Информацию о проблемах, возникших при работе с ОС Windows, помогают узнать сведения на экране или файлы в памяти – дампы. В них хранятся данные о текущем состоянии процессора, ядра и других компонентов. Сохранение этих сведений нередко отключено в Виндовс 10, поэтому пользователи самостоятельно настраивают их автоматическое появление. Разберемся, для каких целей необходим дамп памяти в ОС Windows 10, какие типы бывают, как установить.
Для чего он нужен
Данные «оперативки» и материалы, имеющие отношение к критической ошибке, попадают в файл. При запуске ОС появляется аварийный дамп, где сохраняется запись отладочной информации. Сбой блокирует функционирование ОС, поэтому dump – единственный способ получения данных о ней. Чем точнее в нем будет описана проблема, тем проще пользователю проанализировать ситуацию и найти способы решения по устранению недочетов в работе ОС.
Важно получить информацию на момент сбоя. Создание дампа памяти помогает в этом. Аварийный dump применяется с целью диагностики, позволяет выявить и устранить возникшую ошибку программы.
Как работает опция? Во время запуска ОС создает и сохраняет карту секторов, которые занимает на диске файл подкачки. При сбое в работе проверяется целостность этой карты, а также компонентов структуры. Если они не нарушены, то применяются опции, которые сохраняют образ памяти, записывая данные с использованием сохраненной секторной карты.
При следующем запуске ОС диспетчер инициализирует данные, проверяет наличие в нем файлов .dmp. Далее содержимое копируется из него в файл аварийного дампа, делаются соответствующие записи.
Как включить функцию дамп памяти на Windows 10 и настроить ее
Чтобы включить опцию, пользователю потребуется выполнить ряд последовательных действий. В инструкции нет ничего сложного, с ней справится даже новичок в этом деле:
- Тапнуть кнопкой мышки по значку «Пуск».
- В открывшемся окошке выбрать раздел «Система».
- Далее выбрать раздел «Дополнительные параметры».
- В открывшемся окне выбрать «Параметры».
- Настроить аварийный дамп.
Желательно ставить галочки напротив значений, связанных с созданием журнала, сохранением информации о системе. Данные при этом могут достигать нескольких сотен гигабайт. Поэтому целесообразно отметить маркером «Заменить существующий файл дампа».
Зная все о неполадках и причинах возникновения BSoD, будет легче исправить положение и вернуть рабочий режим системы.
Типы аварийных дампов памяти
В Виндовс предусмотрены различные типы .dmp. К основным видам относятся:
- Мини-дамп памяти – файл с минимумом данных о BSoD, процессоре, драйверах, которые работали во время появления критической ошибки. Весит 256 Кб, для извлечения информации требуется установка дополнительной утилиты, например, Blue Screen View. Minidump преимущественно пользуются непрофессионалы.
- Дамп памяти ядра – тоже имеет небольшие размеры, но содержит более подробную информацию, чем m В нем сохраняется информация о памяти ядра, процессора или всей ОС.
- Полный дамп памяти – копирует оперативку системы. Его размер соответствует объему оперативки, это одновременно является его плюсом и, в то же время, существенным минусом. Его размеры могут оказаться огромными, требуя невероятных размеров памяти устройства. Он недоступен на устройствах с оперативной системой 32 бита.
- Автоматический дамп памяти – новый вид, который разработчики впервые ввели в Виндовс 8. Система самостоятельно решает, какой dump записывать, учитывая особенности сбоя, частоту его проявления.
- Активный дамп памяти – внедрен в Виндовс 10, отсортировывает компоненты, неспособные распознать причину ошибки. Полезен для серверов и других виртуальных сервисов.
Установка WinDbg в Windows
Инструмент от разработчиков Microsoft, используется для загрузки, анализа файлов .dmp, созданных во время ошибки или BSoD. Для скачивания пакета нужно перейти по ссылке https://developer.microsoft.com/ru-ru/windows/downloads/windows-10-sdk/. Затем найти «Скачать отдельный пакет SDK». Далее пользователю потребуется открыть скачанную утилиту, инсталлировать ее.
После завершения процесса установки Windbg нужно ассоциировать с файлами .dmp. Для этого выполнить следующее:
- Вызвать строку поиска.
- Скопировать путь к нему и вставить в строку.
- Нажать «Ok».
Далее потребуется настроить путь к символам через «Пуск».
- Найти «Все приложения», затем «Windows Kits» и «WinDbg».
- В появившемся окне выбрать «File», в разделе «Symbol File Path».
- Ввести путь: SRV*C:SymCache*http://msdl.microsoft.com/download/symbols и нажать «Ok».
- На завершающем этапе открыть «File», затем перейти в «Save Workspace».
- Закрыть WinDbg.
Просмотр и анализ файла мини-дампа
При выполнении операций с малым дампом можно воспользоваться доступной для любого пользователя утилитой Blue Screen View от Nirsoft. После открытия файла он четко укажет на имена этих драйверов. После нажатия на один из них появятся имена сервисов. Если юзер не может прочитать пути решения проблемы, он может воспользоваться поисковиком.
Пользователь может скачать ее с официального источника. Программа работает автономно, не требует скачивания дополнительных символов.
После запуска утилита сразу начнет сканировать директорию, где хранятся файлы дампа. Результаты анализа появятся в отдельной таблице, где будут указаны коды ошибок minidump и причины их появления. Проблемные участки будут выделены красным цветом.
Выполнение анализа и устранение ошибки:
- Для просмотра необходимо переместить файл в окно программы, после загрузится отладочная информация.
- Модули с ошибками высветятся красным цветом.
- Тапнуть по имени мини-дампа, запустить поиск решения в Google, посмотреть варианты устранения проблемы.
В таких случаях среди подсвеченных проблемных драйверов находится истинный источник появления синего «экрана смерти». Для более точного анализа можно применить несколько вариантов анализа.
Как удалить этот файл
Если пользователю понадобилось удалить minidump, то выполняет он эту процедуру ручным способом. А именно: перейти по пути месторасположения файлов на диске: C:WindowsMinidump. Для удаления элементов minidump в каталоге Windows нужно воспользоваться встроенным инструментом системы «Очистка диска»:
- Вызвать командную строку.
- Ввести команду Cleanmpg.
- Тапнуть по кнопке очищения системных файлов.
- Найти в списке объекты, касающиеся мини-дампа, поставить галочки.
- Начнется удаление, которое потребует некоторое время.
Если в списке нужных объектов не нашлось, это не означает, что они отсутствуют в системе. Скорей всего, они отключены пользователем или программами по очистке.
Дамп памяти в ОС Windows 10 – инструмент, помогающий диагностировать и устранять причины сбоев и появление BSoD. Если автоматическое создание и сохранение дампов памяти отключено, рекомендуется активировать их. Чаще причиной отключения файлов становятся утилиты для очистки ПК и оптимизации работы системы.
Многие знакомы с «синим экраном смерти» или BlueScreen. Синий экран появляется когда в работе Windows возникает критическая ошибка, что приводит к остановке работы операционной системы. При этом операционная система создает дамп памяти, в который записывает отладочную информацию и добавляет запись в журнал событий.
В Windows существуют два типа дампа памяти — малый дамп (minidump) и полный дамп.
Minidump находится в директории C:WindowsMinidump и его название имеет примерно такой вид Mini051819-01.dmp.
Полный дамп располагается в папке C:Windows и называется MEMORY.DMP.
Просмотр и анализ файла минидампа.
Для просмотра и анализа файла минидампа можно воспользоваться достаточно простой и удобной утилитой BlueScreenView от Nirsoft, которую можно скачать с официального сайта https://www.nirsoft.net/utils/blue_screen_view.html .
Для просмотра минидампа достаточно перетащить файл в окно программы и тут же загрузится отладочная информация. Красным будут подсвечены модули вызвавшие ошибку. В случае представленном на скриншоте выше это был драйвер tcpip.sys.
Щелкнув по имени файла минидампа можно запустить поиск решения в Google.
Но эта программа не способна обработать полный дамп памяти Windows — memory.dmp.
Чтобы посмотреть содержимое полного дампа памяти необходимо открыть файл MEMORY.DMP при помощи утилиты WinDBG, которая входит в пакет Microsoft Windows SDK. Скачать эту утилиту можно с официального сайта Майкрософт по этой ссылке https://developer.microsoft.com/ru-ru/windows/downloads/windows-10-sdk .
Установка и настройка WinDBG.
Запускаем установку пакета Windows Software Development KIT и на этапе выбора компонентов отмечаем «Debugging Tools for Windows».
При первом запуске WinDBG необходимо выполнить настройку сервера отладочных символов.
1. Переходим в меню File > Symbol File Path и вставляем строку:
SRV*C:symbol_cache*http://msdl.microsoft.com/download/symbolsгде C:symbol_cache — это директория куда будут загружаться символы.
2. Сохраняем настройку File > Save Workspace.
Просмотр и анализ файла MEMORY.DMP.
Открываем файл MEMORY.DMP: File > Open Crash Dump. Начинается процесс загрузки отладочных символов, в этот момент внизу будет видна надпись: Debugee not connected.
По окончанию загрузки появится подсказка: «для анализа этого файла запустите !analize-v».
Щелкаем по надписи !analize-v и запускается анализ дампа. В этот момент в строке состояние будет надпись *BUSY*.
По завершении обработки файла дампа памяти Windows нам необходимо найти среди полученной информации модуль, который вызвал сбой в работе. Найти сбойный модуль можно в строках MODULE_NAME и IMAGE_NAME.
IMAGE_NAME: srv.sys
MODULE_NAME: srvВ моем случае произошел сбой в работе драйвера srv.sys. В строке MODULE_NAME имя представлено в виде ссылке, щелкнув по которому можно получить информацию о модуле.
После выявления драйвера послужившего причиной сбоя в работе Windows и появления «Синего экрана смерти» необходимо попытаться обновить его.
Большинство проблем с драйверами решаются их обновлением.
DMP files store information about crashes and errors
by Aleksandar Ognjanovic
Aleksandar’s main passion is technology. With a solid writing background, he is determined to bring the bleeding edge to the common user. With a keen eye, he always… read more
Updated on November 18, 2022
Reviewed by
Vlad Turiceanu
Passionate about technology, Windows, and everything that has a power button, he spent most of his time developing new skills and learning more about the tech world. Coming… read more
- .dmp extension is associated with dump files which are automatically created files when errors and crashes occur in the system.
- Viewing them can provide helpful information to fix the underlying issue.
- Debugging Tools for Windows also include a DMP file viewer, so you might want to check that out too.
XINSTALL BY CLICKING THE DOWNLOAD FILE
This software will repair common computer errors, protect you from file loss, malware, hardware failure and optimize your PC for maximum performance. Fix PC issues and remove viruses now in 3 easy steps:
- Download Restoro PC Repair Tool that comes with Patented Technologies (patent available here).
- Click Start Scan to find Windows issues that could be causing PC problems.
- Click Repair All to fix issues affecting your computer’s security and performance
- Restoro has been downloaded by 0 readers this month.
Let us talk about the DMP file viewer.
There’s a large portion of Windows system files that are not as easily accessed as some others. One of those Windows-exclusive extensions is known as DMP (.dmp) or Windows Memory Dump files.
Today, we explain these files’ value and, most importantly, the means to open them in Windows 10.
What is .DMP file?
Windows Memory Dump files with the .dmp extension are system files stored in a binary format. These files are automatically created if there’s an error or sudden crash of the third-party program or system feature.
They store the details about the crash, so most seasoned users will utilize .dmp files to troubleshoot the affected programs.
If there’s a BSOD (Blue Screen of Death), the details about the possible causes (drivers or other software are usual suspects) must be found in the automatically-generated .dmp file.
For obvious reasons, they are mostly named Memory.dmp or Crash.dmp, respectively. Size-wise, they might be small individually.
However, as they tend to pile up over time, DMP files can take up a lot of storage space when bundled. So, you can clean them up with ease with the Disk Cleanup utility.
Now, opening DMP files isn’t exactly simple since Windows 10 doesn’t offer a built-in tool. There’s a good reason for this, as most common users will not need or want to access them in the first place.
However, a few third-party utility tools should enable you to open and read DMP files.
How can I use DMP file viewer?
1. Use a DMP file viewer online
- Visit the DMP online site. In this case, we will use File Pro.
- Click on Select the dump file.
- Wait for the dump file analyzer to complete the upload, and you can view the dump files.
2. Use WhoCrashed
- Visit the Who Crashed website.
- Scroll down and click Download Free Home Edition in the Who Crashed section.
- Click on the downloaded file to install it.
- Click Next and follow the wizard to complete the installation.
- After installation, click on Analyze.
This tool requires installation, but it’s fairly usable and has all the features you’ll need. You can even simulate the system crash (do this with caution) with certain parameters.
- 10+ best Windows 10/11 disk space analyzer software
- How to delete system error memory dump files in Windows
- How to reset virtual memory (page file) in Windows 11
- 5+ best memory cleaner software for Windows 10/11
- You don’t have permission to open this file in Windows 10/11
3. Use NirSoft DMP file viewer
- Visit the NirSoft website.
- Scroll down and click on Download BlueScreenView.
- Extract the Zip file.
- Double-click on BlueScreenView to start the application.
- Click on the Analyze icon, select Load from the following MiniDump folder, select Browse and choose your dump file, then click OK.
The app is a portable small-sized application, so it doesn’t require installation. Once you get it, just extract it and run the EXE file. However, we’re rushing. Firstly, you must let the system create the dump files readable by the third-party software.3. Use WinDbg.
Some PC issues are hard to tackle, especially when it comes to corrupted repositories or missing Windows files. If you are having troubles fixing an error, your system may be partially broken.
We recommend installing Restoro, a tool that will scan your machine and identify what the fault is.
Click here to download and start repairing.
The latest Windows packages are equipped with debugging tools that often include a DMP file viewer. The most popular ones are WinDbg.exe (the Windows Debugger), KD.exe, CDB, and NTSD. They are also part of the WDK (Windows Driver Kit). The one we recommend to open DMP files is WinDbg.
1. Download and install WDK from the Microsoft official page (When doing so, you can also choose to install only Debugging Tools for Windows as a standalone package).
2. Press the Windows key to open the search bar.
3. Type WinDbg in the search bar and open it with admin rights.
4. Next, navigate to the File menu.
5. Click on Start debugging.
6. Moreover, select Open Dump file.
7. Browse your PC for the DMP file you want to open.
8. Click on Open after you select it.
9. The DMP file will now be opened and you can read it.
After analyses of dump files, you often have to fix the corrupted memory dump. Deleting these files will have no negative effect on your computer. They are mainly used for debugging purposes.
You might want to keep them in case of errors or bugs. They will provide information about who is responsible for a crash or an error message.
That should do it. If you have alternative ways to open and read DMP files, tell us in the comment section below. We’ll be glad to hear from you.
Newsletter
DMP files store information about crashes and errors
by Aleksandar Ognjanovic
Aleksandar’s main passion is technology. With a solid writing background, he is determined to bring the bleeding edge to the common user. With a keen eye, he always… read more
Updated on November 18, 2022
Reviewed by
Vlad Turiceanu
Passionate about technology, Windows, and everything that has a power button, he spent most of his time developing new skills and learning more about the tech world. Coming… read more
- .dmp extension is associated with dump files which are automatically created files when errors and crashes occur in the system.
- Viewing them can provide helpful information to fix the underlying issue.
- Debugging Tools for Windows also include a DMP file viewer, so you might want to check that out too.
XINSTALL BY CLICKING THE DOWNLOAD FILE
This software will repair common computer errors, protect you from file loss, malware, hardware failure and optimize your PC for maximum performance. Fix PC issues and remove viruses now in 3 easy steps:
- Download Restoro PC Repair Tool that comes with Patented Technologies (patent available here).
- Click Start Scan to find Windows issues that could be causing PC problems.
- Click Repair All to fix issues affecting your computer’s security and performance
- Restoro has been downloaded by 0 readers this month.
Let us talk about the DMP file viewer.
There’s a large portion of Windows system files that are not as easily accessed as some others. One of those Windows-exclusive extensions is known as DMP (.dmp) or Windows Memory Dump files.
Today, we explain these files’ value and, most importantly, the means to open them in Windows 10.
What is .DMP file?
Windows Memory Dump files with the .dmp extension are system files stored in a binary format. These files are automatically created if there’s an error or sudden crash of the third-party program or system feature.
They store the details about the crash, so most seasoned users will utilize .dmp files to troubleshoot the affected programs.
If there’s a BSOD (Blue Screen of Death), the details about the possible causes (drivers or other software are usual suspects) must be found in the automatically-generated .dmp file.
For obvious reasons, they are mostly named Memory.dmp or Crash.dmp, respectively. Size-wise, they might be small individually.
However, as they tend to pile up over time, DMP files can take up a lot of storage space when bundled. So, you can clean them up with ease with the Disk Cleanup utility.
Now, opening DMP files isn’t exactly simple since Windows 10 doesn’t offer a built-in tool. There’s a good reason for this, as most common users will not need or want to access them in the first place.
However, a few third-party utility tools should enable you to open and read DMP files.
How can I use DMP file viewer?
1. Use a DMP file viewer online
- Visit the DMP online site. In this case, we will use File Pro.
- Click on Select the dump file.
- Wait for the dump file analyzer to complete the upload, and you can view the dump files.
2. Use WhoCrashed
- Visit the Who Crashed website.
- Scroll down and click Download Free Home Edition in the Who Crashed section.
- Click on the downloaded file to install it.
- Click Next and follow the wizard to complete the installation.
- After installation, click on Analyze.
This tool requires installation, but it’s fairly usable and has all the features you’ll need. You can even simulate the system crash (do this with caution) with certain parameters.
- 10+ best Windows 10/11 disk space analyzer software
- How to delete system error memory dump files in Windows
- How to reset virtual memory (page file) in Windows 11
- 5+ best memory cleaner software for Windows 10/11
- You don’t have permission to open this file in Windows 10/11
3. Use NirSoft DMP file viewer
- Visit the NirSoft website.
- Scroll down and click on Download BlueScreenView.
- Extract the Zip file.
- Double-click on BlueScreenView to start the application.
- Click on the Analyze icon, select Load from the following MiniDump folder, select Browse and choose your dump file, then click OK.
The app is a portable small-sized application, so it doesn’t require installation. Once you get it, just extract it and run the EXE file. However, we’re rushing. Firstly, you must let the system create the dump files readable by the third-party software.3. Use WinDbg.
Some PC issues are hard to tackle, especially when it comes to corrupted repositories or missing Windows files. If you are having troubles fixing an error, your system may be partially broken.
We recommend installing Restoro, a tool that will scan your machine and identify what the fault is.
Click here to download and start repairing.
The latest Windows packages are equipped with debugging tools that often include a DMP file viewer. The most popular ones are WinDbg.exe (the Windows Debugger), KD.exe, CDB, and NTSD. They are also part of the WDK (Windows Driver Kit). The one we recommend to open DMP files is WinDbg.
1. Download and install WDK from the Microsoft official page (When doing so, you can also choose to install only Debugging Tools for Windows as a standalone package).
2. Press the Windows key to open the search bar.
3. Type WinDbg in the search bar and open it with admin rights.
4. Next, navigate to the File menu.
5. Click on Start debugging.
6. Moreover, select Open Dump file.
7. Browse your PC for the DMP file you want to open.
8. Click on Open after you select it.
9. The DMP file will now be opened and you can read it.
After analyses of dump files, you often have to fix the corrupted memory dump. Deleting these files will have no negative effect on your computer. They are mainly used for debugging purposes.
You might want to keep them in case of errors or bugs. They will provide information about who is responsible for a crash or an error message.
That should do it. If you have alternative ways to open and read DMP files, tell us in the comment section below. We’ll be glad to hear from you.
Newsletter
Содержание
- Варианты открытия DMP
- Способ 1: BlueScreenView
- Способ 2: Microsoft Debugging Tools for Windows
- Заключение
- Вопросы и ответы
Активные пользователи ОС семейства Windows часто сталкиваются с файлами в формате DMP, потому сегодня мы хотим познакомить вас с приложениями, способными открывать такие файлы.
Расширение DMP зарезервировано за файлами дампов памяти: снимков состояния RAM в определённый момент работы системы или отдельного приложения, которые нужны разработчикам для последующей отладки. Такой формат используют сотни видов ПО, и рассмотреть их все в объёмах данной статьи невозможно. Наиболее же часто встречающийся тип DMP-документа – так называемый малый дамп памяти, где записаны подробности сбоя системы, который привёл к появлению синего экрана смерти, потому на нём и сосредоточимся.
Способ 1: BlueScreenView
Небольшая бесплатная утилита от разработчика-энтузиаста, основной функцией которой является предоставление возможности просмотра DMP-файлов. Не нуждается в установке на компьютер – достаточно распаковать архив в любое подходящее место.
Загрузить BlueScreenView с официального сайта
- Для открытия отдельного файла нажмите на кнопку с иконкой программы на панели инструментов.
- В окне «Advanced Options» отметьте чекбокс «Load a single Minidump File» и нажмите «Browse».
- С помощью «Проводника» перейдите к папке с DMP-файлом, выделите его и нажмите «Открыть».
По возвращении в окно «Advanced Options» нажмите «ОК». - Общие сведения о содержимом DMP можно просмотреть в нижней части основного окна BlueScreenView.
Для получения более подробной информации дважды кликните по загруженному в программу файлу.
Утилита BlueScreenView рассчитана на продвинутых пользователей, потому её интерфейс может показаться сложным для новичка. Кроме того, доступна она только на английском языке.
Способ 2: Microsoft Debugging Tools for Windows
В составе среды разработки Windows SDK распространяется инструмент для отладки, который называется Debugging Tools for Windows. Приложение, рассчитанное на разработчиков, способно открывать в том числе и DMP-файлы.
Загрузить Windows SDK с официального сайта
- Для экономии места можно выбрать только Debugging Tools for Windows, отметив соответствующий пункт в процессе загрузки компонентов.
- Запустить утилиту можно через «Пуск». Для этого откройте «Все программы», выберите «Windows Kits», а затем — «Debugging Tools for Windows».
Для запуска программы используйте ярлык «WinDbg».
Внимание! Для открытия DMP-файлов используйте только x64- или x86-версии дебаггера!
- Для открытия DMP используйте пункты «File» — «Open Crash Dump».
Затем через «Проводник» откройте местоположение нужного файла. Проделав это, выделите документ и откройте, нажатием на «Открыть». - Загрузка и чтение содержимого DMP-файла в силу особенностей утилиты может занять некоторое время, так что запаситесь терпением. По окончании процесса документ будет открыт для просмотра в отдельном окошке.
Утилита Debugging Tools for Windows ещё более сложная, чем BlueScreenView, и тоже не имеет русской локализации, однако предоставляет более подробную и точную информацию.
Заключение
Как видим, основную сложность при открытии DMP-файлов составляют сами программы, рассчитанные больше на специалистов, чем на рядовых пользователей.
Еще статьи по данной теме:
Помогла ли Вам статья?
В момент критического сбоя операционная система Windows прерывает работу и показывает синий экран смерти (BSOD). Содержимое оперативной памяти и вся информация о возникшей ошибке записывается в файл подкачки. При следующей загрузке Windows создается аварийный дамп c отладочной информацией на основе сохраненных данных. В системном журнале событий создается запись о критической ошибке.
Внимание! Аварийный дамп не создается, если отказала дисковая подсистема или критическая ошибка возникла на начальной стадии загрузки Windows.
Содержание:
- Типы аварийных дампов памяти Windows
- Как включить создание дампа памяти в Windows?
- Установка WinDBG в Windows
- Настройка ассоциации .dmp файлов с WinDBG
- Настройка сервера отладочных символов в WinDBG
- Анализ аварийного дампа памяти в WinDBG
Типы аварийных дампов памяти Windows
На примере актуальной операционной системы Windows 10 (Windows Server 2016) рассмотрим основные типы дампов памяти, которые может создавать система:
- Мини дамп памяти (Small memory dump) (256 КБ). Этот тип файла включает минимальный объем информации. Он содержит только сообщение об ошибке BSOD, информацию о драйверах, процессах, которые были активны в момент сбоя, а также какой процесс или поток ядра вызвал сбой.
- Дамп памяти ядра (Kernel memory dump). Как правило, небольшой по размеру — одна треть объема физической памяти. Дамп памяти ядра является более подробным, чем мини дамп. Он содержит информацию о драйверах и программах в режиме ядра, включает память, выделенную ядру Windows и аппаратному уровню абстракции (HAL), а также память, выделенную драйверам и другим программам в режиме ядра.
- Полный дамп памяти (Complete memory dump). Самый большой по объему и требует памяти, равной оперативной памяти вашей системы плюс 1MB, необходимый Windows для создания этого файла.
- Автоматический дамп памяти (Automatic memory dump). Соответствует дампу памяти ядра с точки зрения информации. Отличается только тем, сколько места он использует для создания файла дампа. Этот тип файлов не существовал в Windows 7. Он был добавлен в Windows 8.
- Активный дамп памяти (Active memory dump). Этот тип отсеивает элементы, которые не могут определить причину сбоя системы. Это было добавлено в Windows 10 и особенно полезно, если вы используете виртуальную машину, или если ваша система является хостом Hyper-V.
Как включить создание дампа памяти в Windows?
С помощью Win+Pause откройте окно с параметрами системы, выберите «Дополнительные параметры системы» (Advanced system settings). Во вкладке «Дополнительно» (Advanced), раздел «Загрузка и восстановление» (Startup and Recovery) нажмите кнопку «Параметры» (Settings). В открывшемся окне настройте действия при отказе системы. Поставьте галку в чек-боксе «Записать события в системный журнал» (Write an event to the system log), выберите тип дампа, который должен создаваться при сбое системы. Если в чек-боксе «Заменять существующий файл дампа» (Overwrite any existing file) поставить галку, то файл будет перезаписываться при каждом сбое. Лучше эту галку снять, тогда у вас будет больше информации для анализа. Отключите также автоматическую перезагрузку системы (Automatically restart).
В большинстве случаев для анализа причины BSOD вам будет достаточно малого дампа памяти.
Теперь при возникновении BSOD вы сможете проанализировать файл дампа и найти причину сбоев. Мини дамп по умолчанию сохраняется в папке %systemroot%minidump. Для анализа файла дампа рекомендую воспользоваться программой WinDBG (Microsoft Kernel Debugger).
Установка WinDBG в Windows
Утилита WinDBG входит в «Пакет SDK для Windows 10» (Windows 10 SDK). Скачать можно здесь.
Файл называется winsdksetup.exe, размер 1,3 МБ.
WinDBG для Windows7 и более ранних систем включен в состав пакета «Microsoft Windows SDK for Windows 7 and .NET Framework 4». Скачать можно здесь.
Запустите установку и выберите, что именно нужно сделать – установить пакет на этот компьютер или загрузить для установки на другие компьютеры. Установим пакет на локальный компьютер.
Можете установить весь пакет, но для установки только инструмента отладки выберите Debugging Tools for Windows.
После установки ярлыки WinDBG можно найти в стартовом меню.
Настройка ассоциации .dmp файлов с WinDBG
Для того, чтобы открывать файлы дампов простым кликом, сопоставьте расширение .dmp с утилитой WinDBG.
- Откройте командную строку от имени администратора и выполните команды для 64-разрядной системы:
cd C:Program Files (x86)Windows Kits10Debuggersx64
windbg.exe –IA
для 32-разрядной системы:
C:Program Files (x86)Windows Kits10Debuggersx86
windbg.exe –IA - В результате типы файлов: .DMP, .HDMP, .MDMP, .KDMP, .WEW – будут сопоставлены с WinDBG.
Настройка сервера отладочных символов в WinDBG
Отладочные символы (debug-символы или symbol files) – это блоки данных, генерируемые в процессе компиляции программы совместно с исполняемым файлом. В таких блоках данных содержится информация о именах переменных, вызываемых функциях, библиотеках и т.д. Эти данные не нужны при выполнении программы, но полезные при ее отладке. Компоненты Microsoft компилируются с символами, распространяемыми через Microsoft Symbol Server.
Настройте WinDBG на использование Microsoft Symbol Server:
- Откройте WinDBG;
- Перейдите в меню File –> Symbol File Path;
- Пропишите строку, содержащую URL для загрузки символов отладки с сайта Microsoft и папку для сохранения кэша:
SRV*E:Sym_WinDBG*http://msdl.microsoft.com/download/symbols
В примере кэш загружается в папку E:Sym_WinDBG, можете указать любую. - Не забывайте сохранить изменения в меню File –> Save WorkSpace;
WinDBG произведет поиск символов в локальной папке и, если не обнаружит в ней необходимых символов, то самостоятельно загрузит символы с указанного сайта. Если вы хотите добавить собственную папку с символами, то можно сделать это так:
SRV*E:Sym_WinDBG*http://msdl.microsoft.com/download/symbols;c:Symbols
Если подключение к интернету отсутствует, то загрузите предварительно пакет символов с ресурса Windows Symbol Packages.
Анализ аварийного дампа памяти в WinDBG
Отладчик WinDBG открывает файл дампа и загружает необходимые символы для отладки из локальной папки или из интернета. Во время этого процесса вы не можете использовать WinDBG. Внизу окна (в командной строке отладчика) появляется надпись Debugee not connected.
Команды вводятся в командную строку, расположенную внизу окна.
Самое главное, на что нужно обратить внимание – это код ошибки, который всегда указывается в шестнадцатеричном значении и имеет вид 0xXXXXXXXX (указываются в одном из вариантов — STOP: 0x0000007B, 02.07.2019 0008F, 0x8F). В нашем примере код ошибки 0х139.
Полный справочник ошибок можно посмотреть здесь.
Отладчик предлагает выполнить команду !analyze -v, достаточно навести указатель мыши на ссылку и кликнуть. Для чего нужна эта команда?
- Она выполняет предварительный анализ дампа памяти и предоставляет подробную информацию для начала анализа.
- Эта команда отобразит STOP-код и символическое имя ошибки.
- Она показывает стек вызовов команд, которые привели к аварийному завершению.
- Кроме того, здесь отображаются неисправности IP-адреса, процессов и регистров.
- Команда может предоставить готовые рекомендации по решению проблемы.
Основные моменты, на которые вы должны обратить внимание при анализе после выполнения команды !analyze –v (листинг неполный).
1: kd>
!analyze -v
*****************************************************************************
* *
* Bugcheck Analysis *
* *
*****************************************************************************
Символическое имя STOP-ошибки (BugCheck)
KERNEL_SECURITY_CHECK_FAILURE (139)
Описание ошибки (Компонент ядра повредил критическую структуру данных. Это повреждение потенциально может позволить злоумышленнику получить контроль над этой машиной):
A kernel component has corrupted a critical data structure. The corruption could potentially allow a malicious user to gain control of this machine.
Аргументы ошибки:
Arguments:
Arg1: 0000000000000003, A LIST_ENTRY has been corrupted (i.e. double remove).
Arg2: ffffd0003a20d5d0, Address of the trap frame for the exception that caused the bugcheck
Arg3: ffffd0003a20d528, Address of the exception record for the exception that caused the bugcheck
Arg4: 0000000000000000, Reserved
Debugging Details:
------------------
Счетчик показывает сколько раз система упала с аналогичной ошибкой:
CUSTOMER_CRASH_COUNT: 1
Основная категория текущего сбоя:
DEFAULT_BUCKET_ID: FAIL_FAST_CORRUPT_LIST_ENTRY
Код STOP-ошибки в сокращенном формате:
BUGCHECK_STR: 0x139
Процесс, во время исполнения которого произошел сбой (не обязательно причина ошибки, просто в момент сбоя в памяти выполнялся этот процесс):
PROCESS_NAME: sqlservr.exe
CURRENT_IRQL: 2
Расшифровка кода ошибки: В этом приложении система обнаружила переполнение буфера стека, что может позволить злоумышленнику получить контроль над этим приложением.
ERROR_CODE: (NTSTATUS) 0xc0000409 - The system detected an overrun of a stack-based buffer in this application. This overrun could potentially allow a malicious user to gain control of this application.
EXCEPTION_CODE: (NTSTATUS) 0xc0000409 - The system detected an overrun of a stack-based buffer in this application. This overrun could potentially allow a malicious user to gain control of this application.
Последний вызов в стеке:
LAST_CONTROL_TRANSFER: from fffff8040117d6a9 to fffff8040116b0a0
Стек вызовов в момент сбоя:
STACK_TEXT:
ffffd000`3a20d2a8 fffff804`0117d6a9 : 00000000`00000139 00000000`00000003 ffffd000`3a20d5d0 ffffd000`3a20d528 : nt!KeBugCheckEx
ffffd000`3a20d2b0 fffff804`0117da50 : ffffe000`f3ab9080 ffffe000`fc37e001 ffffd000`3a20d5d0 fffff804`0116e2a2 : nt!KiBugCheckDispatch+0x69
ffffd000`3a20d3f0 fffff804`0117c150 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiFastFailDispatch+0xd0
ffffd000`3a20d5d0 fffff804`01199482 : ffffc000`701ba270 ffffc000`00000001 000000ea`73f68040 fffff804`000006f9 : nt!KiRaiseSecurityCheckFailure+0x3d0
ffffd000`3a20d760 fffff804`014a455d : 00000000`00000001 ffffd000`3a20d941 ffffe000`fcacb000 ffffd000`3a20d951 : nt! ?? ::FNODOBFM::`string'+0x17252
ffffd000`3a20d8c0 fffff804`013a34ac : 00000000`00000004 00000000`00000000 ffffd000`3a20d9d8 ffffe001`0a34c600 : nt!IopSynchronousServiceTail+0x379
ffffd000`3a20d990 fffff804`0117d313 : ffffffff`fffffffe 00000000`00000000 00000000`00000000 000000eb`a0cf1380 : nt!NtWriteFile+0x694
ffffd000`3a20da90 00007ffb`475307da : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13
000000ee`f25ed2b8 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x00007ffb`475307da
Участок кода, где возникла ошибка:
FOLLOWUP_IP:
nt!KiFastFailDispatch+d0
fffff804`0117da50 c644242000 mov byte ptr [rsp+20h],0
FAULT_INSTR_CODE: 202444c6
SYMBOL_STACK_INDEX: 2
SYMBOL_NAME: nt!KiFastFailDispatch+d0
FOLLOWUP_NAME: MachineOwner
Имя модуля в таблице объектов ядра. Если анализатору удалось обнаружить проблемный драйвер, имя отображается в полях MODULE_NAME и IMAGE_NAME:
MODULE_NAME: nt
IMAGE_NAME: ntkrnlmp.exe
Если кликнете по ссылке модуля (nt), то увидите подробную информацию о пути и других свойствах модуля. Находите указанный файл, и изучаете его свойства.
1: kd>
lmvm nt
Browse full module list
Loaded symbol image file: ntkrnlmp.exe
Mapped memory image file: C:ProgramDatadbgsymntoskrnl.exe5A9A2147787000ntoskrnl.exe
Image path: ntkrnlmp.exe
Image name: ntkrnlmp.exe
InternalName: ntkrnlmp.exe
OriginalFilename: ntkrnlmp.exe
ProductVersion: 6.3.9600.18946
FileVersion: 6.3.9600.18946 (winblue_ltsb_escrow.180302-1800)
В приведенном примере анализ указал на файл ядра ntkrnlmp.exe. Когда анализ дампа памяти указывает на системный драйвер (например, win32k.sys) или файл ядра (как в нашем примере ntkrnlmp.exe), вероятнее всего данный файл не является причиной проблемы. Очень часто оказывается, что проблема кроется в драйвере устройства, настройках BIOS или в неисправности оборудования.
Если вы увидели, что BSOD возник из-за стороннего драйвера, его имя будет указано в значениях MODULE_NAME и IMAGE_NAME.
Например:
Image path: SystemRootsystem32driverscmudaxp.sys
Image name: cmudaxp.sys
Откройте свойсва файла драйвера и проверьте его версию. В большинстве случаев проблема с драйверами решается их обнвовлением.
Каждый раз, когда происходит сбой системы Windows 10, она собирает и сохраняет некоторую важную информацию о сбое (например, когда и что вызвало сбой) и сохраняет ее в файлах в виде файлов минидампа в Минидамп. Анализируя файл минидампа, вы можете легко понять причину этой ошибки. В случае, если ваш компьютер недавно вышел из строя, и вы хотите знать, как и где найти файлы минидампа, следуйте методам, описанным в этой статье, и вы легко сможете проанализировать причину проблемы.
Но прежде чем приступить к открытию и анализу файлов минидампа на вашем компьютере, создайте точку восстановления системы на своем компьютере. В случае, если что-то пойдет не так, вы можете просто восстановить файлы и настройки вашего компьютера.
РЕКЛАМА
Способ 1. Используйте BlueScreenView для анализа файла минидампа.
BlueScreenView это очень хороший инструмент для анализа файлов минидампа на вашем компьютере. Следуйте этим шагам, чтобы сделать так-
1. Скачать BlueScreenView на твоем компьютере. (Посетите веб-сайт и прокрутите страницу вниз, щелкните конкретный файл, соответствующий архитектуре ЦП (32-битный или 64-битный), чтобы скачать его).
2. Скачав файл на свой компьютер, извлекать файл «bluescreenview-x64.zip» в любом месте по вашему выбору.
3. Распаковав zip-файл, перейдите на сайт распаковки на своем компьютере. Дважды щелкните «BlueScreenView», чтобы запустить его на своем компьютере.
4. В BlueScreenView вы сможете увидеть описание «Файл дампа», «Время сбоя», «Вызвано драйвером» файлов минидампа на вашем компьютере.
5. Если вы хотите перейти к более глубокому пониманию файла дампа, просто дважды щелкните его, чтобы проверить характеристики конкретного файла на вашем компьютере.
6. Если вы хотите проанализировать причину и найти способ устранения причины проблемы, просто щелкните правой кнопкой мыши файл дампа, а затем выберите «Поиск Google — Проверка ошибок + Драйвер».
Таким образом, с помощью BlueScreenView вы можете легко проверить, что вызвало BSOD на вашем компьютере и следуйте инструкциям, чтобы найти процесс удаления основной причины проблемы.
Отладчик Windows это полноценный анализатор файлов минидампа на вашем компьютере.
1. Скачать Пакет SDK для Windows 10 на твоем компьютере. Нажмите «СКАЧАТЬ.ISO». Последняя версия Пакет SDK для Windows 10 будут загружены на ваш компьютер.
2. Смонтируйте ISO-файл «KSDKWIN10_MULFRE_EN-US_DV9» на свой компьютер, чтобы просмотреть файлы.
3. Дважды щелкните «WinSDKSetup», чтобы запустить установку на своем компьютере.
4. В Укажите местоположение выберите «Установить пакет средств разработки программного обеспечения для Windows — Windows 10.0.18362.1 на этот компьютер», а затем нажмите «Далее».
5. Вы можете выбрать отдельный каталог для установки на своем компьютере, нажав «Обзор».
6. В Лицензионное соглашение нажмите «Принять», чтобы принять соглашение об установке комплекта на ваш компьютер.
7. Когда вам будет предложено ввести ‘Выберите функции, которые вы хотите установить‘, только отметьте опцию «Средства отладки для Windows», а затем нажмите «Установить».
Процесс установки займет некоторое время.
8. Когда процесс установки завершится, просто нажмите «Закрыть», чтобы закрыть окно установки.
9. Нажмите клавишу Windows + R, чтобы запустить Бегать окно на вашем компьютере, введите «cmd» и нажмите Ctrl+Shift+Enter, чтобы открыть Командная строка окно с правами администратора.
10. В Командная строка окно, копировать вставить вводите эти команды одну за другой и нажимайте Enter после каждой из них, чтобы выполнить их последовательно на вашем компьютере.
cdProgram Files (x86)Windows KitsDebuggersx64 windbg.exe -IA
11. Щелкните поле поиска и введите «windbg», а затем щелкните правой кнопкой мыши на «WinDbg (x64) *» и нажмите «Запуск от имени администратора», чтобы открыть WinDbg на твоем компьютере. WinDbg окно будет открыто.
[*NOTE- Choose the particular “WinDbg” version to open it according to the CPU-architecture (x64-bit or x86-bit of your system. ]
12. В WinDbg просто нажмите «Файл», а затем нажмите «Путь к файлу символа».
13. В Путь поиска символаскопируйте эту строку и вставьте в ‘Путь символа:‘. Наконец, нажмите «ОК», чтобы сохранить его.
SRV*C:SymCache*http://msdl.microsoft.com/download/symbols
14. В WinDbg нажмите «Файл», а затем нажмите «Сохранить рабочую область», чтобы сохранить изменения.
15. Нажмите клавишу Windows + R, чтобы запустить Бегать на твоем компьютере. Введите или скопируйте и вставьте это местоположение папки, а затем нажмите Enter.
C:WindowsMinidump
16. В Минидамп папку, дважды щелкните файл минидампа, который вы хотите проанализировать на своем компьютере.
Файл минидампа будет открыт в WinDbg.
[ Important– As this is the first time WinDbg is analyzing a minidump file on your computer, it will take some time to load the Kernel symbols. This entire process runs in the background. So, if WinDbg appears to be stalled or unresponsive, don’t interrupt the process. ]
17. Как только символы ядра будут загружены на ваш компьютер, нажмите «!analyze -y», чтобы получить полный анализ проблемы.
18. Теперь подождите некоторое время, пока будут проанализированы данные о сбое. После завершения процесса анализа найдите ‘НАЗВАНИЕ МОДУЛЯ:‘ и щелкните имя соответствующего модуля, чтобы узнать о расположении файла, вызвавшего сбой. (Пример. Мы нажали на «nvlddmkm»).
19. Теперь нажмите Ctrl+F, чтобы открыть Находить Теперь введите «вероятно, вызвано», затем нажмите «Найти далее».
Вы увидите причину, по которой ваша система потерпела крах. Вы также можете заметить код «BugCheck» чуть ниже причины проблемы. А теперь сравните Проверка ошибок код с Справочный список кода Microsoft BugCheck чтобы иметь представление о первопричине проблемы.
При возникновении синих экранов BSoD Windows 11, 10 и другие версии системы создают дамп (снимок состояния) оперативной памяти, содержащий отладочную информацию, которую можно использовать для диагностики и определения причин сбоя. Функция обычно включена по умолчанию, но если дампы памяти не создаются, их можно включить: Как включить создание дампов памяти в Windows.
Подробным анализом дампов памяти занимаются разработчики, но и для рядового пользователя, столкнувшегося с синими экранами в Windows это может оказаться полезным: адреса в памяти ему ничего не дадут, но часто можно обнаружить имя файла приложения или драйвера, вызывающее сбой. Здесь помогут специальные программы для анализа дампов памяти, о которых и пойдёт речь далее.
WinDbg
У Майкрософт имеется собственный инструмент отладки и анализа дампов памяти — WinDbg (пока Preview). Скачать его для Windows 11 и Windows 10 можно из Microsoft Store, используя поиск в магазине приложений или прямую ссылку.
Пример простого анализа дампа памяти для обычного пользователя с целью выявления процесса, вызвавшего BSoD с помощью WinDbg:
- Запустите WinDbg от имени Администратора (правый клик по ярлыку в меню «Пуск» — «Запуск от имени администратора»).
- В главном меню программы выберите «Файл» — «Open dump File» и укажите путь к нужному мини-дампу, обычно находящемуся в папке C:WindowsMinidump, нажмите кнопку «Open».
- Введите команду
!analyze -v
в поле ввода команд (либо нажмите по ссылке с командой в верхней панели WinDbg) и дождитесь завершения анализа.
- В панели «Command» в верхней части окна программы будет отображен результат анализа, где, при удаче, вы сможете найти информацию о том, каким процессом был инициирован сбой (PROCESS_NAME).
- Может быть информация о файле драйвера (.sys) в поле IMAGE_NAME и другая информация, позволяющая найти источник проблемы.
Далее полученную информацию можно использовать для того, чтобы найти, каким устройствам соответствуют драйверы в Интернете, выяснить назначение процессов вызвавших сбой, предпринять те или иные действия с целью их устранения.
BlueScreenView
BlueScreenView — очень простая утилита, которая позволяет выбрать файла дампа памяти в списке и посмотреть, какие файлы драйвера и процессы привели к сбою: в окне программы они будут выделены красным цветом.
Скачать BlueScreenView можно с официального сайта разработчика https://www.nirsoft.net/utils/blue_screen_view.html
WhoCrashed
Ещё одна программа для анализа дампов памяти — WhoCrashed. В бесплатной версии предоставляет не так много информации.
После нажатия кнопки «Analyze» имеющиеся дампы памяти анализируются, и на вкладке «Report» выводятся коды ошибок, а также текстовое описание на английском языке о том, что означает этот код и о возможных причинах сбоя.
Официальный сайт WhoCrashed https://www.resplendence.com/whocrashed, судя по всему, не открывается из РФ, но утилиту легко найти и скачать из сторонних источников.
Когда происходит сбой операционной системы Windows 10, система создает файл дампа памяти, содержащий информацию о возникновения ошибки, которая может помочь определить причину проблемы. В статье покажу, как открыть и анализировать .dmp файл в Windows 10.
Содержание
- Что такое файл DMP?
- Как открыть файл дампа с помощью WinDbg
- Установка WinDbg
- Анализ файла DMP
- Заключение
Файл «.dmp» содержит сообщение об ошибке, список драйверов, загруженных во время сбоя, а также сведения о ядре, процессоре и процессах.
Windows 10 создает файлы дампа автоматически, но в самой ОС нет никаких встроенных инструментов, которые смогли бы откырть файл дампа. Чтобы открыть dmp-файл мы воспользуемся программой Microsoft WinDbg.
РЕКОМЕНДУЕМ:
Удаленная установка Windows
WinDbg (отладка Windows) — это инструмент, который был разработан для отладки кода в режиме ядра и в режиме пользователя, проверки реестров процессора и анализа аварийных дампов.
В этом руководстве по Windows 10 мы покажем вам, как открыть файл дампа, чтобы попытаться выяснить, что вызвало сбой, чтобы решить проблему на вашем компьютере.
Как открыть файл дампа с помощью WinDbg
В Windows 10 вы можете найти несколько способов открыть и просмотреть файл с ошибкой дампа, но самый простой способ — использовать инструмент WinDbg, доступный в Microsoft Store.
Установка WinDbg
Чтобы установить инструмент WinDbg в Windows 10, выполните следующие действия:
- Перейдите на страницу загрузки WinDbg.
- Нажмите кнопку «Получить».
- Нажмите кнопку «Открыть».
- Нажмите кнопку «Установить».
После того, как вы выполните эти шаги, приложение будет установлено, и оно будет доступно в меню «Пуск».
Анализ файла DMP
Чтобы открыть и проанализировать файл дампа, созданный в результате сбоя в Windows 10, выполните следующие действия:
Шаг 1: Откройте Пуск.
Шаг 2: Нажмите на иконку поиска, введите WinDbg и нажав правым кликом по WinDbg выберите параметр «Запуск от имени администратора».
Шаг 3: В меню программы откройте пункт «Файл».
Шаг 4: Нажмите «Начать отладку».
Шаг 5: Выберите «Открыть дамп файл».
Шаг 6: Выберите файл дампа в папке, например:
<strong>%SystemRoot%Minidump</strong>
Шаг 7: Нажмите кнопку «Открыть».
Шаг 8: Дождитесь окончания (это может занять некоторое время).
Шаг 9: Введите следующую команду в команде запуска и нажмите Enter:
<strong>!analyze —v</strong>
Совет: вы также можете щелкнуть ссылку! Анализировать -v, если она доступна, в основной области, если она доступна после загрузки файла дампа.
Шаг 10: Проверяйте индикатор выполнения, пока анализ не будет завершен (это может занять много времени в зависимости от размера данных).
После того, как вы выполните эти шаги, приложение вернет анализ файла дампа, который вы затем сможете просмотреть, чтобы определить причину проблемы, чтобы помочь вам решить проблему.
Информация будет разной в зависимости от проблемы. Например, этот тестовый файл дампа показывает информацию о синем экране смерти (BSoD), также известном как проверка ошибок.
Результат указывает на то, что это был сбой, инициированный вручную с кодом ошибки «e2», что является правильным, поскольку в целях данного руководства мы используем эти инструкции для принудительного выполнения BSoD. WinDbg даже отлично описывает сбой на языке, понятном любому (пользователь вручную инициировал этот аварийный дамп).
Продолжая просматривать файл дампа, вы также найдете дополнительную информацию, такую как «FAILURE_BUCKET_ID» и «MODULE_NAME», которые могут указывать на причину проблемы.
Информация может быть огромной, поскольку она не предназначена для обычных пользователей.
Заключение
Если ваш компьютер продолжает давать сбой, вы можете использовать этот инструмент, чтобы понять проблему. Если вы не можете понять это, вы можете использовать подсказки в отчете для поиска в Интернете дополнительной информации.
(4 оценок, среднее: 4,00 из 5)
Загрузка…