System-Dump. So ermitteln Sie mithilfe eines Speicherauszugs den Treiber, der den BSOD verursacht. Manuelles Erstellen eines Speicherauszugs

💖 Gefällt es dir? Teilen Sie den Link mit Ihren Freunden
0

Wenn ein schwerwiegender Fehler erkannt wird, erstellen alle Windows-Systeme einen Crash-Dump (Snapshot) des Inhalts Arbeitsspeicher und speichert es auf Ihrer Festplatte. Es gibt drei Arten von Speicherauszügen:

Vollständiger Speicherauszug – speichert den gesamten Inhalt des RAM. Die Bildgröße entspricht der Größe von RAM + 1 MB (Header). Wird sehr selten verwendet, da auf Systemen mit viel Speicher die Dump-Größe zu groß ist.

Kernel-Speicherauszug – speichert nur RAM-Informationen, die sich auf den Kernel-Modus beziehen. Informationen zum Benutzermodus werden nicht gespeichert, da sie keine Informationen über die Ursache des Systemabsturzes enthalten. Die Größe der Dump-Datei hängt von der Größe des RAM ab und variiert zwischen 50 MB (für Systeme mit 128 MB RAM) und 800 MB (für Systeme mit 8 GB RAM).

Kleiner Speicherauszug (Mini-Dump) – enthält eine relativ kleine Menge an Informationen: einen Fehlercode mit Parametern, eine Liste der zum Zeitpunkt des Systemabsturzes in den RAM geladenen Treiber usw., aber diese Informationen reichen aus, um den fehlerhaften Treiber zu identifizieren . Ein weiterer Vorteil dieser Dump-Art ist die geringe Dateigröße.

Systemkonfiguration

Um den Treiber zu identifizieren, der es verursacht hat, reicht es aus, einen kleinen Speicherauszug zu verwenden. Damit das System bei einem Absturz einen Mini-Dump speichert, müssen Sie folgende Schritte durchführen:

Für Windows XP Für Windows 7
  1. Mein Computer Eigenschaften
  2. Gehen Sie zur Registerkarte Zusätzlich;
  3. Optionen;
  4. Auf dem Feld Debug-Informationen schreiben wählen Kleiner Speicherauszug (64 KB).
  1. Klicken Sie mit der rechten Maustaste auf das Symbol Computer aus Kontextmenü wählen Eigenschaften(oder die Tastenkombination Win+Pause);
  2. Klicken Sie im linken Menü auf den Eintrag Zusätzliche Optionen Systeme;
  3. Gehen Sie zur Registerkarte Zusätzlich;
  4. Im Feld „Download und Wiederherstellung“ müssen Sie auf die Schaltfläche klicken Optionen;
  5. Auf dem Feld Debug-Informationen schreiben wählen Kleiner Speicherauszug (128 KB).

Nachdem alle Manipulationen abgeschlossen sind, wird nach jedem BSoD eine Datei mit der Erweiterung .dmp im Ordner C:\WINDOWS\Minidump gespeichert. Ich rate Ihnen, das Material „“ zu lesen. Sie können auch das Kontrollkästchen „ Ersetzen vorhandene Datei entsorgen" In diesem Fall wird jeder neue Crash-Dump über den alten geschrieben. Ich empfehle nicht, diese Option zu aktivieren.

Analysieren eines Crash-Dumps mit BlueScreenView

Nachdem der Blue Screen of Death erschien, speicherte das System einen neuen Crash-Memory-Dump. Um den Dump zu analysieren, empfehle ich die Verwendung des BlueScreenView-Programms. Es kann kostenlos heruntergeladen werden. Das Programm ist sehr praktisch und verfügt über eine intuitive Benutzeroberfläche. Nach der Installation müssen Sie zunächst den Speicherort für die Speicherauszüge auf dem System angeben. Gehen Sie dazu auf den Menüpunkt „ Optionen“ und wählen Sie „ FortschrittlichOptionen" Wählen Sie das Optionsfeld „ BelastungausDiefolgendeMini-DumpOrdner” und geben Sie den Ordner an, in dem die Dumps gespeichert sind. Wenn die Dateien im Ordner C:\WINDOWS\Minidump gespeichert sind, können Sie auf „ Standard" Klicken Sie auf OK und gelangen Sie zur Programmoberfläche.

Das Programm besteht aus drei Hauptblöcken:

  1. Hauptmenüblock und Bedienfeld;
  2. Absturz-Dump-Listenblock;
  3. Abhängig von den ausgewählten Parametern kann es Folgendes enthalten:
  • eine Liste aller Treiber im RAM, bevor der Bluescreen erscheint (standardmäßig);
  • eine Liste der im RAM-Stack befindlichen Treiber;
  • BSoD-Screenshot;
  • und andere Werte, die wir nicht verwenden werden.

Wählen Sie im Speicher-Dump-Listenblock (in der Abbildung mit der Nummer 2 markiert) den Dump aus, der uns interessiert, und sehen Sie sich die Liste der Treiber an, die in den RAM geladen wurden (in der Abbildung mit der Nummer 3 markiert). Die Treiber, die sich auf dem Speicherstapel befanden, sind rosa gefärbt. Sie sind die Ursache von BSoD. Gehen Sie als Nächstes zum Hauptmenü des Treibers und bestimmen Sie, zu welchem ​​Gerät oder Programm er gehört. Achten Sie zunächst darauf Systemdateien, da Systemdateien ohnehin in den RAM geladen werden. Es ist leicht zu erkennen, dass der fehlerhafte Treiber im Image myfault.sys ist. Ich muss sagen, dass dieses Programm speziell gestartet wurde, um einen Stop-Fehler zu verursachen. Nachdem Sie den fehlerhaften Treiber identifiziert haben, müssen Sie ihn entweder aktualisieren oder aus dem System entfernen.

Damit das Programm beim Auftreten eines BSoD eine Liste der im Speicherstapel befindlichen Treiber anzeigt, müssen Sie zum Menüpunkt „ Optionen„Klicken Sie auf das Menü“ UntereFeldModus“ und wählen Sie „ NurTreiberGefundenInStapel” (oder drücken Sie die Taste F7), und um einen Screenshot des Fehlers anzuzeigen, wählen Sie „ BlauBildschirmInXPStil” (F8). Um zur Liste aller Fahrer zurückzukehren, müssen Sie „ AlleTreiber” (F6).

In Windows 8 hat Microsoft einen neuen Speicherauszug eingeführt – eine automatische Speicherauszugsoption. Diese Einstellung ist im Betriebssystem standardmäßig festgelegt. Mit Windows 10 wurde ein neuer Typ von Dump-Dateien eingeführt – der Active Memory Dump. Für diejenigen, die es nicht wissen: In Windows 7 gibt es einen kleinen Dump, einen Core-Dump und einen vollständigen Core-Dump. Sie fragen sich vielleicht, warum Microsoft beschlossen hat, diese neue Speicherauszugsoption zu erstellen? Laut Robert Simpkins, leitender Supporttechniker, kann ein automatischer Speicherauszug Unterstützung für die Seite „System“ in der Konfigurationsdatei schaffen.
Das System zur Verwaltung der Auslagerungsdateikonfiguration ist für die Verwaltung der Größe der Auslagerungsdatei verantwortlich. Dies vermeidet unnötigen Spielraum oder die Größe der Auslagerungsdatei. Diese Option wird hauptsächlich für PCs eingeführt, die auf SSD-Laufwerken laufen, die tendenziell kleiner sind, aber über viel RAM verfügen.

Speicherauszugsoptionen

Der Hauptvorteil des „Automatischen Speicherauszugs“ besteht darin, dass die Subsystemsitzung im Prozessmanager die Auslagerungsdatei automatisch auf eine Größe reduzieren kann, die kleiner als die Größe des RAM ist. Für diejenigen, die es nicht wissen: Die Subsystem-Manager-Sitzung ist für die Systeminitialisierung verantwortlich, die Startumgebung für Dienste und Prozesse, die für die Anmeldung des Benutzers am System erforderlich sind. Es installiert im Wesentlichen eine Seite mit Dateien im virtuellen Speicher und startet den winlogon.exe-Prozess.

Wenn Sie Ihre Einstellungen für den automatischen Speicherauszug ändern möchten, erfahren Sie hier, wie Sie das tun. Klicken Windows-Tasten+ X und wählen Sie - System. Klicken Sie anschließend auf die Schaltfläche „Erweiterte Systemeinstellungen – Vorauszahlung System Einstellungen”.

Klicken Sie auf die Schaltfläche Erweiterte Systemeinstellungen.

Hier sehen Sie ein Dropdown-Menü mit der Aufschrift „Erweitert“.

Hier können Sie die gewünschte Option auswählen. Vorgeschlagene Optionen:

Keine Speicherauszüge.
Kleiner Speicherauszug.
Kernel-Speicherauszug.
Vollständiger Speicherauszug.
Automatischer Speicherauszug. Zu Windows 8 hinzugefügt.
Aktiver Speicherabzug. Zu Windows 10 hinzugefügt.
Der Speicherort der Speicherabbilddatei befindet sich in der Datei %SystemRoot%\MEMORY.DMP.

Wenn Sie verwenden SSD-Laufwerk, dann ist es besser, es auf „Automatischer Speicherauszug“ zu belassen; Wenn Sie jedoch eine Crash-Dump-Datei benötigen, ist es besser, sie auf „kleiner Speicherauszug“ zu setzen. Damit können Sie sie, wenn Sie möchten, an jemanden senden, damit dieser einen Blick darauf werfen kann.

In manchen Fällen müssen Sie möglicherweise die Größe der Auslagerungsdatei über den Arbeitsspeicher hinaus erhöhen, damit sie einen vollständigen Speicherauszug aufnehmen kann. In solchen Fällen müssen Sie einen Registrierungsschlüssel erstellen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

es heißt „LastCrashTime“.

Dadurch wird die Größe der Auslagerungsdatei automatisch erhöht. Um es später zu reduzieren, können Sie diesen Schlüssel einfach entfernen.

Windows 10 hat eine neue Dump-Datei namens Active Memory Dump eingeführt. Es enthält nur das Nötigste und ist daher kleiner.

Ich habe keine Möglichkeit, es zu testen, aber ich habe diesen Schlüssel erstellt und die Größe der Auslagerungsdatei überwacht. Ich weiß, dass ich früher oder später einen kritischen Fehler bekommen werde. Dann werde ich es überprüfen.

Sie können den Dump analysieren Windows-Speicher.dmp-Dateien über WhoCrashed. WhoCrashed Home ist ein kostenloses Dienstprogramm, das mit einem Klick auf Ihrem Computer installierte Treiber bereitstellt. In den meisten Fällen kann es einen fehlerhaften Treiber identifizieren, der Probleme auf Ihrem Computer verursacht. Dabei handelt es sich um einen Systemanalyse-Crash-Dump, Speicher-Dumps und alle gesammelten Informationen werden hier in einer zugänglichen Form präsentiert.

Normalerweise öffnet das Debugging-Toolkit einen Analyse-Crash-Dump. Mit diesem Dienstprogramm benötigen Sie keine Kenntnisse oder Debugging-Kenntnisse, um herauszufinden, welche Treiber Probleme auf Ihrem Computer verursachen.

WhoCrashed setzt auf ein Debugging-Paket (das windbg-Programm) von Microsoft. Wenn dieses Paket nicht installiert ist, lädt WhoCrashed dieses Paket herunter und extrahiert es automatisch für Sie. Führen Sie einfach das Programm aus und klicken Sie auf die Schaltfläche „Analysieren“. Wenn WhoCrashed auf Ihrem System installiert ist und es abstürzt oder unerwartet geschlossen wird, informiert Sie das Programm darüber, ob Crash-Dumping auf Ihrem Computer aktiviert ist, und bietet Ihnen Vorschläge, wie Sie diese aktivieren können.

Im Kapitel Ein Crash-Dump wird durch die folgenden Parameter definiert:

REG_DWORD-Parameter Automatischer Neustart mit Bedeutung 0x1(Möglichkeit Führen Sie einen automatischen Neustart durch Unterfensterfenster Eigenschaften des Systems);

REG_DWORD-Parameter CrashDumpEnabled mit Bedeutung 0x0, wenn kein Speicherabzug erstellt wird; 0x1Vollständiger Speicherauszug; 0x2Kernel-Speicherauszug; 0x3Kleiner Speicherauszug (64 KB);

REG_EXPAND_SZ-Parameter DumpFile mit Bedeutung %SystemRoot%\MEMORY.DMP(Speicherort der Dump-Datei);

REG_DWORD-Parameter LogEvent mit Bedeutung 0x1(Möglichkeit Ereignis protokollieren Fenster );

REG_EXPAND_SZ-Parameter MinidumpDir mit Bedeutung %SystemRoot%\Minidump(Optional);

REG_DWORD-Parameter Überschreiben mit Bedeutung 0x1(Möglichkeit Ersetze die vorhandene Datei Fenster );

REG_DWORD-Parameter SendAlert mit Bedeutung 0x1(Möglichkeit Senden Sie eine administrative Warnung Fenster ).

Wie das System eine Notfallspeicherdatei erstellt

Während des Startvorgangs überprüft das Betriebssystem die Notfallerstellungsparameter im Registrierungsabschnitt . Wenn mindestens ein Parameter angegeben wird, generiert das System eine Karte der auf dem Boot-Volume belegten Festplattenblöcke und speichert sie im Speicher. Das System ermittelt auch welche Festplattengerät verwaltet das Boot-Volume und berechnet Prüfsummen für das Image im Speicher und für Datenstrukturen, die ganzzahlig sein müssen, um E/A-Operationen ausführen zu können.

Nach einem Fehler überprüft der Systemkernel die Integrität der Auslagerungsdateizuordnung, der Festplattendatei und der Festplattenkontrollstrukturen. Wenn die Integrität dieser Strukturen nicht verletzt wird, ruft der Systemkernel spezielle Festplatten-I/O-Funktionen auf , entwickelt, um nach einem Fehler ein Speicherbild zu speichern. Diese I/O-Funktionen sind eigenständig und nicht auf Kernel-Dienste angewiesen, da die Programme, die für das Schreiben des Absturzspeicherauszugs verantwortlich sind, keine Annahmen darüber treffen können, welche Teile des Systemkerns oder welche Geräte beim Absturz beschädigt wurden. Der Systemkernel schreibt Daten aus dem Speicher in die Sektorzuordnung der Auslagerungsdatei (dies ist nicht erforderlich).Dateisystem).

Zunächst überprüft der Systemkernel den Status jeder am Dump-Prozess beteiligten Komponente. Dies geschieht, damit beim direkten Schreiben in Festplattensektoren die außerhalb der Datei befindlichen Daten nicht beschädigt werden. Die Dateigröße sollte 1 betragen MB größer als die Größe des physischen Speichers, da beim Schreiben von Informationen ein Header erstellt wird, der die Notfallsignatur und die Werte mehrerer wichtiger Systemkernelvariablen enthält. Der Titel belegt weniger als 1 MB, aber das Betriebssystem kann die Größe der Auslagerungsdatei um mindestens 1 erhöhen (oder verringern). MB.

Nach dem Systemstart Sitzungsmanager (Windows NT-Sitzungsmanager; Festplattenadresse – \WINDOWS\system32\smss.exe) initialisiert Systemdateien und verwendet zum Erstellen jeder Datei eine eigene Funktion NtCreatePagingFile. NtCreatePagingFile Bestimmt, ob die Datei, die initialisiert wird, existiert, und wenn ja, ob sie einen Header hat . Wenn es einen Titel gibt, dann NtCreatePagingFile sendet an Sitzungsmanager Sondercode. Danach Sitzungsmanager startet den Prozess Winlogon (Anmeldeprogramm Windows-System NT; Festplattenadresse – \WINDOWS\system32\winlogon.exe), der über das Vorliegen eines Notfalls informiert wird . Winlogon startet das Programm SaveDump (Windows NT-Speicherkopierprogramm; Festplattenadresse – \WINDOWS\system32\savedump.exe), das den Header analysiert und definiert Weitere Maßnahmen In einem Notfall.

Wenn der Titel auf die Existenz hinweist , Das SaveDump kopiert Daten aus einer Datei in eine Notfalldatei, deren Name angegeben ist REG_EXPAND_SZ-Parameter DumpFile Abschnitt . Tschüss SaveDump schreibt die Datei neu , verwendet das Betriebssystem nicht den Teil der Auslagerungsdatei, der den Notfall enthält . Während dieser Zeit wird die Menge an virtuellem Speicher, der dem System und den Anwendungen zur Verfügung steht, um reduziert (Gleichzeitig können auf dem Bildschirm Meldungen erscheinen, die auf einen Mangel an virtuellem Speicher hinweisen.) Dann SaveDump informiert den Speichermanager darüber, dass die Speicherung abgeschlossen ist , und er veröffentlicht diesen Teil Datei, in der es gespeichert ist , für den allgemeinen Gebrauch.

Speichern der Datei , Programm SaveDump zeichnet die Entstehung eines Notfalls auf im Ereignisprotokoll , zum Beispiel: „Der Computer wurde nach einem kritischen Fehler neu gestartet: 0x100000d1 (0xc84d90a6, 0x00000010, 0x00000000, 0xc84d90a6). Speicherkopie gespeichert: C:\WINDOWS\Minidump\Mini060309-01.dmp" .

Vollständiger Speicherauszug schreibt den gesamten Speicherinhalt, wenn ein schwerwiegender Fehler auftritt. Für diese Option benötigen Sie eine Auslagerungsdatei auf dem Startvolume, deren Größe der Größe des gesamten physischen Arbeitsspeichers plus 1 entspricht MB. Standardmäßig voll Speicher wird in eine Datei geschrieben %SystemRoot%\Memory.dmp. Wenn ein neuer Fehler auftritt, wird eine neue vollständige Datei erstellt Erinnerung (bzw Kernel-Speicher) wird die vorherige Datei ersetzt (überschrieben). Parameter Vollständiger Speicherauszug Nicht verfügbar auf Systemen mit einem 32-Bit-Betriebssystem und 2 oder mehr RAM.

Wenn ein neuer Fehler auftritt, wird eine neue vollständige Datei erstellt Speicher wird die vorherige Datei ersetzt.

Kernel-Speicherauszug schreibt nur den Kernel-Speicher, sodass das Schreiben von Daten in das Protokoll bei plötzlichem Systemstopp schneller vonstatten geht. Abhängig von der Größe des physischen SpeichersIn diesem Fall benötigt die Auslagerungsdatei 50 bis 800 MB oder ein Drittel des physischen Speichers auf dem Boot-Volume. Der Kernelspeicher wird in eine Datei geschrieben %SystemRoot%\Memory.dmp.

Das umfasst nicht nicht zugewiesenen Speicher oder Speicher, der Modusprogrammen zugewiesen ist. Es umfasst nur den Speicher, der dem Kernel und der hardwarespezifischen Schicht zugewiesen ist ( HAL) V Windows 2000 und spätere Versionen des Systems sowie für den Kernel-Modus und andere Kernel-Modus-Programme zugewiesener Speicher. In den meisten Fällen ist dies der Fall ist die am meisten bevorzugte Option. Im Vergleich zu einem vollwertigen Modell nimmt es viel weniger Platz ein Speicher, während nur die Speichersektoren ausgeschlossen werden, die höchstwahrscheinlich nicht mit dem Fehler verbunden sind.

Wenn ein neuer Fehler auftritt und eine neue Datei erstellt wird Im Kernelspeicher wird die vorherige Datei ersetzt.

Kleiner Speicherauszug schreibt das kleinste Volumen nützliche Informationen notwendig, um die Ursache des Problems zu ermitteln. Um ein kleines zu erstellen Für den Speicher muss die Größe der Auslagerungsdatei mindestens 2 betragen MB auf dem Boot-Volume.

Kleine Dateien Der Speicher enthält die folgenden Informationen:

– Meldung über einen schwerwiegenden Fehler, seine Parameter und andere Daten;

– Liste der heruntergeladenen ;

– Kontext ( PRCB), bei dem der Fehler aufgetreten ist;

EPROZESS) für den Prozess, der den Fehler verursacht hat;

– Prozessinformationen und Kernel-Kontext ( ETHREAD) für den Thread, der den Fehler verursacht hat;

– Aufrufstapel im Kernelmodus für den Thread, der den Fehler verursacht hat.

Kleine Datei Speicher wird verwendet, wenn der Festplattenspeicher begrenzt ist. Aufgrund der begrenzten darin enthaltenen Informationen werden bei der Analyse dieser Datei jedoch möglicherweise nicht immer Fehler erkannt, die nicht direkt durch den Thread verursacht wurden, der zum Zeitpunkt des Fehlers ausgeführt wurde.

Wenn der folgende Fehler auftritt und eine zweite kleine Datei erstellt wird Im Speicher bleibt die vorherige Datei erhalten. Zu jedem zusätzliche Datei Es wird ein eindeutiger Name vergeben. Das Datum ist im Dateinamen verschlüsselt. Zum Beispiel, Mini051509-01.dmp- Dies ist die erste Datei Speicher, erstellt am 15. Mai 2009 Liste aller kleinen Dateien Der Speicher wird in einem Ordner gespeichert %SystemRoot%\Minidump.

Operationssystem zweifelsohne viel zuverlässiger als frühere Versionen – dank der Bemühungen beider Entwickler Microsoft, sowohl Hardwareentwickler als auch Anwendungssoftwareentwickler . Allerdings sind Notsituationen – Ausfälle und Systemabstürze aller Art – unvermeidlich, und je nachdem, ob dieWenn er über Kenntnisse und Fähigkeiten zur Behebung dieser Probleme verfügt, hängt es davon ab, ob er ein paar Minuten für die Fehlerbehebung (z. B. Aktualisieren/Debuggen oder Neuinstallieren des Anwendungsprogramms, das den Fehler verursacht hat) oder mehrere Stunden für die Neuinstallation/Konfiguration aufwenden muss Betriebssystem und Anwendungssoftware (was keine Garantie dafür ist, dass es in Zukunft nicht zu Ausfällen und Abstürzen kommt!).

Viele Administratoren vernachlässigen die Analyse von Absturzdumps Windows , weil sie glauben, dass die Zusammenarbeit mit ihnen zu schwierig ist. Es ist schwierig, aber es ist möglich: auch wenn zum Beispiel die Analyse eines von zehn werden erfolgreich sein - die Anstrengungen, die unternommen werden, um die einfachsten Techniken zur Analyse von Notfallsituationen zu beherrschen , wird nicht umsonst sein!..

Selbst bei einem „sauberen“ System treten im Windows-Betriebssystem sehr häufig Fehler auf. Wenn gewöhnliche Programmfehler behoben werden können (eine Meldung über eine fehlende Komponente erscheint), sind kritische Fehler deutlich schwieriger zu beheben.

Was ist ein Speicherauszug in Windows?

Um Probleme mit dem System zu lösen, wird normalerweise ein Crash-Memory-Dump verwendet - das ist ein Foto einen Teil oder den gesamten Arbeitsspeicher und platzieren ihn auf einem nichtflüchtigen Medium ( Festplatte). Mit anderen Worten: Der Inhalt des RAM wird ganz oder teilweise auf das Medium kopiert und der Benutzer kann den Speicherauszug analysieren.

Es gibt verschiedene Arten von Speicherauszügen:

Kleine Müllkippe(Small Memory Dump) – spart eine minimale Menge an RAM, der Informationen zu kritischen Fehlern (BSoD) und Komponenten enthält, die während des Systembetriebs geladen wurden, zum Beispiel Treiber, Programme. MiniDump wird im Pfad C:\Windows\Minidump gespeichert.

Voller Dump(Complete Memory Dump) – die gesamte Menge an RAM wird gespeichert. Das bedeutet, dass die Dateigröße der RAM-Größe entspricht. Wenn wenig Speicherplatz vorhanden ist, wird es problematisch, beispielsweise 32 GB zu sparen. Es gibt auch Probleme beim Erstellen einer Speicherabbilddatei, die größer als 4 GB ist. Dieser Typ sehr selten genutzt. Gespeichert unter C:\Windows\MEMORY.DMP.

Entsorgen Kernel-Speicher– Es werden nur Informationen gespeichert, die sich auf den Systemkern beziehen.

Wenn der Benutzer mit der Fehleranalyse beginnt, muss er nur Minidamp (kleiner Dump) verwenden. Zuvor muss es jedoch eingeschaltet werden, sonst wird das Problem nicht erkannt. Um einen Absturz effektiver zu identifizieren, ist außerdem die Verwendung eines vollständigen Speicher-Snapshots vorzuziehen.

Informationen im Register

Wenn Sie hineinschauen Windows-Registrierung, dann finden Sie einige nützliche Bildparameter. Klicken Sie auf die Tastenkombination Win+R und geben Sie den Befehl ein regedit und öffnen Sie die folgenden Filialen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

In diesem Zweig findet der Benutzer folgende Parameter:

  • Automatischer Neustart– Aktivieren oder deaktivieren Sie den Neustart nach dem Erstellen eines Blue Screen of Death (BSoD).
  • DumpFile– Name der Dump-Typen und Speicherort.
  • CrashDumpEnabled– die Nummer der Datei, die erstellt wird, zum Beispiel die Nummer 0 – der Dump wird nicht erstellt; 1 – Erstellen eines vollständigen Dumps; 2 – Erstellen eines Core-Dumps; 3 – Erstellen einer kleinen Müllkippe.
  • DumpFilter– Mit dieser Option können Sie neue Funktionen hinzufügen, bevor Sie einen Snapshot erstellen. Zum Beispiel Dateiverschlüsselung.
  • MinidumpDir– der Name der kleinen Deponie und ihr Standort.
  • LogEvent– Aktivierung der Aufzeichnung von Informationen im Systemprotokoll.
  • MinidumpsCount– Legen Sie die Anzahl der zu erstellenden kleinen Dumps fest. (Wenn diese Zahl überschritten wird, werden alte Dateien zerstört und ersetzt).
  • Überschreiben– Funktion für einen vollständigen oder System-Dump. Beim Erstellen eines neuen Fotos wird das vorherige immer durch ein neues ersetzt.
  • DedicatedDumpFile– Erstellen einer alternativen Bilddatei und Angabe ihres Pfads.
  • Ignorieren Sie die Seitendateigröße– Wird als temporärer Snapshot-Speicherort verwendet, ohne dass eine Auslagerungsdatei verwendet wird.

Wie es funktioniert

Wenn ein Fehler auftritt, stoppt das System den Betrieb vollständig und wird bei aktivem Dumping in eine auf der Festplatte abgelegte Datei geschrieben. Informationen über das aufgetretene Problem. Wenn mit den physischen Komponenten etwas passiert ist, funktioniert ein Notfallcode und die ausgefallene Hardware nimmt einige Änderungen vor, die sich sicherlich im Snapshot widerspiegeln.

Normalerweise wird die Datei in einem Block gespeichert, der der Auslagerungsdatei zugewiesen ist Festplatte Nach dem Erscheinen des BSoD wird die Datei in dem Typ überschrieben, den der Benutzer selbst konfiguriert hat (Klein, Voll- oder Core-Dump). Allerdings ist in modernen Betriebssystemen die Beteiligung der Auslagerungsdatei nicht erforderlich.

So aktivieren Sie Dumps

IN Windows 7:

IN Windows 8 und 10:

Hier ist der Vorgang ein wenig ähnlich, Sie gelangen auf die gleiche Weise wie in Windows 7 in die Systeminformationen. Öffnen Sie in „Zehn“ unbedingt „ Dieser Computer", klicken Sie mit der rechten Maustaste auf den freien Platz und wählen Sie " Eigenschaften" Eine andere Möglichkeit, dorthin zu gelangen, ist über die Systemsteuerung.

Zweite Option für WiJetzt 10:


Es ist zu beachten, dass im Neuen Windows-Versionen Es erschienen 10 neue Punkte, die nicht in den „Sieben“ waren:

  • Kleine Müllkippe Speicher 256 KB - minimale Fehlerdaten.
  • Aktiver Dump- erschien in der zehnten Version des Systems und speichert nur den aktiven Speicher des Computers, des Systemkernels und des Benutzers. Empfohlen für den Einsatz auf Servern.

So löschen Sie einen Dump

Gehen Sie einfach in das Verzeichnis, in dem die Speicherabzüge gespeichert sind, und löschen Sie sie einfach. Es gibt jedoch eine andere Möglichkeit, es zu entfernen – mit dem Dienstprogramm zur Datenträgerbereinigung:

Wenn keine Elemente gefunden wurden, wurden die Dumps möglicherweise nicht aktiviert.

Selbst wenn Sie sie einmal aktiviert haben, können einige von Ihnen verwendete Dienstprogramme zur Systemoptimierung dies problemlos tun Deaktivieren Sie einige Funktionen. Oft gehen während des Gebrauchs viele Dinge aus SSD-Laufwerke, da wiederholte Lese- und Schreibvorgänge die Gesundheit dieser Festplatte stark beeinträchtigen.

Speicherauszugsanalyse mit WinDbg

Laden Sie es von der offiziellen Microsoft-Website herunter dieses Programm in Schritt 2, wo es beschrieben wird „ InstallationWDK" - https://docs.microsoft.com/en-us/windows-hardware/drivers/download-the-wdk.

Um mit dem Programm arbeiten zu können, benötigen Sie außerdem ein spezielles Paket mit Debugging-Symbolen. Es wird genannt Debugging-Symbole, früher konnte es von der Microsoft-Website heruntergeladen werden, aber jetzt haben sie diese Idee aufgegeben und Sie müssen die Dateiprogrammfunktion verwenden – „ Symboldateipfad", wo Sie die folgende Zeile eingeben und auf OK klicken sollten:

set _NT_SYMBOL_PATH=srv*DownstreamStore*https://msdl.microsoft.com/download/symbols

Wenn es nicht funktioniert, versuchen Sie es mit diesem Befehl:

SRV*%systemroot%\symbols*http://msdl.microsoft.com/download/symbols

Klicken Sie erneut auf „Datei“ und wählen Sie die Option „Arbeitsbereich speichern“.

Das Dienstprogramm ist konfiguriert. Es bleibt nur noch die Angabe des Pfades zu den Memory-Dump-Dateien. Klicken Sie dazu auf Datei und dann auf die Option „ ÖStiftAbsturzEntsorgen" Der Speicherort aller Dumps ist am Anfang des Artikels angegeben.

Nach der Auswahl wird die Analyse beendet und die problematische Komponente wird automatisch hervorgehoben. Um weitere Informationen im selben Fenster zu erhalten, können Sie den folgenden Befehl eingeben: !analyze –v

Analyse mit BlueScreenView

Sie können das Tool kostenlos von dieser Website herunterladen: http://www.nirsoft.net/utils/blue_screen_view.html. Für die Installation sind keine Kenntnisse erforderlich. Wird nur unter Windows 7 und höher verwendet.

Wir starten und konfigurieren. Klicken Sie auf „Optionen“ – „ Zusätzliche Optionen"(Erweiterte Optionen). Wählen Sie das erste Element aus. Laden Sie MiniDumps aus diesem Ordner„und geben Sie das Verzeichnis an – C:\WINDOWS\Minidump. Sie können jedoch auch einfach auf die Schaltfläche „Standard“ klicken. OK klicken.

Die Dump-Dateien sollten im Hauptfenster erscheinen. Es kann entweder einer oder mehrere sein. Um es zu öffnen, klicken Sie einfach mit der Maus darauf.

Unten im Fenster werden die Komponenten angezeigt, die zum Zeitpunkt des Fehlers ausgeführt wurden. Der Unfallverursacher wird rot hervorgehoben.

Klicken Sie nun auf „Datei“ und wählen Sie beispielsweise den Punkt „ Finden Sie in GoOgle-Fehlercode + Treiber" Wenn gefunden erforderlicher Treiber, installieren Sie Ihren Computer und starten Sie ihn neu. Vielleicht verschwindet der Fehler.

Oder, wie es auch genannt wird, BSOD, kann die Lebensdauer sowohl des Computers als auch des Servers erheblich ruinieren, und das hat sich auch herausgestellt virtuelle Maschine. Heute erkläre ich Ihnen, wie man analysiert blauer Bildschirm Dump-Speicher in Windows, da eine korrekte Diagnose und Ermittlung des Grunds, warum Ihr System nicht funktioniert, 99 Prozent seiner Lösung, insbesondere eines Systemingenieurs, einfach verpflichtet ist, dies zu tun, und zwar sogar in kürzester Zeit, da dies der Fall ist kann zu geschäftlichen Verlusten führen. Durch Serviceausfälle verlieren Sie viel Geld.

BSOD-Entschlüsselung

Schauen wir uns zunächst an, was diese Abkürzung bedeutet, BSOD vom englischen Blue Screen of Death oder auch STOP-Fehlermodus.

Bluescreen-of-Death-Fehler treten aus verschiedenen Gründen auf, darunter Treiberprobleme, eine fehlerhafte Anwendung oder ein fehlerhaftes RAM-Modul. Sobald Sie einen Bluescreen in Windows haben, erstellt Ihr System automatisch eine Crash-Memory-Dump-Datei, die wir analysieren.

So konfigurieren Sie die Erstellung eines Speicherabbilds

Von Standardfenster Wenn ein Bluescreen erscheint, wird eine Crash-Dump-Datei „memory.dmp“ erstellt. Jetzt zeige ich anhand eines Beispiels, wie sie konfiguriert ist und wo sie gespeichert ist Windows Server 2008 R2, da ich kürzlich die Aufgabe hatte, das Problem eines Bluescreens in einer virtuellen Maschine zu untersuchen. Um herauszufinden, wo „Dump Memory Windows“ konfiguriert ist, öffnen Sie „Start“, klicken Sie mit der rechten Maustaste auf das Computersymbol und wählen Sie „Eigenschaften“.

So analysieren Sie den Bluescreen-Dump-Speicher in Windows – Computereigenschaften

So analysieren Sie den Bluescreen-Dump-Speicher in den Windows-Systemeinstellungen

Gehen Sie zur Registerkarte „Erweitert“ – Booten und Wiederherstellen. Klicken Sie auf die Schaltfläche Einstellungen

So analysieren Sie den Bluescreen-Dump-Speicher in Windows – Booten und Wiederherstellen

Wo wird die Datei „memory.dmp“ gespeichert?

und wir sehen, dass es zunächst ein Kontrollkästchen gibt, um einen automatischen Neustart durchzuführen, um Debugging-Informationen aufzuzeichnen, Kernel-Speicherauszug ausgewählt ist und darunter der Speicherort %SystemRoot%\MEMORY.DMP ist

Gehen wir zum Ordner c:\windows\ und suchen wir die Datei MEMORY.DMP, die einen Bluescreen mit Todescodes enthält

So analysieren Sie den Bluescreen-Dump-Speicher in Windows-memory.dmp

So richten Sie einen Mini-Dump ein

Bluescreen-of-Death-Fehler werden auch im kleinen Speicherauszug aufgezeichnet; er ist dort konfiguriert, Sie müssen ihn nur auswählen.

Es wird im Ordner c:\windows\minidump gespeichert. Der Vorteil besteht darin, dass es weniger Platz beansprucht und für jeden Bluescreen als separate Datei erstellt wird. Sie können jederzeit den Verlauf der Bluescreen-Vorkommnisse einsehen.

Nachdem wir nun herausgefunden haben, wo wir nach der Speicherauszugsdatei suchen müssen, müssen wir lernen, sie zu interpretieren und den Grund zu verstehen, warum der Blue Screen of Death auftritt. Microsoft Kernel Debugger hilft uns bei der Lösung dieses Problems. Sie können Microsoft Kernel Debugger von der offiziellen Website herunterladen. Die Hauptsache ist, die gewünschte Betriebssystemversion auszuwählen. Wenn jemand es kaputt macht, können Sie es über einen direkten Link von der Yandex-Festplatte herunterladen. Es ist auch Teil von ADK.

Laden Sie Microsoft Kernel Debugger herunter. Als Ergebnis erhalten Sie eine kleine Datei, mit der Sie alles, was Sie brauchen, aus dem Internet herunterladen können. Lass es uns starten.

Wir nehmen nicht am Qualitätsverbesserungsprogramm teil

Klicken Sie auf „Akzeptieren“ und stimmen Sie der Lizenz zu

So installieren Sie Microsoft Kernel Debugger – stimmen Sie der Lizenz zu

wird beginnen Microsoft-Installation Kernel-Debugger

So installieren Sie den Microsoft Kernel Debugger – MKD-Installation

Wir sehen, dass Microsoft Kernel Debugger erfolgreich installiert wurde

Danach sehen wir, dass der Ordner „Debugging Tools for Windows“ sowohl für 32- als auch für 64-Bit-Systeme beim Start angezeigt wird.

Zusätzlich zum Debugging-Tools für Windows-Paket selbst benötigen Sie auch eine Reihe von Debugging-Symbolen – Debugging-Symbole. Der Satz von Debugging-Symbolen ist für jedes Betriebssystem spezifisch, auf dem das BSoD aufgezeichnet wurde. Daher müssen Sie für jedes Betriebssystem, dessen Betrieb Sie analysieren müssen, einen Satz Symbole herunterladen. Für ein 32-Bit-Windows XP ist der 32-Bit-Zeichensatz von Windows XP erforderlich; für ein 64-Bit-Betriebssystem ist der 64-Bit-Zeichensatz von Windows XP erforderlich. Für andere Betriebssysteme Windows-Familie Die Auswahl der Zeichensätze erfolgt nach dem gleichen Prinzip. Hier können Sie Debugging-Symbole herunterladen. Es wird empfohlen, sie unter zu installieren %systemroot%\symbols Obwohl ich sie gerne in separaten Ordnern installiere und sie nicht unübersichtlich mache Windows-Ordner.

Bluescreen-Analyse in Debugging-Tools

Starten Sie nach der Installation der Debugging-Symbole für das System, bei dem der Bluescreen des Todes auftrat, die Debugging-Tools

So installieren Sie den Microsoft Kernel Debugger – Ausführen

Bevor Sie den Inhalt des Speicherauszugs analysieren, müssen Sie eine kleine Konfiguration des Debuggers vornehmen. Teilen Sie dem Programm insbesondere mit, wo nach Debugsymbolen gesucht werden soll. Wählen Sie dazu im Menü Datei > Symboldateipfad… aus.

Klicken Sie auf die Schaltfläche „Durchsuchen“...

und geben Sie den Ordner an, in dem wir die Debugging-Symbole für den betreffenden Speicherauszug installiert haben. Sie können mehrere durch Kommas getrennte Ordner angeben und Informationen zu den benötigten Debugging-Symbolen direkt über das Internet von einem öffentlichen Microsoft-Server anfordern. Auf diese Weise haben Sie das Beste eine neue Version Figuren. Sie können dies wie folgt tun: Geben Sie im Menü Datei > Symboldateipfad… Folgendes ein:

SRV*%systemroot%\symbols*http://msdl.microsoft.com/download/symbols

So analysieren Sie den Bluescreen des Todes

Wir kopieren die Datei „memory.dmp“ oder „minidump“ von dem Computer, auf dem der Bluescreen auftauchte, öffnen sie, wählen im Menü „Datei“ > „Crash-Dump öffnen“ und wählen die zu berücksichtigende Datei aus.

So analysieren Sie den Bluescreen von Death-01

Wählen Sie beispielsweise Minidump

So analysieren Sie den Bluescreen des Todes – Minidump öffnen

Die Analyse des Minidumps beginnt. Wir sehen einen Link zum Fehler. Klicken Sie darauf, um detailliertere Informationen zum Bluescreen zu erhalten.

So analysieren Sie den Bluescreen von Death-03

Und wenn wir eine fehlerhafte Anwendung sehen, die Ihr System zerstört, können Sie auch noch detaillierter sehen, was falsch ist, indem Sie auf den Link klicken.

So analysieren Sie den Bluescreen von Death-04

Mehr bekommen genaue Information wegen Bluescreen.

So analysieren Sie den Bluescreen von Death-05

Wenn Sie „memory.dmp“ öffnen, erhalten Sie ein ähnliches Bild und sehen, warum Sie einen Bluescreen erhalten.

So analysieren Sie den Bluescreen von Death-06

So einfach ist es, den Blue Screen of Death zu diagnostizieren und zu beseitigen.



Freunden erzählen
Twitter
Nokia XL ist...
Nächster Artikel
Lesen Sie auch
Auswahl der besten Tastatur für ein Android-Telefon auf Russisch
Auswahl der besten Tastatur für ein Android-Telefon auf Russisch
2023-10-21 00:02:10
So schreiben Sie einen Sprachanruf für Android
So schreiben Sie einen Sprachanruf für Android
2023-10-21 00:02:10
GTA-Spiele Laden Sie GTA San Andreas auf ein schlechtes Tablet herunter
GTA-Spiele Laden Sie GTA San Andreas auf ein schlechtes Tablet herunter
2023-10-21 00:02:10
So installieren Sie Pakete in Python – mit und ohne PIP. Pip Windows installieren
So installieren Sie Pakete in Python – mit und ohne PIP. Pip Windows installieren
2023-10-20 00:04:26