Дамп памяти в windows

Как удалить файлы дампа памяти

Если понадобилось удалить memory dump, это можно выполнить вручную, пройдя по пути месторасположения объекта на диске. Так, в системном каталоге Windows нужно найти и удалить файл MEMORY.DMP, а также элементы в каталоге Minidump. Кроме того, можно использовать штатный инструмент системы «Очистка диска»:

• вызываем консоль «Выполнить» (Win+R) и вводим команду «Cleanmgr», чтобы перейти к службе;
• жмём кнопку очищения системных файлов, затем находим и отмечаем в списке строчки, касающиеся memory dump. Если не нашлось, значит, их не создавали.

Создание снимков бывает отключено, даже если вы когда-либо активировали эту функцию по причине деятельности специального софта. Если речь о SSD-накопителе, это могут быть программы для работы с твердотельными дисками. Отключение некоторых опций ОС выполняется ими с целью оптимизации работы, поскольку многократные процессы чтения/записи сокращают продолжительность жизни диска. Также причиной отключения дампа памяти могут быть различные программы очистки компьютера и оптимизации системы.

Анализ креш-дампов памяти Windows

Как часто Вам приходится лицезреть экран смерти Windows (BSoD)? BSoD может возникать в разных случаях: как уже при работе с системой, так и в процессе загрузки операционной системы. Как же определить, чем вызвано появление BSoD и устранить эту проблему? Операционная система Windows способна сохранять дамп памяти при появлении ошибки, чтобы системный администратор мог проанализировать данные дампа и найти причину возникновения BSoD.

Существует два вида дампов памяти — малый (minidump) и полный. В зависимости от настроек операционной системы, система может сохранять полный или малый дампы, либо не предпринимать никаких действий при возникновении ошибки.

Малый дамп располагается по пути %systemroot%minidump и имеет имя вроде Minixxxxxx-xx.dmp
Полный дамп располагается по пути %systemroot% и имеет имя вроде Memory.dmp

Для анализа содержимого дампов памяти следует применять специальную утилиту — Microsoft Kernel Debugger.
Получить программу и компоненты, необходимые для ее работы, можно напрямую с сайта Microsoft — Debugging Tools

При выборе отладчика следует учитывать версию операционной системы, на которой Вам придется анализировать дампы памяти. Для 32-разрядной ОС необходима 32-битовая версия отладчика, а для 64-разрядной ОС предпочтительно использовать 64-битовую версию отладчика.

Помимо самого пакета Debugging Tools for Windows, также понадобятся набор отладочных символов — Debugging Symbols. Набор отладочных символов специфичен для каждой ОС, на которой был зафиксирован BSoD. Потому придется загрузить набор символов для каждой ОС, анализировать работу которой Вам придется. Для 32-разрядной Windows XP потребуются набор символов для Windows XP 32-бит, для 64-разрядной ОС потребуются набор символов для Windows XP 64-бит. Для других ОС семейства Windows наборы символов подбираются сообразно такому же принципу. Загрузить отладочные символы можно отсюда. Устанавливать их рекомендуется по адресу %systemroot%symbols

После установки отладчика и отладочных символов, запускаем отладчик. Окно отладчика после запуска выглядит следующим образом.

Перед анализом содержимого дампа памяти, потребуется провести небольшую настройку отладчика. Конкретно — сообщить программе, по какому пути следует искать отладочные символы. Для этого выбираем в меню File > Symbol File Path… Нажимаем кнопку Browse… и указываем папку, в которую мы установили отладочные символы для рассматриваемого дампа памяти.

М

ожно запрашивать информацию о требуемых отладочных символах прямо через Интернет, с публичного сервера Microsoft. Таким образом у вас будет самая новая версия символов. Сделать это можно следующим образом — в меню File > Symbol File Path… вводим:

SRV*%systemroot%symbols*http://msdl.microsoft.com/download/symbols

После указания пути к отладочным символам, выбираем в меню File > Save workspace и подтверждаем действие нажатием на кнопку OK.

Чтобы приступить к анализу дампа памяти, выбираем в меню File > Open Crash Dump… и выбираем требуемый для рассмотрения файл.

Система проведет анализ содержимого, по окончанию которого выдаст результат о предполагаемой причине ошибки.

Команда !analyze -v, данная отладчику в командной строке, выведет более детальную информацию.

Завершить отладку можно выбором пункта меню Debug > Stop Debugging

Таким образом, используя пакет Debugging Tools for Windows, всегда можно получить достаточно полное представление о причинах возникновения системных ошибок.

Как установить Microsoft Kernel Debugger

Скачиваем Microsoft Kernel Debugger, в итоге у вас будет маленький файл который позволит скачать из интернета все что вам нужно. Запускаем его.

Как установить Microsoft Kernel Debugger-01

присоединяться к программе по улучшению качества участвовать не будем

Как установить Microsoft Kernel Debugger-02

жмем Accept и соглашаемся с лицензией

Как установить Microsoft Kernel Debugger-соглашаемся с лицензией

Далее выбираем компонент и жмем install

Как установить Microsoft Kernel Debugger-04

начнется установка Microsoft Kernel Debugger

Как установить Microsoft Kernel Debugger-установка MKD

Видим, что Microsoft Kernel Debugger успешно установлен

Как установить Microsoft Kernel Debugger-06

После чего видим, что в пуске появилась папка Debugging Tools for Windows как для 32 так и для 64 битных систем.

Как установить Microsoft Kernel Debugger-07

Помимо самого пакета Debugging Tools for Windows, также понадобятся набор отладочных символов — Debugging Symbols. Набор отладочных символов специфичен для каждой ОС, на которой был зафиксирован BSoD. Потому придется загрузить набор символов для каждой ОС, анализировать работу которой Вам придется. Для 32-разрядной Windows XP потребуются набор символов для Windows XP 32-бит, для 64-разрядной ОС потребуются набор символов для Windows XP 64-бит. Для других ОС семейства Windows наборы символов подбираются сообразно такому же принципу. Загрузить отладочные символы можно отсюда. Устанавливать их рекомендуется по адресу %systemroot%\symbols

хотя мне нравится устанавливать их в отдельные папки и не захламлять папку Windows.

Аппаратные причины возникновения критических ошибок

Источником критических ошибок нередко бывают неисправности в дисковой подсистеме, или в подсистеме памяти.

Диагностика неисправностей диска

В случае ошибок дисковой подсистемы, аварийный дамп может не сохраняться.

Чтобы исключить проблемы с диском, проверяем системный журнал событий на наличие ошибок чтения и записи на диск.

Проверяем параметры S.M.A.R.T жесткого диска, получить их можно, например, с помощью программы SpeedFan.

Особое внимание обращаем на параметры: «Current Pending Sector Count» и «Uncorrectable Sector Count», ненулевые значения этих параметров сигнализируют о неисправности диска. Ненулевое значение параметра: «UltraDMA CRC Error Count», сигнализирует о проблеме с SATA-кабелем

Ненулевое значение параметра: «UltraDMA CRC Error Count», сигнализирует о проблеме с SATA-кабелем.

Подробнее о параметрах S.M.A.R.T. читаем в статье Википедии.

Диагностика неисправностей памяти

Проблемы с памятью нередко могут стать причиной самых разнообразных глюков, включая различные синие экраны, зависания, аварийное завершение программ, повреждение реестра, повреждение файловой системы и данных.

Выявить проблемы с памятью можно с помощью утилиты Memtest86+.

Начиная с Windows Vista, в системе имеется свой тест памяти. Для его запуска нажимаем «Пуск», в строке поиска набираем «памяти», выбираем «Средство диагностики памяти Windows«.

Проблемы с памятью в некоторых случаях могут быть устранены обновлением BIOS.

Подготовка к анализу дампа файла BSOD

Всякий раз , когда происходит BSOD ошибка, Windows выгружает некоторую информацию об этом в файл на вашем ПК, но попытка понять этот файл дампа очень сложна. Одним из облегченных способов понимания является использование утилиты BlueScreenView от NirSoft, свободного инструмента, который находит эти файлы дампа и отображает их в более удобной для пользователя форме. Прежде всего вам стоит проверить настройки для отчета дампа памяти в самой системе Windows:

Нажмите Win+R и введите sysdm.cpl

Перейдите на вкладку Дополнительно и выберите снизу Параметры в графе «Загрузка и Восстановление».

Убедитесь, что у вас включены настройки для записи ошибок в журнал.

Теперь скачиваем программу BlueScreenView , пролистайте в центр на сайте для загрузки файла. Вы увидите три ссылки, как на картинке ниже, выберите наиболее удобный для вас установщик. Если хотите русифицировать программу, то ниже в таблице найдите Russian и загрузите файл. В скаченном файле будет файл «BlueScreenView_lng», просто поместите его в установочную программу в корень.

Определение термина

Blue screen of death (bsod) — общее название сообщений о критических ошибках ОС Windows. В ранних версиях он выполнял и роль диспетчера задач: сочетанием клавиш ctrl+alt+delete можно было вручную вызвать экран смерти, который принудительно закрывал любое активное приложение нажатием на любую клавишу.

С развитием более новых версий операционной системы появление bsod по незначительным поводам, таким как открытие дисковода во время работы с диском, изменение разрешения экрана и зависшее приложение стало происходить реже.

На данный момент окно смерти может появляться только при серьёзных неполадках, мешающим стабильной работе виндовс. К ним можно отнести:

1. Системные проблемы: отсутствие файлов исполняемых библиотек, требуемых для бесперебойной работы, неправильно установленная ОС, заражение различными вирусами, неустранимая ошибка в коде драйверов и так далее.
2. Проблемы с железом: неисправность любой аппаратной части компьютера, сильный перегрев процессора или видеокарты, поломки жёсткого диска.

Не стоит беспокоиться при появлении синего окна, торопливо перезапускать систему и надеяться, что проблема исчезнет. Напротив, рекомендуется внимательно изучить текстовую часть, поскольку в ней содержится код ошибки повлёкшей сбой и иногда даже рекомендации по её устранению. Для этого не требуется специальных знаний, поскольку информацию по ошибкам и советы по исправлению можно найти в интернете.

Неприятность состоит в том, что синий экран показывается ограниченное время, заданное системой, после чего компьютер или ноутбук перезагружается. Редко сталкивающийся с голубыми экранами смерти пользователь не успевает записать код ошибки для дальнейшей работы с ним. Для того чтобы компьютер не перезагружался автоматически следует изменить настройки системы.

Почему Memoryze?

Связка Memoryze и Audit Viewer не единственная для проведения Memory Forensic.
Широко распространен также открытый проектVolatility Framework.
При наличии MiniGW и интерпретатора Python его даже можно запустить под Windows,
но для этого придется повозиться. Намного проще совладать с ним под Linux
(особенно если иметь под рукоймануал). В
специальном дистрибутиве для компьютерных криминалистов SANS Investigative
Forensic Toolkit фреймворк включен и сразу готов к работе. Сборка этой системы
выложена в виде образа для запуска под VMware и доступна для бесплатной
загрузки.

И все-таки чувствуешь, что все как-то сложнее? По этой причине я и выбрал для
себя Memoryze. При всем богатстве функционала он не похож на серьезный продукт
для компьютерных криминалистов. Работать с ним можно сразу: для этого не надо
вникать в горы мануалов, чтобы получить результат. Записал файлы на флешку,
создал образ памяти в файл и проанализировал его с помощью Audit Viewer — все
просто, как дважды два. Не надо быть специалистом, чтобы распознать в полученных
результатах элементы зловреда. Используемые в программе метрики (Occurrences и
MRI) вкупе с проверкой цифровых подписей часто явно дают понять, какие из
найденных компонентов вызывают подозрения.

Вообще, сама тема Memory Forensic вызывает большой интерес, причем не только
как отдельный вид криминалистических расследований, но и как эффективный способ
для анализа системы (часто незаметного). Это, к тому же, еще и работающий метод
для излечения и реверсинга с целевого компьютера отдельных процессов и
драйверов.

Анализ аварийного дампа отладчиком WinDbg

С помощью WinDbg из аварийного дампа можно вытащить более детальную информацию, включая расшифровку стека вызовов.

Установка Debugging Tools for Windows (WinDbg)

Microsoft распространяет WinDbg только в составе SDK, загрузить веб-установщик можно на странице загрузки центра разработки.

Для анализа аварийных дампов установка SDK не требуется. Скачать Debugging Tools for Windows (WinDbg) отдельным пакетом можно здесь или здесь.

Загружаем и устанавливаем WinDbg для вашей версии Windows. Версия для Windows 7 работает также в Windows XP и в Windows Vista.

Для Windows 10 требуется WinDbg версии 10.0.10586.567. Скачиваем Изолированный пакет SDK для Windows 10. Будет загружен веб-установщик. При установке, отключаем все компоненты, кроме отладчика.

После установки, корректируем ярлык для запуска WinDbg. В свойствах ярлыка, устанавливаем флажок запуска от имени администратора. Также, в качестве рабочей папки, задаем: %SystemRoot%\Minidump.

Настройка отладочных символов

Отладочные символы содержат символические имена функций из исходного кода. Они необходимы для расшифровки и интерпретации аварийного дампа.

При первом запуске WinDbg, необходимо указать путь к отладочным символам, для этого открываем меню File, Symbol File Path, или используем комбинацию Ctrl+S.

Следующей строкой включаем загрузку отладочных символов из сети, задаем локальный путь для сохранения файлов и адрес для загрузки из интернета:

Если система не подключена к интернету, пакет для установки символов можно предварительно загрузить на странице загрузки пакетов символов Windows, центра разработки Microsoft.

Анализ аварийного дампа

В меню выбираем File, Open Crash Dump, или нажимаем Ctrl+D.

Указываем путь к дампу %SystemRoot%\MEMORY.DMP или %SystemRoot%\Minidump\файл.dmp.

Загрузка отладочных символов из интернета может занять некоторое время.

Для получения детальной информации выполняем команду:

Дебаггер сам вам предложит ее выполнить, достаточно навести указатель мыши на ссылку и кликнуть.

В результате получаем следующий вывод:

События и причины вызывающие экран смерти

Аппаратные неисправности нередко являются виновниками инициализации синего экрана.

Проблемы с оперативной памятью

Возникновение ошибок связанных с ОЗУ имеет довольно большой процент в общем количестве аппаратных проблем. Оперативная память устроена таким образом, что ячейки памяти чипов постоянно перезаписываются сохраняемой информацией. У любой микросхемы имеется технологический ресурс таких циклов, при использовании которого чип памяти может некорректно сохранять информацию или менять содержимое регистров непроизвольно. Это называется физическим старением.

Оперативная память может быть и не совместима с материнской платой. Даже при одинаковом интерфейсе старая материнская плата может приводить к ошибкам обмена информацией с новыми чипами памяти. Это вызвано тем, что когда плата создавалась, чипов установленных на линейках памяти не существовало, и естественно производитель не мог их поддерживать. Нередки случаи неправильного выставления напряжения питания и таймингов работы ОЗУ в БИОС компьютера. Эти причины могут быть связаны и с некорректным «разгоном» компьютера.

Возникновение ошибок связанных с видеокартой

Видеоадаптер может быть виновником возникновения BSoD. Причины аппаратных сбоев могут быть вызваны некорректным электропитанием или результатом недостаточного охлаждения видеопроцессора. В состав реализации видео входит так же и оперативная память. Непосредственно для организации временного кэширования изображения ей присущи точно такие же проблемы, как и с основной оперативной памятью. Это старение ячеек чипов или несовместимость нового оборудования со старыми реализациями других комплектующих. Возникновение ошибок из-за перегрева связано с неправильной организацией системы охлаждения или ее изменение в процессе эксплуатации. Например, высыхание теплопроводных компонентов, таких как термопаста или теплопроводящие эластичные прокладки.

Синий экран смерти вызванный процессором

Процессор может быть причиной инициализации аварийной ситуации в системе. Проблемы процессора похожи на проблемы присущие видеокарте. Это нарушение температурного режима, плохое крепление в сокете, наличие окислов или нарушение антикоррозийного покрытия выводов. Питание процессора тоже может быть причиной ошибки. Но тут есть один нюанс. Ошибки по питанию могут возникнуть не только из-за блока питания. Просадка питающего напряжения может быть вызвана обвязкой процессора. Обвязку представляют собой конденсаторы, находящиеся на материнской плате в цепях питания, а не в самом блоке. При длительной эксплуатации электролит в полярных конденсаторах имеет свойство высыхать, чем нарушает параметры выходного напряжения. Определить изменения иногда можно визуально. Конденсаторы, утратившие номинальную емкость, часто вздуваются, то есть они изменяются в форме. Решение проблемы состоит в замене неисправных элементов.

У процессора имеется и встроенные регистры памяти, которые могут записываться с ошибками связанных со старением ячеек. В принципе у любых компонентов, имеющих перезаписываемую память это актуальная проблема. Производители решают это многократной проверкой перезаписываемой информации и подсчетом контрольных сумм и их мониторингом. Сбои могут быть вызваны и неправильно уставленными параметрами передачи данных с другими компонентами компьютерной системы, то есть различие в частоте шины данных. Например, увеличение ее при разгоне.

Блок питания

Блок питания компьютера не может вызывать инициализацию синего экрана смерти, которая бы описывалась кодом. Но вот ошибки других устройств, вызванных некорректным обеспечением электропитания может спровоцировать. Прежде всего, это блок питания не рассчитанный на потребляемую нагрузку системным блоком. Это может быть и старение самого блока питания, не обеспечивающего выходной ток при нагрузке. Это вызвано тем, что некоторые электронные компоненты имеют свойство изменять свои параметры в течение времени.

Проблемы жесткого диска

Ошибки, вызываемые HDD, могут быть как программного, так и аппаратного происхождения. Коммуникационные шлейфы, не обеспечивающие качественной передачи данных, являются распространенной причиной появления синего экрана смерти. Это могут быть и проблемы соединений и некачественные разъемы. При длительной эксплуатации и наличии сильной вибрации компьютера от вентиляторов охлаждения могут быть спровоцированы микротрещины на пайках. Такие неисправности трудно обнаруживаемые, и их можно устранить в условиях сервисных центров.

Конфигурация дампа памяти ядра

Вы должны быть залогинены под административной учетной записью для выполнения действий, описываемых в данном разделе.

Давайте непосредственно перейдем к конфигурированию параметров аварийного дампа памяти Windows. Для начала, нам необходимо зайти в окно свойств системы одним и приведенных способов:

1. Нажать правой кнопкой мыши на значке “Мой Компьютер” – “Свойства” – “Дополнительные параметры системы” – “Дополнительно”.
2. Кнопка “Пуск” – “Панель управления” – “Система” – “Дополнительные параметры системы” – “Дополнительно”.
3. Сочетание клавиш “Windows” + “Pause” – “Дополнительные параметры системы” – “Дополнительно”.
4. Выполнить в командной строке (cmd):control system.cpl,,3
5. Выполнить в командной строке (cmd):SystemPropertiesAdvanced

Результатом описанных действий является открытие окна “Свойства системы” и выбор вкладки “Дополнительно”:

После этого в разделе “Загрузка и восстановление” мы нажимаем выбираем “Параметры” и тем самым открываем новое окно под названием “Загрузка и восстановление”:

Все параметры аварийного дампа сгруппированы в блоке параметров под названием “Отказ системы”. В этом блоке мы можем задать следующие параметры:

1. Записать события в системный журнал.
2. Выполнить автоматическую перезагрузку.
3. Запись отладочной информации.
4. Файл дампа.
5. Заменять существующий файл дампа.

Как видите, многие параметры из списка достаточно тривиальны и просты в понимании. Однако, я бы хотел подробнее остановиться на параметре “Файл дампа”. Параметр представлен в виде ниспадающего списка, и имеет четыре возможных значения:

Малый дамп памяти (Small memory dump)

• Сообщение об ошибке.
• Значение ошибки.
• Параметры ошибки.
• Контекст процессора (), на котором произошел сбой.
• Сведения о процессе и контекст ядра () для процесса, являющего причиной сбоя, со всеми его потоками.
• Сведения о процессе и контекст ядра () для потока, являющегося причиной сбоя.
• Стек режима ядра для потока, который явился причиной сбоя.
• Список загруженных драйверов.

Дамп памяти ядра (Kernel memory dump)

• Список исполняющихся процессов.
• Состояние текущего потока.
• Страницы памяти режима ядра, присутствующие в физической памяти в момент сбоя: память драйверов режима ядра и память программ режима ядра.
• Память аппаратно-зависимого уровня (HAL).
• Список загруженных драйверов.

В дампе памяти ядра отсутствуют нераспределенные страницы памяти и страницы пользовательского режима. Согласитесь, ведь маловероятно, что страницы процесса пользовательского режима будут нам интересны при системном сбое (BugCheck), поскольку обычно системный сбой инициируется кодом режима ядра. Размещение: %SystemRoot%MEMORY.DMP. Предыдущий дамп перезаписывается. Объем: Варьируется в зависимости от размера адресного пространства ядра, выделенной операционной системой и количества драйверов режима ядра. Обычно, требуется около трети объема физической памяти в файле подкачки (либо в файле, указанном в DedicatedDumpFile). Может варьироваться.

Полный дамп памяти (Complete memory dump)

• Все страницы “видимой” физической памяти. Это практически вся память системы, за исключением областей, используемых аппаратной частью: BIOS, пространство PCI и прч.
• Данные процессов, которые выполнялись в системе в момент сбоя.
• Страницы физической памяти, которые не отображены на виртуальное адресное пространство, но которые могут помочь в изучении причин сбоя.

В полный дамп памяти не включаются, по-умолчанию, области физической памяти, используемой BIOS. Размещение: %SystemRoot%MEMORY.DMP. Предыдущий дамп перезаписывается. Объем: В файле подкачки (либо в файле, указанном в DedicatedDumpFile) требуется объем, равный размеру физической памяти + 257 мегабайт (эти 257 Мб делятся на некий заголовок + данные драйверов). На деле же, в некоторых ОС, нижний порог файла подкачки можно выставить точно в значение размера физической памяти.

Автоматический дамп памяти (Automatic memory dump)

Начиная с Windows 8/Windows Server 2012, в систему введен новый тип дампа под названием “Автоматический дамп памяти”, который устанавливается типом по умолчанию. В этом случае система сама решает, какой дамп памяти записать в ситуации того или иного сбоя. Причем логика выбора зависит от многих критериев, в том числе от частоты “падения” операционной системы.

После изменения конфигурации дампа памяти Windows, может потребоваться перезагрузка компьютера.

Шаг 2 — Анализ дампов с помощью утилиты MinDumper

Рассказ об утилите вы найдете в этой статье .

1. Загрузите и установите Debugging Tools for Windows. Они входят в состав веб-установщика Windows SDK , где после запуска в нужно выбрать Debugging Tools в разделе Common Utilities.
2. Загрузите сценарий
   (kdfe.cmd), который написал Александр Суховей и опубликовал на ресурсе sysadmins.ru
   (поскольку живую ссылку мне там найти не удалось, предлагаю свою). Распакуйте архив в любую папку.Примечание
   . В случае нестандартного расположения папки Program Files вам может потребоваться указать в kdfe.cmd путь к папке, в которую установлены средства Debugging Tools for Windows. Используйте переменную dbgpath в строке 41.

Параметры реестра

Раздел реестра, который определяет параметры аварийного дампа:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlCrashControl

Параметры:

Параметр	Тип	Описание
AutoReboot	REG_DWORD	Включение/отключение автоматической перезагрузки при возникновении BSOD.
CrashDumpEnabled	REG_DWORD

• 0 – не создавать дамп памяти;
• 1 – полный дамп памяти;
• 2 – дамп памяти ядра;
• 3 – малый дамп памяти;

</tr>DumpFile</td> REG_EXPAND_SZ </td> Путь и название дампа памяти ядра и полного дампа памяти. </td></tr>DumpFilters</td> REG_MULTI_SZ </td> Драйвер-фильтр в стеке драйверов дампа памяти. Позволяет добавлять новый функционал на этапе создания аварийных дампов. Например, шифрование содержимого дампа. Изменять значение не рекомендуется. </td></tr>LogEvent</td> REG_DWORD </td> Запись события в системный журнал. </td></tr>MinidumpDir</td> REG_EZPAND_SZ </td> Путь и название малого дампа памяти. </td></tr>MinidumpsCount</td> REG_DWORD </td> Максимальное количество малых дампов памяти. При превышении начинают затираться более старые версии. </td></tr>Overwrite</td> REG_DWORD </td> Заменять существующий файл дампа. Только для дампа памяти ядра и полного дампа памяти. </td></tr>IgnorePagefileSize</td> REG_DWORD </td> Игнорирует стандартный файл подкачки как место для временного (промежуточного) хранения дампа памяти. Указывает на необходимость записать дамп памяти в отдельный файл. Используется совместно с опцией DedicatedDumpFile. </td></tr>DedicatedDumpFile</td> REG_EZPAND_SZ </td> Путь и название временного альтернативного файла для записи дампа памяти. Во втором проходе данные все равно будут перемещены в DumpFile/MinidumpDir. </td></tr></tbody></table>

Что делать если вы пишете о проблеме или выкладываете дампы??!!

1.Дампы памяти:

Если вы выкладываете дампы то выкладывайте 3 — 5 последних из имеющихся в папке X:\Windows\Minidump\.
Например название Mini011409-01.dmp — что означает 01 — месяц, 14 — день, 09 — год, 01 — номер файла.
Что бы выложить дампы запакуйте их и прикрепите файлы, или запишите на обменник:

2. Опшите вашу конфигурацию «железа» и ПО, т.е. укажите:

• материнскую плату;
• процессор;
• видеокарту;
• оперативную память;
• БП (блок питания);
• разгон — есть или нету;
• операционную систему и сервис пак (так же имеет значения — стоит ли сборка и чья).

<spoiler text=»Перечень сайтов по классификации процессов и драйверов.»>
Перечень сайтов по классификации процессов и драйверов:

</spoiler>

3. Описание проблемы:

Если вы проанализировали дампы, будет являться важным, что за драйвер или приложение послужило причиной бсода, т.е. автору будет легче определить и помочь вам, если вы выясните о драйвере и приложении все возможное (т.е. что это за драйвер, каким железом или приложением используется, какого производителя и прочее). Узнать это можно на различных порталах и сайтах специализирующихся на бсодах.

Так же будет не лишним выяснения обстоятельств, при которых появляются синие экраны, это может очень облегчить путь к решению проблемы, в качестве примеров будут описаны распространенные ситуации появления синих экранов. Бсоды возможны при различных нагрузках на компьютер (на что могут влиять очень многие проблемы с железом):

• например очень распространены BSOD при включенном клиенте или менеджере закачек в случае нагрузки на сетевую карту;
• во время возможной нагрузки на процессор или оперативную память (в случае переразгона или изменения частот, напряжений и таймингов);
• на видеокарту (игры, различные 3Д нагрузки, в некоторых случаях даже просмотр фильмов);
• еще причиной могут послужить антивирусы и файерволы при различных обращениях драйверов к системе;
• так же могут быть ситуации, в которых закономерности не выявить, очень распространены в таких случаях обращения модулей ядра ОС или других драйверов к самому ядру.

Выше были рассмотрены распространенные случаи, когда могут появляться синие экраны, но это теоретические знания. Чтобы людям легче было вам помочь, попытайтесь максимально описать закономерности и случаи в которых происходят «бсоды» ( что было перед «бсодом», в дальнейшем, все подробности )

Всё это важно для коллективного обсуждения проблемы и дальнейшего ее решения.

1. Выложить 3-5 последних дампа (где их взять описано выше)
2. Описать вашу конфигурацию железа и ПО
3. Описать вашу проблему и закономерности ошибки (см. п.3)

Что делать при появлении ошибки «dumping physical memory to disk»

Проверка целостности системных файлов и корректности работы жёсткого диска

Это стандартный алгоритм проверки работы системы, который даже если не решит основную проблему, то поможет избавиться от мелких системных сбоев.

Утилита «sfc/scannow» предназначена для выявления повреждённых и отсутствующих системных файлов, с их последующим восстановлением.

Для её активации сделайте следующее:

• Нажмите «Пуск» и в строке поиска введите «cmd.exe».
• Кликните правой кнопкой мышки по найденному результату и выберите «Запустить от имени администратора».
• В открывшейся консоли командной строки введите и выполните команду «sfc/scannow».
• Дождитесь завершения сканирования и просмотрите отчёт утилиты.

Утилита «CHKDSK» предназначена для проверки физических носителей на наличие имеющихся ошибок и их автоматического исправления:

• Аналогичным образом запустите консоль командной строки.
• Введите и выполните команду «CHKDSK f/ r/» — параметр «f/» указывает на автоматический поиск и исправление ошибок, параметр «r/» — сканирует жёсткий диск на наличие повреждённых секторов и автоматически их исправляет.
• Процесс может занять длительное время, поэтому наберитесь терпения и не прерывайте работу утилиты.

Анализ и переустановка графического драйвера

В продолжение темы физической неисправности видеокарты, следует проверить её работу на наличие программных ошибок (в виде некорректно работающих драйверов программного обеспечения).

Если версия драйвера актуальна, то, возможно, причиной возникновения сбоя «dumping physical memory to disk» стала его некорректная установка.

Проверить это можно следующим образом:

• Нажмите комбинацию клавиш «WIN+R» и выполните «devmgmt.msc».
• В открывшемся окне «Диспетчер устройств» разверните строку/раздел «Видеоадаптеры».
• Кликните правой кнопкой мышки по найденному устройству и выберите «Свойства».
• Перейдите на вкладку «Драйвер» и нажмите на кнопку «Удалить».

Здесь возможно два варианта дальнейших действий:

1. Перезагрузить компьютер и предоставить операционной системе «карт бланш» на самостоятельную установку драйвера графического адаптера.
2. Воспользоваться специализированным программным обеспечением (DriverPack или Driver Booster) для самостоятельной полуавтоматической установки необходимых драйверов.

Анализ работы оперативной памяти

Как и с работой графического адаптера, так и в работе оперативной памяти возможны ошибки, которые также необходимо выявить на программном уровне.

Делается это достаточно просто:

• Наиболее популярная и качественная программа для диагностики работы оперативной памяти является «Memtest». Для работы вам потребуется скачать и записать образ программы на загрузочный носитель, с которого и будет осуществляться тестирование.
• Далее потребуется просто загрузиться с носителя (используя «Boot Menu» или установив соответствующий приоритет загрузки в BIOS) и начать работу с «Memtest».
• После загрузки с носителя сканирование и тестирование начнётся автоматически.
• Остаётся набраться терпения, так как сканирование займёт длительное время (это часы тестирования для каждой планки оперативной памяти).

Если по завершению работы «Memtest» внизу активного окна будет предоставлено уведомление «Pass complete, no errors, press Esc to Exit», то программа не обнаружила неисправных блоков.

Если же они присутствуют, то будут наглядно выделены красным цветом, соответственно, вам придется заменить оперативную память.

Анализ дампа памяти при BSOD, или синих экранах

Как определить почему у вас выпадает синий экран или как его еще называют BSOD — Blue Screen of Death??
Возможно он появляется из-за поврежденного вирусом приложения или плохого драйвера, так же бсоды могут появляться из-за ряда проблем с железом.
После того когда вы определите из-за какого драйвера выбивает синий экран вы можете откатиться на более ранний или исправный, бывают случаи когда после синего экрана по нормальному не пускает в windows или просто windows не дает заменить драйвер, тут вы должны воспользоваться Safe Mode — в него можно войти после перезагрузки компьютера — нажать F8 перед экраном приветствия.

Итак, чтобы определить что послужило причиной BSOD, вы должны получить так называемый дамп памяти, который генерирует windows при появлении «бсода»:

Способ 1

В окнах, которые вы можете видеть выше, нужно поставить генерацию малых дампов, так же там можно отметить пункты автоматической перезагрузки и перезапись дампов (если вы пользуетесь малыми дампами, то перезапись можно выключить, очень полезно, если появляются разные бсоды)

Обратите внимание на то, куда сохраняются дампы — C:\Windows\Minidump. Внимание: следуя настройкам показанным на скриншотах, а точнее после отключения автоперезагрузки, если ваш компьютер будет оставлен без присмотра, то, в случае бсода, он будет висеть с синим экраном, пока его не перезагрузить.

Внимание: следуя настройкам показанным на скриншотах, а точнее после отключения автоперезагрузки, если ваш компьютер будет оставлен без присмотра, то, в случае бсода, он будет висеть с синим экраном, пока его не перезагрузить.

Чтобы проанализировать дамп нам нужны одна утилита и сценарий:Первое что нужно — это скачать и установить эту утилиту:

Анализ дампа:
Откройте командную строку (cmd.exe) — с правами администратора для Windows Vista и Windows 7.
Перейдите в папку сценария kdfe, для этого выполните следущее:

cd С:\
cd kdfe

и наберите команду:

kdfe.cmd «%systemroot%\Minidump\Mini011409-01.dmp»

результат анализа

Способ 2

Если у вас не получается работать с командной строкой, есть еще один способ анализа дампов — утилита (Проверялась на вирусы — отправкой в лабораторию Касперского).

BlueScreenView

Просто выбераете нужный дамп и смотрИте в нижнем окне драйверы и процессы фигурировавшие во время краша системы.
Если дампы находятся не в папке C:\Windows\minidump, а где то еще — смените путь в настройках — Options — Advanced Options.

За утилиту отдельное спасибо vobosha.

Как я раньше этого не сделал?

Хакерские навыки не приобретаются в одночасье. Начиная с простых
экспериментов и употребления различных «рецептурных справочников», мы постепенно
въезжаем в суть вещей, постигая устройство мира. Мир устроен одновременно и
просто, и сложно. Любая задача зачастую после решения кажется простой.

Термоядерные отладчики позволяют разрулить огромное количество мелких и
крупных проблем. Для грамотного использования отладчиков необходимы практика и
интуиция. Мыщъх искренне надеется, что эта статья и будет тем пинком (гм,
толчком), который подвигнет тебя на эксперименты и исследования.