Windows как проанализировать аварийный дамп памяти?

Профилактика появления синего экрана

Избежать появления экрана смерти можно выполняя следующие рекомендации:

• Не заполнять системный диск до отказа. Лучше всегда держать как минимум 10-15% свободного места.
• Проверять HDD на наличие поврежденных секторов, исправлять их в случае обнаружения.
• Устанавливать только официальные обновления операционной системы с сайта Microsoft.
• Периодически обновлять драйвера всех устройств и компонентов, использующихся в системе.
• Перед установкой нового дополнительного оборудования проверять совместимость с уже имеющимся железом и программным обеспечением.
• Меньше использовать неофициальные версии программ.
• Не менять настройки BIOS без знания того, какой параметр за что отвечает.
• Контролировать температуру видеокарты и ЦП, не давая им перегреваться: регулярно менять термопасту и удалять пыль с компонентов.

Если данное руководство оказалось полезным – поделитесь им в соцсетях.

Шаг 3 – Анализ

Третий и заключительный метод в моем подходе заключается в выполнении анализ файла дампа отказа, который по умолчанию настроен на создание во всех Windows системах. . Есть три типа файла дампа отказа, и настройки управления тем, какой тип файлов создается, может быть найден на вкладке Advanced в окне System Properties.

Полный Дамп Памяти

Полный дамп памяти содержит все данные, которые были в физической памяти во время катастрофического отказа. Полные файлы дампа требуют, чтобы файл страницы существовал на системном диске, и что он имеет размер по крайней мере равный размеру физической памяти плюс 1 МБ. Поскольку полные дампы памяти могут быть очень большими, они автоматически скрыты от пользователя на системах больше чем с 2GB физической памяти, хотя это может быть переопределено с помощью изменения реестра.

Дамп Памяти ядра

Дамп памяти ядра содержит страницы чтения-записи режима ядра, которые были в физической памяти во время отказа. Файл дампа также содержит список выполнения процессов, стек текущего потока, и списка загруженных драйверов устройства. Дампы памяти ядра — значение по умолчанию в Windows Server 2008 и Windows 7.

Малый Дамп Памяти

Маленький дамп памяти (иногда также названный минидампом) содержит код ошибки остановки и так же как список загруженных драйверов устройств, и небольшое количество других данных. Малые дампы памяти очень сложно анализировать на системе, отличной от той, в которой он был создан.

Для анализа отказа дамп памяти ядра создается в местоположение по умолчанию — %SystemRoot %\MEMORY.DMP. Инструментом, требуемым для того, чтобы проанализировать файл дампа отказа, является WinDbg, Microsoft Windows Debugger, который может быть загружен с веб-сайта Microsoft 219.

После установки WinDbg должен быть сконфигурирован, чтобы использовать Microsoft Symbol Server. Как только символы сконфигурированы, щелкните по меню File, выберите Open Crash Dump, и укажите файл дампа отказа, который Вы хотите проанализировать. Вывод от WinDbg будет похож на это:

Вторая с конца сторока, которая начинается со слов «Probably caused by” указывает, что отладчик предполагает причиной отказа. В примере в рисунке 5 отладчик нашел проблему правильно — этот отказ был вызван NotMyFault. Другая информация в анализе указывает, что файл дампа отказа — дамп памяти ядра, и что файлы символа не могли быть загружены для myfault.sys (потому что это — сторонний драйвер, и символы не доступны на Microsoft Symbol Server).

Больше информации может быть получено из файла дампа, если вы выполните подробный анализ, используя команду отладчика !analyze -v.

Подробный вывод показывает описание сообщения остановки, которое спасет вас от необходимость искать эту информацию, и будет также включает стека трассировки потока, который выполнялся во время катастрофического отказа, который также может оказаться полезным, если потребуется дальнейшая отладка .

Основной анализ дампа отказа легок, инструменты легко доступны, и большая информация о отказе может быть найдена всего через несколько секунд. Если основной анализ не помогает решить проблему, есть много доступных превосходных ресурсов, которые дают много более подробной информации об отладчике Windows и его использовании, и могут обеспечить всесторонние руководства о том, как извлечь и интерпретировать данные, используя усовершенствованные аналитические методы.

Для начала рекомендую использовать отличный веб-сайт Debugging Tools for Windows 219 , а также книгу “Windows Internals» (в настоящее время выпущена 5-ая редакция ) Марка Руссиновича, которая включает подробную главу по анализу дампа отказа.

Я надеюсь, что эта информация и описанные мной шаги немного сняли покров тайны с «синего» экрана, и позволит большему количеству администраторов вернуть свои системы в работоспособное состояние.

Полезные ссылки:

Недавно потребовалось составлять различные договора, в том числе трудовой договор. Скажу честно, не ожидал что это будет такой сложной задачей. Если бы я не нашел программу QuickDoc Конструктор договоров, пришлось бы потратить уйму времени вникая во все эти юридические тонкости.

DMP – Дамп памяти Windows (Windows Memory Dump)

В Windows: Windows Debug Tools, Windows Kernel Debug, Microsoft Visual Studio, Microsoft Dumpflop utility, Microsoft Windows, BlueScreenView

Описание расширения DMP

Популярность:

Раздел: Системные файлы

Разработчик: Microsoft

Расширение DMP связано с файлами дампа памяти Windows – это снимок содержимого оперативной памяти. DMP файлы, как правило, создается автоматически, когда Windows падает. Дамп с ошибками Windows, как правило, имеет наименование размером 64 КБ. Часть 000000-00 в названии – это месяц, день, год и порядковый номер для этой даты (ммддгг-e2_).

Вы можете настроить Windows, чтобы также сохранялись дополнительные информационные сообщения для дампа файлов, например, стоп код, значения регистров процессора и содержимое стека. Три типа дапма памяти доступны:

полный дамп памяти, который записывается в папку %SystemRoot%\ Файл подкачки загрузочного тома должен быть достаточно большим, чтобы вместить всю физическую память плюс 1 МБ.

4. В разделе «Запись отладочной информации» можно выбрать один из трех видов дампов памяти, а так же папку, где они будут созданы.

Если компьютер уже не загружается, тогда при загрузке нажимаете на F8 и выбираете пункт меню «При отказе системы не выполнять перезагрузку». После этого вы увидите BSOD, где и будет вся информация о проблемных файлах. Для исправления ошибки необходимо или обновить файл, как правило, это файлы драйвера, или удалить из системы, если это возможно.

Примечание: Т.к. файлы .DMP могут занимать много места, то их можно удалить при необходимости.

Примечание: Вообще говоря, многие программы кроме Windows используют расширение .DMP для своих файлов дампов памяти, создаваемых при аварийной работе приложения. Они используются для решения проблем и исправления ошибок разработчиками программ. Формат таких файлов .DMP отличен от системного формата дампа памяти, используемых в Windows. Например, антивирус Касперского создает DMP файл при аварийном завершении работы антивируса, файл находится в папке C:\Documents and Settings\All Users\Application Data\Kaspersky Lab или C:\ProgramData\Kaspersky Lab\.

MIME тип: application/x-dmpHEX код: 50 41 47 45 44 55, 4D 44 4D 50 93 A7ASCII код: PAGEDU, MDMP

Другие программы, связанные с расширением DMP

1. Файл дампа ORACLE от Oracle CorporationРасширение DMP – дамп базы ORACLE, который используется для резервирования схемы и данных. DMP файл хранит данные только на момент, создания дампа. Для экспорта или импорта дампа базы данных в Oracle используются утилиты входящие в состав Oracle и находящиеся в каталоге BIN – и impNN.

exe, где NN зависит от версии Оракла. Так же данные можно просмотреть с использованием утилит Oracle Dump Viewer и NXTract, причем утилита NXTract позволяет конвертировать данные из .DMP в форматы баз данных CSV, Sybase, SQL Server, DB2, Excel, Access, Ingres, MySQL, Informix, Lotus 123, dBASE, Visual Basic, Foxpro Powerbuilder и любой другой версией Oracle.

Относится к разделу Файлы резервных копий.

Популярность:

1. Файл дампа клиента Steam от Valve CorporationРасширение DMP файла связано с клиентом инструмента управления Steam для Microsoft Windows и Apple Mac OS X, используемой для управления играми, приобретенные на Steam, разработанная Valve. В * DMP-файлах хранятся данных. Файлы находятся в каталоге /tmp/dumps с наименованием crash_YYYYMMDDHHMMSS_, где YYYY – год, MM – месяц, DD – день, HH – час, MM – минута, SS – секунда, N – счетчик.

Относится к разделу Файлы резервных копий.

Популярность:

Способы решения проблемы синего экрана

Данные рекомендации могут помочь лишь в том случае, если Windows хоть не надолго загружается после сообщения о критической ошибке. В иной ситуации (когда запуск ограничен синим экраном) следует воспользоваться спасательным Live CD или специальным диском восстановления.

Как загрузиться в Safe Mode?

• Для этого щёлкните мышью (правая кнопка) по иконке «Пуск» и активируйте программу «Выполнить».

• Введите msconfig для вызова служебной консоли конфигурации системы и нажмите «ОК».

• В новом окне перейдите на вкладку «Загрузка», затем отметьте «Безопасный режим» и поддержку сети.

• По завершении выберите «Применить» и «ОК».

• Выполните перезагрузку системы.

Удаление вирусов и вредоносных программ

• COMODO Cleaning Essentials;
• Dr.Web CureIt!;
• F-Secure Online Scanner;
• Emsisoft Emergency Kit;
• Norton Power Eraser;
• Microsoft Safety Scanner;
• ESET Online Scanner;
• Kaspersky Virus Removal Tool.

Обновление драйверов

• Вновь зайдите в «Панель управления» — «Система». Активируйте «Диспетчер устройств».

• Выберите модуль, для которого необходимо обновить драйвер, кликните по нему мышью (правая кнопка). Нажмите «Свойства».

• В новом окне переместитесь в «Сведения». В блоке «Свойство» нужно выбрать «ИД оборудования».

• В поле «Значение» скопируйте первую строку.

• В браузере откройте ресурс DriverPack Solution и щёлкните «Поиск драйверов».

• Вставьте скопированный код в строку поиска и нажмите «Найти».

• В случае положительного результата выберите вашу версию Windows и скачайте необходимый драйвер.

• Вернитесь в «Диспетчер». Правой кнопкой выберите нужное устройство, а затем — «Обновить драйвер».

• Активируйте нахождение и инсталляцию драйверов вручную.

• Щёлкните «Обзор», чтобы выбрать папки с драйвером. Отметьте её и подтвердите — «ОК».

• Для продолжения — «Далее». Система автоматически инсталлирует драйвер и запросит перезагрузку компьютера при необходимости.

  

  

  

  

  

  

  

  

  

  

Используем точку восстановления

• Откройте «Панель управления» — «Система». Активируйте пункт «Защита системы».

• В одноимённой вкладке выделите системный диск (обычно это «Локальный диск C») и нажмите «Восстановить».

• В новом окне отметьте «Рекомендуемое восстановление», при этом будут отменены последние обновления, установки драйверов и другого ПО. Нажмите «Далее».

• При необходимости можно посмотреть, какие драйверы и программы затронет восстановление системы, щёлкнув по соответствующему пункту.

• Закройте окно с описанием удаляемого ПО для продолжения.

• Нажмите кнопку «Готово». Дождитесь окончания процесса восстановления системы и перезагрузки компьютера.

Blue Screen возникает во время работы приложения

• Из «Панели управления» перейдите в «Систему», где выберите её «Дополнительные параметры системы».

• В «Дополнительно» вам понадобятся «Параметры» из третьего пункта («Загрузка и восстановление»).

• В «Записи отладочной информации» автоматический дамп поменяйте на малый.

• По завершении нажмите «ОК».

• Подтвердите сохранение внесённых изменений («Применить» и «ОК» в свойствах системы). Перезагрузите компьютер и попробуйте вновь запустить сбойную программу или игру.

Проверка жёстких дисков

• Запустите «Проводник» и откройте свойства диска C (системного).

• После перехода в сервис «Сервис» в «Проверке на наличие ошибок» активируйте соответствующую кнопку.

• Проверьте диск. При сканировании желательно не пользоваться ПК, хоть рекомендация разработчиков Microsoft и гласит иное.

• Проверка и устранение ошибок (если таковые имеются) может занять до нескольких минут.

• По окончании сканирования закройте системное средство проверки. Возможно, компьютер потребуется перезагрузить.

• Аналогичная операция выполняется и в консоли. Для этого в «Пуске» выбирается «Командная строка (Администратор)», затем вводится chkdsk и нажимается Enter.

Проверка ОЗУ на ошибки

• Откройте окно программы «Выполнить» (как это сделать, рассмотрено в начале статьи). Введите mdsched.exe и щёлкните «ОК».

• В окне с названием «Средство проверки памяти Windows» активируйте первый пункт и дождитесь перезагрузки системы.

Более досконально исследовать оперативную память позволяет программа MemTest86.

Сброс до заводских настроек

• Активируйте «Параметры» (значок с шестерёнкой) из меню «Пуск».

• В стартовом окне программы щёлкните «Обновление и безопасность».

• Выберите «Восстановление».

• Начните возвращение компьютера в исходное состояние соответствующей кнопкой.

• Если хотите сохранить свои файлы, выбирайте в следующем окне нужный параметр, при котором удаление ограничится параметрами и приложениями.

• Подтвердите возврат ПК к заводским настройкам.

Если восстановление не дало результата, остаётся полная переустановка системы.

Анализ аварийного дампа памяти в WinDbg

Перед анализом memory dump необходимо выполнить некоторые настройки. Для работ с софтом понадобится пакет символов отладки Debugging Symbols, загруженный с учётом версии и разрядности системы.

Можно настроить извлечение утилитой символов из интернета, что безопасно, поскольку используется официальный ресурс компании Майкрософт.

Ассоциирование файлов .dmp с WinDbg

Для того чтобы объекты при нажатии на них открывались посредством утилиты:

1. В консоли командной строки, запущенной от имени администратора (например, через меню Пуск) выполняем команды (зависимо от разрядности ОС):

cd C:Progran Files (x86) Windows Kits10Debuggersx64 exe –IA

Или (для 32-разрядной Виндовс):

cd C:Progran Files (x86) Windows Kits10Debuggersx86 exe –IA

Теперь файлы типов .DMP, .HDMP, .MDMP, .KDMP, .WEW будут ассоциироваться с приложением.

Настройка сервера отладочных символов

Отладочные символы, которые генерируются в процессе компиляции приложения вместе с исполняемым файлом, нужны при отладке. Настраиваем WinDbg на извлечение символов из сети:

• в окне WinDbg жмём «File» и выбираем «Symbol Fie Path…» или жмём Ctrl+S;
• указываем путь для загрузки, прописав строчку:

применяем корректировки нажатием «File» – «Save Workspace».

Анализ memory dump в WinDbg

Чтобы перейти к процедуре, открываем объект в утилите (File – Open Crash Dump) или, если предварительно настраивались ассоциации файлов, открываем элемент щелчком мыши. Утилита начнёт анализировать файл, затем выдаст результат.

В окне предполагается ввод команд. Запрос «!analyze –v» позволит получить более детальные сведения о сбое (STOP-код, имя ошибки, стек вызовов команд, приведших к проблеме и другие данные), а также рекомендации по исправлению. Для остановки отладчика в меню программы жмём «Debug» – «Stop Debugging».

Как исправить синий экран с кодом ошибки 0x0000003b в Windows?

В большинстве случаев синий экран BSOD с кодом ошибки 0x0000003b возникает случайным образом. Но иногда его появлению предшествует запуск игр и приложений, которые начинают интенсивно использовать ресурсы системы.

Критическая ошибка вызвана аппаратными проблемами, программами сторонних производителей и несовместимостью драйверов. Однако наиболее вероятной причиной (помимо аппаратной проблемы) является файл драйвера хост-контроллера IEEE 1394.

Обновление драйверов беспроводных сетевых адаптеров

Иногда ошибку 0x0000003b удается исправить с помощью обновления драйверов беспроводных сетевых адаптеров. По сообщениям пользователей, этот синий экран часто возникает на ноутбуках с Windows 10, когда устройство установило подключение к интернету через беспроводную сеть, но страницы не открываются.

Откройте Диспетчер устройств командой devmgmt.msc, запущенной из окна «Выполнить» (Win +R).

Разверните вкладку Сетевые адаптеры, щелкните правой кнопкой мыши на устройстве Wireless и выберите «Обновить».

На следующем экране выберите автоматический поиск обновленных драйверов. Если этим способом не удалось выполнить обновление, выберите второй вариант. Укажите с помощью кнопки «Обзор» путь к папке с драйверами для ноутбука, скопированные с диска или загруженные из сайта производителя устройства.

После обновления перезагрузите компьютер и посмотрите, возникает ли синий экран с кодом ошибки 0x0000003b.

Проверка оперативной памяти

Сбой также может произойти из-за ошибок оперативной памяти. Для начала отключите компьютер от сети, и извлеките планки ОЗУ. Удалите с них пыль и аккуратно протрите контакты ластиком. Верните их обратно, убедившись в фиксации защелок. При использовании двух планок, поменяйте их местами, если одна – установите в другой слот.

После запуска компьютера откройте средство проверки памяти командой mdsched.exe из окна «Выполнить» (Win + R).

В открывшемся окне выберите первый вариант «Выполнить перезагрузку и проверку».

После этого компьютер перезагрузится и сразу начнется тестирование памяти. Дождитесь результатов проверки.

Если обнаружены ошибки протестируйте по отдельности все планки ОЗУ. После выявления и удаления проблемной планки проверьте, устранена ли проблема.

Удаление Malwarebytes

К возникновению синего экрана 0x0000003b может быть причастен файл mwac.sys. Это основной драйвер антивирусной программы Malwarebytes Anti-Malware. По отзывам пользователей, после обновления антивируса до версии 2.0 многие столкнулись с этим кодом ошибки.

Malwarebytes быстро отреагировала и выпустила исправление. Поэтому если хотите продолжать использовать этот антивирусный пакет обновите ее до последней версии.

Обновление до последней версии

Существует известная проблема в Windows 7, которая на некоторых конфигурациях ПК приводит к сбою BSOD 0x0000003b. С синим экраном часто сталкиваются при использовании устройства IEEE 1394 (Firewire). При этом отображается код остановки SYSTEM_SERVICE_EXCEPTION.

Этот сбой происходит из-за ошибки в стеке драйвера хост-контроллера IEEE 1394. Проблема возникает из-за того, что буфер, выделенный стеку драйвера, неправильно инициируется.

Для исправления ошибки обновите Windows 7 до последней версии.

Восстановление прежней конфигурации

Если ошибка возникла после установки сторонних программ, обновления драйверов и системы, замены комплектующих или разгона памяти, попытайтесь восстановить последнюю рабочую конфигурацию. Установленное ПО удаляем, старые компоненты и/или драйверы восстанавливаем, настройки в утилитах для оверклоккинга сбрасываем на дефолтные. В случае апгрейда «железа» можно пойти прогрессивным путем – не ставить обратно старые компоненты, а обновить драйвера для новых, скачав их с официального ресурса производителя устройства либо прибегнув к помощи программы DriverPack Solution.

Как это работает

При возникновении сбоя, система полностью останавливает свою работу и, если создание дампов активно, в файл, помещаемый на диск будет записана информация о возникшей проблеме. Если что-то случилось с физическими компонентами, то будет работать аварийный код, а железо, которое дало сбой будет вносить какие-либо изменения, что обязательно отразится в снимке.

Обычно файл сохраняется в выделенном для файла подкачки блоке жёсткого диска, после появления BSoD файл перезаписывается в тот вид, который пользователь сам и настроил (Малый, полный или дамп ядра). Хотя, в современных ОС участие файла подкачки не обязательно.

Как с помощью дампа памяти определить драйвер, вызывающий BSOD

Причиной критических ошибок windows, сопровождаемых синими экранами (BSOD), часто является драйвер — вновь установленный или поврежденный. Определив, какой именно драйвер служит причиной ошибки, можно приступать к устранению проблемы: обновить драйвер, откатиться к более ранней версии, переустановить или удалить приложение, установившее драйвер и т. д. Не всегда название драйвера отображается на синем экране. Однако существует очень простой способ, позволяющий с помощью дампа памяти определить проблемный драйвер за пару минут.

Шаг 1 — Включение записи дампов памяти

Сначала нужно убедиться, что запись дампов включена. Для этого нужно открыть свойства системы, нажав комбинацию клавиш Win+Pause, , перейти на вкладку Дополнительно,  и наконец нажать кнопку Загрузка и восстановление.

Малых дампов памяти должно быть достаточно для наших целей.

Обратите внимание на путь к папке, куда они будут сохраняться при возникновении критической ошибки

Теперь вы можете запаковать файл в архив, прикрепить его к сообщению в форуме Устранение критических ошибок windows и подождать, пока вам кто-то сообщит название проблемного драйвера  Но вы можете сделать это самостоятельно, не прилагая больших усилий.

Шаг 2 — Загрузка и установка диагностических средств

Это не так страшно, как можно подумать 

1. Загрузите и установите Debugging Tools for windows. Они входят в состав веб-установщика windows SDK, где после запуска в нужно выбрать Debugging Tools в разделе Common Utilities.
2. Загрузите сценарий (kdfe.cmd), который написал Александр Суховей и опубликовал на ресурсе sysadmins.ru (поскольку живую ссылку мне там найти не удалось, предлагаю свою). Распакуйте архив в любую папку. Примечание. В случае нестандартного расположения папки Program Files вам может потребоваться указать в kdfe.cmd путь к папке, в которую установлены средства Debugging Tools for windows. Используйте переменную dbgpath в строке 41.

Шаг 3 — Анализ дампа памяти

Теперь все сводится к выполнению одной команды. Откройте командную строку и перейдите в папку, в которую вы распаковали kdfe.cmd. Запустите файл, указав в качестве параметра путь к файлу дампа памяти (в примере ниже файл называется Mini1110307-01.dmp)

Через минуту вы увидите результат.

Драйвер, послуживший причиной ошибки, определен!

Дополнительные ресурсы

Вы можете отметить интересные вам фрагменты текста, которые будут доступны по уникальной ссылке в адресной строке браузера.

Общие рекомендации по синим экранам смерти и устранению оных

Как уже говорилось выше и как показывает практика, наиболее частой проблемой, из-за которой возникает синий экран смерти, это драйвера. Чтобы установить какой драйвер сбоит и устранить проблему, читайте после подзаголовка «Анализ дампов BSOD самостоятельно» (написано чуть ниже по тексту). На втором месте стоит перегрев комплектующих или битая оперативная память:

• Дабы выявить температуры и устранить причину перегрева я рекомендую Вам читать мою статью: «Температура компонентов компьютера: как измерить и какими должны быть».
• Дабы протестировать оперативную память и понять, не она ли является причиной синего экрана, я рекомендую провести memtest, для чего читайте статью: «Проверяем Оперативную память «

На третьем месте, как не странно, стоит использование сборок Windows (вроде ZverCD, GameEdition и тп), сделанных непонятными авторами, а так же использование пиратских копий Windows. Как не смешно, но это очень и очень частая причина проблемы и зачастую в этих случаях рекомендация одна: ставить нормальный полноценный дистрибутив операционной системы, никем не тронутый и не модифицированный.

Ну и на последнем, из частых (но не всех), причин синих экранов бывает жесткий диск. Чтобы протестировать оный рекомендуется для начала глянуть здоровье диска через программу HDD Life, а потом провести полноценную проверку, используя программу Виктория, о чем написано в статье «Проверка жесткого диска «. Ах, да, к слову о драйверах. Рекомендуется, в случае возникновения проблем, обновить драйвера в операционной системе. Сделать это можно, например, программой DriverPack Solution. Подробней об этом в статье «Автообновление драйверов. Программа DriverPack Solution: альманах для пользователя.»