Wo werden Windows 7-BSOD-Dumps gespeichert? Crash-Memory-Dump. Analysieren einer Dump-Datei mit dem Microsoft Kernel Debugger

Im nächsten Schritt der Auswahl einer zu installierenden Komponente ( Wählen Sie die Funktionen aus, die Sie installieren möchten) Wir markieren nur das, was wir brauchen - Debugging-Tools für Windows und drücke Installieren

Eine Reihe von Dienstprogrammen wird aus dem Internet heruntergeladen und in dem auf dem ersten Bildschirm angegebenen Ordner installiert.

Nachdem die Installation abgeschlossen ist, finden Sie es im „Start“-Menü oder auf Startbildschirm in der Verknüpfungsgruppe Windows-Kits Dienstprogramm WinDbg und führen Sie es mit Administratorrechten aus

Wenn die Verknüpfung aus irgendeinem Grund nicht gefunden werden konnte, können Sie sie ausführen ausführbare Datei aus dem Installationsverzeichnis - MIT:\ Programmdateien(x86)\Windows Kits\8.1\Debuggers\x64\windbg.exe

Im Hauptmenü des Programms WinDbg Gegenstände auswählen Datei > Symboldateipfad. Fügen Sie im sich öffnenden Fenster eine Zeile ein, die das lokale Symbol-Cache-Verzeichnis und seine Online-Quelle definiert:

Wir speichern die Einstellungen, indem wir Elemente im Hauptmenü auswählen Datei > Arbeitsbereich speichern

Öffnen Sie die Speicherabbilddatei, indem Sie im Menü auswählen Datei > Öffnen Sie den Crash Dump...

Wählen Sie eine Datei aus SPEICHER.DMP(standardmäßig im Verzeichnis C:\Windows) und klicken Sie auf Offen

Es werden Informationen darüber angezeigt, welches ausführbare Modul dazu geführt hat, dass das System nicht mehr funktioniert. Durch Klicken auf einen Hyperlink !analyze-v Sie können detailliertere Informationen über den Zustand des Systems zum Zeitpunkt des Auftretens des Stoppfehlers erhalten.

Die gleichen Informationen können über die Befehlszeile mit ungefähr der folgenden Befehlsfolge abgerufen werden:

In diesem Beispiel werden alle Informationen zum Dump-Parsing in lesbarer Form in die Datei C:\Debuglog.txt heruntergeladen

Informationsquellen:

Ursache für kritisch Windows-Fehler, begleitet von Bluescreens (BSOD), ist oft ein Treiber – neu installiert oder beschädigt. Nachdem Sie festgestellt haben, welcher Treiber den Fehler verursacht, können Sie mit der Behebung des Problems beginnen: Aktualisieren Sie den Treiber, führen Sie ein Rollback auf eine frühere Version durch, installieren oder entfernen Sie die Anwendung, die den Treiber installiert hat, neu oder entfernen Sie sie usw. Der Treibername wird nicht immer blau angezeigt Bildschirm. Es gibt jedoch eine sehr einfache Möglichkeit, den problematischen Treiber mithilfe eines Speicherauszugs in wenigen Minuten zu identifizieren.

Schritt 1 – Aktivieren Sie die Speicherauszugsaufzeichnung

Zuerst müssen Sie sicherstellen, dass die Dump-Aufzeichnung aktiviert ist. Öffnen Sie dazu die Systemeigenschaften durch Drücken der Tastenkombination Win+Pause, [in Vista klicken Sie auf den Link Erweiterte Systemeinstellungen], gehen Sie zur Registerkarte Zusätzlich, und drücken Sie abschließend die Taste.

Klein Speicherauszüge sollten für unsere Zwecke ausreichend sein.

Achten Sie auf den Pfad zu dem Ordner, in dem sie wann gespeichert werden kritischer Fehler.

Jetzt können Sie die Datei archivieren und an einen Forumsbeitrag anhängen Beheben kritischer Windows-Fehler und warten Sie, bis Ihnen jemand den Namen des problematischen Treibers nennt :) Aber Sie können es auch ohne großen Aufwand selbst machen.

Schritt 2 – Analysieren von Dumps mit dem MinDumper-Dienstprogramm

In diesem Artikel finden Sie eine Geschichte über das Dienstprogramm.

1. Laden Sie die Debugging-Tools für Windows herunter und installieren Sie sie. Sie sind im Windows SDK-Webinstallationsprogramm enthalten. Nach dem Start müssen Sie im Abschnitt „Allgemeine Dienstprogramme“ die Option „Debugging-Tools“ auswählen.
2. Herunterladen Szenario(kdfe.cmd), das von Alexander Sukhovey geschrieben und auf der Ressource veröffentlicht wurde sysadmins.ru(Da ich dort keinen Live-Link finden konnte, biete ich meinen eigenen an). Entpacken Sie das Archiv in einen beliebigen Ordner.
   Notiz. Wenn der Speicherort des Ordners „Programme“ nicht dem Standard entspricht, müssen Sie möglicherweise in kdfe.cmd den Pfad zu dem Ordner angeben, in dem die Debugging-Tools für Windows installiert sind. Verwenden Sie die Variable dbgpath in Zeile 41.

Schritt 3 – Analysieren des Speicherauszugs

Jetzt kommt es darauf an, einen Befehl auszuführen. Offen Befehlszeile und gehen Sie zu dem Ordner, in den Sie extrahiert haben kdfe.cmd. Führen Sie die Datei aus und geben Sie dabei den Pfad zur Speicherabbilddatei als Parameter an (im folgenden Beispiel heißt die Datei „ Mini1110307-01.dmp)

Oder, wie es auch genannt wird, BSOD, kann die Lebensdauer sowohl des Computers als auch des Servers erheblich ruinieren, und das hat sich auch herausgestellt virtuelle Maschine. Heute erzähle ich Ihnen, wie Sie den Bluescreen des Dump-Speichers in Windows analysieren, da 99 Prozent seiner Lösung, insbesondere ein Systemingenieur, einfach dazu in der Lage sein muss, eine korrekte Diagnose zu stellen und den Grund zu ermitteln, warum Ihr System nicht funktioniert Tun Sie dies und zwar in kürzester Zeit. Wie kann ein Unternehmen durch Serviceausfälle viel Geld verlieren?

BSOD-Entschlüsselung

Schauen wir uns zunächst an, was diese Abkürzung bedeutet, BSOD vom englischen Blue Screen of Death oder auch STOP-Fehlermodus.

Fehler blauer Bildschirm Todesfälle treten aus verschiedenen Gründen auf, darunter können Probleme mit den Treibern, eine fehlerhafte Anwendung oder ein fehlerhaftes Modul vorliegen Arbeitsspeicher. Sobald Sie einen Bluescreen in Windows haben, erstellt Ihr System automatisch eine Crash-Memory-Dump-Datei, die wir analysieren.

So konfigurieren Sie die Erstellung eines Speicherabbilds

Von Standardfenster Wenn ein Bluescreen erscheint, wird eine Crash-Dump-Datei „memory.dmp“ erstellt. Jetzt zeige ich anhand eines Beispiels, wie sie konfiguriert ist und wo sie gespeichert ist Windows Server 2008 R2, da ich kürzlich die Aufgabe hatte, das Problem eines Bluescreens in einer virtuellen Maschine zu untersuchen. Um herauszufinden, wo „Dump Memory Windows“ konfiguriert ist, öffnen Sie „Start“, klicken Sie mit der rechten Maustaste auf das Computersymbol und wählen Sie „Eigenschaften“.

So analysieren Sie den Bluescreen-Dump-Speicher in Windows – Computereigenschaften

So analysieren Sie den Bluescreen-Dump-Speicher in den Windows-Systemeinstellungen

Gehen Sie zur Registerkarte „Erweitert“ – Booten und Wiederherstellen. Klicken Sie auf die Schaltfläche Einstellungen

So analysieren Sie den Bluescreen-Dump-Speicher in Windows – Booten und Wiederherstellen

Wo wird die Datei „memory.dmp“ gespeichert?

und wir sehen, dass es zunächst ein Kontrollkästchen zum Ausführen gibt automatischer Neustart Um Debugging-Informationen aufzuzeichnen, wird der Kernel-Speicherauszug ausgewählt. Darunter wird der Speicherauszug gespeichert: %SystemRoot%\MEMORY.DMP

Gehen wir zum Ordner c:\windows\ und suchen wir die Datei MEMORY.DMP, die einen Bluescreen mit Todescodes enthält

So analysieren Sie den Bluescreen-Dump-Speicher in Windows-memory.dmp

So richten Sie einen Mini-Dump ein

Bluescreen-of-Death-Fehler werden auch im kleinen Speicherauszug aufgezeichnet; er ist dort konfiguriert, Sie müssen ihn nur auswählen.

Es wird im Ordner c:\windows\minidump gespeichert. Der Vorteil ist, dass es weniger Platz beansprucht und jeder Bluescreen entsteht separate Datei. Sie können jederzeit den Verlauf der Bluescreen-Vorkommnisse einsehen.

Nachdem wir nun herausgefunden haben, wo wir nach der Speicherauszugsdatei suchen müssen, müssen wir lernen, sie zu interpretieren und den Grund zu verstehen, warum der Blue Screen of Death auftritt. Microsoft Kernel Debugger hilft uns bei der Lösung dieses Problems. Sie können Microsoft Kernel Debugger von der offiziellen Website herunterladen. Die Hauptsache ist die Auswahl die benötigte Version Wenn jemand das Betriebssystem kaputt macht, können Sie es über einen direkten Link von der Yandex-Festplatte herunterladen. Es ist auch Teil von ADK.

Laden Sie Microsoft Kernel Debugger herunter. Als Ergebnis erhalten Sie eine kleine Datei, mit der Sie alles, was Sie brauchen, aus dem Internet herunterladen können. Lass es uns starten.

Wir nehmen nicht am Qualitätsverbesserungsprogramm teil

Klicken Sie auf „Akzeptieren“ und stimmen Sie der Lizenz zu

So installieren Sie Microsoft Kernel Debugger – stimmen Sie der Lizenz zu

wird beginnen Microsoft-Installation Kernel-Debugger

So installieren Sie den Microsoft Kernel Debugger – MKD-Installation

Wir sehen, dass Microsoft Kernel Debugger erfolgreich installiert wurde

Danach sehen wir, dass der Ordner „Debugging Tools for Windows“ sowohl für 32- als auch für 64-Bit-Systeme beim Start angezeigt wird.

Zusätzlich zum Debugging-Tools für Windows-Paket selbst benötigen Sie auch eine Reihe von Debugging-Symbolen – Debugging-Symbole. Der Satz von Debugging-Symbolen ist für jedes Betriebssystem spezifisch, auf dem das BSoD aufgezeichnet wurde. Daher müssen Sie für jedes Betriebssystem, dessen Betrieb Sie analysieren müssen, einen Satz Symbole herunterladen. Für ein 32-Bit-Windows XP ist der 32-Bit-Zeichensatz von Windows XP erforderlich; für ein 64-Bit-Betriebssystem ist der 64-Bit-Zeichensatz von Windows XP erforderlich. Für andere Betriebssysteme Windows-Familie Die Auswahl der Zeichensätze erfolgt nach dem gleichen Prinzip. Hier können Sie Debugging-Symbole herunterladen. Es wird empfohlen, sie unter zu installieren %systemroot%\symbols Allerdings installiere ich sie gerne in separaten Ordnern und vermeide es, den Windows-Ordner zu überladen.

Bluescreen-Analyse in Debugging-Tools

Starten Sie nach der Installation der Debugging-Symbole für das System, bei dem der Bluescreen des Todes auftrat, die Debugging-Tools

So installieren Sie den Microsoft Kernel Debugger – Ausführen

Bevor Sie den Inhalt des Speicherauszugs analysieren, müssen Sie eine kleine Konfiguration des Debuggers vornehmen. Teilen Sie dem Programm insbesondere mit, wo nach Debugsymbolen gesucht werden soll. Wählen Sie dazu im Menü Datei > Symboldateipfad… aus.

Klicken Sie auf die Schaltfläche „Durchsuchen“...

und geben Sie den Ordner an, in dem wir die Debugging-Symbole für den betreffenden Speicherauszug installiert haben. Sie können mehrere durch Kommas getrennte Ordner angeben und Informationen zu den benötigten Debugging-Symbolen direkt über das Internet von einem öffentlichen Microsoft-Server anfordern. Auf diese Weise haben Sie das Beste eine neue Version Figuren. Sie können dies wie folgt tun: Geben Sie im Menü Datei > Symboldateipfad… Folgendes ein:

SRV*%systemroot%\symbols*http://msdl.microsoft.com/download/symbols

So analysieren Sie den Bluescreen des Todes

Wir kopieren die Datei „memory.dmp“ oder „minidump“ von dem Computer, auf dem der Bluescreen auftauchte, öffnen sie, wählen im Menü „Datei“ > „Crash-Dump öffnen“ und wählen die zu berücksichtigende Datei aus.

So analysieren Sie den Bluescreen von Death-01

Wählen Sie beispielsweise Minidump

So analysieren Sie den Bluescreen des Todes – Minidump öffnen

Die Analyse des Minidumps beginnt. Wir sehen einen Link zum Fehler. Klicken Sie darauf, um detailliertere Informationen zum Bluescreen zu erhalten.

So analysieren Sie den Bluescreen von Death-03

Und wenn wir eine fehlerhafte Anwendung sehen, die Ihr System zerstört, können Sie auch noch detaillierter sehen, was falsch ist, indem Sie auf den Link klicken.

So analysieren Sie den Bluescreen von Death-04

Mehr bekommen genaue Information wegen Bluescreen.

So analysieren Sie den Bluescreen von Death-05

Wenn Sie „memory.dmp“ öffnen, erhalten Sie ein ähnliches Bild und sehen, warum Sie einen Bluescreen erhalten.

So analysieren Sie den Bluescreen von Death-06

So einfach ist es, den Blue Screen of Death zu diagnostizieren und zu beseitigen.

Ich werde weiterhin über den blauen Bildschirm des Todes sprechen, mit dem ich angefangen habe.

Wenn der Computer also plötzlich neu startet oder einfriert und der Bluescreen des Todes nicht oder nur für den Bruchteil einer Sekunde erscheint, können Informationen über die Fehlerursachen trotzdem wiederhergestellt werden.

Tatsache ist, dass das Betriebssystem zum Zeitpunkt des Ausfalls den Inhalt des RAM im sogenannten speichert Dump-Datei(hat Erweiterung .dmp). Zukünftig kann die Dump-Datei analysiert werden und die gleichen Informationen wie auf dem Bluescreen und sogar noch etwas mehr erhalten.

Die Erstellung von Dumps kann jedoch im System deaktiviert werden. Sie sollten daher sicherstellen, dass das System erstens Dumps erstellt, wenn es abstürzt, und zweitens, dass Sie den Speicherort auf der Festplatte kennen, an dem sie gespeichert werden.

Dazu müssen Sie zum Abschnitt gehen System.

In Windows 10 kann dies über die Suche und in erfolgen vorherige Versionen Betriebssystemüber die Systemsteuerung.

Hier sollte die Aufzeichnung von Ereignissen im Systemprotokoll aktiviert sein, aber um zu verhindern, dass der Computer automatisch neu startet und uns den Inhalt des Bluescreens des Todes anzeigt, müssen Sie den automatischen Neustart abbrechen, falls er aktiviert war.

Hier wird auch der Pfad zu den Dumps angezeigt – wir sehen, dass der Dump im Ordner %SystemRoot% gespeichert ist – dies ist die Bezeichnung des Windows-Ordners.

Sie können hier auch „kleiner Speicherauszug“ auswählen, was für die Suche nach Fehlercodes völlig ausreicht.

Das System stürzte also mit dem blauen Bildschirm des Todes ab, woraufhin ein Speicherauszug erstellt wurde.

Für die Dump-Analyse gibt es spezielle Programme und eines der beliebtesten ist das Dienstprogramm BlueScreenView.

Das Programm ist sehr einfach zu bedienen und erfordert keine Installation – laden Sie es von der offiziellen Website herunter und entpacken Sie es. Gleichzeitig können Sie von der offiziellen Website eine Datei herunterladen, mit der Sie das Programm russifizieren können. Dafür Diese Datei Sie müssen es im Ordner mit dem entpackten Programm ablegen.

Wenn nach dem Start des Programms die Dumps nicht angezeigt werden, obwohl das System in den Bluescreen des Todes abgestürzt ist, dann sollten Sie in den Programmeinstellungen sicherstellen, dass der Pfad zu den Speicherdumps korrekt angegeben ist, also dieser sollte mit den Systemeinstellungen identisch sein.

Danach müssen Sie die Informationen im Programmfenster aktualisieren und alle im System erstellten Dumps werden angezeigt. Bei mehreren Dumps konzentrieren wir uns auf das Datum des Ausfalls. Wählen Sie den gewünschten Dump aus und dieser wird angezeigt genaue Information darauf.

Hier wird der Name des Fehlers angezeigt, sein STOP-Code mit Parametern, und wenn die Ursache der Treiber war, dann finden wir im entsprechenden Feld seinen Namen.

Außerdem werden unten im Programmfenster Dateien, die ebenfalls den Fehler verursachen könnten, rosa hervorgehoben. Wir müssen jeden von ihnen der Reihe nach behandeln. Der Algorithmus hier ähnelt dem im vorherigen Beitrag besprochenen – wir suchen im Internet nach einer Lösung und verwenden den Dateinamen oder Fehlercode als Suchschlüssel.

In diesem Fall ist es nicht notwendig, Daten manuell in die Suchmaschine einzugeben. Wenn Sie mit der rechten Maustaste auf die Dump-Zeile klicken, dann von Kontextmenü Sie können ein Element auswählen, mit dem Sie eine Beschreibung dieses speziellen Problems in Google finden können.

Sie können Google nach Fehlercode, nach Fehlercode und Treibername oder nach Fehlercode und Parameter durchsuchen.

Mit diesem Dienstprogramm können Sie außerdem schnell den Speicherort der problematischen Datei auf der Festplatte finden.

Manchmal kommt es vor, dass die Datei, die das Problem verursacht hat, zu einem Programm oder Spiel gehört. Anhand des Speicherorts der Datei auf der Festplatte können Sie schnell feststellen, zu welchem ​​Programm oder Spiel sie gehört.

Nun, es ist wichtig zu wissen, dass Reinigungsprogramme scheinbar Speicherauszüge löschen. Wenn Sie also solche Programme verwenden, sollten Sie sie nicht verwenden, während Sie gleichzeitig die Ursache für den Bluescreen of Death ermitteln.

Und die letzte Frage, die ich im Rahmen dieser Notiz beantworten werde, lautet: Was tun, wenn der Computer nach dem Erscheinen des Bluescreens nicht mehr startet? Das heißt, der Computer friert ein oder ist ständig überlastet, sodass es keine Möglichkeit gibt, den Speicherauszug zu analysieren.

Die Antwort ist logisch und einfach: Sie müssen etwas erstellen bootfähiges USB-Flash-Laufwerk, mit dem Sie die Dump-Datei „extrahieren“ können Festplatte und analysieren Sie es auf einem anderen Computer. Booten Sie dazu von einem Flash-Laufwerk und auf der Festplatte des Computers im Ordner Windows oder in einem Unterordner Minidump Wir finden die Dump-Datei, die wir auf das Flash-Laufwerk kopieren. Dann auf einem anderen Computer mit dem Dienstprogramm BlueScreenView Wir analysieren den Dump, wie in diesem Hinweis beschrieben.

Im Kapitel Ein Crash-Dump wird durch die folgenden Parameter definiert:

– REG_DWORD-Parameter Automatischer Neustart mit Bedeutung 0x1(Möglichkeit Führen Sie einen automatischen Neustart durch Unterfensterfenster Eigenschaften des Systems);

– REG_DWORD-Parameter CrashDumpEnabled mit Bedeutung 0x0, wenn kein Speicherauszug erstellt wird; 0x1 – Vollständiger Speicherauszug; 0x2 – Kernel-Speicherauszug; 0x3 – Kleiner Speicherauszug (64 KB);

– REG_EXPAND_SZ-Parameter DumpFile mit Bedeutung %SystemRoot%\MEMORY.DMP(Speicherort der Dump-Datei);

– REG_DWORD-Parameter LogEvent mit Bedeutung 0x1(Möglichkeit Ereignis protokollieren Fenster );

– REG_EXPAND_SZ-Parameter MinidumpDir mit Bedeutung %SystemRoot%\Minidump(Optional);

– REG_DWORD-Parameter Überschreiben mit Bedeutung 0x1(Möglichkeit Ersetze die vorhandene Datei Fenster );

– REG_DWORD-Parameter SendAlert mit Bedeutung 0x1(Möglichkeit Senden Sie eine administrative Warnung Fenster ).

Wie das System eine Notfallspeicherdatei erstellt

Während des Startvorgangs überprüft das Betriebssystem die Notfallerstellungsparameter im Registrierungsabschnitt . Wenn mindestens ein Parameter angegeben wird, generiert das System eine Karte der auf dem Boot-Volume belegten Festplattenblöcke und speichert sie im Speicher. Das System bestimmt auch, welches Festplattengerät gesteuert wird Boot-Volume, berechnet Prüfsummen für das Bild im Speicher und für Datenstrukturen, die ganzzahlig sein müssen, um E/A-Operationen ausführen zu können.

Nach einem Fehler überprüft der Systemkernel die Integrität der Auslagerungsdateizuordnung, der Festplattendatei und der Festplattenkontrollstrukturen. Wenn die Integrität dieser Strukturen nicht verletzt wird, ruft der Systemkernel spezielle Festplatten-I/O-Funktionen auf , entwickelt, um nach einem Fehler ein Speicherbild zu speichern. Diese I/O-Funktionen sind eigenständig und nicht auf Kernel-Dienste angewiesen, da die Programme, die für das Schreiben des Absturzspeicherauszugs verantwortlich sind, keine Annahmen darüber treffen können, welche Teile des Systemkernels oder welche Geräte beim Absturz beschädigt wurden. Der Systemkernel schreibt Daten aus dem Speicher in die Sektorzuordnung der Auslagerungsdatei (dies ist nicht erforderlich).Dateisystem).

Zunächst überprüft der Systemkernel den Status jeder am Dump-Prozess beteiligten Komponente. Dies geschieht, damit beim direkten Schreiben in Festplattensektoren die außerhalb der Datei befindlichen Daten nicht beschädigt werden. Die Dateigröße sollte 1 betragen MB größere Größe physikalischer Speicher, denn beim Schreiben von Informationen wird ein Header erstellt, der die Notfallsignatur und die Werte mehrerer wichtiger Systemkernelvariablen enthält. Der Titel belegt weniger als 1 MB, aber das Betriebssystem kann die Größe der Auslagerungsdatei um mindestens 1 erhöhen (oder verringern). MB.

Nach dem Systemstart Sitzungsmanager (Windows NT-Sitzungsmanager; Festplattenadresse – \WINDOWS\system32\smss.exe) initialisiert Systemdateien und verwendet zum Erstellen jeder Datei eine eigene Funktion NtCreatePagingFile. NtCreatePagingFile Bestimmt, ob die Datei, die initialisiert wird, existiert, und wenn ja, ob sie einen Header hat . Wenn es einen Titel gibt, dann NtCreatePagingFile sendet an Sitzungsmanager Sondercode. Danach Sitzungsmanager startet den Prozess Winlogon (Anmeldeprogramm Windows-System NT; Festplattenadresse – \WINDOWS\system32\winlogon.exe), der über das Vorliegen eines Notfalls informiert wird . Winlogon startet das Programm SaveDump (Kopierspeicherprogramm Windows-Speicher NT; Festplattenadresse – \WINDOWS\system32\savedump.exe), das den Header analysiert und legt im Notfall das weitere Vorgehen fest.

Wenn der Titel auf die Existenz hinweist , Das SaveDump kopiert Daten aus einer Datei in eine Notfalldatei, deren Name angegeben ist REG_EXPAND_SZ-Parameter DumpFile Abschnitt . Tschüss SaveDump schreibt die Datei neu , verwendet das Betriebssystem nicht den Teil der Auslagerungsdatei, der den Notfall enthält . Während dieser Zeit wird die Menge an virtuellem Speicher, der dem System und den Anwendungen zur Verfügung steht, um reduziert (Gleichzeitig können auf dem Bildschirm Meldungen erscheinen, die auf einen Mangel an virtuellem Speicher hinweisen.) Dann SaveDump informiert den Speichermanager darüber, dass die Speicherung abgeschlossen ist , und er veröffentlicht diesen Teil Datei, in der es gespeichert ist , für den allgemeinen Gebrauch.

Speichern der Datei , Programm SaveDump zeichnet die Entstehung eines Notfalls auf im Ereignisprotokoll , zum Beispiel: „Der Computer wurde nach einem kritischen Fehler neu gestartet: 0x100000d1 (0xc84d90a6, 0x00000010, 0x00000000, 0xc84d90a6). Speicherkopie gespeichert: C:\WINDOWS\Minidump\Mini060309-01.dmp" .

Vollständiger Speicherauszug schreibt den gesamten Speicherinhalt, wenn ein schwerwiegender Fehler auftritt. Für diese Option benötigen Sie eine Auslagerungsdatei auf dem Startvolume, deren Größe der Größe des gesamten physischen Arbeitsspeichers plus 1 entspricht MB. Standardmäßig voll Speicher wird in eine Datei geschrieben %SystemRoot%\Memory.dmp. Wann immer Neuer Fehler und das Erstellen einer neuen Datei ist abgeschlossen Erinnerung (bzw Kernel-Speicher) wird die vorherige Datei ersetzt (überschrieben). Parameter Vollständiger Speicherauszug Nicht verfügbar auf Systemen mit einem 32-Bit-Betriebssystem und 2 oder mehr RAM.

Wenn ein neuer Fehler auftritt, wird eine neue vollständige Datei erstellt Speicher wird die vorherige Datei ersetzt.

Kernel-Speicherauszug schreibt nur den Kernel-Speicher, sodass das Schreiben von Daten in das Protokoll bei plötzlichem Systemstopp schneller vonstatten geht. Abhängig von der Größe des physischen SpeichersIn diesem Fall benötigt die Auslagerungsdatei 50 bis 800 MB oder ein Drittel des physischen Speichers auf dem Boot-Volume. Der Kernelspeicher wird in eine Datei geschrieben %SystemRoot%\Memory.dmp.

Das umfasst nicht nicht zugewiesenen Speicher oder Speicher, der Modusprogrammen zugewiesen ist. Es umfasst nur den Speicher, der dem Kernel und der hardwarespezifischen Schicht zugewiesen ist ( HAL) V Windows 2000 und spätere Versionen des Systems sowie für den Kernel-Modus und andere Kernel-Modus-Programme zugewiesener Speicher. In den meisten Fällen ist dies der Fall ist die am meisten bevorzugte Option. Im Vergleich zu einem vollwertigen Modell nimmt es viel weniger Platz ein Speicher, während nur die Speichersektoren ausgeschlossen werden, die höchstwahrscheinlich nicht mit dem Fehler verbunden sind.

Wenn ein neuer Fehler auftritt und eine neue Datei erstellt wird Im Kernelspeicher wird die vorherige Datei ersetzt.

Kleiner Speicherauszug schreibt das kleinste Volumen nützliche Informationen notwendig, um die Ursache des Problems zu ermitteln. Um ein kleines zu erstellen Für den Speicher muss die Größe der Auslagerungsdatei mindestens 2 betragen MB auf dem Boot-Volume.

Kleine Dateien Der Speicher enthält die folgenden Informationen:

– Meldung über einen schwerwiegenden Fehler, seine Parameter und andere Daten;

– Liste der heruntergeladenen ;

– Kontext ( PRCB), bei dem der Fehler aufgetreten ist;

EPROZESS) für den Prozess, der den Fehler verursacht hat;

– Prozessinformationen und Kernel-Kontext ( ETHREAD) für den Thread, der den Fehler verursacht hat;

– Aufrufstapel im Kernelmodus für den Thread, der den Fehler verursacht hat.

Kleine Datei Speicher wird verwendet, wenn der Festplattenspeicher begrenzt ist. Aufgrund der begrenzten darin enthaltenen Informationen werden bei der Analyse dieser Datei jedoch möglicherweise nicht immer Fehler erkannt, die nicht direkt durch den Thread verursacht wurden, der zum Zeitpunkt des Fehlers ausgeführt wurde.

Wenn der folgende Fehler auftritt und eine zweite kleine Datei erstellt wird Im Speicher bleibt die vorherige Datei erhalten. Zu jedem zusätzliche Datei Es wird ein eindeutiger Name vergeben. Das Datum ist im Dateinamen verschlüsselt. Zum Beispiel, Mini051509-01.dmp- Dies ist die erste Datei Speicher, erstellt am 15. Mai 2009 Liste aller kleinen Dateien Der Speicher wird in einem Ordner gespeichert %SystemRoot%\Minidump.

Operationssystem zweifelsohne viel zuverlässiger als frühere Versionen – dank der Bemühungen beider Entwickler Microsoft, sowohl Hardwareentwickler als auch Anwendungssoftwareentwickler . Allerdings sind Notsituationen – Ausfälle und Systemabstürze aller Art – unvermeidlich, und je nachdem, ob dieWenn er über Kenntnisse und Fähigkeiten zur Beseitigung dieser Probleme verfügt, hängt es davon ab, ob er ein paar Minuten für die Fehlerbehebung aufwenden muss (z. B. Aktualisieren/Debuggen oder Neuinstallieren des Anwendungsprogramms, das den Fehler verursacht hat), oder mehrere Stunden für die Neuinstallation/Konfiguration des Betriebssystems und der Anwendungssoftware aufwenden muss (was keine Garantie dafür ist, dass es in Zukunft nicht zu Ausfällen und Abstürzen kommt!).

Viele Administratoren vernachlässigen die Analyse von Absturzdumps Windows , weil sie glauben, dass die Zusammenarbeit mit ihnen zu schwierig ist. Es ist schwierig, aber es ist möglich: auch wenn zum Beispiel die Analyse eines von zehn werden erfolgreich sein - die Anstrengungen, die unternommen werden, um die einfachsten Techniken zur Analyse von Notfallsituationen zu beherrschen , wird nicht umsonst sein!..