Анализ дампа памяти в Windows при BSOD с помощью WinDBG

Не пора ли объяснить этой «дамочке со скверным характером» кто в доме хозяин? Когда под рукой диск восстановления Windows MSDaRT (ранние выпуски назывались ERD Commander), любая проблема с загрузкой системы решается за считанные минуты.

Подробный обзор

Как удалить файлы дампа системной памяти в Windows

  1. Удаление аварийных дампов с очисткой диска
  2. Удаление аварийных дампов с помощью CCleaner
  3. Удалите аварийные дампы через командную строку
  4. Отключить аварийные дампы

1. Удалите аварийные дампы с очисткой диска

Как удалить файлы дампа системной памяти в Windows
  1. Пользователи могут стирать аварийные дампы с помощью собственной очистки диска Windows. Для этого запустите Запуск с сочетанием клавиш Windows + R.
  2. Введите «cleanmgr» в текстовом поле «Открыть».
  3. Нажмите Ctrl + Shift + Enter, чтобы открыть очистку диска от имени администратора.
  4. Выберите диск C: в окне выбора дисков и нажмите кнопку ОК .
  5. Установите флажок Файлы дампа памяти из-за системных ошибок .
  6. Затем нажмите кнопку ОК .
  7. Пользователи, которые не могут найти параметр «Файлы дампа памяти из-за системных ошибок» в разделе «Очистка диска», должны открыть эту утилиту с помощью командной строки с повышенными привилегиями. Введите strong % SystemRoot% Cleanmgr/sageset: 16 & Cleanmgr/sagerun: 16 ’в командной строке и нажмите клавишу возврата. Это откроет Очистку диска с дополнительными опциями флажков.

2. Удалите аварийные дампы с помощью CCleaner

  1. Кроме того, пользователи могут стирать аварийные дампы с помощью бесплатного CCleaner . Для этого нажмите зеленую кнопку Загрузить на веб-странице CCleaner.
  2. Добавьте CCleaner в Windows с помощью мастера настройки.
  3. Запустите утилиту CCleaner.
  4. Выберите Выборочная очистка слева от CCleaner.
  5. Затем установите флажок Дампы памяти .
  6. Нажмите кнопку Анализировать .
  7. Выберите Запустить программу очистки , чтобы удалить аварийные дампы.

3. Удалите аварийные дампы через командную строку

Как удалить файлы дампа системной памяти в Windows
  1. Пользователи также могут стирать аварийные дампы с помощью ряда команд командной строки. Для этого откройте аксессуар Run.
  2. Введите «cmd» в «Выполнить» и нажмите клавиши Ctrl + Shift + Enter.
  3. Затем введите следующие отдельные команды в подсказке и нажмите Enter после ввода каждой из них.

fsutil usn deletejournal/d/n c:

del «% temp% *»/s/f/q

del «C: $ *»/s/f/q

Как удалить файлы дампа системной памяти в Windows

del «% systemroot% temp *»/s/f/q

vssadmin удалить тени/для = c:/all/quiet

Dism/Online/Cleanup-Image/StartComponentCleanup/ResetBase

4. Отключить аварийные дампы

Как удалить файлы дампа системной памяти в Windows
  1. Пользователи могут отключить аварийные дампы, чтобы не тратить больше места на жестком диске. Введите «Панель управления» в текстовом поле «Открыть» и нажмите «Return».
  2. Затем нажмите Система , чтобы открыть аплет панели управления, показанный ниже.
  3. Нажмите Расширенные настройки системы в левой части окна, чтобы открыть вкладку Расширенные.
  4. Затем нажмите кнопку Настройки в разделе Запуск и восстановление .
  5. Выберите параметр (нет) в раскрывающемся меню, показанном непосредственно ниже, чтобы отключить аварийные дампы.
  6. Затем нажмите кнопку ОК .

Таким образом, есть несколько способов, которыми пользователи могут стереть аварийные дампы в Windows, которые не особенно важны для сохранения. Удаление аварийных дампов может освободить немного места на жестком диске для некоторых пользователей.

Варианты открытия DMP

Расширение DMP зарезервировано за файлами дампов памяти: снимков состояния RAM в определённый момент работы системы или отдельного приложения, которые нужны разработчикам для последующей отладки. Такой формат используют сотни видов ПО, и рассмотреть их все в объёмах данной статьи невозможно. Наиболее же часто встречающийся тип DMP-документа – так называемый малый дамп памяти, где записаны подробности сбоя системы, который привёл к появлению синего экрана смерти, потому на нём и сосредоточимся.

Способ 1: BlueScreenView

Варианты открытия DMP

Небольшая бесплатная утилита от разработчика-энтузиаста, основной функцией которой является предоставление возможности просмотра DMP-файлов. Не нуждается в установке на компьютер – достаточно распаковать архив в любое подходящее место.

  1. Для открытия отдельного файла нажмите на кнопку с иконкой программы на панели инструментов.

Варианты открытия DMP

В окне «Advanced Options» о и нажмите «Browse».

С помощью «Проводника» перейдите к папке с DMP-файлом, выделите его и нажмите «Открыть».

Варианты открытия DMP

По возвращении в окно «Advanced Options» нажмите «ОК».

Утилита BlueScreenView рассчитана на продвинутых пользователей, потому её интерфейс может показаться сложным для новичка. Кроме того, доступна она только на английском языке.

Варианты открытия DMP

Способ 2: Microsoft Debugging Tools for Windows

В составе среды разработки Windows SDK распространяется инструмент для отладки, который называется Debugging Tools for Windows. Приложение, рассчитанное на разработчиков, способно открывать в том числе и DMP-файлы.

  1. Для экономии места можно выбрать только Debugging Tools for Windows, отметив соответствующий пункт в процессе загрузки компонентов.
Варианты открытия DMP

Запустить утилиту можно через «Пуск». Для этого откройте «Все программы», выберите «Windows Kits», а затем — «Debugging Tools for Windows».

Для запуска программы используйте ярлык «WinDbg».

Варианты открытия DMP

Внимание! Для открытия DMP-файлов используйте только x64- или x86-версии дебаггера!

Варианты открытия DMP

Зачем нужен MSDaRT, если у винды есть собственная среда восстановления?

DaRT 10 Windows 10
Исправление проблем с запуском. Исправление проблем с запуском.
Восстановление на точку отката. Восстановление на точку отката.
Восстановление из ранее созданного образа. Восстановление из ранее созданного образа.
Запуск средства диагностики памяти Виндовс. Запуск средства диагностики памяти Виндовс.
Командная строка. Командная строка для запуска консольных и некоторых графических приложений – редактора реестра, блокнота и т. д.
Большинство портабельных антивирусных утилит успешно работает в среде DaRT (как сканеры файловой системы). Антивирусные утилиты, за очень редким исключением, не запускаются. Одна из утилит, которая полноценно решает свои задачи в среде recovery – Universal Virus Sniffer. Возможно, единственная.
Встроенный редактор RegEdit, в который автоматически загружен реестр основной системы. Работает точно так же, как если бы вы вносили правки в реестр запущенной Windows. Редактор реестра можно открыть с помощью командной строки. По умолчанию загружает реестр среды восстановления. Кусты реестра основной системы нужно подключать отдельно.
Полноценный проводник, в котором отображаются скрытые папки и файлы. Буквы разделов совпадают с буквами в основной ОС (опция задействуется по желанию пользователя). Проводник можно открыть с помощью командной строки, запустив приложение Блокнот. Буквы перепутаны.
Однокнопочная утилита изменения паролей локальных аккаунтов пользователей. Для сброса паролей используют командную строку и реестр. Труднозапоминаемая методика.
Инструмент быстрого удаления сбойных системных обновлений. Для удаления сбойных обновлений используют системную утилиту DISM и командную консоль. Трудоемко.
Средство проверки системных файлов. Чтобы восстановить системные файлы,  утилиту SFC запускают через командную строку.
Анализатор причин синих экранов смерти (BSoD-ов).
Восстановление удаленных файлов и папок.
Дисковый менеджер.
Средство очистки дисков (стирания данных).
Менеджер управления компьютером.
Мастер решений распространенных проблем (сбоя загрузки, потери данных, сложностей с доступом в аккаунт, заражения вирусами и других).
Средство подключения к Интернету.
Средство поиска файлов и папок.
Автономный антивирус.
Средство создания и управления удаленным подключением.

Как удалить файлы дампа памяти ошибки системы с помощью очистки диска

Если размер файла дампа памяти со временем увеличился, рекомендуется удалить его и восстановить место на жестком диске.

Самый простой способ очистить файлы дампа — выполнить повышенную очистку с помощью утилиты очистки диска Windows .

Если вы не выполните правильную «повышенную» очистку во время работы утилиты очистки диска, утилите не удастся удалить файл дампа памяти.

  1. Нажмите кнопку « Пуск» и введите « очистка диска » в строке поиска Windows.

  2. Щелкните правой кнопкой мыши Очистка диска и выберите Запуск от имени администратора .

    Запуск утилиты очистки диска от имени администратора — это то, что запускает ее в «повышенном» режиме и позволяет утилите удалять файл дампа памяти.

  3. Утилита просканирует диск C: (или любой другой диск, на котором установлена ​​операционная система), а затем предоставит вам окно для выбора файлов для удаления. Выберите все параметры или, по крайней мере, выберите Созданные системой отчеты об ошибках Windows или файлы дампа памяти ошибок системы .

  4. Выберите OK, чтобы утилита завершила очистку, затем перезагрузите систему, чтобы завершить.

Утилита очистки системы не всегда успешно удаляет файл дампа памяти. Это может быть связано с правами доступа к файлам или параметрами локальной политики в вашей системе, но поскольку утилиту легко запустить, это хорошая первая попытка. Если это не работает, перейдите к следующему способу ниже.

Просмотр полного дампа памяти

Чтобы посмотреть содержимое полного дампа памяти необходимо открыть файл при помощи утилиты WinDBG, которая входит в пакет Microsoft Windows SDK. Скачать эту утилиту можно с официального сайта Майкрософт по этой ссылке -ru/windows/downloads/windows-10-sdk .

Установка и настройка WinDBG.

Просмотр полного дампа памяти

Запускаем установку пакета Windows Software Development KIT и на этапе выбора компонентов отмечаем «Debugging Tools for Windows».

При первом запуске WinDBG необходимо выполнить настройку сервера отладочных символов. 1. Переходим в меню File > Symbol File Path и вставляем строку:

где C:\symbol_cache — это директория куда будут загружаться символы.

2. Сохраняем настройку File > Save Workspace.

Просмотр полного дампа памяти

Просмотр и анализ файла

Открываем файл : File > Open Crash Dump. Начинается процесс загрузки отладочных символов, в этот момент внизу будет видна надпись: Debugee not connected.

По окончанию загрузки появится подсказка: «для анализа этого файла запустите !analize-v».

Щелкаем по надписи !analize-v и запускается анализ дампа. В этот момент в строке состояние будет надпись *BUSY*.

Просмотр полного дампа памяти

По завершении обработки файла дампа памяти Windows нам необходимо найти среди полученной информации модуль, который вызвал сбой в работе. Найти сбойный модуль можно в строках MODULE_NAME и IMAGE_NAME.

В моем случае произошел сбой в работе драйвера В строке MODULE_NAME имя представлено в виде ссылке, щелкнув по которому можно получить информацию о модуле.

После выявления драйвера послужившего причиной сбоя в работе Windows и появления «Синего экрана смерти» необходимо попытаться обновить его.

Большинство проблем с драйверами решаются их обновлением.

Просмотр полного дампа памяти

Анализ дампа памяти в Windows при BSOD с помощью WinDBG

В момент критического сбоя операционная система Windows прерывает работу и показывает синий экран смерти (BSOD). Содержимое оперативной памяти и вся информация о возникшей ошибке записывается в файл подкачки. При следующей загрузке Windows создается аварийный дамп c отладочной информацией на основе сохраненных данных. В системном журнале событий создается запись о критической ошибке.

Синий экран смерти

BSOD– это ошибка, которая вызывает STOP системы (отсюда и название “ошибка STOP”). Останов системы происходит в связи с тем, существует потенциальная возможность повреждения системы и её файлов. На экране появляется синий экран смерти (Blue Screen of Dead) – это неофициальное название полученное из-за изображения ошибки белым текстом на синем фоне. Синий экран содержит шестнадцатеричные значения из дампа памяти, которые могут быть использованы для определения причины отказа системы.

Когда говорят BSOD, могут подразумевать:

  • Синий экран смерти
  • STOP код
  • Аварийный дамп (crash dump)
  • Дамп памяти (memory dump)

Появление синего экрана, как правило, вызвано проблемами в аппаратной части компьютера (его железе) или проблемами с драйверами установленного оборудования. Обыкновенные, стандартные программы зачастую не в состоянии вызвать синий экран, так как если произойдет сбой приложения, то оно просто завершиться с ошибкой, но не затронет работоспособность самой системы. А вот программы низкого уровня, работающие на уровне ядра Windows могут привести к появлению BSOD, к нм как раз и относятся драйвера.

Критический сбой происходит, когда система получает STOP код, что приводит к остановке работы Windows. Единственное, что для операционная система может сделать, так это прекратить дальнейшую работу компьютера и перезагрузить его.

Это в свою очередь может привести к потере данных работающих программ, поскольку приложения не имеют возможности сохранить текущие данные.

Чтобы уберечься от такого рода потерь информации, необходимо постоянно сохранять все изменения в отрытых документах, причём не только самому пользователю, но и в программы должно быть заложено разработчиками ведение, что-то типа резервной активной копии открытых файлов (как например это сделано в Word).

Во время появления синего экрана Windows автоматически создает на диске файл “минидампа” памяти, который содержит информацию о предшествующих сбою операциях. Вы можете изучить информацию в этих минидампов, чтобы определить причину синего экрана.

Как узнать причину BSoD

Расшифровка синего экрана смерти на самом деле гораздо проще, чем вы думаете. Это только на первый взгляд выглядит пугающе, но стоит присмотреться как можно выделить основные ключевые области экрана, где содержится нужная информация, которая поможет в исправлении ошибки.

Читайте также:  Как включить и отключить учетную запись Гость в Windows 10, 8, 7

Первые две строчки говорят нам, что была обнаружена проблема и работа Windows была завершена, чтобы предотвратить повреждения компьютера.

Синий экран смерти

Сперва наперво обращаем на две строчки на экране (обведены красным). Первая верхняя строка – это само название кода ошибки (его аббревиатура). В нашем случае это UNMOUNTABLE_BOOT_VOLUME. В выделенной нижней строке пишется сам код ошибки, в нашем примере 0x000000ED, в скобках указаны дополнительные возможные коды, выпишите их на всякий случай, чтобы можно было и по ним по мере надобности поискать информацию.

Чтобы выяснить, что именно не так с вашим компьютером, можно воспользоваться нашей формой поиска ошибок на главной странице или поискать вручную на разделе содержащему полный перечень BSOD.

Не успеваете прочесть синий экран?

Если компьютер не загружается, то нам надо попробовать зайти в защищенный режим. Для этого, как правило, надо нажимать кнопку F8 при загрузке.

Если вы смогли зайти в безопасный режим, то половина пути уже пройдено 8)

Перейдите на страницу Свойства системы , щелкнув правой кнопкой мыши Мой компьютер и выбрав в Свойства

Если у Вас Windows 7 то слева выберите Дополнительные параметры системы.

В появившемся окошке переходим на вкладку Дополнительно и нажимаем на кнопку Параметры, как на рисунке ниже.

Убираем галочки у опции Выполнить автоматическую перезагрузку.

Часть вторая — анализ мини-дампа

Данная часть статьи предназначена для тех энтузиастов, которые предпочитают метод самостоятельной диагностики проблем с системой. Также приведенный метод может быть использован сотрудниками технической поддержки разнообразных сервисных служб для помощи рядовым пользователям ПК. Ниже описан метод расшифровки файла мини-дампа с использованием специальных программных средств.

Для этого нам понадобится установить Debugging Tools for Windows и скачать утилиту непосредственно для расшифровки файла дампа

(зеркало 1, зеркало 2)

Когда установили Debugging Tools, копируем в корень диска C:\ Запускаем командную строку «Пуск» -«Выполнить», вписываем команду cmd

При таком размещении файла дампа, надо запустить «Командную строку» обязательно от имени администратора:

Теперь в черном окне CMD пишем следующее:

c:\ c:\Windows\Minidump\

где c:\Windows\Minidump\ — файл мини-дампа.

Результат декодирования ошибки выглядит так:

Crash date:         Tue Jan  1 15:35: 2013 (GMT+4)

— дата события

Stop error code:    0xD1

— код ошибки останова системы

Process name:      

— имя процесса вызвавшего остановку системы

Probably caused by: ( L1E62x64+76b8 )

— вероятный виновник остановки

Чтобы окончательно локализовать источники проблем, следуем такому комиксу:

Ищем найденный в дампе файл драйвера на системном диске:

Открываем свойства файла драйвера:

На вкладке «Подробно» в поле «Описание» и «Название продукта» видим то, что нам надо:

В меню Пуск-Мой компьютер, открываем элемент «Управление» и далее «Диспетчер устройств»:

В диспетчере устройств находим адаптер из описания драйвера:

А в диспетчере задач находим нужный процесс:

Как видно, в моем случае сбой системы был вызван процессом при взаимодействии с файлом драйвера сетевой карты .

Теперь осталось лишь избавиться от любого из виновников сбоя.

p.s.

Использованные источники:

p.p.s

Думаю также вам будет интересно узнать об утилите bluescreenview, которая также позволяет изучать содержимое файлов мини-дампа.

Удачи!

Аварийный дамп памяти

:   / 303

725572

Все Windows-системы при обнаружении фатальной ошибки делают аварийный дамп (снимок) содержимого оперативной памяти и сохраняет его на жесткий диск. Существуют три типа дампа памяти:

Полный дамп памяти – сохраняет все содержимое оперативной памяти. Размер снимка равен размеру оперативной памяти + 1 Мб (заголовок). Используется очень редко, так как в системах с большим объемом памяти размер дампа будет слишком большим.

Дамп памяти ядра – сохраняет информацию оперативной памяти, касающуюся только режима ядра. Информация пользовательского режима не сохраняется, так как не несет в себе информации о причине краха системы. Объем файла дампа зависит от размера оперативной памяти и варьируется от 50 Мб (для систем с 128 Мб оперативной памяти) до 800 Мб (для систем с 8 Гб оперативной памяти).

Малый дамп памяти (мини дамп) – содержит довольно небольшое количество информации: код ошибки с параметрами, список драйверов загруженных в оперативную память на момент краха системы и т.д., но этих сведений достаточно, для определения сбойного драйвера. Еще одним преимуществом данного вида дампа является маленький размер файла.

Настройка системы

Для выявления драйвера вызвавшего синий экран нам достаточно будет использовать малый дамп памяти. Для того чтобы система при крахе сохраняла мини дамп необходимо выполнить следующие действия:

Проделав все манипуляции, после каждого BSoD в папке C:\WINDOWS\Minidump будет сохраняться файл с расширение .dmp. Советую ознакомиться с материалом «Как создать папку». Также можно установить галочку на “Заменить существующий файл дампа”. В этом случае каждый новый аварийный дамп будет записываться поверх старого. Я не советую включать данную опцию.

Анализ аварийного дампа памяти с помощью программы BlueScreenView

Итак, после появления синего экрана смерти система сохранила новый аварийный дамп памяти. Для анализа дампа рекомендую использовать программу BlueScreenView. Её можно бесплатно скачать тут. Программа довольно удобная и имеет интуитивный интерфейс. После её установки первое, что необходимо сделать – это указать место хранение дампов памяти в системе. Для этого необходимо зайти в пункт меню “Options” и выбрать “Advanced Options”. Выбираем радиокнопку “Load from the following Mini Dump folder” и указываем папку, в которой хранятся дампы. Если файлы хранятся в папке C:\WINDOWS\Minidump можно нажатием кнопки “Default”. Нажимаем OK и попадаем в интерфейс программы.

Программа состоит из трех основных блоков:

  1. Блок главного меню и панель управления;
  2. Блок списка аварийных дампов памяти;
  3. В зависимости от выбранных параметров может содержать в себе:
  • список всех драйверов находящихся в оперативной памяти до появления синего экрана (по умолчанию);
  • список драйверов находящихся в стеке оперативной памяти;
  • скриншот BSoD;
  • и другие значения, которые мы использовать не будем.

В блоке списка дамп памяти (на рисунке помечен цифрой 2) выбираем интересующий нас дамп и смотрим на список драйверов, которые были загружены в оперативную память (на рисунке помечен цифрой 3). Розовым цветом окрашены драйвера, которые находились в стеке памяти. Они то и являются причиной появления BSoD.

Далее переходите в Главное меню драйвера, определяйте к какому устройству или программе они принадлежат. В первую очередь обращайте внимание на не системные файлы, ведь системные файлы в любом случае загружены в оперативной памяти. Легко понять, что на изображении сбойным драйвером является Скажу, что это программа была специально запущена для вызова Stop ошибки.

Читайте также:  Глава 10. Настройка программного RAID-массива

После определения сбойного драйвера, необходимо его либо обновить, либо удалить из системы.

Для того чтобы программа показывала список драйверов находящихся в стеке памяти во время возникновения BSoD необходимо зайти в пункт меню “Options” кликаем на меню “LowerPaneMode” и выбираем “OnlyDriversFoundInStack” (или нажмите клавишу F7), а для показа скриншота ошибки выбираем “BlueScreeninXPStyle” (F8). Что бы вернуться к списку всех драйверов, необходимо выбрать пункт “AllDrivers” (F6).

Буду признателен, если воспользуетесь кнопочками:

Аварийный дамп памяти

:   / 303

720654

Все Windows-системы при обнаружении фатальной ошибки делают аварийный дамп (снимок) содержимого оперативной памяти и сохраняет его на жесткий диск. Существуют три типа дампа памяти:

Полный дамп памяти – сохраняет все содержимое оперативной памяти. Размер снимка равен размеру оперативной памяти + 1 Мб (заголовок). Используется очень редко, так как в системах с большим объемом памяти размер дампа будет слишком большим.

Дамп памяти ядра – сохраняет информацию оперативной памяти, касающуюся только режима ядра. Информация пользовательского режима не сохраняется, так как не несет в себе информации о причине краха системы. Объем файла дампа зависит от размера оперативной памяти и варьируется от 50 Мб (для систем с 128 Мб оперативной памяти) до 800 Мб (для систем с 8 Гб оперативной памяти).

Малый дамп памяти (мини дамп) – содержит довольно небольшое количество информации: код ошибки с параметрами, список драйверов загруженных в оперативную память на момент краха системы и т.д., но этих сведений достаточно, для определения сбойного драйвера. Еще одним преимуществом данного вида дампа является маленький размер файла.

Настройка системы

Для выявления драйвера вызвавшего синий экран нам достаточно будет использовать малый дамп памяти. Для того чтобы система при крахе сохраняла мини дамп необходимо выполнить следующие действия:

Проделав все манипуляции, после каждого BSoD в папке C:\WINDOWS\Minidump будет сохраняться файл с расширение .dmp. Советую ознакомиться с материалом «Как создать папку». Также можно установить галочку на “Заменить существующий файл дампа”. В этом случае каждый новый аварийный дамп будет записываться поверх старого. Я не советую включать данную опцию.

Анализ аварийного дампа памяти с помощью программы BlueScreenView

Итак, после появления синего экрана смерти система сохранила новый аварийный дамп памяти. Для анализа дампа рекомендую использовать программу BlueScreenView. Её можно бесплатно скачать тут. Программа довольно удобная и имеет интуитивный интерфейс.

Аварийный дамп памяти

После её установки первое, что необходимо сделать – это указать место хранение дампов памяти в системе. Для этого необходимо зайти в пункт меню “Options” и выбрать “Advanced Options”. Выбираем радиокнопку “Load from the following Mini Dump folder” и указываем папку, в которой хранятся дампы.

Если файлы хранятся в папке C:\WINDOWS\Minidump можно нажатием кнопки “Default”. Нажимаем OK и попадаем в интерфейс программы.

Программа состоит из трех основных блоков:

  1. Блок главного меню и панель управления;
  2. Блок списка аварийных дампов памяти;
  3. В зависимости от выбранных параметров может содержать в себе:
  • список всех драйверов находящихся в оперативной памяти до появления синего экрана (по умолчанию);
  • список драйверов находящихся в стеке оперативной памяти;
  • скриншот BSoD;
  • и другие значения, которые мы использовать не будем.

В блоке списка дамп памяти (на рисунке помечен цифрой 2) выбираем интересующий нас дамп и смотрим на список драйверов, которые были загружены в оперативную память (на рисунке помечен цифрой 3). Розовым цветом окрашены драйвера, которые находились в стеке памяти. Они то и являются причиной появления BSoD.

Далее переходите в Главное меню драйвера, определяйте к какому устройству или программе они принадлежат. В первую очередь обращайте внимание на не системные файлы, ведь системные файлы в любом случае загружены в оперативной памяти. Легко понять, что на изображении сбойным драйвером является Скажу, что это программа была специально запущена для вызова Stop ошибки.

После определения сбойного драйвера, необходимо его либо обновить, либо удалить из системы.

Для того чтобы программа показывала список драйверов находящихся в стеке памяти во время возникновения BSoD необходимо зайти в пункт меню “Options” кликаем на меню “LowerPaneMode” и выбираем “OnlyDriversFoundInStack” (или нажмите клавишу F7), а для показа скриншота ошибки выбираем “BlueScreeninXPStyle” (F8). Что бы вернуться к списку всех драйверов, необходимо выбрать пункт “AllDrivers” (F6).

Буду признателен, если воспользуетесь кнопочками:

Проводим анализ дампа памяти или как выявить причину BSoD?

Здравствуйте друзья, сегодня разберем интересную тему, которая поможет вам в будущем при появлении синего экрана смерти (BSoD).

Как и мне, так и многим другим пользователям приходилось наблюдать появление экрана с синим фоном, на котором что-то написано (белым по синему). Данное явление говорит о критической неполадке, как в программном обеспечении, например, конфликт драйверов, так и в физической неисправности какого-то компонента компьютера.

Недавно у меня снова появился голубой экран в Windows 10, но я быстро от него избавился и скоро об этом вам расскажу.

Итак, большинство пользователей не знают, что BSoD можно анализировать, чтобы впоследствии понять проблемы критической ошибки. Для таких случаев Windows создает на диске специальные файлы – дампы памяти, их то мы и будем анализировать.

Есть три типа дампа памяти:

Полный дамп памяти – эта функция позволяет полностью сохранить содержимое оперативной памяти. Он редко используется, так как представьте, что у вас 32 Гб оперативной памяти, при полном дампе весь этот объем сохранится на диске.

Дамп ядра – сохраняет информацию о режиме ядра.

Малый дамп памяти – сохраняет небольшой объем информации о ошибках и загруженных компонентов, которые были на момент появления неисправности системы. Мы будем использовать именно этот тип дампа, потому что она даст нам достаточное количество сведений о BSoD.

Расположение, как малого, так и полного дампа отличается, например, малый дамп находится по следующему пути: %systemroot%minidump.

Полный дамп находится здесь: %systemroot%.

Для анализа дампов памяти существуют различные программы, но мы воспользуемся двумя. Первая – Microsoft Kernel Debuggers, как понятно из названия утилита от Microsoft. Скачать ее можно с официального сайта. Вторая программа – BlueScreenView, бесплатная программка, скачиваем отсюда.