Где хранится minidump windows 10

Содержание

Как прочитать аварийный дамп памяти Windows (MEMORY.DMP)?

SDK (software development kit) — это набор средств разработки, который позволяет специалистам по программному обеспечению создавать приложения для определённого пакета программ, программного обеспечения базовых средств разработки, аппаратной платформы, компьютерной системы, игровых консолей, операционных систем и прочих платформ.

Установка утилиты Debugging Tools for Windows из набора Software Development Kit (SDK)

1. Запустить установочный файл на компьютере на котором будет проводиться анализ аварийного дампа памяти MEMORY.DMP 2. Выбрать путь установки и 2 раза нажатьNext


3. Принять лицензионное соглашение 4. В окне выбора набора устанавливаемых утилит выбратьDebugging Tools for Windows (остальные пункты для анализа дампа памяти не понадобятся) и нажатьInstall


5. По завершении установки нажатьClose


Утилита Debugging Tools for Windows установлена.

Анализ аварийного дампа памяти MEMORY.DMP

1. Запускаем установленную утилиту WinDbg и в меню File выбираемOpen Crash Dump


2. В окне открытия файла переходим к пути размещения файла MEMORY.DMP и открываем его 3. После изучения заголовков переходим по кликабельной ссылке: !analyze -v или вводим эту команду вручную


4. Ожидаем некоторое время, которое потребуется утилите на чтение файла и поиск ошибок 5. Анализируем информацию о процессе, который вызвал аварийное завершение работы Windows


Используя полученную информацию, можно понять, какой из процессов вызвал аварийное завершение ОС. Если указанный процесс принадлежить производителю ПО, то можно обратиться к нему с соответствующим кейосм.

Шаг 2 — Анализ дампов с помощью утилиты MinDumper

Рассказ об утилите вы найдете в этой статье .

  1. Загрузите и установите Debugging Tools for Windows. Они входят в состав веб-установщика Windows SDK , где после запуска в нужно выбрать Debugging Tools в разделе Common Utilities.
  2. Загрузите сценарий (kdfe.cmd), который написал Александр Суховей и опубликовал на ресурсе sysadmins.ru (поскольку живую ссылку мне там найти не удалось, предлагаю свою). Распакуйте архив в любую папку.Примечание. В случае нестандартного расположения папки Program Files вам может потребоваться указать в kdfe.cmd путь к папке, в которую установлены средства Debugging Tools for Windows. Используйте переменную dbgpath в строке 41.

Что делать при появлении ошибки «dumping physical memory to disk»

Проверка целостности системных файлов и корректности работы жёсткого диска

Это стандартный алгоритм проверки работы системы, который даже если не решит основную проблему, то поможет избавиться от мелких системных сбоев.

Утилита «sfc/scannow» предназначена для выявления повреждённых и отсутствующих системных файлов, с их последующим восстановлением.

Для её активации сделайте следующее:

  • Нажмите «Пуск» и в строке поиска введите «».
  • Кликните правой кнопкой мышки по найденному результату и выберите «Запустить от имени администратора».
  • В открывшейся консоли командной строки введите и выполните команду «sfc/scannow».
  • Дождитесь завершения сканирования и просмотрите отчёт утилиты.

Утилита «CHKDSK» предназначена для проверки физических носителей на наличие имеющихся ошибок и их автоматического исправления:

  • Аналогичным образом запустите консоль командной строки.
  • Введите и выполните команду «CHKDSK f/ r/» — параметр «f/» указывает на автоматический поиск и исправление ошибок, параметр «r/» — сканирует жёсткий диск на наличие повреждённых секторов и автоматически их исправляет.
  • Процесс может занять длительное время, поэтому наберитесь терпения и не прерывайте работу утилиты.

Анализ и переустановка графического драйвера

В продолжение темы физической неисправности видеокарты, следует проверить её работу на наличие программных ошибок (в виде некорректно работающих драйверов программного обеспечения).

Если версия драйвера актуальна, то, возможно, причиной возникновения сбоя «dumping physical memory to disk» стала его некорректная установка.

Проверить это можно следующим образом:

  • Нажмите комбинацию клавиш «WIN+R» и выполните «».
  • В открывшемся окне «Диспетчер устройств» разверните строку/раздел «Видеоадаптеры».
  • Кликните правой кнопкой мышки по найденному устройству и выберите «Свойства».
  • Перейдите на вкладку «Драйвер» и нажмите на кнопку «Удалить».

Здесь возможно два варианта дальнейших действий:

  1. Перезагрузить компьютер и предоставить операционной системе «карт бланш» на самостоятельную установку драйвера графического адаптера.
  2. Воспользоваться специализированным программным обеспечением (DriverPack или Driver Booster) для самостоятельной полуавтоматической установки необходимых драйверов.

Анализ работы оперативной памяти

Как и с работой графического адаптера, так и в работе оперативной памяти возможны ошибки, которые также необходимо выявить на программном уровне.

Делается это достаточно просто:

  • Наиболее популярная и качественная программа для диагностики работы оперативной памяти является «Memtest». Для работы вам потребуется скачать и записать образ программы на загрузочный носитель, с которого и будет осуществляться тестирование.
  • Далее потребуется просто загрузиться с носителя (используя «Boot Menu» или установив соответствующий приоритет загрузки в BIOS) и начать работу с «Memtest».
  • После загрузки с носителя сканирование и тестирование начнётся автоматически.
  • Остаётся набраться терпения, так как сканирование займёт длительное время (это часы тестирования для каждой планки оперативной памяти).

Если по завершению работы «Memtest» внизу активного окна будет предоставлено уведомление «Pass complete, no errors, press Esc to Exit», то программа не обнаружила неисправных блоков.

Как анализировать синий экран смерти

Копируем с компьютера где выскочил синий экран, файл memory.dmp или minidump, и открываем его, выбираем в меню File > Open Crash Dump… и выбираем требуемый для рассмотрения файл.

Как анализировать синий экран смерти-01

Выбираем для примера minidump

Как анализировать синий экран смерти-открываем minidump

Начнется анализ минидампа, видим появилась ссылка на ошибку, щелкаем по ней для более детальной информации о синем экране.

Как анализировать синий экран смерти-03

И видим сбойное приложение которое крушит вашу систему, так же можно еще детальнее посмотреть в чем дело, ткнув ссылку.

Как анализировать синий экран смерти-04

Получите более детальную информацию по причине синего экрана.

Как анализировать синий экран смерти-05

Если открыть memory.dmp то вы получите подобную картину и видим почему синий экран у вас появился.

Как анализировать синий экран смерти-06

Как анализировать синий экран смерти-07

Вот так вот просто диагностировать и устранить синий экран смерти.

Файл дампа памяти сохраняется при возникновении ошибок СТОП (или Голубых экранов смерти, BSOD). Посмотрим как настраивается сохранение дампа памяти в Windows 7.

Нажимаем правой кнопкой мыши значек Компьютер (Computer) в контекстном меню выбираем Свойства (Properties).

В левой колонке выбираем Дополнительные параметры системы (Advanced system settings).

В окне Системные параметры (System Properties) выбираем вкладку Дополнительно (Advanced), в секции Загрузка и Восстановление (Startup and Recovery) нажимаем Параметры (Settings).

В окне Загрузка и восстановление (Startup and Recovery) мы настраиваем расположение дампа файла и его имя, а также другие параметры, связанные с загрузкой и восстановлением системы.

Прописываем путь к файлу в текстовом поле Файл дампа (Dump file).

%SystemRoot% – переменная окружения, которая заменяется системой на полный путь к папке Windows, в которой находятся системные файлы.

Нажимаем OK для сохранения настроек (если были произведены изменения).

Попутно, вы можете снять флажок с чекбокса Выполнить автоматическую перезагрузку, если не хотите, чтоб компьютер автоматически перезагружался, а давал возможность записать сведения об ошибке, которая привеле к появлению синего экрана. Подробнее смотрите в статье: Cиний экран смерти: Как отключить автоматическую перезагрузку

Чтение файлов малого дампа памяти (dmp)

Небольшой файл дампа памяти записывает наименьший набор полезной информации, которая может помочь вам точно определить причину сбоя или неожиданной остановки приложения. Более новая версия Windows автоматически создает новый файл каждый раз, когда ваш компьютер неожиданно останавливается. История, связанная с этими файлами, хранится в папка. Тип файла дампа содержит следующую информацию:

  1. Сообщение Stop, его параметры и другие данные
  2. Список загруженных драйверов
  3. Контекст процессора (PRCB) для процессора, который остановился.
  4. Информация о процессе и контекст ядра (EPROCESS) для процесса, который остановился.
  5. Информация о процессе и контекст ядра (ETHREAD) для остановившегося потока.
  6. Стек вызовов режима ядра для остановившегося потока.

Пользователи могут использовать Отладчик Windows (WinDbg.exe) инструмент для чтения небольших файлов дампа памяти. Он (WinDbg) входит в состав последней версии пакета Debugging Tools for Windows.

Вы можете установить инструменты отладки как отдельный компонент из Windows Software Development Kit (SDK).

Во время установки, когда появится мастер установки SDK, установите флажок напротив Инструменты отладки для Windows. Это действие позволит вам установить инструменты отладки как отдельный компонент из пакета разработки программного обеспечения Windows (SDK).

После настройки отладчика Windows откройте дамп, выбрав Открыть аварийный дамп вариант из Файл меню или нажав CTRL + D.

Когда на экране компьютера появится диалоговое окно Open Crash Dump, введите полный путь и имя файла аварийного дампа в поле Имя файла или используйте диалоговое окно, чтобы выбрать правильный путь и имя файла.

Теперь, когда выбран правильный файл, выберите Открыть.

Подождите несколько секунд, чтобы файл дампа загрузился, когда он подключается к Интернету и загружает необходимые символы для отображения в считывании.

Debugee не подключен

Продолжение: MachineOwner.

Введите команду на панели команд в нижней части окна дампа, чтобы проанализировать файл дампа. Вы должны увидеть ссылку, в которой говорится под Анализ ошибок.

После этого подробный анализ проверки ошибок должен занять место на экране.

После выполнения команда ‘! Analysis’ определит инструкцию, которая, вероятно, вызвала ошибку, и отобразит ее в поле FOLLOWUP_IP.

  • SYMBOL_NAME — показать символ
  • MODULE_NAME — отображает модуль
  • IMAGE_NAME — отображает имя изображения
  • DEBUG_FLR_IMAGE_TIMESTAMP — показывает временную метку изображения, соответствующую этой инструкции

Примите необходимые меры для решения проблемы!

  • Вы также можете используйте инструмент командной строки Dumpchk.exe, чтобы проверить файл дампа памяти.
  • Кроме того, вы можете использовать WhoCrashed Home Edition для проверки ошибок одним щелчком мыши. Инструмент выполняет посмертный анализ аварийных дампов дампов памяти Windows и представляет всю собранную информацию в понятной форме.

Надеюсь, это поможет!

Связанные чтения:

  1. Настройки дампа памяти Windows
  2. Ограничения физической памяти в файлах аварийного дампа
  3. Настройте Windows 10 для создания файлов аварийного дампа на синем экране
  4. Контролируйте количество файлов дампа памяти, которые Windows создает и сохраняет.

Настройка сервера отладочных символов в WinDBG

Отладочные символы (debug-символы или symbol files) – это блоки данных, генерируемые в процессе компиляции программы совместно с исполняемым файлом. В таких блоках данных содержится информация о именах переменных, вызываемых функциях, библиотеках и т.д. Эти данные не нужны при выполнении программы, но полезные при ее отладке. Компоненты Microsoft компилируются с символами, распространяемыми через Microsoft Symbol Server.

Настройте WinDBG на использование Microsoft Symbol Server:

  • Откройте WinDBG;
  • Перейдите в меню File
    –> Symbol File Path;
  • Пропишите строку, содержащую URL для загрузки символов отладки с сайта Microsoft и папку для сохранения кэша: SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols В примере кэш загружается в папку E:\Sym_WinDBG, можете указать любую.
  • Не забывайте сохранить изменения в меню File
    –> Save WorkSpace;

WinDBG произведет поиск символов в локальной папке и, если не обнаружит в ней необходимых символов, то самостоятельно загрузит символы с указанного сайта. Если вы хотите добавить собственную папку с символами, то можно сделать это так:

SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols;c:\Symbols

Если подключение к интернету отсутствует, то загрузите предварительно пакет символов с ресурса Windows Symbol Packages .

Как настроить дамп памяти в Windows 10?

Для того чтобы настроить аварийный дамп памяти Windows 10 необходимо придерживаться следующих действий:

1. Правой кнопкой мыши кликаем на пуск Windows 10. В появившемся контекстном меню выбираем пункт «Система».

2. В окне «Система» в верхнем углу слева выбираем «Дополнительные параметры системы».

Тут и происходит настройка аварийного дампа памяти Windows 10.

Настраивая дамп памяти можно не пренебрегать следующими рекомендациями:

— Поставить галочку на «заменить существующий файл дампа». Учитывая тот факт, что данные могут весить десятки, а то и сотни гигабайт — это очень полезно для небольших жёстких дисков;

— Запись отладочной информации. Эта функция позволит выбрать вид дамп файла;

— Выполнить автоматическую перезагрузку. Продолжение работы, после возникшей ошибки;

— Запись события в системный журнал. Информация о системном сбое будет добавлена в логи операционной системы.

Дамп памяти Windows 10 является удобным и действительно работающим методом страховки системных данных.

Зная «врага в лицо» его будет в разы проще найти и ликвидировать. Дамп памяти Windows 10 позволит выявить причину системного сбоя и скорректировать действия по ликвидации ошибки, значительно уменьшив радиус усилий и работ.

По большому счету, вас, как пользователя, дамп памяти интересовать не должен. Это всего лишь информация о сбое системы, которая в идеале должна посылаться разработчикам Microsoft для поиска и исправления критических ошибок. Если вы не планируете заниматься подобной благотворительностью, тогда можете дамп отключить.

То, что вы отключите дамп памяти, никак не повлияет на быстродействие системы. Когда вы пользуетесь компьютером, система к дампу не обращается, будь он включен или нет. Запись происходит только тогда, когда Windows «довели» до BSOD (синий экран). Длится она от силы пару секунд.

Виды дампа

Для общего развития ознакомимся с видами дампа. Их есть три: малый дамп, дамп ядра и большой . Малый дамп хранит самую главную информацию о проблеме. Разработчикам буквально приходится собирать ее по крупицам. Для малого дампа нужно выделить 2 Мб виртуальной памяти (файл подкачки).

Дамп ядра – самый распространенный вид дампа. Обычно именно эта опция задана по умолчанию. Записывает он в себя всю память, которая выделена на ядро, – состояние рабочих драйверах и данные о аппаратно-зависимом уровне. Для него нужно выделить около 30 % от общего объема ОЗУ. Например, если у вас 2 Гб DDR, значит выделяйте около 700 Мб для файла подкачки.

Полный дамп записывает все содержимое ОЗУ. Соответственно, чтобы он работал придется наделить файл подкачки таким же объемом, как ОЗУ. Нужен полный дамп для режима гибернации, когда все данные с ОЗУ загружаются на жесткий диск.

В Windows 7 параметры дампа запрятаны довольно глубоко. Введите в строе поиска в меню «Пуск » слово «система », например.

Настраиваем дамп памяти windows 10

И так, что же такое дамп памяти в операционной системе Windows 10 Redstone. Выше я вам описал, очень частую причину при которой появляется дамп памяти системы и это синие экраны смерти. Причины их появления очень обширны:

  • Не совместимость приложений
  • Не совместимость драйверов
  • Новые обновления Windows
  • Не совместимость устройств

Это лишь маленький обобщенный список, так как кодов ошибок от синих экраном, целая тьма, приведу самые последние из них.

Ошибка 0x000000d1 в Windows 10 или например ошибка STOP 0x00000050, их можно продолжать часами

Наша с вами задача, уметь найти эти файлы для диагностики и уметь их интерпретировать, для получения информации о проблеме.

Где настраивается аварийный дамп памяти windows 10

Для начала давайте разберемся, где производится настройка, которая отвечает за аварийный дамп памяти windows 10. Щелкаете правым кликом по кнопке пуск Windows 10 и из контекстного меню выбираете пункт Система.

В открывшемся окне Система, вы в левом верхнем углу выбираете Дополнительные параметры Системы.

Именно тут и настраивается дамп памяти windows 10.  жмем пункт параметры в Загрузка и восстановление.

Из настроек, дампа памяти windows 10, хочу отметить следующие:

  • Запись события в системный журнал > тут информация о синем экране будет добавлена в логи операционной системы.
  • Выполнить автоматическую перезагрузку > чтобы продолжить после ошибки работу
  • Запись отладочной информации > позволяет выбрать вид дамп файла, об этом ниже.
  • Заменить существующий файл дампа, полезная галка, так как данные дампы могут весить десятки гигабайт, очень критично для маленьких ссд дисков.

Виды дампов памяти

Давайте рассмотрим, чем же отличаются варианты записи отладочной информации

Малый дамп памяти 256 кб: Файлы малого дампа памяти содержат следующие сведения:

– сообщение о неустранимой ошибке, ее параметры и прочие данные;

– список загруженных драйверов;

– контекст процессора (PRCB), на котором произошел сбой;

– сведения о процессе и контекст ядра (EPROCESS) для процесса, вызвавшего ошибку;

– сведения о процессе и контекст ядра (ETHREAD) для потока, вызвавшего ошибку;

– стек вызовов в режиме ядра для потока, вызвавшего ошибку.

Его используют, когда у вас очень мало дискового пространства на вашем локальном диске. За счет этого мы жертвуем полезной информацией, которой может не хватить для диагностики синего экрана.

Хранится мини дамп по пути C:WindowsMinidump

  • Дамп памяти ядра > записывает только память ядра. В зависимости от объема физической памяти ПК в этом случае для файла подкачки требуется от 50 до 800 МБ или одна треть физической памяти компьютера на загрузочном томе.
  • Полный дамп памяти > ну тут и так все понятно из названия. Пишет абсолютно все, это максимальная информация о синем экране, дает сто процентную диагностику проблемы.

Располагается по пути C:WindowsMemory.dmp

Активный дамп памяти > сюда попадает активная память хостовой машины, это функция больше для серверных платформ, так как они могут использоваться для виртуализации, и чтобы в дамп не попадала информация о виртуальных машинах, придумана данная опция.

Я советую оставлять полный дамп памяти.

Теперь когда у вас появится синий экран, то дамп памяти windows 10, вы будите искать в папке C:Windows.

Анализ аварийного дампа памяти в WinDbg

Перед анализом memory dump необходимо выполнить некоторые настройки. Для работ с софтом понадобится пакет символов отладки Debugging Symbols, загруженный с учётом версии и разрядности системы.

Можно настроить извлечение утилитой символов из интернета, что безопасно, поскольку используется официальный ресурс компании Майкрософт.

Ассоциирование файлов .dmp с WinDbg

Для того чтобы объекты при нажатии на них открывались посредством утилиты:

  1. В консоли командной строки, запущенной от имени администратора (например, через меню Пуск) выполняем команды (зависимо от разрядности ОС):

cd C:Progran Files (x86) Windows Kits10Debuggersx64 exe –IA

Или (для 32-разрядной Виндовс):

cd C:Progran Files (x86) Windows Kits10Debuggersx86 exe –IA

Теперь файлы типов .DMP, .HDMP, .MDMP, .KDMP, .WEW будут ассоциироваться с приложением.

Настройка сервера отладочных символов

Отладочные символы, которые генерируются в процессе компиляции приложения вместе с исполняемым файлом, нужны при отладке. Настраиваем WinDbg на извлечение символов из сети:

  • в окне WinDbg жмём «File» и выбираем «Symbol Fie Path…» или жмём Ctrl+S;
  • указываем путь для загрузки, прописав строчку:

применяем корректировки нажатием «File» – «Save Workspace».

Анализ memory dump в WinDbg

Чтобы перейти к процедуре, открываем объект в утилите (File – Open Crash Dump) или, если предварительно настраивались ассоциации файлов, открываем элемент щелчком мыши. Утилита начнёт анализировать файл, затем выдаст результат.

В окне предполагается ввод команд. Запрос «!analyze –v» позволит получить более детальные сведения о сбое (STOP-код, имя ошибки, стек вызовов команд, приведших к проблеме и другие данные), а также рекомендации по исправлению. Для остановки отладчика в меню программы жмём «Debug» – «Stop Debugging».

Настройка дампа памяти в Windows 10/8/7.

в Windows 7/8/10 07.09.2017 0 4,916 Просмотров

В Windows 8, Microsoft представила новый дамп памяти – опция автоматического дампа памяти. Этот параметр в операционной системе установлен по умолчанию. В Windows 10 ввели новый тип файла дампа – активный дамп памяти. Для тех, кто не знает, в Windows 7 у нас есть малый дамп, дамп ядра и полный дамп памяти. Вы можете удивиться, почему Microsoft решила создать этот новый параметр дамп памяти? По словам Роберта Симпкинса, старшего инженера поддержки, автоматический дамп памяти, может создать поддержку для страницы “системы” в файле конфигурации. Система управления конфигурацией файла подкачки отвечает за управление размером файла подкачки – это позволяет избежать излишнего запаса или размера файла подкачки. Эта опция введена в основном для ПК, которые работают на SSD-дисках, которые, как правило, имеют меньший размер, но огромное количество оперативной памяти.

Параметры дампа памяти

Главное преимущество “Автоматический дамп памяти” заключается в том, что это позволит сеансу подсистемы в диспетчере процессов автоматически уменьшить файл подкачки до размера, меньшего, чем размер оперативной памяти. Для тех, кто не знает, сессия диспетчера подсистемы отвечает за инициализацию системы, среду запуска служб и процессов, которые необходимы для входа пользователя в систему. Он в основном устанавливает страницу файлов в виртуальную память и запускает процесс winlogon.exe.

Если вы хотите изменить параметры автоматического дампа памяти, вот как это можно сделать. Нажмите клавиши Windows + X и выберите – Система. Далее нажмите на кнопку “Дополнительные параметры системы – Advance System Settings”.

Нажмите на кнопку Дополнительные параметры системы.

Здесь вы можете увидеть выпадающее меню, где написано “Дополнительно”.

Здесь вы можете выбрать нужный вариант. Предлагаемые варианты:

Никаких дампов памяти. Малый дамп памяти. Дамп памяти ядра. Полный дамп памяти. Автоматический дамп памяти. Добавлены в Windows 8. Активный дамп памяти. Добавили в Windows 10. Расположение файла дампа памяти в файле %SystemRoot%\MEMORY.DMP.

Если вы используете SSD диск, то лучше оставить его на “Автоматический дамп памяти”; но если вы нуждаетесь в файле аварийного дампа, то лучше установить его на “малый дамп памяти”, с ним вы можете, если вы хотите, отправить его кому-то, чтобы он мог взглянуть на него.

В некоторых случаях вам, возможно, потребуется увеличить размер файла подкачки больше, чем оперативная память, чтобы он мог соответствовать полному дампу памяти. В таких случаях, вам нужно создать ключ реестра:

он называется “LastCrashTime”.

Это автоматически увеличит размер файла подкачки. Чтобы уменьшить его, позже, вы можете просто удалить этот ключ.

В Windows 10 ввели новый файл дампа активный дамп памяти. Он содержит только самое необходимое и, следовательно, он меньшего размера.

У меня нет возможности протестировать его, но я создал этот ключ и выполнил мониторинг размера файла подкачки. Я знаю, что рано или поздно я получу критическую ошибку. Тогда я буду проверять его.

Вы можете проанализировать дамп памяти Windows.dmp файлов с помощью WhoCrashed. Утилита WhoCrashed Home бесплатная, в ней представлены драйверы, которые были врезаны в ваш компьютер с помощью одного клика. В большинстве случаев она может определить не исправный драйвер, который причиняют страдания вашему компьютеру. Это краш-дамп анализа системы, дампы памяти и здесь представлена вся собранная информация в доступной форме.

Как правило, набор инструментов отладки открывает аварийный дамп анализа. С помощью этой утилиты вам не нужны никакие знания и навыки отладки, чтобы выяснить, какие драйверы вызывают проблемы на вашем компьютере.

WhoCrashed полагается на пакет отладки (программы windbg) от Microsoft. Если этот пакет не установлен, WhoCrashed будет сама скачивать и автоматически извлечёт этот пакет для вас. Просто запустите программу и нажмите на кнопку Анализ. Когда у вас есть WhoCrashed установленный в системе и, если он неожиданно сбрасывает или закрывается, программа даст вам знать, если аварийный дамп включен на вашем компьютере, и она будет предлагать Вам предложения о том, как их включить.

Решение

Если Вы один из тех, кто, столкнувшись с ошибкой «Memory_Management», может загрузиться на рабочий стол, хотя бы в безопасном режиме, то перед тем, как приступить к выполнению вышеописанных вариантов, следует потратить время на создание точки восстановления.

Сделать это можно следующим образом:

  • Откройте «Этот компьютер» и кликом правой кнопкой по пустому месту открывшегося окна вызовите «Свойство»;
  • Далее, откройте раздел «Защита системы»;
  • Если кнопка «Создать» у вас неактивна, то нажмите на кнопку «Настроить»;
  • Установите флажок в строке «Включить защиту системы», и используя ползунок отмерьте максимальный объём свободного пространства, которые вы предоставите системе восстановления для хранения необходимых ей файлов;
  • Вернувшись к предыдущему окну, нажмите на кнопку «Создать»;
  • Введите название создаваемой точки восстановления;
  • Дождитесь появления окна, сигнализирующего об успешном создании точки восстановления и закройте окно «Свойства системы», нажав на кнопку «ОК».

Подробнее о том, как создать точку восстановления мы писали в статье: Как создать образ системы Windows 10

Теперь имея данную «страховку» следует приступить к подтверждению наличия обозначенных выше причин.

Как уже неоднократно говорилось, драйверы вместе с файлами библиотеки динамической компоновки (.dll) наиболее подвержены различным сбоям.

Поэтому первое на что стоит обратить внимание – это проверка корректности используемого драйверного обеспечения операционной системы. Для этого сделайте следующее:. Для этого сделайте следующее:

Для этого сделайте следующее:

  • Нажмите сочетание клавиш «WIN+R» и выполните команду «verifier»;
  • Перед вами откроется окно штатной утилиты «Диспетчер проверки драйверов»;
  • Из представленных вариантов выберите пункт «Создать нестандартные параметры (для кода программ)» и нажмите «Далее»;
  • Откроется список параметров диагностики, среди которых необходимо найти и отметить галочкой:
    • «Особый пул»;
    • «Отслеживание пула»;
    • «Обязательная проверка IRQL»;
    • «Обнаружение взаимоблокировок»;
    • «Проверки безопасности»;
    • «Проверка соответствия требованиям DDI»;
    • «Прочие проверки».
  • В следующем шаге отметьте «Выбрать имя драйвера из списка» и дождитесь завершения загрузки информации;
  • Полученные результаты отсортируйте по столбцу «Поставщик» и отметьте галочкой все варианты, которые поставляются не компанией «Microsoft»;
  • Нажмите на кнопку «Готово» и перезагрузите компьютер, для инициирования созданной проверки.

Следует учитывать, что данная проверка будет запускаться автоматически до момента её отключения. Но если в результате проверки будут найдены ошибки, препятствующие входу, то система может выдать «BSOD» и уйти в циклическую перезагрузку, что будет продолжаться до бесконечности.

Если в вашем случае ситуация развивается именно таким образом, то во время очередного старта Windows постоянно нажимайте на клавишу «F8» и далее:

  • Выберите раздел «Диагностика»;
  • Далее «Дополнительные параметры» — «Восстановление при загрузке» — «Перезагрузить»;
  • Отметьте параметр «Безопасный режим с поддержкой командной строки»;
  • Дождитесь появления консоли командной строки и поочерёдно выполните две команды:
    • «verifier /reset» — для деактивации автоматической диагностики драйверов;
    • «shutdown -r -t 0» — для инициирования перезагрузки компьютера.

Альтернативным вариантом является использования ранее созданной точки восстановления , для отката конфигурации системы до активации проверки драйверов.

На этом список дел не заканчивается. Отключенная утилита диагностики по факту своей работы создала определённый файл, который находится в папке «C:\windows\ minidump». В нём содержится прямое указание на драйверы, имеющие в своей структуре какие-либо ошибки.

Открыть файл с подобным форматом можно и средствами операционной системы с помощью официальной утилиты «Debugging Tools for Windows», которая доступна для скачивания на официальном сайте «Microsoft», но выводимая информация будет сложна для восприятия.

Поэтому лучшим вариантом будет воспользоваться сторонним специализированным программным обеспечением, например, «BlueScreenView». Программа распознает файл дампа памяти и выведет информацию в максимально понятной интерпретации, выделив сбойный драйвер розовым цветом.

Останется только удалить «виновника» и провести его ручное обновление/установку, скачав с официального сайта разработчиков.

Установка WinDBG в Windows

Утилита WinDBG входит в «Пакет SDK для Windows 10» (Windows 10 SDK). Скачать можно здесь.

Файл называется winsdksetup.exe, размер 1,3 МБ.

WinDBG для Windows7 и более ранних систем включен в состав пакета «Microsoft Windows SDK for Windows 7 and .NET Framework 4». Скачать можно здесь.

Запустите установку и выберите, что именно нужно сделать – установить пакет на этот компьютер или загрузить для установки на другие компьютеры. Установим пакет на локальный компьютер.

Можете установить весь пакет, но для установки только инструмента отладки выберите Debugging Tools for Windows.

После установки ярлыки WinDBG можно найти в стартовом меню.

Анализ аварийного дампа памяти в WinDBG

Отладчик WinDBG открывает файл дампа и загружает необходимые символы для отладки из локальной папки или из интернета. Во время этого процесса вы не можете использовать WinDBG. Внизу окна (в командной строке отладчика) появляется надпись Debugee not connected.

Команды вводятся в командную строку, расположенную внизу окна.

Самое главное, на что нужно обратить внимание – это код ошибки, который всегда указывается в шестнадцатеричном значении и имеет вид 0xXXXXXXXX (указываются в одном из вариантов — STOP: 0x0000007B, 02.07.2019 0008F, 0x8F). В нашем примере код ошибки 0х139. Полный справочник ошибок можно посмотреть здесь.

Полный справочник ошибок можно посмотреть здесь.

Отладчик предлагает выполнить команду !analyze -v, достаточно навести указатель мыши на ссылку и кликнуть. Для чего нужна эта команда?

  • Она выполняет предварительный анализ дампа памяти и предоставляет подробную информацию для начала анализа.
  • Эта команда отобразит STOP-код и символическое имя ошибки.
  • Она показывает стек вызовов команд, которые привели к аварийному завершению.
  • Кроме того, здесь отображаются неисправности IP-адреса, процессов и регистров.
  • Команда может предоставить готовые рекомендации по решению проблемы.

Основные моменты, на которые вы должны обратить внимание при анализе после выполнения команды !analyze –v (листинг неполный). 1: kd>. 1: kd>

1: kd>

Символическое имя STOP-ошибки (BugCheck)Описание ошибки (Компонент ядра повредил критическую структуру данных. Это повреждение потенциально может позволить злоумышленнику получить контроль над этой машиной):

Аргументы ошибки:

Счетчик показывает сколько раз система упала с аналогичной ошибкой:

Основная категория текущего сбоя:

Код STOP-ошибки в сокращенном формате:

Процесс, во время исполнения которого произошел сбой (не обязательно причина ошибки, просто в момент сбоя в памяти выполнялся этот процесс):

CURRENT_IRQL: 2

Расшифровка кода ошибки: В этом приложении система обнаружила переполнение буфера стека, что может позволить злоумышленнику получить контроль над этим приложением.

Последний вызов в стеке:

Стек вызовов в момент сбоя:

Участок кода, где возникла ошибка:

Имя модуля в таблице объектов ядра. Если анализатору удалось обнаружить проблемный драйвер, имя отображается в полях MODULE_NAME и IMAGE_NAME:

1: kd>

В приведенном примере анализ указал на файл ядра ntkrnlmp.exe. Когда анализ дампа памяти указывает на системный драйвер (например, win32k.sys) или файл ядра (как в нашем примере ntkrnlmp.exe), вероятнее всего данный файл не является причиной проблемы. Очень часто оказывается, что проблема кроется в драйвере устройства, настройках BIOS или в неисправности оборудования.

Если вы увидели, что BSOD возник из-за стороннего драйвера, его имя будет указано в значениях MODULE_NAME и IMAGE_NAME.

Например:

Откройте свойсва файла драйвера и проверьте его версию. В большинстве случаев проблема с драйверами решается их обнвовлением.