Результат работы BlueScreenView
BlueScreenView просканирует все файлы аварийного дампа памяти, созданные во время BsoD, и отобразит информацию обо всех авариях в одной таблице. Для каждой аварии, BlueScreenView выводит дамп файла, дата и время аварии, основную информацию аварии, которая отображается на синем экране, а также детали драйверов или модулей, которые возможно вызвали сбой (имя файла, название продукта, описание файла и версия файла).
После определения «сбойного» драйвера , который вызывает синий экран смерти, мы можем заменить этот драйвер или откатиться на более ранний и исправный срок.
Примечание! Если синий экран смерти появится в случае критической ошибки загрузчика, файл дампа создаваться не будет. Тогда Вам придется воспользоваться Live CD или запустить консоль восстановления.
Обновление за май 2023 года:
Теперь вы можете предотвратить проблемы с ПК с помощью этого инструмента, например, защитить вас от потери файлов и вредоносных программ. Кроме того, это отличный способ оптимизировать ваш компьютер для достижения максимальной производительности. Программа с легкостью исправляет типичные ошибки, которые могут возникнуть в системах Windows — нет необходимости часами искать и устранять неполадки, если у вас под рукой есть идеальное решение:
- Шаг 1: (Windows 10, 8, 7, XP, Vista — Microsoft Gold Certified).
- Шаг 2: Нажмите «Начать сканирование”, Чтобы найти проблемы реестра Windows, которые могут вызывать проблемы с ПК.
- Шаг 3: Нажмите «Починить все», Чтобы исправить все проблемы.
Дамп памяти
У каждого процесса есть своя выделенная память, которая хранится как раз в оперативной памяти (внезапно, не так ли?). Попробуем сдампить ее, чтобы найти полезную информацию из этого процесса.
| 1 | $vol.py-fchallenge.vmem—profile Win10x64_18362 memdump-p6484-Ddata |
Извлечение картинок из дампа памяти
Напоминаю, что mstsc.exe (да и другие RDP-клиенты тоже) получают картинку, которую хранят у себя где‑то в оперативной памяти. Благодаря этой особенности мы можем попробовать извлечь картинку из этого дампа процесса.
Возникнет только одна небольшая проблема: правильно подобрать смещение, так как картинка в памяти процесса хранится в сыром виде, и ни binwalk, ни foremost не могут ее отыскать, чтобы сохранить как отдельный файл.
Подобный трюк можно применять не только для процесса mstsc.exe, но и на процессы вроде mspaint.exe, virtualbox.exe и другие, которые работают примерно по такому же принципу. Для подбора смещения расчехляем графический редактор GIMP. Как прочитать картинку, если она начинается не в начале файла? Да запросто!
Нужно открыть дамп процесса как Raw Image Data, то есть как сырую картинку, иначе мы не сможем подбирать смещение.
Дальше появляется окошко, где мы можем выбирать смещение.
И начинаем его прокручивать. Для удобства я увеличил свое окошко по ширине, чтобы было легче управлять ползунком. Во время перемещения я заметил следующую картинку, которая похожа на кусок рабочего стола Windows, что наводит на мысль о близости к флагу.
Подкрутим еще немного и скорректируем размер по ширине.
А вот и флаг!
Проверка информации
В названии задачи фигурирует слово remote (удаленный) — давайте попробуем найти что‑то, что может взаимодействовать с сетью.
Попробуем снова проверить все процессы, которые у нас фигурируют в этом слепке оперативной памяти. Заметим среди них mstsc.exe — Microsoft Terminal Services Client, или, в простонародье, RDP-клиент.
RDP — это проприетарный протокол для доступа к удаленным рабочим столам. Для нас важно то, что протокол предусматривает передачу картинки по кадрам в виде сжатых битмапов, которые разжимаются и отображаются, а в это время хранятся в памяти.
Возможно, в этом процессе мы сможем найти флаг. Найдем его PID, чтобы мы могли сдампить память процесса:
| 1 | $vol.py-fchallenge.vmem—profile Win10x64_18362 pslist|grep mstsc.exe |
Номер процесса — 6484.
Создание Minidump внутри приложения
dbghelp.dllWindowsЗачем создавать дамп из тела приложения? возможность контролировать место останова, для дальнейшего анализа дампа
- Код метода Main():
namespace Dumper { using System; using System.IO; using System.Linq; using System.Runtime.CompilerServices; using System.Threading; using Dumps; internal static class Program { private static bool _stopThread; ///<summary> /// Entry point. ///</summary> static void Main(string[] args) { Directory.GetFiles(DumpUtils.DumpDirectory).ToList().ForEach(File.Delete); CreateThread(); TestMethod(); _stopThread = true; } private static void CreateThread() { new Thread(() => { while (!_stopThread) { Console.WriteLine("while(true)"); } }) { Name = "While(true) thread" }.Start(); } private static void TestMethod() { var dateTime = DateTime.Now; try { Console.WriteLine(dateTime); int someDouble = 0; someDouble = 10 / someDouble; } catch (Exception) { DumpUtils.WriteDump(); } } } } -
Код класса создающий Minidump файл:
namespace Dumper.Dumps { using System; using System.Diagnostics; using System.IO; using System.Reflection; using System.Runtime.CompilerServices; using System.Runtime.InteropServices; ///<summary> /// Minidump support tools. ///</summary> public static class DumpUtils { ///<summary> /// Folder for saved minidumps. ///</summary> public const string DumpDirectory = "Minidump"; private static extern bool MiniDumpWriteDump(IntPtr hProcess, int processId, IntPtr hFile, int dumpType, IntPtr exceptionParam, IntPtr userStreamParam, IntPtr callStackParam); ///<summary> /// Write minidump to file. ///</summary> ///<param name="minidumpType">Minidump flag(s).</param> public static bool WriteDump( MinidumpType minidumpType = MinidumpType.MiniDumpWithFullMemory | MinidumpType.MiniDumpWithHandleData | MinidumpType.MiniDumpWithUnloadedModules | MinidumpType.MiniDumpWithFullMemoryInfo | MinidumpType.MiniDumpWithThreadInfo) { try { if (!Directory.Exists(DumpDirectory)) { Directory.CreateDirectory(DumpDirectory); } var currentProcess = Process.GetCurrentProcess(); var fileName = GetNewDumpFileName(currentProcess.ProcessName); var currentDir = Path.GetDirectoryName(Assembly.GetExecutingAssembly().Location); var filePath = Path.Combine(currentDir, DumpDirectory, fileName); var handler = currentProcess.Handle; var processId = currentProcess.Id; using (var fileStream = new FileStream(filePath, FileMode.CreateNew)) { return MiniDumpWriteDump( handler, processId, fileStream.SafeFileHandle.DangerousGetHandle(), (int) minidumpType, IntPtr.Zero, IntPtr.Zero, IntPtr.Zero); } } catch (Exception) { return false; } } private static string GetNewDumpFileName(string processName) { return string.Format("{0}_{1}_{2}.dmp", processName, DateTime.Now.ToString("yyyy-dd-mm_HH-mm-ss"), Path.GetRandomFileName().Replace(".", "")); } } } -
Для гибкости дал возможность пользователю самому задавать параметры дампа:
namespace Dumper.Dumps { using System; ///<summary> /// Identifies the type of information that will be written to the minidump file by the MiniDumpWriteDump function. ///</summary> ///<remarks> /// https://msdn.microsoft.com/en-us/library/windows/desktop/ms680519(v=vs.85).aspx ///</remarks> public enum MinidumpType { MiniDumpNormal = 0x00000000, MiniDumpWithDataSegs = 0x00000001, MiniDumpWithFullMemory = 0x00000002, MiniDumpWithHandleData = 0x00000004, MiniDumpFilterMemory = 0x00000008, MiniDumpScanMemory = 0x00000010, MiniDumpWithUnloadedModules = 0x00000020, MiniDumpWithIndirectlyReferencedMemory = 0x00000040, MiniDumpFilterModulePaths = 0x00000080, MiniDumpWithProcessThreadData = 0x00000100, MiniDumpWithPrivateReadWriteMemory = 0x00000200, MiniDumpWithoutOptionalData = 0x00000400, MiniDumpWithFullMemoryInfo = 0x00000800, MiniDumpWithThreadInfo = 0x00001000, MiniDumpWithCodeSegs = 0x00002000, MiniDumpWithoutAuxiliaryState = 0x00004000, MiniDumpWithFullAuxiliaryState = 0x00008000, MiniDumpWithPrivateWriteCopyMemory = 0x00010000, MiniDumpIgnoreInaccessibleMemory = 0x00020000, MiniDumpWithTokenInformation = 0x00040000 }; }
Теперь, что мы получим в итоге:
How to Read and Analyze DMP Files
As we mentioned, Windows does not allow you to open dump files directly. However, you can use other tools available online to open and analyze them. One of the most common tools to do so is through the Windows Debugging (WinDbg) tool, which can be downloaded through Microsoft Store. Continue reading the given guide below to use this tool to open and analyze memory dump files in Windows.
Using WinDbg
We have divided this section into 2 parts: Downloading and installing the WinDbg tool and then using it to analyze a dump file.
Download and Install WinDbg
- Open the WinDbg Preview page in the Microsoft Store and click Get.
The browser will prompted you to open the Microsoft Store app, click Open Microsoft Store.
From the Store app, click Get again.
The WinDbg tool will now begin to download and then install. We are now done with the installation phase. Let us now use the tool to open and analyze dump files.
Open and Analyze dmp files using WinDbg
- Open the WinDbg tool with administrative rights by searching for it through the search box, right-clicking it, and then clicking Run as administrator from the context menu.
From the WinDbg tool, click File from the top menu.
In the Start Debugging tab, click Open dump file.
Now click Browse from the right pane within the tool and select the dump file that you want to analyze by navigating to . When selected, click Open.
The tool will now open the dump file, which can take a few minutes. When the dump file successfully opens, type in the following command in the text field in front of “0: kd>“:
WinDbg will now begin analyzing the dump file. This can take a few minutes to complete. Once completed, you should see the results in the top window.
In the example above, since we initiated a BSoD intentionally, it states “The user manually initiated this crash dump.” Otherwise, if it were an actual error, you would see different statements and information after performing the analysis of the dump file.
You can then use this information to troubleshoot the error that caused the crash.
Using WhoCrashed
WhoCrashed
WhoCrashed is available in both free and paid editions. However, the free edition is sufficient to open and analyze dump files. With this tool, you can obtain reports on the dump files with a single click. The tool will automatically scan your system files for any .dmp files and fetch the data within.
To do so, download WhoCrashed from the link given above, and run the .exe file to install in a few easy steps. Once installed, click Analyze from the ribbon menu at the top. The tool will then take a few seconds to scan any dump files and present the analysis. You can also view the .dmp files discovered from the Dump files tab.
Using BlueScreenView
BlueScreenView
BlueScreenView is a portable and small tool that can provide you with relevant information on minidump files. When you run this tool, it automatically picks up any .dmp files in the Minidump directory and displays the relevant information gathered from them. If there are multiple .dmp files, you can click on the one you want to analyze from the top field within the tool, and the information is presented in the bottom one.
Simply download the app from the link given above, extract the content and run the BlueScreenView application.
Чем открыть файл в формате DMP
Расширение DMP может быть нескольких основных исполнений, в частности:
DMP формат является dump-файлом, генерируемым ОС в автоматическом режиме в результате появления какой-либо критической ошибки. Это своеобразный скриншот памяти устройства в момент, когда ОС дает сбой. Dump-файл с ошибкой ОС имеет формат mini000000-00.dmp, где в наименовании указывается конкретный месяц, год и дата фиксации сбоя.
Для непосредственной генерации дампа, а не просто перезагрузки ОС, следует выполнить следующую последовательность действий:
- перейти по пути “мой компьютер – свойства – восстановление компонентов – параметры”;
- снять закладку ”перезагрузка”;
- во вкладке “запись отладочных данных” пользователю предоставляется выбрать вид дамп-файла, и каталог, где он будет сгенерирован.
В случае, если DMP файл занимает значительное место дискового пространства, их допускается удалять. Данная процедура никак не повлияет на работоспособность ОС.
- формат DMP – результат деятельности программного комплекса баз данных ORACLE. Такой файл предназначен для резервного хранения схем и БД (актуально только на момент его генерации).
- dump-файл программы Steam. Предназначен для контроля и управления над игровыми приложениями.
- DMP формат – файл-карта, как результат генерации утилиты Dream Maker.
Программы для открытия и создания DMP файлов
В зависимости от своего исполнения и практического назначения, DMP формат может быть сгенерирован и открыт следующими программными приложениями:
- Visual Studio, Dumpflop Utility, Kernel Debug, Bluescreenview, Debug Tools, (DMP файл – генерируемый операционной системой в автоматическом режиме в случае возникновения какой-либо критической ошибки или сбоя);
- Oracle Dump Viewer (DMP файл – БД ORACLE);
- Steam (DMP файл – клиент для контроля и управления над игровыми приложениями);
- Dream Maker (DMP файл – файл-карта).
Используйте отладчик Windows для анализа файлов минидампа.
Windows Debugger — это комплексный анализатор файлов минидампа на вашем компьютере.
Обновление за май 2023 года:
Теперь вы можете предотвратить проблемы с ПК с помощью этого инструмента, например, защитить вас от потери файлов и вредоносных программ. Кроме того, это отличный способ оптимизировать ваш компьютер для достижения максимальной производительности. Программа с легкостью исправляет типичные ошибки, которые могут возникнуть в системах Windows — нет необходимости часами искать и устранять неполадки, если у вас под рукой есть идеальное решение:
- Шаг 1: (Windows 10, 8, 7, XP, Vista — Microsoft Gold Certified).
- Шаг 2: Нажмите «Начать сканирование”, Чтобы найти проблемы реестра Windows, которые могут вызывать проблемы с ПК.
- Шаг 3: Нажмите «Починить все», Чтобы исправить все проблемы.
- Загрузите Windows 10 SDK на свой компьютер. Щелкните Загрузить ISO. Последняя версия Windows 10 SDK будет загружена на ваш компьютер.
- Смонтируйте ISO-файл «KSDKWIN10_MULFRE_EN-US_DV9» на вашем компьютере, чтобы просмотреть файлы.
- Дважды щелкните «WinSDKSetup», чтобы начать установку на вашем компьютере.
- В окне «Укажите местоположение» выберите «Установить WindowsWindows 10.0.18362.1 SDK на этот компьютер» и нажмите «Далее».
- Вы можете выбрать отдельный установочный каталог на своем компьютере, нажав «Обзор».
- В окне «Лицензионное соглашение» нажмите «Принять», чтобы принять соглашение об установке пакета на ваш компьютер.
- Когда вам будет предложено выбрать компоненты для установки, отметьте только параметр «Инструменты отладки для Windows» и нажмите «Установить».
- Когда процесс установки будет завершен, просто нажмите «Закрыть», чтобы закрыть окно конфигурации.
- Нажмите клавиши Windows + R, чтобы открыть окно «Выполнить» на вашем компьютере. Введите «cmd» и нажмите Ctrl + Shift + Enter, чтобы открыть окно командной строки с правами администратора.
- В окне командной строки скопируйте и вставьте эти команды одну за другой, затем нажимайте Enter после каждой команды, чтобы запускать их одну за другой на вашем компьютере.
Компакт-диск \ Program Files (x86) \ Windows Kits \ Debuggers \ x64 \Windbg.exe-IA
- Щелкните поле поиска и введите «windbg». Затем щелкните правой кнопкой мыши WinDbg (x64) * и выберите Запуск от имени администратора, чтобы открыть WinDbg на вашем компьютере. Откроется окно WinDbg.
- В окне WinDbg просто нажмите «Файл», затем «Путь к файлу значка».
Если файл получен из сторонней программы или драйвера для вашего аппаратного устройства, обновление или отключение экрана может помешать появлению синего экрана. Если это файл Windows, возможно, неисправно одно из оборудования, например память, процессор или материнская плата. Сначала вам нужно запустить тест памяти, потому что вы можете сделать это, просто нажав кнопку запуска и набрав mdsched, которая запустит программу диагностики памяти Windows.
Совет экспертов:
Эд Мойес
CCNA, веб-разработчик, ПК для устранения неполадок
Я компьютерный энтузиаст и практикующий ИТ-специалист. У меня за плечами многолетний опыт работы в области компьютерного программирования, устранения неисправностей и ремонта оборудования. Я специализируюсь на веб-разработке и дизайне баз данных. У меня также есть сертификат CCNA для проектирования сетей и устранения неполадок.
Сообщение Просмотров: 500
report this ad
WhatIsHang
WhatIsHang is yet another crash dump analyzer software for Windows. As its name suggests, it basically analyzes the currently hung processes or applications and returns the crash report in real-time.
It displays the processes which currently stopped responding abruptly, with process name, process ID, thread ID, and process path. To get hang information, simply press F9 key or go to to File > Get Hang Information. In the section below its interface, it displays the full error report which includes remarks, modules found in the stack, execute address, stack data, call stack, processor registers, memory data, etc. You can use strings and dll files information related to hang issues in order to analyze the crash dump better.
The hang information can be saved as CSV, TXT, HTML, or XML file.
WhatIsHang simply shows reports regarding the processes or software being hanged or closed abruptly on your PC. It doesn’t read and view minidump files related to computer crashes.
Windows
Write a Comment
Как анализировать файлы дампа памяти Windows
Существует несколько способов чтения файлов дампа памяти и их анализа. Мы будем использовать сторонние приложения для открытия, чтения и анализа файлов минидампа.
Примечание. Методы и этапы анализа файлов дампа памяти предполагают, что ваш компьютер находится в рабочем состоянии и вы можете установить сторонние инструменты. Если вы не можете получить доступ к своему компьютеру, рекомендуется получить данные файла дампа и проанализировать их в другом месте.
1. Откройте и проанализируйте файлы .dmp с помощью WinDbg Preview
Это созданный Microsoft инструмент разработки, который анализирует и устраняет ошибки в системе. Это также один из наиболее рекомендуемых инструментов. Вот как это использовать:
Шаг 1: Нажмите клавишу Windows на клавиатуре, введите Магазин Майкрософти нажмите Enter.
Шаг 2: В строке поиска введите Предварительный просмотр WinDbgи нажмите Enter.
Шаг 3: Нажмите кнопку «Получить», чтобы установить WinDbg Preview.
Шаг 4: После установки нажмите клавишу Windows на клавиатуре, введите Предварительный просмотр WinDbgи нажмите «Запуск от имени администратора».
Шаг 5: В окне предварительного просмотра WinDbg выберите «Файл» в верхнем меню.
Шаг 6. Выберите «Начать отладку» на левой панели и выберите «Открыть файл дампа» на правой панели.
Шаг 7: Найдите и найдите файл дампа, затем нажмите «Открыть».
Примечание. Последний файл дампа можно найти в корневой папке C:\, C:\minidump или C:\Windows\minidump.
Как только вы откроете файл дампа, WinDbg загрузит файл и запустится. В зависимости от размера файла WinDbg потребуется время для обработки.
Шаг 8: Теперь введите приведенную ниже команду на вкладке команд и нажмите Enter.
! анализировать -v
Эта команда начнет анализ файла дампа. Это может занять несколько минут. После завершения вы должны увидеть результаты в верхнем окне. В результате вы можете устранить ошибку, вызвавшую сбой.
2. Как открыть и проанализировать файлы дампа с помощью BlueScreenView
Как следует из названия, он сканирует и анализирует ошибки BSOD. Он автоматически берет файл дампа каталога Minidump и обрабатывает его. Вот как это установить и запустить.
BlueScreenView автоматически извлекает файлы дампа из вашей системы. Если это не так, перейдите в «Параметры»> нажмите «Дополнительные параметры»> в поле «Загрузить из следующей папки MiniDump» нажмите кнопку «Обзор»> нажмите «ОК».
Шаг 2: Нажмите на файлы дампа, указанные в приложении.
Выбранный файл дампа памяти будет содержать список активных файлов и драйверов. Файл, выделенный красным, будет иметь прямую ссылку на причину ошибки BSOD. Вы можете нажать и устранить проблему.
BlueScreenView полезен только для поиска ошибки, вызывающей BSOD, в отличие от WinDbg, который также позволяет отлаживать проблему. Вы также можете проверить WhoCrashed, который мы подробно рассмотрели. Он также работает так же, как BlueScreenViewer, который помогает сканировать, анализировать и получать отчеты о файлах дампа одним щелчком мыши.
Изучение файла дампа
Существует несколько команд, которые можно использовать для сбора сведений в файле дампа, включая следующие команды:
- Команда отображает код ошибки Stop и ее параметры. Код ошибки Stop также называется кодом проверки ошибок.
- Команда отображает подробные выходные данные.
- Команда выводит список указанных загруженных модулей. Выходные данные включают состояние и путь модуля.
Примечание.
Команда расширения !drivers отображает список всех драйверов, загруженных на конечном компьютере, а также сводные сведения об использовании памяти. Расширение !drivers устарело в Windows XP и более поздних версиях. Чтобы отобразить сведения о загруженных драйверах и других модулях, используйте команду . Команда отображает сведения в формате, аналогичном старому расширению !drivers.
Справку по другим командам и полный синтаксис команд см. в справочной документации по средствам отладки. Справочную документацию по средствам отладки можно найти в следующем расположении:
Примечание.
При наличии проблем, связанных с символами, используйте служебную программу Symchk, чтобы убедиться, что правильные символы загружены правильно. Дополнительные сведения об использовании Symchk см. в разделе «Отладка с символами».
Упрощение команд с помощью пакетного файла
После определения команды, необходимой для загрузки дампов памяти, можно создать пакетный файл для проверки файла дампа. Например, создайте пакетный файл и приведите имя Dump.bat. Сохраните его в папке, в которой установлены средства отладки. Введите следующий текст в пакетном файле:
Чтобы проверить файл дампа, введите следующую команду, чтобы передать путь к файлу дампа в пакетный файл:
Сведения для специалистов поддержки
Ряд фич MiniDumper реализован по просьбам моего коллеги по форуму Petya V4sechkin. Поэтому утилита очень удобна для техподдержки.
Возможности утилиты
MiniDumper работает в Windows 7 (с обновлениями) и более новых ОС. В состав программы входят Debugging Tools for Windows. Все команды, которые передаются отладочной утилите, формируются динамически в зависимости от кода ошибки и результатов предыдущих команд. Помимо !analyze -v MiniDumper:
- Анализирует как обычный стек, так и Raw-стек (командой dps) на предмет сторонних модулей. Raw-стек имеет меньшую достоверность, чем обычный стек, поскольку может содержать не относящиеся к сбою фрагменты предыдущих цепочек вызовов. Но во многих случаях он оказывается полезен (например, когда обычный стек неполон или повреждён).
- Выполняет особую обработку для кодов 0x7A, 0x77 и части 0xF4 (связаны с ошибками дисковой подсистемы), а также для 0x9F.
- Сохраняет журнал отладочных команд в папке с дампом, в том числе сведения о конфигурации (!sysinfo) и информацию о проблемных драйверах (lmvm).
- Выводит сводные результаты анализа по всем обработанным дампам в файл MiniDumper.log, который сохраняется в папке с утилитой (пример).
Отладочная информация
При анализе утилита скачивает отладочную информацию (debug symbols) в %temp%\MiniDumper. После закрытия утилиты папка удаляется автоматически.
Если вы регулярно анализируете дампы, можете задать расположение символов с помощью системных переменных среды:
_NT_SYMBOL_PATH=srv*D:\Symbols*https://msdl.microsoft.com/download/symbols _NT_EXECUTABLE_IMAGE_PATH=srv*D:\Symbols*https://msdl.microsoft.com/download/symbols
Запуск из командной строки
В качестве параметров командной строки MiniDumper принимает путь к дампу или папке с дампами, а также ключ /S для тихого режима (указывается перед путем к папке).
How to Read and Analyze Minidump Files to Troubleshoot System Crashes
In order to view the information inside a minidump file, you’ll first need to open it. Luckily, WinDbg, included with the Windows Driver Kit, is capable of opening and analyzing minidump files in just a few short steps.
- Start by hitting the Windows key on your keyboard, and type “WinDbg” into the search box. If you do not already have the debugging tool installed, you will be redirected to install it.
- Open the Windows Debugger Program by right-clicking it and selecting “Run as Administrator”.
- In the menu bar, select “File,” then “Start Debugging” on the left.
- On the right, select “Open Dump File.”
- Look for the folder containing the desired dump file. As mentioned earlier, the default location for this is “%systemroot%\Minidump.” Double-click on the most recent minidump file. Opening the dmp file may take a few minutes.
- Near the bottom of the debugger window, type “!analyze -v” into the input box and press Enter. This will also take a few minutes to complete.
Now that the file is open, search for the headings labelled “MODULE_NAME” and “IMAGE_NAME.” These headings will indicate what program or driver is causing the problem, and potentially reveal some preliminary steps you can take to start addressing it.
Using a Third-Party App to Analyze and View Minidump (.dmp) Files – BlueScreenView
If you would rather use a third-party application to open the minidump files, then follow the steps below to install and use BlueScreenView.
- Download BlueScreenView from this website link. You will need to choose between the 32-bit and 64-bit option.
- Choose to save the file.
- Head to your downloads folder and right-click the file.
- Extract all of the files to an unzipped folder.
- In the unzipped folder, run the BlueScreenView application file.
- BlueScreenView will now automatically scan your minidump file.
- Crash details will be displayed in a list within the top window pane of BlueScreenView.
- In the lower window pane, you will see associated drivers with the crash.
- Double-click on the driver of the latest crash to see the properties of the errors in a neat table format.
In the table format, you will see the dmp file name, crash time, bug check, bug check code, parameters, which driver caused the crash, file version, and more.
If you want to send an HTML report to a technician for troubleshooting, just right-click the dump file and choose HTML Report – All Items. If this crash occurs regularly, you can save the reports for future debugging by right-clicking the Windows minidump file and choosing Save Selected Items.
How to Analyze Windows Memory Dump Files Using NirSoft BlueScreenView
While WinDbg isn’t included with Windows, it’s produced by Microsoft to troubleshoot BSOD errors. If you’d prefer, however, you can analyze memory dump files from your PC (or from another PC if you have a copy of the relevant dump files) using the older NirSoft BlueScreenView tool.
BlueScreenView may look dated, but it continues to offer all of the relevant information about your BSOD dump files. This includes the stop code name and value (such as DRIVER_IRQL_NOT_LESS_OR_EQUAL) that you can then use to identify the cause.
- To start, download and install the NirSoft BlueScreenView tool on your Windows PC. Once the tool is installed, launch it from the Start menu.
- BlueScreenView will automatically locate any memory dump files from known sources such as C:/ and C:/Windows/minidump. If you want to load a file manually, however, select Options > Advanced Options.
- In the Advanced Options menu, switch to the folder containing your dump files by selecting the Browse button positioned next to the Load from the following MiniDump folder box. To return this to the default location, select Default. Select OK to save your choice and load your files.
- In the main BlueScreenView window, a list of your saved memory dump files will appear. Select one of the files listed to view more information about it. The stop code name will appear in the Bug Check String column, allowing you to research the issue further.
- With the memory dump file selected, a full list of active files and drivers will be listed underneath. Files that are highlighted red will have a direct link to the cause of the BSOD error. For instance, myfault.sys is related to the NotMyFault system testing tool, while ntoskrnl.exe is the Windows system kernel process.
While BlueScreenView is a useful tool for quickly identifying the BSOD error name, it isn’t a full debugging tool like WinDbg. If you can’t troubleshoot the problem using this tool, you’ll need to try WinDbg for a more detailed analysis.
Changing Memory Dump File Settings in Windows Settings
Memory dump files are created automatically, but you can set the level of detail included in a memory dump file in Windows Settings. This will only work for BSODs that occur after changing this setting, but if your PC is having problems, you can follow these steps to add additional information to the dump files.
- To start, right-click the Start menu and select Settings.
- In the Settings menu, select System > About. In the Related settings panel, in the System > About menu, select the Advanced system settings option.
- In the System Properties menu, select the Settings option listed in the Startup and Recovery section at the bottom.
- To change the level of detail recorded by memory dump files when a BSOD occurs, select one of the available options using the Write debugging information drop-down menu in the Startup and Recovery window. Full information on what is included in each memory dump is available at the Microsoft documentation website. Select OK > OK to save your choice.
You may need to restart your PC after making this change to ensure the setting is applied. Any future BSOD errors that occur will generate a memory dump file containing the level of information you selected above.
Заключение
QR-код с синего или зеленого экрана ведет в статью базы знаний, а там лишь общие рекомендации. Впрочем, недавно Microsoft опубликовала документацию по диагностике BSOD, где приводятся более конкретные советы для некоторых распространенных кодов ошибок, а также базовые инструкции по работе с WinDbg.
MiniDumper полностью автоматизирует анализ, упрощая задачу обычным пользователям и экономя время специалистам. Рекомендую!
Как вы анализируете BSOD?
- BlueScreenView (40%, голосов: 190)
- Ищу в интернете код ошибки (40%, голосов: 187)
- Windbg (6%, голосов: 29)
- Критических ошибок не возникает (5%, голосов: 23)
- MiniDumper (4%, голосов: 17)
- kdfe.cmd (3%, голосов: 12)
- Другое / Моего варианта тут нет (3%, голосов: 12)
- Сразу обращаюсь в форум (0%, голосов: 2)
Проголосовало: 472
Загрузка …