Windows avāriju izgāztuve. Kas ir atmiņas izgāztuve? Programma RAM izgāztuves noņemšanai

Nodaļā tiek konstatēta avārijas izgāztuve šādus parametrus:

REG_DWORD- parametrs AutoReboot ar nozīmi 0x1(opcija Veiciet automātisku atsāknēšanu apakšloga logs Sistēmas īpašības);

REG_DWORD- parametrs CrashDumpEnabled ar nozīmi 0x0, ja netiek izveidota atmiņas izgāztuve; 0x1Pilna atmiņas izmešana; 0x2Kodola atmiņas dump; 0x3Neliela atmiņas izplūde (64 KB);

REG_EXPAND_SZ- parametrs DumpFile ar nozīmi %SystemRoot%\MEMORY.DMP(izgāztuves failu glabāšanas vieta);

REG_DWORD- parametrs LogEvent ar nozīmi 0x1(opcija Reģistrēt notikumu logs);

REG_EXPAND_SZ- parametrs MinidumpDir ar nozīmi %SystemRoot%\Minidump(neobligāti);

REG_DWORD- parametrs Pārrakstīt ar nozīmi 0x1(opcija Aizstāt esošo failu logs);

REG_DWORD- parametrs SendAlert ar nozīmi 0x1(opcija Nosūtiet administratīvo brīdinājumu logs).

Kā sistēma izveido avārijas atmiņas failu

Sāknēšanas laikā operētājsistēma pārbauda avārijas izveides parametrus reģistra sadaļā . Ja ir norādīts vismaz viens parametrs, sistēma ģenerē sāknēšanas sējumā aizņemto diska bloku karti un saglabā to atmiņā. Sistēma arī nosaka, kura diska ierīce kontrolē sāknēšanas skaļumu, un aprēķina attēla kontrolsummas atmiņā un datu struktūrām, kurām jābūt veseliem skaitļiem, lai varētu veikt I/O darbības.

Pēc kļūmes sistēmas kodols pārbauda lapas faila kartes, diska faila un diska vadības struktūru integritāti. Ja šo struktūru integritāte netiek pārkāpta, sistēmas kodols izsauc īpašas diska I/O funkcijas , kas paredzēts atmiņas attēla saglabāšanai pēc kļūmes. Šīs I/O funkcijas ir autonomas un nepaļaujas uz kodola pakalpojumiem, jo ​​programmas, kas ir atbildīgas par avārijas izdrukas rakstīšanu, nevar izdarīt nekādus pieņēmumus par to, kuras sistēmas kodola daļas vai ierīces tika bojātas avārijas laikā. Sistēmas kodols ieraksta datus no atmiņas uz peidžeru faila sektora karti (tam nav jāizmantofailu sistēma).

Pirmkārt, sistēmas kodols pārbauda katra izgāšanas procesā iesaistītā komponenta statusu. Tas tiek darīts, lai, rakstot tieši diska sektoros, netiktu bojāti dati, kas atrodas ārpus faila. Faila izmēram jābūt 1 MB lielāks izmērs fiziskā atmiņa, jo, rakstot informāciju, tiek izveidota galvene, kurā ir avārijas paraksts un vairāku svarīgu sistēmas kodola mainīgo vērtības. Nosaukums aizņem mazāk par 1 MB, taču operētājsistēma var palielināt (vai samazināt) peidžeru faila lielumu vismaz par 1 MB.

Pēc sistēmas sāknēšanas Sesijas vadītājs (Windows NT sesiju pārvaldnieks; diska adrese - \WINDOWS\system32\smss.exe) inicializē sistēmas failus, katra faila izveidošanai izmantojot savu funkciju NtCreatePagingFile. NtCreatePagingFile nosaka, vai inicializētais fails eksistē un, ja tā, vai tam ir galvene . Ja ir virsraksts, tad NtCreatePagingFile sūta uz Sesijas vadītājsīpašs kods. Pēc tam Sesijas vadītājs sāk procesu Vinlogona (Windows NT pieteikšanās programma; diska adrese - \WINDOWS\system32\winlogon.exe), kurai tiek paziņots par ārkārtas situāciju . Vinlogona sāk programmu SaveDump (Kopēt saglabāšanas programmu Windows atmiņa NT; diska adrese - \WINDOWS\system32\savedump.exe), kas parsē galveni un nosaka turpmāko rīcību ārkārtas situācijā.

Ja virsraksts norāda uz esamību , Tas SaveDump kopē datus no faila uz avārijas failu, kura nosaukums ir norādīts REG_EXPAND_SZ- parametrs DumpFile sadaļā . Uz redzēšanos SaveDump pārraksta failu , operētājsistēma neizmanto to lapas faila daļu, kurā ir avārijas situācija . Šajā laikā sistēmai un lietojumprogrammām pieejamās virtuālās atmiņas apjoms tiek samazināts par (Tajā pašā laikā ekrānā var parādīties ziņojumi, kas norāda uz virtuālās atmiņas trūkumu). Tad SaveDump informē atmiņas pārvaldnieku, ka saglabāšana ir pabeigta , un viņš atbrīvo šo daļu failu, kurā tas tiek glabāts , vispārējai lietošanai.

Faila saglabāšana , programma SaveDump reģistrē ārkārtas situācijas izveidi notikumu žurnālā , piemēram: “Dators tika atsāknēts pēc kritiskas kļūdas: 0x100000d1 (0xc84d90a6, 0x00000010, 0x00000000, 0xc84d90a6). Atmiņas kopija saglabāta: C:\WINDOWS\Minidump\Mini060309-01.dmp" .

Pilna atmiņas izmešana ieraksta visu atmiņas saturu, ja rodas fatāla kļūda. Lai izmantotu šo opciju, sāknēšanas skaļumā ir jābūt peidžeru failam, kura lielums ir vienāds ar visa fiziskā apjoma brīvpiekļuves atmiņa plus 1 MB. Noklusējuma pilna atmiņa tiek ierakstīta failā %SystemRoot%\Memory.dmp. Ja rodas jauna kļūda un tiek izveidots jauns pilnīgs fails atmiņa (vai kodola atmiņa) iepriekšējais fails tiek aizstāts (pārrakstīts). Parametrs Pilna atmiņas izmešana nav pieejams sistēmās, kurās darbojas 32 bitu operētājsistēma un 2 vai vairāk RAM.

Ja rodas jauna kļūda un tiek izveidots jauns pilnīgs fails atmiņā tiek aizstāts iepriekšējais fails.

Kodola atmiņas dump raksta tikai kodola atmiņu, padarot datu ierakstīšanas procesu žurnālā, kad sistēma pēkšņi apstājas, norit ātrāk. Atkarībā no fiziskās atmiņas apjomašajā gadījumā lapas failam ir nepieciešams no 50 līdz 800 MB vai viena trešdaļa no sāknēšanas skaļuma fiziskās atmiņas. kodola atmiņa tiek ierakstīta failā %SystemRoot%\Memory.dmp.

Šis neietver nepiešķirto atmiņu vai atmiņu, kas piešķirta režīma programmām. Tas ietver tikai kodolam piešķirto atmiņu un aparatūras specifisko slāni ( HAL) V Windows 2000 un jaunākās sistēmas versijas, kā arī atmiņa, kas piešķirta kodola režīmam un citām kodola režīma programmām. Vairumā gadījumu šis ir vispiemērotākā iespēja. Tas aizņem daudz mazāk vietas, salīdzinot ar pilnu atmiņu, vienlaikus izslēdzot tikai tos atmiņas sektorus, kas, visticamāk, nav saistīti ar kļūdu.

Kad rodas jauna kļūda un tiek izveidots jauns fails kodola atmiņa tiek aizstāts iepriekšējais fails.

Neliela atmiņas izgāztuve raksta mazāko apjomu noderīga informācija nepieciešams, lai noteiktu problēmas cēloni. Lai izveidotu mazu atmiņa pieprasa, lai lapas faila lielums būtu vismaz 2 MB uz sāknēšanas skaļuma.

Mazie faili atmiņā ir šāda informācija:

– ziņojums par fatālu kļūdu, tās parametriem un citiem datiem;

- lejupielādēto saraksts;

- konteksts ( PRCB), kurā radās kļūme;

EPROCESS) par procesu, kas izraisīja kļūdu;

- apstrādāt informāciju un kodola kontekstu ( VIETNE) pavedienam, kas izraisīja kļūdu;

– Kodola režīma izsaukuma steks pavedienam, kas izraisīja kļūdu.

Mazs fails atmiņa tiek izmantota, ja vieta cietajā diskā ir ierobežota. Tomēr, tā kā tajā ir ierobežota informācija, šī faila analīze ne vienmēr var atklāt kļūdas, kuras nav tieši izraisījis pavediens, kas darbojās kļūdas rašanās laikā.

Ja rodas šāda kļūda un tiek izveidots otrs mazs fails atmiņā, iepriekšējais fails tiek saglabāts. Katram papildu fails tiek dots unikāls nosaukums. Datums ir iekodēts faila nosaukumā. Piemēram, Mini051509-01.dmp- šis ir pirmais fails atmiņa, izveidota 2009. gada 15. maijā Visu mazo failu saraksts atmiņa tiek saglabāta mapē %SystemRoot%\Minidump.

operētājsistēma , neapšaubāmi, daudz uzticamāks par iepriekšējām versijām – pateicoties abu izstrādātāju pūlēm Microsoft, gan aparatūras izstrādātājiem, gan lietojumprogrammatūras izstrādātājiem . Tomēr ārkārtas situācijas- visa veida sistēmas kļūmes un sabrukumi ir neizbēgami, un atkarībā no tā, vaizināšanas un prasmes to novēršanā, tas ir atkarīgs, vai viņam būs jāpavada dažas minūtes problēmu novēršanai (piemēram, atjaunināšanai/atkļūdošanai vai pārinstalēšanai aplikācijas programma izraisot avāriju) – vai vairākas stundas, lai atkārtoti instalētu/konfigurētu operētājsistēma un lietojumprogrammatūra (kas negarantē kļūmju un avāriju neesamību nākotnē!).

Daudzi administratori neņem vērā avāriju izgāztuvju analīzi Windows , uzskatot, ka strādāt ar viņiem ir pārāk grūti. Tas ir grūti, bet tas ir iespējams: pat ja, piemēram, viena analīze no desmit būs veiksmīgi - pūles, kas pavadītas, lai apgūtu vienkāršākos paņēmienus ārkārtas situāciju analīzei , nebūs velti!..

Visas Windows sistēmas, kad tās tiek atklātas fatāla kļūda izveidojiet avārijas izdruku (momentuzņēmumu) no RAM satura un saglabājiet to cietajā diskā. Ir trīs veidu atmiņas izgāztuves:

Full memory dump – saglabā visu RAM saturu. Attēla izmērs ir vienāds ar RAM lielumu + 1 MB (galvene). Ļoti reti izmanto, jo sistēmās ar lielu atmiņas apjomu izgāztuves izmērs būs pārāk liels.

Kodola atmiņas dump — saglabā RAM informāciju, kas saistīta tikai ar kodola režīmu. Lietotāja režīma informācija netiek saglabāta, jo tajā nav informācijas par sistēmas avārijas cēloni. Izdrukas faila lielums ir atkarīgs no RAM lieluma un svārstās no 50 MB (sistēmām ar 128 MB RAM) līdz 800 MB (sistēmām ar 8 GB RAM).

Neliela atmiņas dump (mini dump) - satur diezgan nelielu informācijas daudzumu: kļūdas kodu ar parametriem, draiveru sarakstu, kas tika ielādēts RAM sistēmas avārijas brīdī utt., bet šī informācija ir pietiekama, lai identificētu bojāto draiveri. . Vēl viena šāda veida izgāztuves priekšrocība ir mazais faila izmērs.

Sistēmas iestatīšana

Lai identificētu draiveri, kas to izraisīja, mums pietiks izmantot nelielu atmiņas izgāztuvi. Lai sistēma avārijas laikā saglabātu mini izgāztuvi, jums jāveic šādas darbības:

Operētājsistēmai Windows XP Operētājsistēmai Windows 7
  1. Mans dators Īpašības
  2. Dodieties uz cilni Papildus;
  3. Opcijas;
  4. Laukā Atkļūdošanas informācijas rakstīšana izvēlēties Neliela atmiņas izplūde (64 KB).
  1. Ar peles labo pogu noklikšķiniet uz ikonas Dators no konteksta izvēlne atlasiet Īpašības(vai taustiņu kombinācija Win+Pause);
  2. Kreisajā izvēlnē noklikšķiniet uz vienuma Sistēmas papildu iestatījumi;
  3. Dodieties uz cilni Papildus;
  4. Laukā Lejupielādēt un atkopšana jānoklikšķina uz pogas Opcijas;
  5. Laukā Atkļūdošanas informācijas rakstīšana izvēlēties Neliela atmiņas izplūde (128 KB).

Pabeidzot visas manipulācijas, pēc katra BSoD fails ar paplašinājumu .dmp tiks saglabāts mapē C:\WINDOWS\Minidump. Es iesaku jums izlasīt materiālu "". Varat arī atzīmēt izvēles rūtiņu “ Aizstāt esošo izgāztuves failu" Šajā gadījumā katra jauna avārijas izgāztuve tiks rakstīta virs vecā. Es neiesaku iespējot šo opciju.

Avārijas izgāztuves analīze, izmantojot BlueScreenView

Tātad, pēc izskata zils ekrāns nāves gadījumā sistēma saglabāja jaunu avārijas izgāztuvi. Lai analizētu izgāztuvi, iesaku izmantot BlueScreenView programma. To var lejupielādēt bez maksas. Programma ir diezgan ērta, un tai ir intuitīvs interfeiss. Pēc tā instalēšanas pirmā lieta, kas jums jādara, ir norādīt atmiņas izgāztuvju glabāšanas vietu sistēmā. Lai to izdarītu, dodieties uz izvēlnes vienumu " Iespējas un izvēlieties " PapilduIespējas" Izvēlieties radio pogu " IelādētnouzsekojošsMini izgāztuvemapi” un norādiet mapi, kurā tiek glabātas izgāztuves. Ja faili ir saglabāti mapē C:\WINDOWS\Minidump, varat noklikšķināt uz " Noklusējums" Noklikšķiniet uz Labi un atveriet programmas saskarni.

Programma sastāv no trim galvenajiem blokiem:

  1. Galvenās izvēlnes bloks un vadības panelis;
  2. Avāriju izgāztuves bloks;
  3. Atkarībā no atlasītajiem parametriem tajā var būt:
  • visu RAM draiveru saraksts pirms zilā ekrāna parādīšanās (pēc noklusējuma);
  • draiveru saraksts, kas atrodas RAM kaudzē;
  • BSoD ekrānuzņēmums;
  • un citas vērtības, kuras mēs neizmantosim.

Atmiņas izgāztuves saraksta blokā (attēlā atzīmēts ar numuru 2) atlasiet mūs interesējošo izgāztuvi un apskatiet to draiveru sarakstu, kas tika ielādēti RAM (attēlā atzīmēts ar numuru 3). Draiveri, kas atradās atmiņas kaudzē, ir rozā krāsā. Tie ir BSoD cēlonis. Pēc tam dodieties uz draivera galveno izvēlni, nosakiet, kurai ierīcei vai programmai tie pieder. Pirmkārt, pievērsiet uzmanību sistēmas faili, jo sistēmas faili jebkurā gadījumā tiek ielādēti RAM. Ir viegli redzēt, ka kļūdainais draiveris attēlā ir myfault.sys. Es teikšu, ka šī programma tika īpaši palaista, lai izraisītu Stop kļūdu. Pēc bojātā draivera identificēšanas tas ir jāatjaunina vai jānoņem no sistēmas.

Lai programma parādītu draiveru sarakstu, kas atrodas atmiņas kaudzē, kad notiek BSoD, jums jādodas uz izvēlnes vienumu “ Iespējas"noklikšķiniet uz izvēlnes" NolaistRūtsRežīms un izvēlieties " TikaiŠoferiAtrastsInKaudze” (vai nospiediet taustiņu F7) un, lai parādītu kļūdas ekrānuzņēmumu, atlasiet “ ZilsEkrānsiekšāXPStils” (F8). Lai atgrieztos visu draiveru sarakstā, jāizvēlas “ VisiŠoferi” (F6).

Visas Windows sistēmas, kad tiek atklāta fatāla kļūda, veic RAM satura avārijas izdruku (momentuzņēmumu) un saglabā to cietajā diskā. Ir trīs veidu atmiņas izgāztuves:

Full memory dump – saglabā visu RAM saturu. Attēla izmērs ir vienāds ar RAM lielumu + 1 MB (galvene). Ļoti reti izmanto, jo sistēmās ar lielu atmiņas apjomu izgāztuves izmērs būs pārāk liels.

Kodola atmiņas dump — saglabā RAM informāciju, kas saistīta tikai ar kodola režīmu. Lietotāja režīma informācija netiek saglabāta, jo tajā nav informācijas par sistēmas avārijas cēloni. Izdrukas faila lielums ir atkarīgs no RAM lieluma un svārstās no 50 MB (sistēmām ar 128 MB RAM) līdz 800 MB (sistēmām ar 8 GB RAM).

Neliela atmiņas dump (mini dump) - satur diezgan nelielu informācijas daudzumu: kļūdas kodu ar parametriem, draiveru sarakstu, kas tika ielādēts RAM sistēmas avārijas brīdī utt., bet šī informācija ir pietiekama, lai identificētu bojāto draiveri. . Vēl viena šāda veida izgāztuves priekšrocība ir mazais faila izmērs.

SISTĒMAS IESTATĪŠANA

Lai identificētu draiveri, kas izraisīja zilo ekrānu, mums būs jāizmanto tikai neliela atmiņas izgāztuve. Lai sistēma avārijas laikā saglabātu mini izgāztuvi, jums jāveic šādas darbības:

Operētājsistēmai Windows XP Operētājsistēmai Windows 7
  1. Mans dators Īpašības
  2. Dodieties uz cilni Papildus;
  3. Opcijas;
  4. Laukā Atkļūdošanas informācijas rakstīšana izvēlēties Neliela atmiņas izplūde (64 KB).
  1. Ar peles labo pogu noklikšķiniet uz ikonas Dators konteksta izvēlnē atlasiet Īpašības(vai taustiņu kombinācija Win+Pause);
  2. Kreisajā izvēlnē noklikšķiniet uz vienuma Sistēmas papildu iestatījumi;
  3. Dodieties uz cilni Papildus;
  4. Laukā Lejupielādēt un atkopšana jānoklikšķina uz pogas Opcijas;
  5. Laukā Atkļūdošanas informācijas rakstīšana izvēlēties Neliela atmiņas izplūde (128 KB).

Pabeidzot visas manipulācijas, pēc katra BSoD fails ar paplašinājumu .dmp tiks saglabāts mapē C:\WINDOWS\Minidump. Iesaku izlasīt materiālu “Kā izveidot mapi”. Varat arī atzīmēt izvēles rūtiņu “ Aizstāt esošo izgāztuves failu" Šajā gadījumā katra jauna avārijas izgāztuve tiks rakstīta virs vecā. Es neiesaku iespējot šo opciju.

ANALIZĒ ATBRĪVOJUMU, IZMANTOJOT PROGRAMMU BLUESCREENVIEW

Tātad pēc Blue Screen of Death parādīšanās sistēma saglabāja jaunu avārijas atmiņas izgāztuvi. Lai analizētu izgāztuvi, iesaku izmantot programmu BlueScreenView. To var bez maksas lejupielādēt šeit. Programma ir diezgan ērta, un tai ir intuitīvs interfeiss. Pēc tā instalēšanas pirmā lieta, kas jums jādara, ir norādīt atmiņas izgāztuvju glabāšanas vietu sistēmā. Lai to izdarītu, dodieties uz izvēlnes vienumu " Iespējas un izvēlieties " PapilduIespējas" Izvēlieties radio pogu " IelādētnouzsekojošsMini izgāztuvemapi” un norādiet mapi, kurā tiek glabātas izgāztuves. Ja faili ir saglabāti mapē C:\WINDOWS\Minidump, varat noklikšķināt uz " Noklusējums" Noklikšķiniet uz Labi un atveriet programmas saskarni.

Programma sastāv no trim galvenajiem blokiem:

  1. Galvenās izvēlnes bloks un vadības panelis;
  2. Avāriju izgāztuves bloks;
  3. Atkarībā no atlasītajiem parametriem tajā var būt:
  • visu RAM draiveru saraksts pirms zilā ekrāna parādīšanās (pēc noklusējuma);
  • draiveru saraksts, kas atrodas RAM kaudzē;
  • BSoD ekrānuzņēmums;
  • un citas vērtības, kuras mēs neizmantosim.

Atmiņas izgāztuves saraksta blokā (attēlā atzīmēts ar numuru 2) atlasiet mūs interesējošo izgāztuvi un apskatiet to draiveru sarakstu, kas tika ielādēti RAM (attēlā atzīmēts ar numuru 3). Draiveri, kas atradās atmiņas kaudzē, ir rozā krāsā. Tie ir BSoD cēlonis. Pēc tam dodieties uz draivera galveno izvēlni, nosakiet, kurai ierīcei vai programmai tie pieder. Pirmkārt, pievērsiet uzmanību nesistēmas failiem, jo ​​sistēmas faili jebkurā gadījumā tiek ielādēti RAM. Ir viegli redzēt, ka kļūdainais draiveris attēlā ir myfault.sys. Es teikšu, ka šī programma tika īpaši palaista, lai izraisītu Stop kļūdu. Pēc bojātā draivera identificēšanas tas ir jāatjaunina vai jānoņem no sistēmas.

Lai programma parādītu draiveru sarakstu, kas atrodas atmiņas kaudzē, kad notiek BSoD, jums jādodas uz izvēlnes vienumu “ Iespējas"noklikšķiniet uz izvēlnes" NolaistRūtsRežīms un izvēlieties " TikaiŠoferiAtrastsInKaudze” (vai nospiediet taustiņu F7) un, lai parādītu kļūdas ekrānuzņēmumu, atlasiet “ ZilsEkrānsiekšāXPStils” (F8). Lai atgrieztos visu draiveru sarakstā, jāizvēlas “ VisiŠoferi” (F6).

Kad rodas kritiska kļūme, Windows operētājsistēma avarē un parāda zilo nāves ekrānu (BSOD). RAM saturs un visa informācija par radušos kļūdu tiek ierakstīta peidžeru failā. Nākamreiz Windows sāknēšana tiek izveidota avārijas izgāztuve ar atkļūdošanas informāciju, pamatojoties uz saglabātajiem datiem. Sistēmas notikumu žurnālā tiek izveidots kritiskas kļūdas ieraksts.

Uzmanību! Avārijas izgāztuve netiek izveidota, ja diska apakšsistēma vai Windows sāknēšanas sākotnējā posmā radās kritiska kļūda.

Windows avāriju izgāztuvju veidi

Izmantojot pašreizējās operāciju zāles piemēru Windows sistēmas 10 (Windows Server 2016) apsveriet galvenos atmiņas izgāztuves veidus, ko sistēma var izveidot:

  • Mini atmiņas dump(256 KB). Šis faila tips satur minimālu informācijas daudzumu. Tajā ir tikai BSOD kļūdas ziņojums, informācija par draiveriem, procesiem, kas bija aktīvi avārijas brīdī un kurš process vai kodola pavediens izraisīja avāriju.
  • Kodola atmiņas dump. Parasti maza izmēra — viena trešdaļa no fiziskās atmiņas apjoma. Kodola atmiņas dump ir detalizētāks nekā mini izgāztuves. Tajā ir informācija par draiveriem un kodola režīma programmām, Windows kodolam un aparatūras abstrakcijas slānim (HAL) piešķirtā atmiņa, kā arī draiveriem un citām kodola režīma programmām piešķirtā atmiņa.
  • Pilnīga atmiņas izmešana. Lielākā izmēra, un tai nepieciešama atmiņa, kas vienāda ar jūsu sistēmas RAM plus 1 MB, nepieciešams Windows lai izveidotu šo failu.
  • Automātiska atmiņas dump. Informācijas ziņā atbilst kodola atmiņas izgāztuvei. Vienīgā atšķirība ir tajā, cik daudz vietas tas patērē, lai izveidotu izgāztuves failu. Šis faila tips nepastāvēja operētājsistēmā Windows 7. Tas tika pievienots operētājsistēmā Windows 8.
  • Aktīvā atmiņas izmešana. Šis veids novērš elementus, kas nevar noteikt sistēmas kļūmes cēloni. Tas tika pievienots operētājsistēmai Windows 10, un tas ir īpaši noderīgi, ja izmantojat virtuālā iekārta, vai jūsu sistēma ir Hyper-V resursdators.

Kā iespējot atmiņas iztukšošanu operētājsistēmā Windows?

Izmantojot Win+Pause, atveriet sistēmas iestatījumu logu, atlasiet " Sistēmas papildu iestatījumi"(Papildu sistēmas iestatījumi). Iekš " Turklāt" (Papildu), sadaļā "" (Startēšana un atkopšana) noklikšķiniet uz pogas " Iespējas"(Iestatījumi). Atvērtajā logā konfigurējiet darbības, kas jāveic sistēmas kļūmes gadījumā. Pārbaudiet " Reģistrējiet notikumus sistēmas žurnālā" (Ierakstiet notikumu sistēmas žurnālā), atlasiet izgāztuves veidu, kas jāizveido, kad sistēma avarē. Ja izvēles rūtiņā " Aizstāt esošo izgāztuves failu"(Pārrakstīt jebkuru esošo failu) atzīmējiet izvēles rūtiņu, fails tiks pārrakstīts katru reizi, kad radīsies kļūme. Labāk noņemiet atzīmi no šīs izvēles rūtiņas, tad jums būs vairāk informācijas analīzei. Atspējot arī Automātiski restartēt.

Vairumā gadījumu pietiks ar nelielu atmiņas iztukšošanu, lai analizētu BSOD cēloni.

Tagad, kad notiek BSOD, varat analizēt izgāztuves failu un atrast kļūmes cēloni. Mini dump pēc noklusējuma tiek saglabāts mapē %systemroot%\minidump. Lai analizētu izgāztuves failu, iesaku izmantot programmu WinDBG(Microsoft kodola atkļūdotājs).

WinDBG instalēšana operētājsistēmā Windows

Lietderība WinDBG iekļauts " Windows 10 SDK"(Windows 10 SDK). .

Fails tiek izsaukts winsdksetup.exe, izmērs 1,3 MB.

Palaidiet instalāciju un izvēlieties, ko tieši vēlaties darīt – instalējiet pakotni šajā datorā vai lejupielādējiet to instalēšanai citos datoros. Instalēsim pakotni lokālajā datorā.

Varat instalēt visu pakotni, bet, lai instalētu tikai atkļūdošanas rīku, atlasiet Atkļūdošana Rīki priekš Windows.

Pēc instalēšanas sākuma izvēlnē var atrast WinDBG saīsnes.

.dmp failu saistīšanas iestatīšana ar WinDBG

Lai atvērtu izgāztuves failus ar vienkāršu klikšķi, kartējiet paplašinājumu .dmp ar utilītu WinDBG.

  1. Atvērt komandrinda kā administrators un palaidiet komandas 64 bitu sistēmai: cd C:\Program Files (x86)\Windows Kits\10\Debuggers\x64
    windbg.exe –IA
    32 bitu sistēmai:
    C:\Program Files (x86)\Windows Kits\10\Debuggers\x86
    windbg.exe –IA
  2. Rezultātā failu tipi: .DMP, .HDMP, .MDMP, .KDMP, .WEW tiks kartēti uz WinDBG.

Atkļūdošanas simbolu servera iestatīšana programmā WinDBG

Atkļūdošanas simboli (atkļūdošanas simboli vai simbolu faili) ir datu bloki, kas tiek ģenerēti programmas kompilēšanas laikā kopā ar izpildāmo failu. Šādi datu bloki satur informāciju par mainīgo nosaukumiem, ko sauc par funkcijām, bibliotēkām utt. Šie dati nav nepieciešami, izpildot programmu, taču tie ir noderīgi, to atkļūdojot. Microsoft komponenti ir apkopoti ar simboliem, kas tiek izplatīti, izmantojot Microsoft Symbol Server.

Konfigurējiet WinDBG uz Microsoft lietošana Simbolu serveris:

  • Atveriet WinDBG;
  • Dodieties uz izvēlni Fails –> Simbolu faila ceļš;
  • Ierakstiet rindiņu, kurā ir URL atkļūdošanas simbolu lejupielādei no Microsoft vietnes un mapi kešatmiņas saglabāšanai: SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols Piemērā tiek lejupielādēta kešatmiņa. uz mapi E:\Sym_WinDBG, varat norādīt jebkuru.
  • Neaizmirstiet saglabāt izmaiņas izvēlnē Fails–>Saglabāt darba vietu;

WinDBG meklēs simbolus lokālajā mapē un, ja tajā neatradīs nepieciešamos simbolus, tas automātiski lejupielādēs simbolus no norādītās vietnes. Ja vēlaties pievienot savu simbolu mapi, varat to izdarīt šādi:

SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols;c:\Symbols

Ja jums nav interneta savienojuma, vispirms lejupielādējiet simbolu pakotni no Windows simbolu pakotņu resursa.

WinDBG avārijas izgāztuves analīze

Atkļūdotājs WinDBG atver izgāztuves failu un lejupielādē atkļūdošanai nepieciešamos simbolus no vietējās mapes vai no interneta. Šī procesa laikā nevar izmantot WinDBG. Loga apakšā (atkļūdotāja komandrindā) tiek parādīts ziņojums Atkļūdošanas programma nav savienota.

Komandas tiek ievadītas komandrindā, kas atrodas loga apakšā.

Vissvarīgākais, kam jāpievērš uzmanība, ir kļūdas kods, kas vienmēr tiek norādīts heksadecimālā vērtība un izskatās 0xXXXXXXXXX(norādīts vienā no opcijām - STOP: , 07/02/2019 0008F, 0x8F). Mūsu piemērā kļūdas kods ir 0x139.

Atkļūdotājs piedāvā palaist komandu!analyze -v, vienkārši virziet peles kursoru virs saites un noklikšķiniet. Kam paredzēta šī pavēle?

  • Tā veic provizorisku atmiņas izgāztuves analīzi un nodrošina Detalizēta informācija lai sāktu analīzi.
  • Šī komanda parādīs STOP kodu un kļūdas simbolisko nosaukumu.
  • Tas parāda komandu izsaukumu kopu, kas izraisīja avāriju.
  • Turklāt šeit tiek parādīta IP adrese, procesa un reģistra kļūdas.
  • Komanda var sniegt gatavus ieteikumus problēmas risināšanai.

Galvenie punkti, kuriem jāpievērš uzmanība, veicot analīzi pēc komandas!analyze –v izpildes (saraksts nepilnīgs).

1: kd> !analyze -v


* *
* Kļūdu pārbaudes analīze *
* *
*****************************************************************************
STOP kļūdas simboliskais nosaukums (BugCheck)
KERNEL_SECURITY_CHECK_FAILURE (139)
Kļūdas apraksts (kodola komponents ir sabojājis kritisku datu struktūru. Šis bojājums, iespējams, ļautu uzbrucējam iegūt kontroli pār šo mašīnu):

Kodola komponents ir sabojājis svarīgu datu struktūru. Bojājums, iespējams, ļautu ļaunprātīgam lietotājam iegūt kontroli pār šo iekārtu.
Kļūdu argumenti:

Argumenti:
Arg1: 0000000000000003, LIST_ENTRY ir bojāts (t.i., dubultā noņemšana).
Arg2: ffffd0003a20d5d0, slazdošanas rāmja adrese izņēmumam, kas izraisīja kļūdu pārbaudi
Arg3: ffffd0003a20d528, izņēmuma ieraksta adrese izņēmumam, kas izraisīja kļūdu pārbaudi
Arg4: 0000000000000000, rezervēts
Atkļūdošanas informācija:
------------------

Skaitītājs parāda, cik reižu sistēma avarēja ar līdzīgu kļūdu:

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: FAIL_FAST_CORRUPT_LIST_ENTRY

STOP kļūdas kods saīsinātā formātā:

BUGCHECK_STR: 0x139

Process, kura laikā radās kļūme (ne vienmēr kļūdas cēlonis, tikai kļūmes brīdī šis process darbojās atmiņā):

PROCESS_NAME: sqlservr.exe

Kļūdas koda apraksts: sistēma šajā lietojumprogrammā ir konstatējusi steka bufera pārpildīšanu, kas varētu ļaut uzbrucējam iegūt kontroli pār šo lietojumprogrammu.

ERROR_CODE: (NTSTATUS) 0xc0000409 - Sistēmašajā lietojumprogrammā konstatēja uz steku balstīta bufera pārtēriņu. Šis pārsniegums, iespējams, ļautu ļaunprātīgam lietotājam iegūt kontroli pār šo lietojumprogrammu.
EXCEPTION_CODE: (NTSTATUS) 0xc0000409 — sistēma šajā lietojumprogrammā konstatēja steka bufera pārtēriņu. Šis pārsniegums, iespējams, ļautu ļaunprātīgam lietotājam iegūt kontroli pār šo lietojumprogrammu.

Pēdējais zvans stekā:

LAST_CONTROL_TRANSFER: no fffff8040117d6a9 uz fffff8040116b0a0

Zvanu steka kļūmes brīdī:

STACK_TEXT:
ffffd000`3a20d2a8 fffff804`0117d6a9: 00000000`00000139 00000000`00000003 ffffd000`3a20d5d0 ffffd000`KeB28:20nt!
ffffd000`3a20d2b0 fffff804`0117da50: ffffe000`f3ab9080 ffffe000`fc37e001 ffffd000`3a20d5d0 fffff804`0116e2a2: CheckiisBpatch nt!
ffffd000`3a20d3f0 fffff804`0117c150: 00000000`00000000 00000000`00000000 00000000`00000000 000000000 000000000 000000000 000000000 000000000 000000000 0
ffffd000`3a20d5d0 fffff804`01199482: ffffc000`701ba270 ffffc000`00000001 000000ea`73f68040 ffffff804`0000ntcurities!KRahe+F9
ffffd000`3a20d760 fffff804`014a455d: 00000000`00000001 ffffd000`3a20d941 ffffe000`fcacb000 ffffd000`3a20d951: ?? ::FNODOBFM::`string"+0x17252
ffffd000`3a20d8c0 fffff804`013a34ac: 00000000`00000004 00000000`00000000 ffffd000`3a20d9d8 ffffe001`0a34c60 ffffe001`0a34c60
ffffd000`3a20d990 fffff804`0117d313: ffffffff`ffffffe 00000000`00000000 00000000`00000000 000000eb`a0cf1380:6Fintle+0txrite
ffffd000`3a20da90 00007ffb`475307da: 00000000`00000000 00000000`00000000 00000000`00000000 000000000 000000000 000000000 000000000000000000000000000 3
0 7 dienas

Koda sadaļa, kurā radās kļūda:

FOLLOWUP_IP:
nt!KiFastFailDispatch+d0
fffff804`0117da50 c644242000 mov byte ptr ,0
FAULT_INSTR_CODE: 202444c6
SYMBOL_STACK_INDEX: 2
SYMBOL_NAME: nt!KiFastFailDispatch+d0
FOLLOWUP_NAME: mašīnas īpašnieks

Moduļa nosaukums kodola objektu tabulā. Ja analizators varēja noteikt problemātisku draiveri, nosaukums tiek parādīts laukos MODULE_NAME un IMAGE_NAME:

MODULE_NAME:nt
IMAGE_NAME: ntkrnlmp.exe

1: kd> lmvm nt
Pārlūkojiet pilnu moduļu sarakstu
Ielādēts simbola attēla fails: ntkrnlmp.exe
Kartēts atmiņas attēla fails: C:\ProgramData\dbg\sym\ntoskrnl.exe\5A9A2147787000\ntoskrnl.exe
Attēla ceļš: ntkrnlmp.exe
Attēla nosaukums: ntkrnlmp.exe
Iekšējais nosaukums: ntkrnlmp.exe
Sākotnējais faila nosaukums: ntkrnlmp.exe
Produkta versija: 6.3.9600.18946
Faila versija: 6.3.9600.18946 (winblue_ltsb_escrow.180302-1800)

Norādītajā piemērā analīze norādīja uz kodola failu ntkrnlmp.exe. Kad atmiņas izgāztuves analīze norāda sistēmas draiveris(piemēram, win32k.sys) vai kodola failu (kā mūsu piemērā ntkrnlmp.exe), visticamāk, šo failu nav problēmas cēlonis. Ļoti bieži izrādās, ka problēma ir ierīces draiverī, BIOS iestatījumi vai iekārtas darbības traucējumi.

Ja redzat, ka BSOD izraisīja trešās puses draiveris, tā nosaukums tiks norādīts vērtībās MODULE_NAME un IMAGE_NAME.

Piemēram:

Attēla ceļš: \SystemRoot\system32\drivers\cmudaxp.sys
Attēla nosaukums: cmudaxp.sys

Atveriet draivera faila rekvizītus un pārbaudiet tā versiju. Vairumā gadījumu problēma ar draiveriem tiek atrisināta, tos atjauninot.

Kļūdas ļoti bieži rodas operētājsistēmā Windows, pat ja sistēma ir “tīra”. Ja parastās programmas kļūdas var novērst (parādās ziņojums par trūkstošu komponentu), tad kritiskās kļūdas būs daudz grūtāk novērst.

Kas ir atmiņas izgāztuve operētājsistēmā Windows

Lai atrisinātu problēmas ar sistēmu, parasti tiek izmantota avārijas atmiņas izgāztuve - šī ir fotogrāfija daļu vai visu RAM un novietojiet to uz nemainīga datu nesēja ( HDD). Citiem vārdiem sakot, RAM saturs tiek pilnībā vai daļēji kopēts datu nesējā, un lietotājs var analizēt atmiņas izgāztuvi.

Ir vairāki atmiņas izgāztuves veidi:

Maza izgāztuve(Small Memory Dump) – saglabā minimālu operatīvās atmiņas apjomu, kurā ir informācija par kritiskām kļūdām (BSoD) un komponentiem, kas tika ielādēti sistēmas darbības laikā, piemēram, draiveri, programmas. MiniDump tiek saglabāts ceļā C:\Windows\Minidump.

Pilna izgāztuve(Complete Memory Dump) – tiek saglabāts viss RAM apjoms. Tas nozīmē, ka faila lielums būs vienāds ar RAM apjomu. Ja diskā ir maz vietas, būs problemātiski ietaupīt, piemēram, 32 GB. Problēmas rodas arī, izveidojot atmiņas izdrukas failu, kas lielāks par 4 GB. Šis tips lietots ļoti reti. Saglabāts C:\Windows\MEMORY.DMP.

Izgāztuve kodola atmiņa– tiek saglabāta tikai informācija, kas saistīta ar sistēmas kodolu.

Kad lietotājs sāk analizēt kļūdu, viņam ir jāizmanto tikai minidamp (mazā izgāztuve). Bet pirms tam tas ir jāieslēdz, pretējā gadījumā problēma netiks atpazīta. Turklāt, lai efektīvāk identificētu avāriju, vēlams izmantot pilnas atmiņas momentuzņēmumu.

Informācija reģistrā

Ja paskatās Windows reģistrs, tad varat atrast dažus noderīgus attēla parametrus. Noklikšķiniet uz taustiņu kombinācijas Win + R un ievadiet komandu regedit un atveriet šādas filiāles:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

Šajā filiālē lietotājs atradīs šādus parametrus:

  • AutoReboot– iespējojiet vai atspējojiet atsāknēšanu pēc zilā nāves ekrāna (BSoD) izveides.
  • DumpFile– izgāztuves veidu nosaukums un atrašanās vieta.
  • CrashDumpEnabled- numurs izveidots fails, piemēram, skaitlis 0 – izgāztuve netiek izveidota; 1 – pilnas izgāztuves izveidošana; 2 – serdes izgāztuves izveidošana; 3 – nelielas izgāztuves izveidošana.
  • DumpFilters– opcija ļauj pievienot jaunas funkcijas pirms momentuzņēmuma izveides. Piemēram, failu šifrēšana.
  • MinidumpDir– mazās izgāztuves nosaukums un atrašanās vieta.
  • LogEvent– informācijas ierakstīšanas aktivizēšana sistēmas žurnālā.
  • MinidumpsCount– iestatiet veidojamo mazo izgāztuvju skaitu. (Pārsniedzot šo skaitli, vecie faili tiks iznīcināti un aizstāti).
  • Pārrakstīt– funkcija pilnai vai sistēmas izmešanai. Veidojot jaunu fotoattēlu, iepriekšējais vienmēr tiks aizstāts ar jaunu.
  • DedicatedDumpFile- Radīšana alternatīvais fails attēls un norāde par tā ceļu.
  • IgnorePagefileSize– izmanto pagaidu momentuzņēmuma atrašanās vietai, neizmantojot mijmaiņas failu.

Kā tas strādā

Ja rodas kļūme, sistēma pilnībā pārtrauc savu darbību un, ja ir aktīva izgāšana, tā tiks ierakstīta failā, kas ievietots diskā. informācija par radušos problēmu. Ja kaut kas noticis ar fiziskajiem komponentiem, darbosies avārijas kods, un aparatūra, kas neizdevās, veiks dažas izmaiņas, kas noteikti tiks atspoguļotas momentuzņēmumā.

Parasti fails tiek saglabāts blokā, kas piešķirts mijmaiņas failam cietais disks, pēc BSoD parādīšanās fails tiek pārrakstīts tādā veidā, kādu konfigurējis pats lietotājs (mazs, pilns vai kodola dump). Lai gan mūsdienu operētājsistēmās peidžeru faila līdzdalība nav nepieciešama.

Kā iespējot izgāztuves

IN Windows 7:

IN Windows 8 un 10:

Šeit process ir nedaudz līdzīgs, jūs varat iekļūt sistēmas informācijā tāpat kā operētājsistēmā Windows 7. Sadaļā “Ten” noteikti atveriet “ Šis dators", klikšķiniet uz brīva vieta peles labo pogu un izvēlieties " Īpašības" Vēl viens veids, kā tur nokļūt, ir vadības panelis.

Otrais variants priekš Windows 10:


Jāpiebilst, ka jaunajā Windows versijas Parādījās 10 jauni punkti, kas nebija “septītniekā”:

  • Maza izgāztuve atmiņa 256 KB - minimālie atteices dati.
  • Aktīva izgāztuve- parādījās desmitajā sistēmas versijā un saglabā tikai datora, sistēmas kodola un lietotāja aktīvo atmiņu. Ieteicams lietošanai uz serveriem.

Kā izdzēst izgāztuvi

Vienkārši dodieties uz direktoriju, kurā tiek glabāti atmiņas momentuzņēmumi, un vienkārši izdzēsiet tos. Bet ir vēl viens veids, kā to noņemt - izmantojot diska tīrīšanas utilītu:

Ja neviens vienums netika atrasts, iespējams, ka izgāztuves nav iespējotas.

Pat ja jūs tos kādreiz esat iespējojis, dažas jūsu izmantotās sistēmas optimizācijas utilītas var viegli atspējot dažas funkcijas. Bieži vien lietošanas laikā daudzas lietas izslēdzas SSD diskdziņi, jo atkārtotas lasīšanas un rakstīšanas procedūras ievērojami kaitē šī diska veselībai.

Atmiņas izgāztuves analīze, izmantojot WinDbg

Lejupielādējiet no oficiālās Microsoft vietnes šī programma 2. darbībā, kur tas ir aprakstīts “ UzstādīšanaWDK" - https://docs.microsoft.com/en-us/windows-hardware/drivers/download-the-wdk.

Lai strādātu ar programmu, jums būs nepieciešama arī īpaša atkļūdošanas simbolu pakete. Tas tiek saukts Atkļūdošanas simboli, iepriekš to varēja lejupielādēt no Microsoft vietnes, bet tagad viņi ir atteikušies no šīs idejas un būs jāizmanto funkcija Failu programmas — « Simbolu faila ceļš", kur jāievada šāda rindiņa un noklikšķiniet uz Labi:

set _NT_SYMBOL_PATH=srv*DownstreamStore*https://msdl.microsoft.com/download/symbols

Ja tas nedarbojas, izmēģiniet šo komandu:

SRV*%systemroot%\symbols*http://msdl.microsoft.com/download/symbols

Vēlreiz noklikšķiniet uz “Fails” un atlasiet opciju “Saglabāt darbvietu”.

Lietderība ir konfigurēta. Atliek tikai norādīt ceļu uz atmiņas dump failiem. Lai to izdarītu, noklikšķiniet uz Fails un noklikšķiniet uz opcijas " OpildspalvaAvārijaIzgāztuve" Visu izgāztuvju atrašanās vieta ir norādīta raksta sākumā.

Pēc atlases analīze beigsies un problemātiskais komponents tiks automātiski iezīmēts. Lai tajā pašā logā iegūtu vairāk informācijas, varat ievadīt šādu komandu: !analizēt –v

Analīze ar BlueScreenView

Jūs varat lejupielādēt rīku bez maksas no šīs vietnes - http://www.nirsoft.net/utils/blue_screen_view.html. Uzstādīšana neprasa nekādas prasmes. Izmanto tikai operētājsistēmā Windows 7 un jaunākās versijās.

Mēs palaižam un konfigurējam. Noklikšķiniet uz "Opcijas" - " Papildu iespējas"(Pielāgota opcija). Izvēlieties pirmo vienumu " Ielādējiet MiniDumps no šīs mapes"un norādiet direktoriju - C:\WINDOWS\Minidump. Lai gan jūs varat vienkārši noklikšķināt uz pogas “Noklusējums”. Noklikšķiniet uz Labi.

Izgāztuves failiem vajadzētu parādīties galvenajā logā. Tas var būt viens vai vairāki. Lai to atvērtu, vienkārši noklikšķiniet uz tā ar peli.

Loga apakšdaļā tiks parādīti komponenti, kas darbojās kļūmes brīdī. Par negadījumu atbildīgā persona tiks iezīmēta sarkanā krāsā.

Tagad noklikšķiniet uz “Fails” un atlasiet, piemēram, vienumu “ Atrodiet lietotnē Google kļūdas kods + draiveris" Ja atrasts nepieciešamais vadītājs, instalējiet un restartējiet datoru. Varbūt kļūda pazudīs.