului și alte informații utile.

Pentru a începe analiza gratuită a fișierului dvs., pur și simplu glisați și fixați fișierul DUMP în interiorul liniilor punctate de mai jos sau faceți clic pe Răsfoiți computerul meu și selectați fișierul. Raportul de analiză a fișierului DUMP va fi afișat mai jos, chiar în fereastra browserului.

Aruncă fișierul DUMP aici pentru a începe analiza

Vizualizați computerul meu »

Vă rugăm să verificați și fișierul meu pentru viruși

Fișierul dvs. este analizat... așteptați.

În consilierea clienților, am observat că de multe ori singura modalitate prin care aceștia pot face față ecranului albastru al morții (Ecranul albastru al morții, BSoD) este depanarea prin numărul de eroare STOP. De obicei, o astfel de abordare poate ajuta la alegerea unei direcții generale pentru rezolvarea problemei, dar nu permite întotdeauna localizarea acesteia. De exemplu, determinați ce driver de dispozitiv anume cauzează BSoD. Strict vorbind, analiza depozitelor de memorie este principala metodă de tratare a erorilor STOP.

Când apare o eroare STOP Microsoft Windows poate scrie informații de depanare. Pentru a face acest lucru, trebuie să efectuați următorii pași:

1. Apăsați butonul startși selectați din meniu Setare paragraf Panou de control
2. Faceți dublu clic pe pictogramă Sistem
3. Deschideți o filă În plusși apăsați butonul
4. În câmp Scrierea informațiilor de depanare selectați elementul Descarcare de memorie mică (64 KB)

Un mic fișier de descărcare a memoriei înregistrează informații minime care pot fi utilizate pentru a determina cauza unei defecțiuni a computerului. Acest lucru necesită un fișier de schimb de cel puțin 2 MB pe volumul de pornire. În mod implicit, fișierele mici de descărcare a memoriei sunt stocate în folderul %SystemRoot%\Minidump.

Fișierele mici de descărcare a memoriei conțin următoarele informații:

  • Mesaj de eroare fatală, parametrii săi și alte date
  • Lista driverelor descărcate
  • Contextul procesorului (PRCB) care a eșuat
  • Informații despre proces și contextul kernelului (EPROCESS) pentru procesul care a cauzat eroarea
  • Procesați informațiile și contextul kernelului (ETHREAD) pentru firul care a cauzat eroarea
  • Stiva de apeluri în modul kernel pentru firul care a cauzat eroarea

Avantajul fișierului mic de descărcare a memoriei este că este mic. În prezent, volumul memorie cu acces aleator instalat în computere se măsoară în gigaocteți, așa că salvarea unui fișier de această dimensiune va dura mult timp și poate fi dificilă dacă spațiul este limitat hard disk. Pe de altă parte, informațiile limitate conținute într-un fișier dump mic nu fac întotdeauna posibilă detectarea erorilor care nu au fost cauzate direct de firul de execuție care rula în momentul în care au apărut.

Utilitarele sunt folosite pentru a analiza depozitele de memorie kd.exeși windbg.exe. Aceste utilitare fac parte din setul Instrumente de depanare pentru Windows. Pentru a simplifica lucrul cu ele, recomand să folosiți un script (de Alexander Suhovey). Veți avea nevoie și de un utilitar reg.exe(inclus cu Microsoft Windows XP și versiuni ulterioare; pentru Windows 2000 inclus cu Instrumentele de asistență Windows 2000).

Descărcați și dezarhivați arhiva cu scriptul într-un folder D:\KDFE. Depanatorul necesită fișiere de simbol pentru a funcționa, care pot fi descărcate în același loc cu Instrumentele de depanare pentru Windows. Dimensiunea totală a pachetului cu aceste fișiere este destul de impresionantă (poate fi mai mare de 1 GB în funcție de platforma aleasă). Prin urmare, scriptul este configurat să descarce automat doar fișierele de simbol necesare de pe Microsoft Symbol Server pentru a lucra cu o anumită memorie de descărcare și pentru a le stoca local pe disc pentru utilizare ulterioară. Dacă este necesar, puteți edita scriptul și modifica variabila smbpath, care indică folderul în care kd.exe va salva fișierele necesare.

Pentru a utiliza, rulați kdfe.cmd cu numele fișierului dump ca parametru. De exemplu:

D:\KDFE>kdfe mini111208-01.dmp

Se analizează „D:\KDFE\Mini111208-01.dmp”, așteptați... Gata.

Data accidentului: miercuri, 12 noiembrie 08:35:56.214 2008 (GMT+2)
Stop cod de eroare: 0x50
Nume proces: AUM.exe
Cauzat probabil de: nv4_disp.dll (nv4_disp+41213)

Trebuie remarcat faptul că există situații în care, din cauza funcționării incorecte a unuia dintre drivere, apare ulterior o eroare STOP într-un driver complet normal. În acest caz, vă recomand să utilizați utilitarul verificator.exe(cm.

În Windows 8, Microsoft a introdus o nouă memorie de descărcare, opțiunea de descărcare automată a memoriei. Această opțiune este setată implicit în sistemul de operare. Windows 10 a introdus un nou tip de fișier dump numit activ memorie dump. Pentru cei care nu știu, în Windows 7 avem un mic dump, un dump de bază și un dump complet de memorie. S-ar putea să vă întrebați de ce Microsoft a decis să creeze acest lucru parametru nou depozit de memorie? Potrivit lui Robert Simpkins, Senior Support Engineer, o descărcare automată a memoriei poate crea suport pentru o pagină „sistem” într-un fișier de configurare.
Sistemul de gestionare a configurației fișierului de pagină este responsabil pentru gestionarea dimensiunii fișierului de pagină - acest lucru evită spațiul excesiv sau dimensiunea fișierului de pagină. Această opțiune este introdusă în principal pentru computerele care rulează pe unități SSD, care tind să fie mai mici, dar au o cantitate mare de RAM.

Opțiuni de descărcare a memoriei

Principalul avantaj al „Automatic Memory Dump” este că va permite sesiunii subsistemului din Process Manager să micșoreze automat fișierul de pagină la o dimensiune mai mică decât dimensiunea RAM. Pentru cei care nu știu, sesiunea managerului de subsistem este responsabilă pentru inițializarea sistemului, mediul de pornire pentru serviciile și procesele care sunt necesare pentru ca utilizatorul să se autentifice în sistem. Practic setează pagina de fișiere la memorie virtualași pornește procesul winlogon.exe.

Dacă doriți să modificați setările de descărcare automată a memoriei, iată cum să o faceți. Apăsați tastele Windows + X și selectați - Sistem. Apoi, faceți clic pe „ Opțiuni suplimentare sisteme - Avans Sistem Setări”.

Faceți clic pe butonul Setări avansate de sistem.

Aici puteți vedea un meniu drop-down unde scrie „Avansat”.

Aici poți alege opțiunea dorită. Opțiuni sugerate:

Fără depozite de memorie.
Mic depozit de memorie.
Dump memorie kernel.
Dump complet de memorie.
Evacuarea automată a memoriei. Adăugat în Windows 8.
Memorie activă. Adăugat la Windows 10.
Locația fișierului de descărcare a memoriei în fișierul %SystemRoot%\MEMORY.DMP.

Dacă utilizați unitate SSD, cel mai bine este să-l lăsați pe „Automatic Memory Dump”; dar dacă aveți nevoie de un fișier crash dump, este mai bine să îl setați la „small memory dump”, cu care puteți, dacă doriți, să-l trimiteți cuiva pentru ca acesta să se uite la el.

În unele cazuri, poate fi necesar să măriți dimensiunea fișierului swap mai mult decât RAM pentru a se potrivi cu descărcarea completă a memoriei. În astfel de cazuri, trebuie să creați o cheie de registry:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

se numește „LastCrashTime”.

Acest lucru va crește automat dimensiunea fișierului de pagină. Pentru a o reduce mai târziu, puteți pur și simplu să ștergeți această cheie.

Windows 10 a fost introdus fișier nou dump Memorie activă. Conține doar elementele esențiale și, prin urmare, este mai mic.

Nu am șansa să-l testez, dar am creat această cheie și am monitorizat dimensiunea fișierului de swap. Știu că mai devreme sau mai târziu voi primi o eroare critică. Atunci o să verific.

Puteți analiza descărcarea de memorie a fișierelor Windows.dmp folosind WhoCrashed. Utilitarul WhoCrashed Home este gratuit și prezintă drivere care au fost înghesuite în computerul dvs. cu un singur clic. În cele mai multe cazuri, poate identifica un driver defect care provoacă suferință computerului dumneavoastră. Aceasta este o descărcare prin blocare a analizei sistemului, depozite de memorie, iar toate informațiile colectate sunt prezentate aici într-o formă accesibilă.

În mod obișnuit, setul de instrumente de depanare deschide un dump de analiză. Cu acest utilitar, nu aveți nevoie de cunoștințe sau abilități de depanare pentru a afla care drivere cauzează probleme pe computer.

WhoCrashed se bazează pe pachetul de depanare (programul windbg) de la Microsoft. Dacă acest pachet nu este instalat, WhoCrashed va descărca și extrage automat acest pachet pentru dvs. Doar rulați programul și faceți clic pe butonul Analizați. Când ați instalat WhoCrashed pe sistemul dvs. și dacă acesta se resetează sau se închide în mod neașteptat, programul vă va anunța dacă descărcarea prin blocare este activată pe computer și vă va oferi sugestii despre cum să le activați.

Această scurtă notă își propune să arate cum puteți configura sistemul pentru a vă pune la dispoziție o urgență Descarcarea memoriei Windows, adică o groapă ce poate fi creată în cazul unei defecțiuni critice, caracterizată prin aspect ecran albastru moartea (BSOD). Ce este o groapă în general, de ce avem nevoie de ea și ce este, ce probleme este concepută pentru a rezolva și ce informații conține?

Un dump de memorie este conținutul memoriei de lucru a unui proces, a nucleului sau a tuturor sistem de operare, care include, pe lângă spațiile de lucru, informații suplimentare despre starea registrelor procesorului, conținutul stivei și alte structuri de servicii.

De ce avem nevoie de acest conținut, de ex. Descarcarea memoriei Windows? Poate că cea mai comună descărcare de memorie este folosită pentru a investiga cauzele unei prăbușiri a sistemului (), care a determinat oprirea completă a sistemului de operare. În plus, starea memoriei poate fi folosită și în alte scopuri. De asemenea, important este faptul că o descărcare de memorie este literalmente singura modalitate de a obține informații despre orice defecțiune! Iar eliminarea (primirea) unui dump de memorie de sistem este, de fapt, singura metodă precisă de a obține o imprimare instantanee (copie) a conținutului memoriei fizice a sistemului.

Cu cât conținutul gropii va reflecta mai precis starea memoriei la momentul defecțiunii, cu atât mai mult vom putea analiza situația de urgență. Prin urmare, este extrem de important să obțineți exact copia curentă a memoriei fizice a sistemului la un moment de timp strict definit, imediat înainte de defecțiune. Și singura modalitate de a face acest lucru este să creați o descărcare completă. Motivul este destul de banal - atunci când are loc o descărcare de blocare a memoriei sistemului, fie ca urmare a unei defecțiuni, fie ca urmare a unei situații simulate artificial, sistemul în acest moment de primire a controlului funcțiilor de urgență (KeBugCheckEx) se află într-un stare absolut neschimbată (statică), prin urmare, între momentul în care are loc accidentul și Până când datele sunt scrise pe suport, nimic nu schimbă conținutul memoriei fizice și este scris pe disc în starea sa originală. Ei bine, acest lucru este în teorie, dar ocazional în viață, dar există situații în care, din cauza componentelor hardware defecte, depozitul de memorie în sine poate fi deteriorat sau stația poate îngheța în timpul procesului de înregistrare.

În marea majoritate a cazurilor, din momentul începerii procesului de creare a unui crash dump, până în momentul în care conținutul memoriei este scris pe disc, informațiile din memorie rămân neschimbate.

Teoretic, amprenta memoriei statice (neschimbabile) se explică prin faptul că, atunci când este apelată funcția KeBugCheckEx, care afișează informații despre accident și începe procesul de creare a unui dump de memorie, sistemul este deja complet oprit și conținutul memoriei fizice. sunt scrise în blocurile ocupate pe disc de fișierul de paginare, după care, deja în timpul pornirii ulterioare a sistemului de operare, este aruncat într-un fișier de pe suportul de sistem. Ei bine, aproape o dată am observat o situație când un eșec placa de baza nu a permis salvarea memoriei dump: a) înghețarea în timpul funcționării logicii de salvare a dump (procesul nu a ajuns la 100%), b) deteriorarea fișierului de memorie dump (structurile blestemate de depanator), c) scrierea memoriei.dmp dump fișiere de lungime zero. Prin urmare, în ciuda faptului că sistemul a fost deja complet oprit în momentul în care a fost creată descărcarea memoriei și doar codul de urgență funcționează, hardware-ul defect își poate face propriile ajustări la orice logică, fără excepție, în orice stadiu de funcționare.
În mod tradițional, în stadiul inițial, pentru a salva un dump de memorie Windows, sunt folosite blocurile de disc alocate fișierului de paginare (filefile). Apoi, după un ecran albastru și o repornire, datele sunt mutate în dosar separat, iar apoi fișierul este redenumit cu un model bazat pe tipul de descărcare. Cu toate acestea, pornind de la versiune Windows Vista, această stare de lucruri poate fi schimbată, acum utilizatorului i se oferă posibilitatea de a salva un dump selectat fără participarea fișierului de paginare, plasând informații despre eșecul într-un fișier temporar. Acest lucru a fost făcut pentru a elimina erorile de configurare asociate cu setare incorectă dimensiunea și poziția fișierului de paginare, ceea ce a dus adesea la probleme în procesul de salvare a unui depozit de memorie.
Să vedem ce tipuri de depozite ne permite sistemul de operare Windows să creăm:

  • Dump memorie de proces (aplicație);
  • Dump memorie kernel;
  • Dump memorie completă (dump a părții disponibile din memoria fizică a sistemului).

Toate depozitele de accidentare pot fi împărțite în două categorii principale:

  • Arhivele cu informații despre excepția lansată. Creat de obicei în mod automat, când apare o excepție netratată în aplicație / nucleu și, în consecință, depanatorul (încorporat) al sistemului poate fi apelat. În acest caz, informațiile despre excepție sunt scrise în dump, ceea ce facilitează determinarea tipului de excepție și a locației apariției în timpul analizei ulterioare.
  • Informații de descărcare fără excepție. De obicei creat de utilizator manual atunci când trebuie doar să creați instantaneu proces pentru analize ulterioare. Această analiză nu implică determinarea tipului de excepție, deoarece nu a intervenit nicio excepție, ci o analiză cu totul diferită, de exemplu, studiul structurilor datelor de proces și așa mai departe.

Configurația de descărcare a kernelului

Trebuie să fii autentificat ca administrator cont pentru a efectua pașii din această secțiune.

Să trecem direct la configurarea setărilor de descărcare prin blocare Windows. Mai întâi, trebuie să mergem la fereastra cu proprietățile sistemului într-unul dintre următoarele moduri:

  1. Clic Click dreapta mouse-ul pe pictograma „Computerul meu” - „Proprietăți” - „Setări avansate de sistem” - „Avansat”.
  2. Buton "Start" - "Panou de control" - "Sistem" - "Setări avansate de sistem" - "Avansat".
  3. Comandă rapidă de la tastatură „Windows” + „Pauză” - „Setări avansate de sistem” - „Avansate”.

  4. controlsystem.cpl,3
  5. A alerga în Linie de comanda(cmd):
    SystemPropertiesAdvanced

Rezultatul acțiunilor descrise este să deschideți fereastra „Proprietăți sistem” și să selectați fila „Avansat”:

După aceea, în secțiunea „Descărcare și recuperare”, facem clic, selectăm „Opțiuni” și deschidem astfel o nouă fereastră numită „Descărcare și recuperare”:

Toate setările de descărcare în caz de accident sunt grupate într-un bloc de setări numit Eroare de sistem. În acest bloc, putem seta următorii parametri:

  1. Scrieți evenimente în jurnalul de sistem.
  2. Efectuați o repornire automată.
  3. Înregistrarea informațiilor de depanare.
  4. Fișier de descărcare.
  5. Înlocuiți un fișier dump existent.

După cum puteți vedea, mulți dintre parametrii din listă sunt destul de banali și ușor de înțeles. Cu toate acestea, aș dori să mă opresc mai detaliat asupra parametrului „Dump file”. Parametrul este prezentat ca o listă derulantă și are patru valori posibile:

Mic depozit de memorie

Un mic dump de memorie (minidump) este un fișier care conține cea mai mică cantitate de informații despre erori. Cea mai mică dintre toate depozitele de memorie posibile. În ciuda dezavantajelor evidente, de multe ori mini-dump-urile sunt folosite ca informații despre accident pentru a fi transmise unui furnizor terță parte de drivere pentru investigații suplimentare.
Compus:

  • Mesaj de eroare.
  • Valoarea erorii.
  • Opțiuni de eroare.
  • Contextul procesorului (PRCB) care a eșuat.
  • Informații despre proces și contextul kernelului (EPROCESS) pentru procesul care provoacă blocarea, cu toate firele sale.
  • Informațiile despre proces și contextul kernelului (ETHREAD) pentru firul care a provocat blocarea.
  • Stiva de mod kernel pentru firul care a provocat blocarea.
  • Lista driverelor încărcate.

Cazare: %SystemRoot%\Minidump\MMDDYY-XXXXX-NN.dmp. Unde MMDDYY este luna, ziua și respectiv anul, NN este numărul de serie al depozitului.
Volum: Mărimea depinde de bitness-ul sistemului de operare: sunt necesari doar 128 de kiloocteți pentru un sistem de operare pe 32 de biți și 256 de kiloocteți pentru un sistem de operare pe 64 de biți în fișierul de paginare (sau în fișierul specificat în DedicatedDumpFile). Deoarece nu putem seta o dimensiune atât de mică, o rotunjim la 1 megaoctet.

Dump memorie kernel

Acest tip de dump conține o copie a întregii memorie a nucleului la momentul accidentului.
Compus:

  • Lista proceselor care rulează.
  • Starea firului curent.
  • Pagini de memorie în modul kernel prezente în memoria fizică la momentul accidentului: memoria driverului în modul kernel și memoria programului în modul kernel.
  • Memorie HAL (Hardware-Aware Layer).
  • Lista driverelor încărcate.

Din memoria kernel lipsesc paginile de memorie nealocate și paginile modului utilizator. De acord, este puțin probabil ca paginile procesului în modul utilizator să fie de interes pentru noi în timpul unei defecțiuni a sistemului (BugCheck), deoarece de obicei eroare de sistem inițiat de codul modului kernel.

Dimensiune: variază în funcție de dimensiunea spațiului de adrese kernel, de alocarea sistemului de operare și de numărul de drivere în modul kernel. De obicei, este necesară aproximativ o treime din cantitatea de memorie fizică din fișierul swap (sau fișierul specificat de DedicatedDumpFile). Poate varia.

Dump complet de memorie

O descărcare completă a memoriei conține o copie a întregii memorie fizice (RAM) la momentul accidentului. În consecință, întregul conținut al memoriei sistemului intră, de asemenea, în fișier. Acesta este atât un avantaj, cât și dezavantaj principal, deoarece dimensiunea sa poate fi semnificativă pe unele servere cu o cantitate mare de RAM.
Compus:

  • Toate paginile memoriei fizice „vizibile”. Aceasta este practic întreaga memorie a sistemului, cu excepția zonelor utilizate de hardware: BIOS, spațiu PCI etc.
  • Procesați datele care rulau pe sistem în momentul accidentului.
  • Pagini de memorie fizică care nu sunt mapate la spațiul de adrese virtuale, dar care pot ajuta la investigarea cauzei defecțiunii.

O descărcare completă a memoriei nu include, în mod implicit, zonele de memorie fizică utilizate de BIOS.
Locație: %SystemRoot%\MEMORY.DMP . Dump-ul precedent este suprascris.
Dimensiune: fișierul de paginare (sau fișierul specificat în DedicatedDumpFile) necesită o cantitate egală cu dimensiunea memoriei fizice + 257 MB (acești 257 MB sunt împărțiți într-un fel de antet + date driver). De fapt, în unele sisteme de operare, pragul inferior al fișierului de paginare poate fi setat exact la valoarea dimensiunii memoriei fizice.

Evacuarea automată a memoriei

Începând cu Windows 8/Windows Server 2012, în sistem a fost introdus un nou tip de dump numit „Automatic Memory Dump”, care este setat ca tip implicit. În acest caz, sistemul însuși decide ce dump de memorie să scrie într-o situație de eșec anume. Mai mult, logica alegerii depinde de multe criterii, inclusiv de frecvența „căderii” sistemului de operare.

După ce modificați configurația de descărcare a memoriei Windows, poate fi necesar să reporniți computerul.

Setări de registry

Cheia de registry care definește setările de descărcare în caz de accident:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

Opțiuni:

Parametru Tip Descriere
pornire automată REG_DWORD Permite dezactivarea repornire automată când apare un BSOD.
CrashDump Activat REG_DWORD Tipul de dump care se creează.
  • 0 - nu creați un dump de memorie;
  • 1 - dump complet de memorie;
  • 2 - dump memorie de bază;
  • 3 - depozit de memorie mic;
DumpFile REG_EXPAND_SZ Calea și numele dump-ului de bază și al dump-ului complet.
DumpFilters REG_MULTI_SZ Filtrul de driver în stiva de drivere de descărcare a memoriei. Vă permite să adăugați noua functionalitateîn etapa de creare a depozitelor de accidentare. De exemplu, criptarea conținutului unui dump. Modificarea valorii nu este recomandată.
jurnal eveniment REG_DWORD Scrieți un eveniment în jurnalul de sistem.
MinidumpDir REG_EZPAND_SZ Calea și numele micului depozit de memorie.
MinidumpsCount REG_DWORD Numărul maxim de depozite de memorie mici. Când sunt depășite, versiunile mai vechi încep să fie suprascrise.
Suprascrie REG_DWORD Înlocuiți un fișier dump existent. Numai pentru descărcarea memoriei kernel și descărcarea completă a memoriei.
IgnorăPagefileSize REG_DWORD Ignoră fișier standard schimbați ca loc pentru stocarea temporară (intermediară) a unei depozitări de memorie. Indică faptul că descărcarea memoriei trebuie scrisă într-un fișier separat. Folosit împreună cu opțiunea DedicatedDumpFile.
DedicatedDumpFile REG_EZPAND_SZ Calea și numele fișierului alternativ temporar pentru scrierea imaginii de memorie. În a doua trecere, datele vor fi în continuare mutate în DumpFile/MinidumpDir.

Crearea manuală a unui dump de memorie

Mai sus am descris setările pentru crearea automată depozitele de blocare a sistemului în cazul unei erori critice, adică o excepție netratată în codul kernelului. Dar în viata reala, pe lângă blocarea sistemului de operare, există situații în care trebuie să obțineți o descărcare a memoriei sistemului la un anumit moment în timp. Cum să fii în acest caz? Există metode pentru a obține o copie instantanee a întregii memorie fizice, cum ar fi utilizarea comenzii .dump în depanatoarele WinDbg/LiveKD. LiveKD este un program care vă permite să rulați depanatorul Kd kernel pe un sistem care rulează în modul local. Depanatorul WinDbg are, de asemenea, o caracteristică similară. Cu toate acestea, metoda on-the-fly de obținere a unui dump nu este exactă, deoarece dump-ul este creat în acest caz este „inconsecvent”, deoarece este nevoie de timp pentru a crea un dump, iar în cazul utilizării unui depanator în mod kernel , sistemul continuă să funcționeze și să facă modificări paginilor de memorie.

Toate sistemele Windows, atunci când este detectată o eroare fatală, efectuează un dump de urgență (instantaneu) a conținutului RAM și îl salvează în HDD. Există trei tipuri de dump de memorie:

Dump memorie completă - salvează întregul conținut al memoriei RAM. Dimensiunea instantaneului este egală cu dimensiunea memoriei RAM + 1 MB (antet). Este folosit foarte rar, deoarece pe sistemele cu o cantitate mare de memorie, dimensiunea dump-ului va fi prea mare.

Dump memorie kernel - salvează informațiile RAM legate doar de modul kernel. Informațiile despre modul utilizator nu sunt salvate, deoarece nu conțin informații despre cauza prăbușirii sistemului. Mărimea fișierului de descărcare depinde de dimensiunea memoriei RAM și variază de la 50 MB (pentru sisteme cu 128 MB RAM) la 800 MB (pentru sisteme cu 8 GB RAM).

Mică memorie dump (mini dump) - conține o cantitate destul de mică de informații: un cod de eroare cu parametri, o listă de drivere încărcate în RAM în momentul prăbușirii sistemului etc., dar aceste informații sunt suficiente pentru a identifica un driver eșuat . Un alt avantaj al acestui tip de dump este dimensiunea mică a fișierului.

CONFIGURAREA SISTEMULUI

Pentru a identifica driverul care a provocat ecranul albastru, va fi suficient să folosim o mică memorie de descărcare. Pentru ca sistemul să salveze un mini dump în timpul unui accident, trebuie să efectuați următorii pași:

Pentru Windows XP Pentru Windows 7
  1. Calculatorul meu Proprietăți
  2. Accesați fila În plus;
  3. Opțiuni;
  4. În câmp Scrierea informațiilor de depanare alege Memorie mică (64 KB).
  1. Faceți clic dreapta pe pictogramă Un calculator din meniul contextual Selectați Proprietăți(sau combinația de taste Win+Pauză);
  2. În meniul din stânga, faceți clic pe element Setări suplimentare de sistem;
  3. Accesați fila În plus;
  4. În câmpul Descărcare și restaurare, faceți clic pe butonul Opțiuni;
  5. În câmp Scrierea informațiilor de depanare alege Descarcare de memorie mică (128 KB).

După ce au făcut toate manipulările, după fiecare BSoD, un fișier cu extensia .dmp va fi salvat în folderul C:\WINDOWS\Minidump. Vă sfătuiesc să citiți materialul „Cum se creează un folder”. De asemenea, puteți bifa caseta „ Înlocuiți fișierul dump existent". În acest caz, fiecare nouă descărcare în caz de accident o va suprascrie pe cea veche. Nu recomand să activați această opțiune.

ANALIZA CĂDERILOR DE MEMORIE CU SOFTWARE-UL BLUESCREENVIEW

Așadar, după ce a apărut ecranul albastru al morții, sistemul a salvat o nouă descărcare de accidentare. Pentru a analiza dump-ul, recomand să folosiți programul BlueScreenView. Poate fi descărcat gratuit aici. Programul este destul de convenabil și are o interfață intuitivă. După instalarea acestuia, primul lucru de făcut este să specificați locația pentru stocarea depozitelor de memorie în sistem. Pentru a face acest lucru, accesați elementul de meniu „ Opțiuni” și selectați „ AvansatOpțiuni". Selectați butonul radio sarcinădincelca urmare aMini Dumppliant” și specificați folderul în care sunt stocate depozitele. Dacă fișierele sunt stocate în folderul C:\WINDOWS\Minidump, puteți face clic pe „ Mod implicit". Faceți clic pe OK și intrați în interfața programului.

Programul este format din trei blocuri principale:

  1. Bloc meniu principal și panou de control;
  2. Blocarea listei de descărcare în caz de accident;
  3. În funcție de parametrii selectați, acesta poate conține:
  • o listă cu toate driverele din RAM înainte de apariția ecranului albastru (implicit);
  • lista de drivere situate în stiva RAM;
  • captură de ecran a BSoD;
  • și alte valori pe care nu le vom folosi.

În blocul listei de descărcare a memoriei (marcat cu numărul 2 în figură), selectați dump-ul care ne interesează și priviți lista de drivere care au fost încărcate în RAM (marcate cu numărul 3 în figură). Driverele care se aflau în stiva de memorie sunt colorate în roz. Ele sunt cauza BSoD. Apoi, accesați meniul principal al driverului, stabiliți cărui dispozitiv sau program aparțin. În primul rând, acordați atenție fișiere de sistem, deoarece fișierele de sistem sunt oricum încărcate în RAM. Este ușor de observat că myfault.sys este driverul eșuat din imagine. Voi spune că acest program a fost lansat special pentru a provoca eroarea Stop. După identificarea driverului eșuat, trebuie fie să îl actualizați, fie să îl eliminați din sistem.

Pentru ca programul să arate o listă de drivere care se află în stiva de memorie în timpul apariției BSoD, trebuie să mergeți la elementul de meniu „ Opțiuni"click pe meniu" InferiorPanoulmodul” și alegeți „ NumaiȘoferiiGăsiteÎnGrămadă” (sau apăsați tasta F7) și pentru a afișa o captură de ecran a erorii, selectați „ AlbastruEcranînXPstil” (F8). Pentru a reveni la lista tuturor șoferilor, trebuie să selectați elementul „ ToateȘoferii” (F6).

Continut Asemanator:

  1. Creator de colaje
  2. Cele mai bune programe pentru crearea și înregistrarea muzicii
  3. Trei utilitare pentru adăugarea de file la Explorer Adăugarea unei bare de instrumente la Explorer
  4. Adblock Plus - cum să eliminați reclamele din browser