Windows kilitlenme dökümü. Bellek dökümü nedir? RAM dökümünü kaldırma programı

Bölümde kilitlenme dökümü algılandı aşağıdaki parametreler:

REG_DWORD-parametre Otomatik yeniden başlatma anlamı olan 0x1(seçenek Otomatik yeniden başlatma gerçekleştir alt pencere penceresi Sistemin özellikleri);

REG_DWORD-parametre CrashDumpEtkin anlamı olan 0x0, eğer bir bellek dökümü oluşturulmazsa; 0x1Tam bellek dökümü; 0x2Çekirdek bellek dökümü; 0x3Küçük bellek dökümü (64KB);

REG_EXPAND_SZ-parametre Döküm Dosyası anlamı olan %SystemRoot%\MEMORY.DMP(dosya depolama konumunu boşaltın);

REG_DWORD-parametre GünlükEtkinliği anlamı olan 0x1(seçenek Olayı günlüğe kaydet pencere);

REG_EXPAND_SZ-parametre MinidumpDir anlamı olan %SystemRoot%\Minidump(isteğe bağlı);

REG_DWORD-parametre Üzerine yaz anlamı olan 0x1(seçenek Mevcut dosyayı değiştir pencere);

REG_DWORD-parametre Uyarı Gönder anlamı olan 0x1(seçenek İdari uyarı gönder pencere).

Sistem acil durum hafıza dosyasını nasıl oluşturur?

Önyükleme sırasında işletim sistemi, kayıt defteri bölümündeki acil durum oluşturma parametrelerini kontrol eder. . En az bir parametre belirtilirse sistem, önyükleme biriminde kullanılan disk bloklarının bir haritasını oluşturur ve bunu bellekte saklar. Sistem ayrıca hangi disk cihazının önyükleme birimini kontrol ettiğini belirler ve görüntü için sağlama toplamlarını hesaplar Bellekte ve I/O işlemlerini gerçekleştirebilmek için tamsayı olması gereken veri yapıları için.

Bir arızanın ardından sistem çekirdeği, sayfa dosyası haritasının, disk dosyasının ve disk kontrol yapılarının bütünlüğünü kontrol eder.. Bu yapıların bütünlüğü ihlal edilmiyorsa sistem çekirdeği özel disk I/O işlevlerini çağırır. , bir arızadan sonra hafıza görüntüsünü kaydetmek için tasarlanmıştır. Bu G/Ç işlevleri bağımsızdır ve çekirdek hizmetlerine bağlı değildir; çünkü kilitlenme dökümünü yazmaktan sorumlu programlar, bir çökme meydana geldiğinde sistem çekirdeğinin hangi bölümlerinin veya aygıtların hasar gördüğüne ilişkin herhangi bir varsayımda bulunamaz. Sistem çekirdeği, verileri bellekten disk belleği dosyası sektör haritasına yazar (kullanmak zorunda değildir)dosya sistemi).

İlk olarak sistem çekirdeği, döküm işlemine dahil olan her bileşenin durumunu kontrol eder. Bu, doğrudan disk sektörlerine yazarken dosyanın dışında bulunan verilerin zarar görmemesi için yapılır. Dosya boyutu 1 olmalıdır MB daha büyük boyut fiziksel hafızaçünkü bilgi yazıldığında, acil durum imzasını ve birçok önemli sistem çekirdeği değişkeninin değerlerini içeren bir başlık oluşturulur. Başlık 1'den az yer kaplıyor MB ancak işletim sistemi disk belleği dosyasının boyutunu en az 1 oranında artırabilir (veya azaltabilir) MB.

Sistem önyüklemesinden sonra Oturum Yöneticisi (Windows NT Oturum Yöneticisi; disk adresi – \WINDOWS\system32\smss.exe) her dosyayı oluşturmak için kendi işlevini kullanarak sistem dosyalarını başlatır NtCreatePagingFile. NtCreatePagingFile başlatılmakta olan dosyanın var olup olmadığını ve eğer öyleyse, bir başlığa sahip olup olmadığını belirler . Bir başlık varsa o zaman NtCreatePagingFile gönderir Oturum Yöneticisiözel kod. daha sonrasında Oturum Yöneticisi süreci başlatır Winlogon (Windows NT Oturum Açma Programı; disk adresi – \WINDOWS\system32\winlogon.exe), acil bir durumun varlığının bildirildiği . Winlogon programı başlatır KaydetDump (Kopya kaydetme programı Windows belleği NT; disk adresi – \WINDOWS\system32\savedump.exe), başlığı ayrıştıran ve acil bir durumda yapılacak diğer eylemleri belirler.

Başlık varlığını gösteriyorsa , O KaydetDump verileri bir dosyadan adı belirtilen bir acil durum dosyasına kopyalar REG_EXPAND_SZ-parametre Döküm Dosyası bölüm . Hoşçakal KaydetDump dosyayı yeniden yazar , işletim sistemi sayfa dosyasının acil durumu içeren kısmını kullanmaz . Bu süre zarfında sistemin ve uygulamaların kullanabileceği sanal bellek miktarı şu kadar azaltılır: (Aynı zamanda ekranda sanal bellek eksikliğini belirten mesajlar görünebilir). Daha sonra KaydetDump hafıza yöneticisine kaydetme işleminin tamamlandığını bildirir ve o kısmı yayınladı saklandığı dosya , genel kullanım için.

Dosyayı kaydetme , program KaydetDump acil durumun yaratılışını kaydeder olay günlüğünde , örneğin: “Bilgisayar kritik bir hatadan sonra yeniden başlatıldı: 0x100000d1 (0xc84d90a6, 0x00000010, 0x00000000, 0xc84d90a6). Bellek kopyası kaydedildi: C:\WINDOWS\Minidump\Mini060309-01.dmp" .

Tam bellek dökümüÖnemli bir hata oluştuğunda belleğin tüm içeriğini yazar. Bu seçenek için, önyükleme biriminde, boyutu tüm fiziksel birimin hacmine eşit olan bir disk belleği dosyanızın olması gerekir. rasgele erişim belleği artı 1 MB. Varsayılan dolu bellek bir dosyaya yazılır %SystemRoot%\Memory.dmp. Yeni bir hata oluşursa ve yeni bir tam dosya oluşturulursa hafıza (veya çekirdek belleği) önceki dosya değiştirilir (üzerine yazılır). Parametre Tam bellek dökümü 32 bit işletim sistemi ve 2 veya daha fazla RAM çalıştıran sistemlerde mevcut değildir.

Yeni bir hata oluşursa ve yeni bir tam dosya oluşturulursa bellek önceki dosya değiştirilir.

Çekirdek bellek dökümü Yalnızca çekirdek belleğini yazar, sistem aniden durduğunda günlüğe veri yazma işleminin daha hızlı ilerlemesini sağlar. Fiziksel hafıza miktarına bağlı olarakbu durumda sayfa dosyası 50 ila 800 arası gerektirir MB veya önyükleme birimindeki fiziksel belleğin üçte biri. çekirdek belleği bir dosyaya yazılır %SystemRoot%\Memory.dmp.

Bu ayrılmamış belleği veya mod programlarına ayrılmış belleği içermez. Yalnızca çekirdeğe ve donanıma özgü katmana ayrılan belleği içerir ( HAL)V Windows 2000 ve sistemin sonraki sürümlerinin yanı sıra çekirdek modu ve diğer çekirdek modu programları için ayrılan bellek. Çoğu durumda bu en çok tercih edilen seçenektir. Doluya göre çok daha az yer kaplıyor bellek, yalnızca büyük olasılıkla hatayla ilişkili olmayan bellek sektörlerini hariç tutarken.

Yeni bir hata oluştuğunda ve yeni bir dosya oluşturulduğunda çekirdek belleğinde önceki dosya değiştirilir.

Küçük bellek dökümü en küçük hacmi yazar kullanışlı bilgi Sorunun nedenini belirlemek için gereklidir. Küçük bir tane oluşturmak için bellek, sayfa dosyası boyutunun en az 2 olmasını gerektirir MBönyükleme biriminde.

Küçük dosyalar Bellek aşağıdaki bilgileri içerir:

– önemli bir hata, parametreleri ve diğer veriler hakkında mesaj;

– indirilenlerin listesi;

- bağlam ( PRCB) arızanın meydana geldiği yer;

EPROSES) hataya neden olan süreç için;

– süreç bilgisi ve çekirdek bağlamı ( ETHREAD) hataya neden olan iş parçacığı için;

– Hataya neden olan iş parçacığının çekirdek modu çağrı yığını.

Küçük dosya Bellek, sabit disk alanı sınırlı olduğunda kullanılır. Ancak içerdiği sınırlı bilgi nedeniyle bu dosyanın analizi, hatanın oluştuğu sırada çalışan iş parçacığının doğrudan neden olmadığı hataları her zaman tespit edemeyebilir.

Aşağıdaki hata oluşursa ve ikinci bir küçük dosya oluşturulursa hafızada önceki dosya korunur. Her birine ek dosya benzersiz bir ad verilir. Tarih, dosya adında kodlanmıştır. Örneğin, Mini051509-01.dmp- bu ilk dosya bellek, 15 Mayıs 2009'da oluşturuldu Tüm küçük dosyaların listesi bellek bir klasörde saklanır %SystemRoot%\Minidump.

işletim sistemi Her iki geliştiricinin çabaları sayesinde, şüphesiz önceki sürümlerden çok daha güvenilir Microsoft Hem donanım geliştiricileri hem de uygulama yazılımı geliştiricileri . Fakat acil durumlar- Sistemin her türlü arızası ve çöküşü kaçınılmazdır ve buna bağlı olarakbunları ortadan kaldırmaya yönelik bilgi ve beceriler, sorun gidermeye (örneğin güncelleme/hata ayıklama veya yeniden yükleme) birkaç dakika harcamak zorunda kalıp kalmayacağına bağlıdır. uygulama programı bir çökmeye neden oluyor) veya yeniden yükleme/yapılandırma birkaç saat sürüyor işletim sistemi ve uygulama yazılımı (bu gelecekte arıza ve çökme olmayacağını garanti etmez!).

Çoğu yönetici kilitlenme dökümlerini analiz etmeyi ihmal ediyor pencereler Onlarla çalışmanın çok zor olduğuna inanıyorum. Zor ama mümkün: örneğin bir analiz yapılsa bile on kişiden başarılı olacak - acil durumları analiz etmek için en basit tekniklere hakim olmak için harcanan çabalar , boşuna olmayacak!..

Tespit edildiğinde tüm Windows sistemleri ölümcül hata RAM içeriğinin kilitlenme dökümünü (anlık görüntüsünü) yapın ve bunu sabit sürücüye kaydedin. Üç tür bellek dökümü vardır:

Tam bellek dökümü – RAM'in tüm içeriğini kaydeder. Görüntü boyutu RAM + 1 MB (başlık) boyutuna eşittir. Büyük miktarda belleğe sahip sistemlerde döküm boyutu çok büyük olacağından çok nadiren kullanılır.

Çekirdek bellek dökümü – yalnızca çekirdek moduyla ilgili RAM bilgilerini kaydeder. Kullanıcı modu bilgileri, sistem çökmesinin nedeni hakkında bilgi içermediğinden kaydedilmez. Döküm dosyasının boyutu RAM boyutuna bağlıdır ve 50 MB (128 MB RAM'e sahip sistemler için) ile 800 MB (8 GB RAM'e sahip sistemler için) arasında değişir.

Küçük bellek dökümü (mini döküm) - oldukça az miktarda bilgi içerir: parametreler içeren bir hata kodu, sistem çökmesi sırasında RAM'e yüklenen sürücülerin listesi vb., ancak bu bilgi hatalı sürücüyü tanımlamak için yeterlidir. . Bu tür dökümün bir diğer avantajı da küçük dosya boyutudur.

Sistem kurulumu

Buna sebep olan sürücüyü tespit etmek için küçük bir hafıza dökümü kullanmamız yeterli olacaktır. Sistemin bir çökme sırasında mini dökümü kaydetmesi için aşağıdaki adımları uygulamanız gerekir:

Windows XP için Windows 7 için
  1. Benim bilgisayarım Özellikler
  2. Sekmeye git Bunlara ek olarak;
  3. Seçenekler;
  4. Tarlada Hata Ayıklama Bilgilerini Yazma seçmek Küçük bellek dökümü (64 KB).
  1. Simgeye sağ tıklayın Bilgisayar itibaren içerik menüsü seçme Özellikler(veya Kazan+Duraklat tuş birleşimi);
  2. Soldaki menüde öğeye tıklayın Gelişmiş sistem Ayarları;
  3. Sekmeye git Bunlara ek olarak;
  4. İndirme ve kurtarma alanında düğmeye tıklamanız gerekir. Seçenekler;
  5. Tarlada Hata Ayıklama Bilgilerini Yazma seçmek Küçük bellek dökümü (128 KB).

Tüm manipülasyonlar tamamlandıktan sonra, her BSoD'den sonra .dmp uzantılı bir dosya C:\WINDOWS\Minidump klasörüne kaydedilecektir. "" materyalini okumanızı tavsiye ederim. Ayrıca “kutucuğunu da işaretleyebilirsiniz. Mevcut döküm dosyasını değiştir" Bu durumda, her yeni kilitlenme dökümü eskisinin üzerine yazılacaktır. Bu seçeneği etkinleştirmenizi önermiyorum.

BlueScreenView kullanarak kilitlenme dökümünü analiz etme

Yani, ortaya çıktıktan sonra Mavi ekranölüm, sistem yeni bir kilitlenme dökümü kaydetti. Dökümü analiz etmek için kullanmanızı öneririm BlueScreenView programı. Ücretsiz olarak indirilebilir. Program oldukça kullanışlıdır ve sezgisel bir arayüze sahiptir. Kurduktan sonra yapmanız gereken ilk şey, sistemdeki bellek dökümlerinin depolanacağı konumu belirtmektir. Bunu yapmak için “ menü öğesine gidin Seçenekler” ve “ seçeneğini seçin GelişmişSeçenekler" Radyo düğmesini seçin “ Yükitibarenthetakip etmeMini Boşaltmadosya”ve dökümlerin depolandığı klasörü belirtin. Dosyalar C:\WINDOWS\Minidump klasöründe saklanıyorsa “ Varsayılan" Tamam'a tıklayın ve program arayüzüne gidin.

Program üç ana bloktan oluşur:

  1. Ana menü bloğu ve kontrol paneli;
  2. Döküm listesi bloğunun çökmesi;
  3. Seçilen parametrelere bağlı olarak şunları içerebilir:
  • mavi ekran görünmeden önce RAM'deki tüm sürücülerin listesi (varsayılan olarak);
  • RAM yığınında bulunan sürücülerin listesi;
  • BSoD ekran görüntüsü;
  • ve kullanmayacağımız diğer değerler.

Bellek dökümü listesi bloğunda (şekilde 2 numarayla işaretlenmiştir), ilgilendiğimiz dökümü seçin ve RAM'e yüklenen sürücülerin listesine bakın (şekilde 3 numarayla işaretlenmiştir). Bellek yığınındaki sürücüler pembe renktedir. Onlar BSoD'nin nedenidir. Daha sonra sürücünün Ana Menüsüne gidin, hangi cihaza veya programa ait olduklarını belirleyin. Öncelikle şuna dikkat edin sistem dosyalarıçünkü sistem dosyaları her durumda RAM'e yüklenir. Resimdeki hatalı sürücünün myfault.sys olduğunu görmek kolaydır. Bu programın özellikle Durdurma hatasına neden olmak için başlatıldığını söyleyeceğim. Arızalı sürücüyü belirledikten sonra güncellemeniz veya sistemden kaldırmanız gerekir.

Bir BSoD oluştuğunda programın bellek yığınında bulunan sürücülerin bir listesini göstermesi için “ menü öğesine gitmeniz gerekir. Seçenekler“menüye tıklayın” Daha düşükBölmeMod” ve “ seçeneğini seçin SadeceSürücülerKurmakİçindeYığın” (veya F7 tuşuna basın) ve hatanın ekran görüntüsünü göstermek için “ MaviEkraniçindeXPStil” (F8). Tüm sürücülerin listesine geri dönmek için “ TümSürücüler” (F6).

Tüm Windows sistemleri, önemli bir hata tespit edildiğinde, RAM içeriğinin bir kilitlenme dökümünü (anlık görüntüsünü) oluşturur ve bunu sabit sürücüye kaydeder. Üç tür bellek dökümü vardır:

Tam bellek dökümü – RAM'in tüm içeriğini kaydeder. Görüntü boyutu RAM + 1 MB (başlık) boyutuna eşittir. Büyük miktarda belleğe sahip sistemlerde döküm boyutu çok büyük olacağından çok nadiren kullanılır.

Çekirdek bellek dökümü – yalnızca çekirdek moduyla ilgili RAM bilgilerini kaydeder. Kullanıcı modu bilgileri, sistem çökmesinin nedeni hakkında bilgi içermediğinden kaydedilmez. Döküm dosyasının boyutu RAM boyutuna bağlıdır ve 50 MB (128 MB RAM'e sahip sistemler için) ile 800 MB (8 GB RAM'e sahip sistemler için) arasında değişir.

Küçük bellek dökümü (mini döküm) - oldukça az miktarda bilgi içerir: parametreler içeren bir hata kodu, sistem çökmesi sırasında RAM'e yüklenen sürücülerin listesi vb., ancak bu bilgi hatalı sürücüyü tanımlamak için yeterlidir. . Bu tür dökümün bir diğer avantajı da küçük dosya boyutudur.

SİSTEM KURULUMU

Mavi ekrana neden olan sürücüyü belirlemek için yalnızca küçük bir bellek dökümü kullanmamız gerekecek. Sistemin bir çökme sırasında mini dökümü kaydetmesi için aşağıdaki adımları uygulamanız gerekir:

Windows XP için Windows 7 için
  1. Benim bilgisayarım Özellikler
  2. Sekmeye git Bunlara ek olarak;
  3. Seçenekler;
  4. Tarlada Hata Ayıklama Bilgilerini Yazma seçmek Küçük bellek dökümü (64 KB).
  1. Simgeye sağ tıklayın Bilgisayar içerik menüsünden seçim yapın Özellikler(veya Kazan+Duraklat tuş birleşimi);
  2. Soldaki menüde öğeye tıklayın Gelişmiş sistem Ayarları;
  3. Sekmeye git Bunlara ek olarak;
  4. İndirme ve kurtarma alanında düğmeye tıklamanız gerekir. Seçenekler;
  5. Tarlada Hata Ayıklama Bilgilerini Yazma seçmek Küçük bellek dökümü (128 KB).

Tüm manipülasyonlar tamamlandıktan sonra, her BSoD'den sonra .dmp uzantılı bir dosya C:\WINDOWS\Minidump klasörüne kaydedilecektir. “Klasör nasıl oluşturulur” materyalini okumanızı tavsiye ederim. Ayrıca “kutucuğunu da işaretleyebilirsiniz. Mevcut döküm dosyasını değiştir" Bu durumda, her yeni kilitlenme dökümü eskisinin üzerine yazılacaktır. Bu seçeneği etkinleştirmenizi önermiyorum.

BLUESCREENVIEW PROGRAMINI KULLANARAK ÇARPMA DÖKÜMÜNÜ ANALİZ ETME

Böylece, Ölümün Mavi Ekranı ortaya çıktıktan sonra sistem yeni bir kilitlenme hafıza dökümü kaydetti. Dökümü analiz etmek için BlueScreenView programını kullanmanızı öneririm. Buradan ücretsiz olarak indirilebilir. Program oldukça kullanışlıdır ve sezgisel bir arayüze sahiptir. Kurduktan sonra yapmanız gereken ilk şey, sistemdeki bellek dökümlerinin depolanacağı konumu belirtmektir. Bunu yapmak için “ menü öğesine gidin Seçenekler” ve “ seçeneğini seçin GelişmişSeçenekler" Radyo düğmesini seçin “ Yükitibarenthetakip etmeMini Boşaltmadosya”ve dökümlerin depolandığı klasörü belirtin. Dosyalar C:\WINDOWS\Minidump klasöründe saklanıyorsa “ Varsayılan" Tamam'a tıklayın ve program arayüzüne gidin.

Program üç ana bloktan oluşur:

  1. Ana menü bloğu ve kontrol paneli;
  2. Döküm listesi bloğunun çökmesi;
  3. Seçilen parametrelere bağlı olarak şunları içerebilir:
  • mavi ekran görünmeden önce RAM'deki tüm sürücülerin listesi (varsayılan olarak);
  • RAM yığınında bulunan sürücülerin listesi;
  • BSoD ekran görüntüsü;
  • ve kullanmayacağımız diğer değerler.

Bellek dökümü listesi bloğunda (şekilde 2 numarayla işaretlenmiştir), ilgilendiğimiz dökümü seçin ve RAM'e yüklenen sürücülerin listesine bakın (şekilde 3 numarayla işaretlenmiştir). Bellek yığınındaki sürücüler pembe renktedir. Onlar BSoD'nin nedenidir. Daha sonra sürücünün Ana Menüsüne gidin, hangi cihaza veya programa ait olduklarını belirleyin. Öncelikle sistem dışı dosyalara dikkat edin çünkü sistem dosyaları her halükarda RAM'e yüklenir. Resimdeki hatalı sürücünün myfault.sys olduğunu görmek kolaydır. Bu programın özellikle Durdurma hatasına neden olmak için başlatıldığını söyleyeceğim. Arızalı sürücüyü belirledikten sonra güncellemeniz veya sistemden kaldırmanız gerekir.

Bir BSoD oluştuğunda programın bellek yığınında bulunan sürücülerin bir listesini göstermesi için “ menü öğesine gitmeniz gerekir. Seçenekler“menüye tıklayın” Daha düşükBölmeMod” ve “ seçeneğini seçin SadeceSürücülerKurmakİçindeYığın” (veya F7 tuşuna basın) ve hatanın ekran görüntüsünü göstermek için “ MaviEkraniçindeXPStil” (F8). Tüm sürücülerin listesine geri dönmek için “ TümSürücüler” (F6).

Kritik bir arıza meydana geldiğinde, Windows işletim sistemi çöker ve Mavi Ölüm Ekranı (BSOD) görüntüler. RAM içeriği ve oluşan hatayla ilgili tüm bilgiler disk belleği dosyasına yazılır. Bir dahaki sefer Windows'u önyükleme kaydedilen verilere dayalı olarak hata ayıklama bilgileri içeren bir kilitlenme dökümü oluşturulur. Sistem olay günlüğünde kritik bir hata girişi oluşturulur.

Dikkat! Aşağıdaki durumlarda kilitlenme dökümü oluşturulmaz: disk alt sistemi veya Windows önyüklemesinin ilk aşamasında kritik bir hata oluştu.

Windows Kilitlenme Dökümü Türleri

Mevcut bir ameliyathane örneğini kullanma Windows sistemleri 10 (Windows Server 2016), sistemin oluşturabileceği ana bellek dökümü türlerini göz önünde bulundurun:

  • Mini bellek dökümü(256 KB). Bu dosya türü minimum miktarda bilgi içerir. Yalnızca BSOD hata mesajını, sürücülerle ilgili bilgileri, çökme anında etkin olan işlemleri ve çökmeye hangi işlemin veya çekirdek iş parçacığının neden olduğunu içerir.
  • Çekirdek bellek dökümü. Boyut olarak genellikle küçüktür; fiziksel bellek boyutunun üçte biri kadardır. Çekirdek bellek dökümü, mini dökümden daha ayrıntılıdır. Sürücüler ve çekirdek modu programları hakkında bilgi içerir; Windows çekirdeğine ve donanım soyutlama katmanına (HAL) ayrılan belleği ve sürücülere ve diğer çekirdek modu programlarına ayrılan belleği içerir.
  • Bellek dökümünü tamamla. Boyut olarak en büyüğüdür ve sisteminizin RAM artı 1 MB'ına eşit bellek gerektirir, gerekli Windows Bu dosyayı oluşturmak için.
  • Otomatik bellek dökümü. Bilgi açısından çekirdek bellek dökümüne karşılık gelir. Tek fark, döküm dosyasını oluşturmak için ne kadar alan kullandığıdır. Bu dosya türü Windows 7'de yoktu. Windows 8'de eklendi.
  • Aktif bellek dökümü. Bu tür, sistem arızasının nedenini belirleyemeyen unsurları ortadan kaldırır. Bu, Windows 10'a eklenmiştir ve özellikle kullanıyorsanız kullanışlıdır. sanal makine veya sisteminiz bir Hyper-V ana bilgisayarıysa.

Windows'ta bellek dökümü nasıl etkinleştirilir?

Win+Pause'u kullanarak sistem ayarları penceresini açın, " Gelişmiş sistem Ayarları"(Gelişmiş sistem Ayarları). İçinde " bunlara ek olarak" (Gelişmiş), bölüm "" (Başlatma ve Kurtarma) düğmesine tıklayın " Seçenekler"(Ayarlar). Açılan pencerede sistem arızalandığında gerçekleştirilecek eylemleri yapılandırın. " kontrol edin Olayları sistem günlüğüne kaydedin" (Sistem günlüğüne bir olay yazın), sistem çöktüğünde oluşturulması gereken döküm türünü seçin. Onay kutusundaysa " Mevcut döküm dosyasını değiştir"(Mevcut herhangi bir dosyanın üzerine yaz) kutuyu işaretleyin, her hata olduğunda dosyanın üzerine yazılacaktır. Bu kutunun işaretini kaldırmanız daha iyi olur, böylece analiz için daha fazla bilgiye sahip olursunuz. Ayrıca Otomatik olarak yeniden başlat seçeneğini de devre dışı bırakın.

Çoğu durumda, BSOD'un nedenini analiz etmek için küçük bir bellek dökümü yeterli olacaktır.

Artık bir BSOD oluştuğunda döküm dosyasını analiz edebilir ve hatanın nedenini bulabilirsiniz. Mini döküm, varsayılan olarak %systemroot%\minidump klasörüne kaydedilir. Döküm dosyasını analiz etmek için programı kullanmanızı öneririm WinDBG(Microsoft Çekirdek Hata Ayıklayıcısı).

WinDBG'nin Windows'a Kurulumu

Yarar WinDBG dahil " Windows 10 SDK'sı"(Windows 10 SDK'sı). .

Dosya denir Winsdksetup.exe, boyut 1,3 MB.

Kurulumu çalıştırın ve tam olarak ne yapmak istediğinizi seçin; paketi bu bilgisayara yükleyin veya diğer bilgisayarlara kurulum için indirin. Paketi yerel bilgisayara yükleyelim.

Paketin tamamını yükleyebilirsiniz ancak yalnızca hata ayıklama aracını yüklemek için Hata ayıklama Şunun için araçlar: pencereler.

Kurulumdan sonra WinDBG kısayollarını başlat menüsünde bulabilirsiniz.

.dmp dosyalarının WinDBG ile ilişkisini kurma

Döküm dosyalarını basit bir tıklamayla açmak için .dmp uzantısını WinDBG yardımcı programıyla eşleyin.

  1. Açık Komut satırı yönetici olarak ve 64 bit sistem için komutları çalıştırın: cd C:\Program Files (x86)\Windows Kits\10\Debuggers\x64
    Windbg.exe –IA
    32 bit sistem için:
    C:\Program Dosyaları (x86)\Windows Kitleri\10\Hata Ayıklayıcılar\x86
    Windbg.exe –IA
  2. Sonuç olarak, dosya türleri: .DMP, .HDMP, .MDMP, .KDMP, .WEW WinDBG ile eşlenecektir.

WinDBG'de hata ayıklama sembolü sunucusu kurma

Hata ayıklama sembolleri (hata ayıklama sembolleri veya sembol dosyaları), bir programın yürütülebilir dosyayla birlikte derlenmesi sırasında oluşturulan veri bloklarıdır. Bu tür veri blokları, işlevler, kütüphaneler vb. olarak adlandırılan değişken adları hakkında bilgi içerir. Bu veriler programı çalıştırırken gerekli değildir, ancak hata ayıklama sırasında faydalıdır. Microsoft bileşenleri, Microsoft Sembol Sunucusu aracılığıyla dağıtılan sembollerle derlenir.

WinDBG'yi şu şekilde yapılandırın: Microsoft kullanımı Sembol Sunucusu:

  • WinDBG'yi açın;
  • Menüye git Dosya –> Sembol Dosya Yolu;
  • Microsoft web sitesinden hata ayıklama sembollerini indirmek için URL'yi ve önbelleği kaydetme klasörünü içeren bir satır yazın: SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols Örnekte, önbellek indirildi E:\Sym_WinDBG klasörüne herhangi birini belirtebilirsiniz.
  • Menüdeki değişiklikleri kaydetmeyi unutmayın Dosya–>Çalışma Alanından Tasarruf Edin;

WinDBG, yerel klasördeki sembolleri arayacaktır ve içinde gerekli sembolleri bulamazsa, sembolleri belirtilen siteden otomatik olarak indirecektir. Kendi semboller klasörünüzü eklemek istiyorsanız bunu şu şekilde yapabilirsiniz:

SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols;c:\Symbols

İnternet bağlantınız yoksa öncelikle sembol paketini Windows Sembol Paketleri kaynağından indirin.

WinDBG'deki kilitlenme dökümünün analizi

WinDBG hata ayıklayıcısı döküm dosyasını açar ve hata ayıklama için gerekli simgeleri yerel bir klasörden veya İnternet'ten indirir. Bu işlem sırasında WinDBG'yi kullanamazsınız. Pencerenin alt kısmında (hata ayıklayıcı komut satırında) şu mesaj görünür: Hata ayıklayıcı bağlı değil.

Komutlar pencerenin alt kısmında bulunan komut satırına girilir.

Dikkat etmeniz gereken en önemli şey, her zaman belirtilen hata kodudur. onaltılık değer ve benziyor 0xXXXXXXXX(seçeneklerden birinde belirtilir - DUR: , 07/02/2019 0008F, 0x8F). Örneğimizde hata kodu 0x139'dur.

Hata ayıklayıcı!analyze -v komutunu çalıştırmayı önerir; farenizi bağlantının üzerine getirip tıklamanız yeterlidir. Bu komut ne için?

  • Ön bellek dökümü analizini gerçekleştirir ve detaylı bilgi Analizi başlatmak için.
  • Bu komut, hatanın STOP kodunu ve sembolik adını gösterecektir.
  • Çökmeye neden olan komut çağrılarının yığınını gösterir.
  • Ayrıca IP adresi, proses ve kayıt hataları da burada görüntülenir.
  • Ekip, sorunu çözmek için hazır öneriler sunabilir.

!analyze –v (listeleme eksik) komutunu çalıştırdıktan sonra analiz yaparken dikkat etmeniz gereken ana noktalar.

1: kd> !analiz -v


* *
* Hata Kontrolü Analizi *
* *
*****************************************************************************
STOP hatasının sembolik adı (BugCheck)
KERNEL_SECURITY_CHECK_FAILURE (139)
Hatanın açıklaması (Bir çekirdek bileşeni, kritik bir veri yapısını bozdu. Bu bozulma, bir saldırganın bu makinenin kontrolünü ele geçirmesine olanak tanıyabilir):

Bir çekirdek bileşeni kritik bir veri yapısını bozdu. Bozulma, potansiyel olarak kötü niyetli bir kullanıcının bu makinenin kontrolünü ele geçirmesine olanak tanıyabilir.
Hata argümanları:

Argümanlar:
Arg1: 00000000000000003, A LIST_ENTRY bozulmuş (yani çift kaldırma).
Arg2: ffffd0003a20d5d0, Hata kontrolüne neden olan istisna için tuzak çerçevesinin adresi
Arg3: ffffd0003a20d528, Hata kontrolüne neden olan istisna için istisna kaydının adresi
Arg4: 00000000000000000, Ayrılmış
Hata Ayıklama Ayrıntıları:
------------------

Sayaç, sistemin benzer bir hatayla kaç kez kilitlendiğini gösterir:

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: FAIL_FAST_CORRUPT_LIST_ENTRY

Kısaltılmış biçimde DUR hata kodu:

BUGCHECK_STR: 0x139

Arızanın meydana geldiği süreç (hatanın nedeni olması şart değildir; arıza anında bu süreç bellekte çalışıyordu):

PROSES_NAME: sqlservr.exe

Hata Kodu Açıklaması: Sistem, bu uygulamada bir saldırganın bu uygulamanın kontrolünü ele geçirmesine olanak verebilecek bir yığın arabellek taşması algıladı.

HATA_KODU: (NTSTATUS) 0xc0000409 - sistem bu uygulamada yığın tabanlı arabelleğin taşması algılandı. Bu taşma potansiyel olarak kötü niyetli bir kullanıcının bu uygulamanın kontrolünü ele geçirmesine olanak tanıyabilir.
EXCEPTION_CODE: (NTSTATUS) 0xc0000409 - Sistem, bu uygulamada yığın tabanlı arabelleğin taştığını algıladı. Bu taşma potansiyel olarak kötü niyetli bir kullanıcının bu uygulamanın kontrolünü ele geçirmesine olanak tanıyabilir.

Yığındaki son çağrı:

LAST_CONTROL_TRANSFER: fffff8040117d6a9'dan fffff8040116b0a0'a

Arıza anında çağrı yığını:

STACK_TEXT:
ffffd000`3a20d2a8 fffff804`0117d6a9: 00000000`00000139 00000000`00000003 ffffd000`3a20d5d0 ffffd000`3a20d528: nt!KeBugCheckEx
ffffd000`3a20d2b0 fffff804`0117da50: fffffe000`f3ab9080 ffffe000`fc37e001 ffffd000`3a20d5d0 fffff804`0116e2a2: nt!KiBugCheckDispatch+0x69
ffffd000`3a20d3f0 fffff804`0117c150: 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000: nt!KiFastFailDispatch+0xd0
ffffd000`3a20d5d0 fffff804`01199482: ffffc000`701ba270 ffffc000`00000001 000000ea`73f68040 fffff804`000006f9: nt!KiRaiseSecurityCheckFailure+0x3d0
ffffd000`3a20d760 fffff804`014a455d: 00000000`00000001 ffffd000`3a20d941 fffffe000`fcacb000 ffffd000`3a20d951: nt! ?? ::FNODOBFM::`string"+0x17252
ffffd000`3a20d8c0 fffff804`013a34ac: 00000000`00000004 00000000`00000000 ffffd000`3a20d9d8 fffffe001`0a34c600: nt!IopSynchronousServiceTail+0x379
ffffd000`3a20d990 fffff804`0117d313: ffffffff`fffffffe 00000000`00000000 00000000`00000000 000000eb`a0cf1380: nt!NtWriteFile+0x694
ffffd000`3a20da90 00007ffb`475307da: 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000: nt!KiSystemServiceCopyEnd+0x1 3
000000ee`f25ed2b8 00000000`00000000: 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000: 0x00007ffb`47530 7 gün

Hatanın oluştuğu kod bölümü:

FOLLOWUP_IP:
nt!KiFastFailDispatch+d0
fffff804`0117da50 c644242000 mov bayt ptr ,0
HATA_INSTR_KODU: 202444c6
SYMBOL_STACK_INDEX: 2
SYMBOL_NAME: nt!KiFastFailDispatch+d0
FOLLOWUP_NAME: Makine Sahibi

Çekirdek nesne tablosundaki modülün adı. Analiz cihazı sorunlu bir sürücüyü tespit edebildiyse ad, MODULE_NAME ve IMAGE_NAME alanlarında görüntülenir:

MODULE_NAME:nt
IMAGE_NAME: ntkrnlmp.exe

1: kd> lmvm nt
Tüm modül listesine göz atın
Yüklenen sembol resim dosyası: ntkrnlmp.exe
Eşlenen bellek görüntü dosyası: C:\ProgramData\dbg\sym\ntoskrnl.exe\5A9A2147787000\ntoskrnl.exe
Görüntü yolu: ntkrnlmp.exe
Resim adı: ntkrnlmp.exe
Dahili Ad: ntkrnlmp.exe
OrijinalDosya adı: ntkrnlmp.exe
Ürün Sürümü: 6.3.9600.18946
Dosya Sürümü: 6.3.9600.18946 (winblue_ltsb_escrow.180302-1800)

Verilen örnekte analiz ntkrnlmp.exe çekirdek dosyasını işaret ediyordu. Bellek dökümü analizi şunu gösterdiğinde sistem sürücüsü(örneğin, win32k.sys) veya bir çekirdek dosyası (örneğimizde ntkrnlmp.exe'de olduğu gibi), büyük olasılıkla bu dosya sorunun nedeni değildir. Çoğu zaman sorunun aygıt sürücüsünde olduğu ortaya çıkıyor, BIOS ayarları veya ekipman arızası.

BSOD'un üçüncü taraf bir sürücüden kaynaklandığını görürseniz adı MODULE_NAME ve IMAGE_NAME değerlerinde belirtilecektir.

Örneğin:

Görüntü yolu: \SystemRoot\system32\drivers\cmudaxp.sys
Resim adı: cmudaxp.sys

Sürücü dosyasının özelliklerini açın ve sürümünü kontrol edin. Çoğu durumda sürücülerle ilgili sorun, sürücülerin güncellenmesiyle çözülür.

Windows işletim sisteminde "temiz" bir sistem olsa bile hatalar çok sık meydana gelir. Sıradan program hataları çözülebilirse (eksik bir bileşenle ilgili bir mesaj görünürse), kritik hataların düzeltilmesi çok daha zor olacaktır.

Windows'ta bellek dökümü nedir

Sistemdeki sorunları çözmek için genellikle kilitlenme belleği dökümü kullanılır - bu bir fotoğraf RAM'in bir kısmını veya tamamını kalıcı bir ortama yerleştirmek ( Sabit disk). Başka bir deyişle, RAM içeriği tamamen veya kısmen ortama kopyalanır ve kullanıcı, bellek dökümünü analiz edebilir.

Birkaç tür bellek dökümü vardır:

Küçük çöplük(Küçük Bellek Dökümü) – kritik hatalar (BSoD) ve sistemin çalışması sırasında yüklenen bileşenler (örneğin sürücüler, programlar) hakkında bilgi içeren minimum miktarda RAM kaydeder. Mini Döküm C:\Windows\Minidump yolunda saklanır.

Tam döküm(Tam Bellek Dökümü) – RAM miktarının tamamı kaydedilir. Bu, dosya boyutunun RAM miktarına eşit olacağı anlamına gelir. Disk alanı azsa, örneğin 32 GB tasarruf etmek sorunlu olacaktır. 4 GB'den büyük bir bellek dökümü dosyası oluşturmada da sorunlar vardır. Bu tipçok nadir kullanılır. C:\Windows\MEMORY.DMP'de depolanır.

Çöplük çekirdek belleği– yalnızca sistem çekirdeğiyle ilgili bilgiler kaydedilir.

Kullanıcı hatayı analiz etmeye başladığında yalnızca mini veriyi (küçük döküm) kullanması gerekir. Ancak bundan önce açılması gerekir, aksi takdirde sorun tanınmayacaktır. Ayrıca, bir kilitlenmeyi daha etkili bir şekilde tanımlamak için tam bellek anlık görüntüsünün kullanılması tercih edilir.

Kayıt defterindeki bilgiler

Eğer içine bakarsanız Windows kayıt defteri, böylece bazı yararlı görüntü parametrelerini bulabilirsiniz. Win+R tuş kombinasyonuna tıklayın ve komutu girin regedit ve aşağıdaki şubeleri açın:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

Bu dalda kullanıcı aşağıdaki parametreleri bulacaktır:

  • Otomatik yeniden başlatma– Mavi Ölüm Ekranı (BSoD) oluşturduktan sonra yeniden başlatmayı etkinleştirin veya devre dışı bırakın.
  • Döküm Dosyası– boşaltma türlerinin adı ve konumu.
  • CrashDumpEtkin- sayı oluşturulan dosyaörneğin 0 sayısı – döküm oluşturulmaz; 1 – tam bir döküm oluşturmak; 2 – bir çekirdek dökümü oluşturmak; 3 – küçük bir çöplük oluşturmak.
  • Döküm Filtreleri– seçenek, anlık görüntü oluşturmadan önce yeni işlevler eklemenizi sağlar. Örneğin, dosya şifreleme.
  • MinidumpDir– küçük çöplüğün adı ve yeri.
  • GünlükEtkinliği– bilgilerin sistem günlüğüne kaydedilmesinin etkinleştirilmesi.
  • MinidumpsCount– oluşturulacak küçük dökümlerin sayısını ayarlayın. (Bu sayının aşılması eski dosyaların yok edilmesine ve yenilerinin değiştirilmesine neden olacaktır).
  • Üzerine yaz– tam veya sistem dökümü işlevi. Yeni bir fotoğraf oluştururken, önceki fotoğraf her zaman yenisiyle değiştirilecektir.
  • Adanmış Döküm Dosyası- Yaratılış alternatif dosya görüntü ve yolunun bir göstergesi.
  • Sayfa Dosyası Boyutunu Yoksay– takas dosyası kullanmadan geçici anlık görüntü konumu için kullanılır.

Nasıl çalışır

Bir arıza meydana geldiğinde sistem tamamen çalışmasını durdurur ve dumping aktifse diske yerleştirilen bir dosyaya yazılır. ortaya çıkan sorun hakkında bilgi. Fiziksel bileşenlere bir şey olursa, acil durum kodu çalışacak ve arızalanan donanım bazı değişiklikler yapacak ve bunlar kesinlikle anlık görüntüye yansıtılacaktır.

Genellikle dosya, takas dosyası için ayrılmış bir blokta saklanır sabit disk BSoD göründükten sonra, kullanıcının kendisinin yapılandırdığı türde (Küçük, tam veya çekirdek dökümü) dosyanın üzerine yazılır. Modern işletim sistemlerinde disk belleği dosyasının katılımı gerekli değildir.

Dökümler nasıl etkinleştirilir

İÇİNDE Windows 7:

İÇİNDE Windows 8 ve 10:

Burada süreç biraz benzer, sistem bilgilerine Windows 7'deki gibi girebilirsiniz. "On" da " Bu bilgisayar", tıklamak boş alan sağ fare tuşuna basın ve “ Özellikler" Oraya ulaşmanın başka bir yolu da Kontrol Panelidir.

için ikinci seçenek KablosuzWindows 10:


Şunu belirtmek gerekir ki, yeni Windows sürümleri“Yedi”de olmayan 10 yeni nokta ortaya çıktı:

  • Küçük çöplük bellek 256 KB - minimum arıza verileri.
  • Aktif döküm- sistemin onuncu versiyonunda ortaya çıktı ve yalnızca bilgisayarın, sistem çekirdeğinin ve kullanıcının aktif hafızasını kaydeder. Sunucularda kullanılması önerilir.

Bir döküm nasıl silinir

Sadece hafıza anlık görüntülerinin saklandığı dizine gidin ve bunları silin. Ancak bunu kaldırmanın başka bir yolu daha var - Disk Temizleme yardımcı programını kullanarak:

Hiçbir öğe bulunamazsa dökümler etkinleştirilmemiş olabilir.

Bunları bir kez etkinleştirmiş olsanız bile, kullandığınız bazı sistem optimizasyon yardımcı programları kolaylıkla bazı işlevleri devre dışı bırak. Çoğu zaman kullanım sırasında birçok şey kapanıyor SSD sürücüler Tekrarlanan okuma ve yazma işlemleri bu diskin sağlığına büyük zarar verdiği için.

WinDbg kullanarak bellek dökümü analizi

Resmi Microsoft web sitesinden indirin bu program 2. adımda, burada açıklanıyor " KurulumWDK" - https://docs.microsoft.com/en-us/windows-hardware/drivers/download-the-wdk.

Programla çalışmak için özel bir hata ayıklama simgeleri paketine de ihtiyacınız olacak. denir Hata Ayıklama Sembolleri, daha önce Microsoft web sitesinden indirilebiliyordu, ancak artık bu fikirden vazgeçildi ve işlevi kullanmak zorunda kalacaklar Dosya programları — « Sembol Dosya Yolu", aşağıdaki satırı girmeniz ve Tamam'ı tıklamanız gerekir:

set _NT_SYMBOL_PATH=srv*DownstreamStore*https://msdl.microsoft.com/download/symbols

Eğer işe yaramazsa şu komutu deneyin:

SRV*%systemroot%\symbols*http://msdl.microsoft.com/download/symbols

Tekrar “Dosya”ya tıklayın ve “Çalışma Alanını Kaydet” seçeneğini seçin.

Yardımcı program yapılandırıldı. Geriye kalan tek şey, bellek dökümü dosyalarının yolunu belirtmektir. Bunu yapmak için Dosya'ya tıklayın ve “ Ödolma kalemKazaÇöplük" Tüm çöplüklerin yeri makalenin başında belirtilmiştir.

Seçimden sonra analiz sona erecek ve sorunlu bileşen otomatik olarak vurgulanacaktır. Aynı pencerede daha fazla bilgi edinmek için aşağıdaki komutu girebilirsiniz: !analiz –v

BlueScreenView ile Analiz

Aracı bu siteden ücretsiz olarak indirebilirsiniz - http://www.nirsoft.net/utils/blue_screen_view.html. Kurulum herhangi bir beceri gerektirmez. Yalnızca Windows 7 ve üzeri sürümlerde kullanılır.

Başlatıyoruz ve yapılandırıyoruz. “Seçenekler”e tıklayın – “ Ekstra seçenekler"(Gelişmiş seçenekler). İlk öğeyi seç " MiniDumps'ı bu klasörden yükleyin"ve dizini belirtin - C:\WINDOWS\Minidump. Ancak “Varsayılan” düğmesine tıklamanız yeterlidir. Tamam'ı tıklayın.

Döküm dosyaları ana pencerede görünmelidir. Bir veya birkaç olabilir. Açmak için fareyle üzerine tıklamanız yeterlidir.

Pencerenin alt kısmında arıza anında çalışmakta olan bileşenler görüntülenecektir. Kazadan sorumlu kişi kırmızı renkle vurgulanacaktır.

Şimdi “Dosya”ya tıklayın ve örneğin “öğesini seçin Go'da bulogle hata kodu + sürücü" Eğer bulunursa gerekli sürücü, bilgisayarınızı kurun ve yeniden başlatın. Belki hata ortadan kalkacaktır.