Analiza descarcarii memoriei. Ce este un cititor de descărcare a memoriei Windows 10

Astăzi vom vorbi despre ce este un memory dump. Acest fișier conține anumite date care au fost în memoria RAM a unui anumit computer la o anumită perioadă de timp. Este, de asemenea, valoros pentru specialiștii și dezvoltatorii de diverse software. Când are loc o pierdere de memorie, acești oameni au ocazia să vadă în ce moment s-a întâmplat și din ce motive. Acest lucru vă permite să remediați erorile și erorile din software. Ori de câte ori sistemele de operare Microsoft se prăbușesc, se generează întotdeauna un dump de memorie.

Dacă trebuie să găsiți locația, precum și dimensiunea acestui fișier, trebuie să faceți clic dreapta pe pictograma computerului. Când apare, rulați proprietățile sale și deschideți fila cu informații suplimentare. Apoi, în secțiunea de pornire și recuperare, trebuie să faceți clic pe butonul de setări. Veți vedea o fereastră pentru înregistrarea informațiilor de depanare. Din lista derulantă, aveți opțiunea de a selecta una dintre următoarele funcții.

O mică descărcare de memorie va avea șaizeci și patru de kiloocteți. În acest caz, vor fi înregistrate în el doar cele mai necesare informații despre problemele apărute. Urmează descărcarea memoriei kernelului. Dimensiunea sa, de regulă, este, de asemenea, de șaizeci și patru de kiloocteți. Conține date de depanare pentru nucleul sistemului dumneavoastră. Să trecem la ultimul punct. Se numește „Windows 7 Full Memory Dump”. Salvează toată memoria sistemului. În acest moment, sunt create fișierele necesare, a căror dimensiune este echivalentă cu RAM-ul care este instalat pe dispozitivul dvs.


De asemenea, puteți aloca locația în care va fi localizat acest fișier și, de asemenea, puteți modifica setarea responsabilă pentru scrierea superficială într-un fișier existent. Vă recomand insistent să nu modificați acești parametri, astfel încât să rămână așa cum au fost implicit.

De asemenea, merită remarcat faptul că puteți crea acest fișier manual. Pentru a face acest lucru, apelați meniul de pornire, porniți serviciul numit „Run”, iar în acesta introduceți comanda „regedit”, apoi faceți clic pe butonul „OK”. Sistemul de operare va apărea în fața ta. Acolo trebuie să găsiți o astfel de cheie care arată astfel: HKEYS LOCAL MACHINES/ SYSTEMA/ CurrentControlSets / Service/ i8042prt/ Parameters.

Când îl găsiți, faceți clic dreapta cu mouse-ul în partea dreaptă a acestei ferestre și selectați create DWORLD. După aceea, scrieți numele tastei „CrashOnCtrlScroll”, apoi atribuiți-i o valoare „1”. Apoi închideți acest editor și reporniți computerul sau laptopul. Pentru a crea un fișier nou care conține o imagine de memorie, apăsați și mențineți apăsat butonul Contral, apoi apăsați tasta de două ori

Asta este tot. Sper că informațiile de mai sus au fost prezentate într-un mod accesibil. Dar fără motive specifice, nu trebuie să efectuați aceste proceduri, deoarece acestea sunt resurse de sistem. Dacă faceți greșeli, pot exista consecințe ireparabile pentru sistemul dvs. de operare.

Voi continua să vorbesc despre ecranul albastru al morții, început în.

Deci, dacă computerul repornește sau îngheață brusc, iar ecranul albastru al morții nu apare sau apare pentru o fracțiune de secundă, atunci, totuși, informațiile despre cauzele defecțiunii pot fi restaurate.

Faptul este că sistemul de operare în momentul eșecului salvează conținutul RAM în așa-numitul fişier dump(are extensia .dmp). Pe viitor, fișierul dump poate fi analizat și obține aceleași informații ca pe ecranul albastru și chiar puțin mai mult.

Dar crearea de dumpuri poate fi dezactivată în sistem, așa că ar trebui să vă asigurați că, în primul rând, sistemul creează dump-uri la blocări și, în al doilea rând, ar trebui să aflați locul de pe disc unde sunt salvate.

Pentru a face acest lucru, accesați secțiunea Sistem.

În Windows 10, acest lucru se poate face prin căutare, iar în versiunile anterioare ale sistemului de operare prin Panoul de control.

Aici, înregistrarea evenimentelor în jurnalul de sistem ar trebui să fie activată, dar pentru ca computerul să nu repornească automat și să nu afișeze conținutul ecranului albastru al morții, trebuie să dezactivați repornirea automată dacă a fost activată.

Calea către dump-uri este de asemenea afișată aici - vedem că dump-ul este salvat în folderul %SystemRoot% - aceasta este desemnarea folderului Windows.

De asemenea, aici puteți selecta un „dump de memorie mic”, care va fi suficient pentru a căuta coduri de eroare.

Deci, sistemul s-a prăbușit în ecranul albastru al morții, după care a fost creat un dump de memorie.

Există programe speciale pentru analiza depozitelor, iar unul dintre cele mai populare este utilitarul BlueScreenView.

Programul este foarte ușor de utilizat și nu necesită instalare - descărcați de pe site-ul oficial și dezarhivați. În același timp, de pe site-ul oficial puteți descărca un fișier cu care puteți rusifica programul. Pentru a face acest lucru, acest fișier va trebui să fie plasat în folderul cu programul dezarhivat.

Dacă după lansarea programului nu afișează depozite, deși sistemul „a eșuat” în ecranul albastru al morții, atunci ar trebui să mergeți la setările programului și să vă asigurați că calea către depozitele de memorie este corectă, adică trebuie să fie la fel ca în setările sistemului.

După aceea, trebuie să actualizați informațiile din fereastra programului și vor fi afișate toate depozitele create în sistem. Dacă există mai multe gropi, atunci ne ghidăm după data defecțiunii. Selectați descărcarea dorită și apoi vor apărea informații detaliate despre aceasta.

Aici este afișat numele erorii, codul STOP al acesteia cu parametri, iar dacă driverul a devenit cauza, atunci în câmpul corespunzător vom găsi numele acesteia.

De asemenea, în partea de jos a ferestrei programului, fișierele care ar putea provoca și o blocare vor fi evidențiate cu roz. Va trebui să te descurci cu fiecare dintre ele în ordine. Algoritmul de aici este similar cu cel discutat în ultima notă - căutăm o soluție pe Internet și folosim numele fișierului sau codul de eroare ca cheie de căutare.

În acest caz, nu este necesară introducerea manuală a datelor în motorul de căutare. Dacă faceți clic dreapta pe linia de descărcare, atunci din meniul contextual puteți selecta un element care vă va permite să găsiți o descriere a acestei probleme în Google.

Puteți alege să căutați pe Google după codul de eroare, după codul de eroare și numele driverului sau după codul de eroare și parametru.

De asemenea, folosind acest utilitar, puteți găsi rapid locația fișierului cu probleme pe disc.

Uneori se întâmplă ca fișierul care a cauzat problema să aparțină unui program sau joc. După locația fișierului pe disc, puteți determina rapid cărui program sau joc îi aparține.

Ei bine, merită să știți că agenții de curățare par să ștergă depozitele de memorie, așa că, dacă utilizați astfel de programe, atunci când identificați cauza ecranului albastru al morții, ar trebui să vă abțineți de la a le folosi.

Și ultima întrebare la care voi răspunde în cadrul acestei note - Ce ar trebui să fac dacă computerul meu nu pornește după un ecran albastru? Adică computerul îngheață sau repornește constant, ceea ce înseamnă că nu există nicio modalitate de a analiza depozitul de memorie.

Răspunsul este logic și simplu - trebuie să creați o unitate flash USB bootabilă, cu care puteți „trage” fișierul dump de pe hard disk și să îl analizați pe alt computer. Pentru a face acest lucru, porniți de pe o unitate flash USB și pe hard disk-ul computerului din folder Windows sau într-un subdosar minibasculă găsiți fișierul dump, pe care îl copiam pe unitatea flash. Apoi pe alt computer folosind utilitarul vizualizare ecran albastru analizați depozitul, așa cum este descris în această notă.

Când apare o eroare critică în timpul lucrului cu Windows, utilizatorul se poate întreba: cum pot accesa descărcarea de blocare a Windows? O astfel de descărcare, dacă configurația sistemului este configurată corect, va ajuta la pornirea sistemului în cazul unui accident sau al așa-numitului ecran albastru al morții (BSOD).

Dacă întâmpinați probleme în timpul procesului de configurare a unui dump de memorie sau sistemul de operare nu va funcționa corect după aceea, atunci puteți.

Descarcarea memoriei Windows 10

Un dump de memorie este ceea ce se află în memoria de lucru a întregului sistem de operare, procesorului și nucleele acestuia. Inclusiv toate informațiile despre starea registrelor procesorului și a altor structuri de servicii.

Pentru ce este un dump de memorie Windows 10?

Dump-ul de memorie din Windows 10 este un fel de cutie neagră. În cazul unui accident în sistem, informațiile stocate în acesta vor ajuta la studierea în detaliu a cauzelor unei defecțiuni a sistemului. Acest eșec, de regulă, oprește complet funcționarea sistemului de operare. Prin urmare, o descărcare de memorie este singura și cea mai fiabilă modalitate de a obține informații despre orice defecțiune a sistemului. Iar primirea este o replică reală a informațiilor care se află în sistem.

Cu cât conținutul depozitului de memorie va reflecta mai precis ceea ce se întâmpla în sistem în momentul defecțiunii, cu atât va fi mai ușor să analizăm urgența și să acționăm ulterioare pentru a o corecta.

Este extrem de important să obțineți o copie actualizată exact în momentul care a fost imediat înainte de eșec. Și singura modalitate de a face acest lucru este să creați o descărcare de blocare Windows 10.

Cauzele erorilor în Windows 10 sunt foarte diverse:

– incompatibilitatea dispozitivelor conectate;

– noi actualizări Windows 10;

– incompatibilitatea driverelor instalate;

– incompatibilitatea aplicațiilor instalate;

- și alte motive.

Cum se configurează o descărcare de memorie în Windows 10?

Pentru a configura un dump de blocare Windows 10, urmați acești pași:

1. Faceți clic dreapta pe pornirea Windows 10. În meniul contextual care apare, selectați elementul „Sistem”.

2. În fereastra „Sistem” din colțul din stânga sus, selectați „Setări avansate de sistem”.

3. În fereastra „Proprietăți sistem”, în elementul „Pornire și recuperare”, faceți clic pe „Setări”.

Aici este configurată descărcarea de blocare a Windows 10.

Când configurați o descărcare de memorie, nu puteți neglija următoarele recomandări:

- Bifați caseta „înlocuiți fișierul dump existent”. Având în vedere faptul că datele pot cântări zeci sau chiar sute de gigaocteți, acest lucru este foarte util pentru hard disk-urile mici;

– Scrierea informațiilor de depanare. Această funcție vă va permite să selectați tipul de fișier dump;

– Efectuați o repornire automată. Continuarea lucrărilor după ce a apărut o eroare;

– Scrieți un eveniment în jurnalul de sistem. Informațiile despre defecțiunea sistemului vor fi adăugate în jurnalele sistemului de operare.

Dump-ul de memorie Windows 10 este o metodă convenabilă și cu adevărat funcțională de asigurare a datelor de sistem.

Cunoscând „inamicul în persoană”, va fi mult mai ușor să îl găsiți și să îl eliminați. O descărcare de memorie Windows 10 vă va permite să identificați cauza unei defecțiuni a sistemului și acțiuni corecte pentru a elimina eroarea, reducând semnificativ raza de efort și de lucru.

În momentul unei defecțiuni critice, sistemul de operare Windows nu mai funcționează și afișează un ecran albastru al morții (BSOD). Conținutul memoriei RAM și toate informațiile despre eroarea care a apărut sunt scrise în fișierul de paginare. Data viitoare când Windows pornește, va fi creată un dump de blocare cu informații de depanare bazate pe datele salvate. O intrare de eroare fatală este creată în jurnalul de evenimente de sistem.

Atenţie! Nu se creează o descărcare de blocare dacă subsistemul discului a eșuat sau dacă a apărut o eroare critică în timpul etapei inițiale a pornirii Windows.

Tipuri de depozitări de blocare Windows

Folosind sistemul de operare Windows 10 actual (Windows Server 2016) ca exemplu, să ne uităm la principalele tipuri de depozite de memorie pe care sistemul le poate crea:

  • Mini memorie de descărcare (Small memory dump)(256 KB). Acest tip de fișier include o cantitate minimă de informații. Conține doar mesajul de eroare BSOD, informații despre drivere, procesele care erau active în momentul prăbușirii și ce proces sau fir de nucleu a cauzat blocarea.
  • Dump memorie kernel. De obicei, mic, o treime din cantitatea de memorie fizică. Dump-ul de memorie kernel este mai detaliat decât minidump. Conține informații despre drivere și programe în modul kernel, include memorie alocată nucleului Windows și stratului de abstractizare hardware (HAL) și memorie alocată driverelor și altor programe în modul kernel.
  • Dump complet de memorie. Cel mai mare ca dimensiune și necesită o memorie egală cu RAM-ul sistemului dvs. plus cei 1MB necesari de Windows pentru a crea acest fișier.
  • Evacuarea automată a memoriei. Corespunde unui dump de memorie kernel din punct de vedere al informațiilor. Diferă doar în ceea ce privește spațiul pe care îl folosește pentru a crea fișierul dump. Acest tip de fișier nu a existat în Windows 7. A fost adăugat în Windows 8.
  • Memorie activă. Acest tip filtrează elementele care nu pot determina cauza unei defecțiuni a sistemului. Acesta a fost adăugat în Windows 10 și este util mai ales dacă rulați o mașină virtuală sau dacă sistemul dvs. este o gazdă Hyper-V.

Cum se activează generarea de descărcare a memoriei în Windows?

Folosind Win + Pauză, deschideți fereastra cu setările sistemului, selectați „ Setări suplimentare de sistem" (Setari de sistem avansate). În fila „ În plus" (Avansat), secțiunea "" (Pornire și recuperare), faceți clic pe butonul " Parametrii» (Setări). În fereastra care se deschide, configurați acțiunile în caz de defecțiune a sistemului. Bifați caseta de selectare " Scrieți evenimente în jurnalul de sistem» (Scrieți un eveniment în jurnalul de sistem), selectați tipul de descărcare care va fi generat atunci când sistemul se blochează. Dacă în caseta de selectare " Înlocuiți fișierul dump existent» (Suprascrieți orice fișier existent) bifați caseta, fișierul va fi suprascris la fiecare accident. Este mai bine să debifați această casetă, atunci veți avea mai multe informații pentru analiză. Dezactivați și repornirea automată a sistemului (Repornire automată).

În cele mai multe cazuri, o mică descărcare de memorie va fi suficientă pentru a analiza cauza BSOD.

Acum, dacă apare un BSOD, puteți analiza fișierul dump și puteți găsi cauza defecțiunilor. Un minidump este stocat implicit în folderul %systemroot%\minidump. Pentru a analiza fișierul dump, vă recomand să utilizați programul WinDBG(Microsoft Kernel Debugger).

Instalarea WinDBG pe Windows

Utilitate WinDBG inclus în " Windows 10 SDK» (Windows 10 SDK). .

Fișierul este numit winsdksetup.exe, dimensiune 1,3 MB.

Rulați instalarea și alegeți dacă instalați pachetul pe acest computer sau îl descărcați pentru instalare pe alte computere. Instalați pachetul pe computerul local.

Puteți instala întregul pachet, dar pentru a instala doar instrumentul de depanare selectați Instrumente de depanare pentru Windows.

Odată instalate, comenzile rapide WinDBG pot fi găsite în meniul de pornire.

Setarea asocierii fișierelor .dmp cu WinDBG

Pentru a deschide fișierele de descărcare cu un simplu clic, mapați extensia .dmp la utilitarul WinDBG.

  1. Deschideți un prompt de comandă ca administrator și rulați comenzile pentru un sistem pe 64 de biți: cd C:\Program Files (x86)\Windows Kits\10\Debuggers\x64
    windbg.exe –IA
    pentru sistem pe 32 de biți:
    C:\Program Files (x86)\Windows Kits\10\Debuggers\x86
    windbg.exe –IA
  2. Ca rezultat, tipurile de fișiere: .DMP, .HDMP, .MDMP, .KDMP, .WEW vor fi mapate la WinDBG.

Configurarea unui server de simboluri de depanare în WinDBG

Simbolurile de depanare (debug-symbols sau fișiere de simbol) sunt blocuri de date generate în procesul de compilare a unui program împreună cu un fișier executabil. Astfel de blocuri de date conțin informații despre numele variabilelor, funcții numite, biblioteci etc. Aceste date nu sunt necesare la rularea programului, dar sunt utile la depanarea acestuia. Componentele Microsoft sunt compilate cu simboluri distribuite prin Microsoft Symbol Server.

Configurați WinDBG pentru a utiliza Microsoft Symbol Server:

  • Deschideți WinDBG;
  • Accesați meniu fişier –> Calea fișierului simbol;
  • Scrieți un șir care să conțină adresa URL pentru descărcarea simbolurilor de depanare de pe site-ul Microsoft și folderul pentru salvarea memoriei cache: SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols În exemplu, memoria cache este descărcată în folderul E:\Sym_WinDBG, puteți specifica oricare.
  • Nu uitați să salvați modificările din meniu fişier–>Salvați spațiul de lucru;

WinDBG va căuta simboluri în folderul local și, dacă nu găsește simbolurile necesare în acesta, va descărca automat simbolurile de pe site-ul specificat. Dacă doriți să adăugați propriul dosar cu simboluri, puteți proceda astfel:

SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols;c:\Symbols

Dacă nu există conexiune la internet, descărcați mai întâi pachetul de simboluri din resursa Windows Symbol Packages.

Analiza crash dump în WinDBG

Depanatorul WinDBG deschide fișierul dump și descarcă simbolurile necesare pentru depanare dintr-un folder local sau de pe Internet. În timpul acestui proces, nu puteți utiliza WinDBG. În partea de jos a ferestrei (în linia de comandă a depanatorului) apare inscripția Debugee nu este conectat.

Comenzile sunt introduse în linia de comandă situată în partea de jos a ferestrei.

Cel mai important lucru la care trebuie să acordați atenție este codul de eroare, care este întotdeauna specificat în valoare hexazecimală și arată ca 0xXXXXXXXXX(indicat într-una dintre opțiuni - STOP:, 07/02/2019 0008F, 0x8F). În exemplul nostru, codul de eroare este 0x139.

Depanatorul vă solicită să executați comanda! Analizați -v, treceți cu mouse-ul peste link și faceți clic. Pentru ce este această comandă?

  • Efectuează o analiză preliminară a memoriei dump și oferă informații detaliate pentru a începe analiza.
  • Această comandă va afișa codul STOP și numele simbolic al erorii.
  • Afișează stiva de apeluri a comenzilor care au dus la blocarea.
  • În plus, aici sunt afișate adresa IP, erorile de proces și de înregistrare.
  • Echipa poate oferi recomandări gata făcute pentru rezolvarea problemei.

Principalele puncte la care ar trebui să acordați atenție atunci când analizați după executarea comenzii !analyze -v (listarea nu este completă).

1: kd> !analyze -v


* *
*Analiza de verificare a erorilor*
* *
*****************************************************************************
Numele simbolic al erorii STOP (BugCheck)
KERNEL_SECURITY_CHECK_FAILURE (139)
Descrierea erorii (O componentă a nucleului a corupt o structură de date critică. Această corupție ar putea permite unui atacator să preia controlul asupra acestei mașini):

O componentă a nucleului a corupt o structură de date critică. Coruperea ar putea permite unui utilizator rău intenționat să obțină controlul asupra acestei mașini.
Argumente de eroare:

Argumente:
Arg1: 0000000000000003, O LIST_ENTRY a fost coruptă (adică, eliminarea dublă).
Arg2: ffffd0003a20d5d0, adresa cadrului capcană pentru excepția care a provocat verificarea erorilor
Arg3: ffffd0003a20d528, adresa înregistrării excepției pentru excepția care a provocat verificarea erorilor
Arg4: 0000000000000000, Rezervat
Detalii de depanare:
------------------

Contorul arată de câte ori s-a prăbușit sistemul cu o eroare similară:

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: FAIL_FAST_CORRUPT_LIST_ENTRY

Cod de eroare STOP în format abreviat:

BUGCHECK_STR: 0x139

Procesul care s-a prăbușit (nu neapărat cauza erorii, doar acel proces rula în memorie în momentul prăbușirii):

PROCESS_NAME: sqlservr.exe

Decriptarea codului de eroare: sistemul a detectat o depășire a memoriei tampon de stivă în această aplicație, ceea ce poate permite unui atacator să preia controlul asupra acestei aplicații.

ERROR_CODE: (NTSTATUS) 0xc0000409 - Sistemul a detectat o depășire a unui buffer bazat pe stivă în această aplicație. Această depășire ar putea permite unui utilizator rău intenționat să obțină controlul asupra acestei aplicații.
EXCEPTION_CODE: (NTSTATUS) 0xc0000409 - Sistemul a detectat o depășire a unui buffer bazat pe stivă în această aplicație. Această depășire ar putea permite unui utilizator rău intenționat să obțină controlul asupra acestei aplicații.

Ultimul apel pe stivă:

LAST_CONTROL_TRANSFER: de la fffff8040117d6a9 la fffff8040116b0a0

Stiva de apeluri în momentul eșecului:

STACK_TEXT:
ffffd000`3a20d2a8 fffff804`0117d6a9: 00000000`00000139 00000000`00000003 ffffd000`3a20d5d0 ffffd000`3a20dChent5K28
ffffd000`3a20d2b0 fffff804`0117da50: ffffe000`f3ab9080 ffffe000`fc37e001 ffffd000`3a20d5d0 fffff804`0116e2a2: nt!Kitch9Butch+0x6
ffffd000`3a20d3f0 fffff804`0117c150: 00000000`00000000 00000000`00000000 00000000`00000000 000000000 000000000`0Fastx00000000000000000000000
ffffd000`3a20d5d0 fffff804`01199482: ffffc000`701ba270 ffffc000`00000001 000000ea`73f68040 fffff804`000006Kif9:Raisecurtity!
ffffd000`3a20d760 fffff804`014a455d: 00000000`00000001 ffffd000`3a20d941 ffffe000`fcacb000 ffffd000`3a20d951: ?? ::FNODOBFM::`string"+0x17252
ffffd000`3a20d8c0 fffff804`013a34ac: 00000000`00000004 00000000`00000000
ffffd000`3a20d990 fffff804`0117d313: ffffffff`fffffffe 00000000`00000000 00000000`00000000 000000eb`a0cf1380+NtxW69rite!
FFFFFD000`3A20DA90 00007FBB_475307DA: 00000000 0000000000 00000000 0000000000 00000000 0000000000 0000000000000000: NT! KisystemServiceCopyend + 0x13
000000ee'f25ed2b8 00000000'00000000: 00000000'00000000 00000000'00000000 00000000'00000000

Secțiunea de cod în care a apărut eroarea:

FOLLOWUP_IP:
nt!KiFastFailDispatch+d0
fffff804`0117da50 c644242000 mov byte ptr ,0
FAULT_INSTR_CODE: 202444c6
SYMBOL_STACK_INDEX: 2
SYMBOL_NAME: nt!KiFastFailDispatch+d0
FOLLOWUP_NAME: proprietarul mașinii

Numele modulului din tabelul de obiecte kernel. Dacă analizorul a reușit să detecteze un driver problematic, numele este afișat în câmpurile MODULE_NAME și IMAGE_NAME:

MODULE_NAME: nt
IMAGE_NAME: ntkrnlmp.exe

1: kd > lmvm nt
Răsfoiți lista completă de module
Fișierul imagine simbol încărcat: ntkrnlmp.exe
Fișier imagine de memorie mapată: C:\ProgramData\dbg\sym\ntoskrnl.exe\5A9A2147787000\ntoskrnl.exe
Calea imaginii: ntkrnlmp.exe
Nume imagine: ntkrnlmp.exe
InternalName: ntkrnlmp.exe
Nume fișier original: ntkrnlmp.exe
Versiune produs: 6.3.9600.18946
Versiune fișier: 6.3.9600.18946 (winblue_ltsb_escrow.180302-1800)

În exemplul de mai sus, analiza a indicat fișierul kernel ntkrnlmp.exe. Când analiza de descărcare a memoriei indică un driver de sistem (de exemplu, win32k.sys) sau un fișier kernel (ca în exemplul nostru, ntkrnlmp.exe), cel mai probabil acel fișier nu este cauza problemei. Foarte des se dovedește că problema constă în driverul dispozitivului, setările BIOS sau defecțiunea hardware.

Dacă vedeți că BSOD se datorează unui driver terță parte, numele acestuia va fi listat în valorile MODULE_NAME și IMAGE_NAME.

De exemplu:

Calea imaginii: \SystemRoot\system32\drivers\cmudaxp.sys
Nume imagine: cmudaxp.sys

Deschideți proprietățile fișierului driver și verificați versiunea acestuia. În cele mai multe cazuri, problema cu driverele este rezolvată prin actualizarea acestora.

Bună ziua, dragi colegi și cititori ai site-ului blogului. Astăzi vreau să vă spun cum să analizați un depozit de memorie Windows 10 Redstone. Acest lucru se face în majoritatea cazurilor când obțineți un ecran albastru al morții cu o eroare, după care computerul repornește. Și această analiză ajută la înțelegerea cauzei eșecului.

Configurarea unui depozit de memorie Windows 10

Și așadar, ce este o descărcare de memorie în sistemul de operare Windows 10 Redstone. Mai sus, v-am descris un motiv foarte frecvent pentru care apare o descărcare a memoriei de sistem și acestea sunt ecrane albastre ale morții. Motivele apariției lor sunt foarte extinse:

  • Incompatibilitate aplicație
  • Incompatibilitate șofer
  • Noi actualizări Windows
  • Dispozitivul nu este compatibil

Aceasta este doar o mică listă generalizată, deoarece există o mulțime de coduri de eroare de pe ecranele albastre, le voi da pe cele mai recente.

Sarcina noastră este să putem găsi aceste fișiere pentru diagnosticare și să le putem interpreta pentru a obține informații despre problemă.

Unde este configurat descărcarea de blocare a Windows 10?

Mai întâi, să ne dăm seama unde este făcută setarea, care este responsabilă pentru descărcarea memoriei de blocare Windows 10. Faceți clic dreapta pe butonul de pornire Windows 10 și selectați elementul Sistem din meniul contextual.

În fereastra Sistem care se deschide, selectați Setări avansate de sistem în colțul din stânga sus.

Aici este configurată descărcarea memoriei Windows 10. Faceți clic pe elementul de setări din Boot and Recovery.

Din setări, descărcarea memoriei Windows 10, vreau să notez următoarele:

  • Scrieți un eveniment în jurnalul de sistem > aici informațiile despre ecranul albastru vor fi adăugate în jurnalele sistemului de operare.
  • Efectuați o repornire automată > pentru a continua să lucrați după o eroare
  • Scrieți informații de depanare > vă permite să selectați tipul de fișier dump, mai multe despre asta mai jos.
  • Înlocuiți fișierul de descărcare existent, o casetă de selectare utilă, deoarece aceste depozite pot cântări zeci de gigaocteți, este foarte critic pentru unitățile SSD mici.

Tipuri de depozite de memorie

Să vedem cum diferă opțiunile pentru înregistrarea informațiilor de depanare.

  • Memorie mică de descărcare 256 KB: fișierele mici de descărcare a memoriei conțin următoarele informații:

– mesaj de eroare fatală, parametrii acestuia și alte date;

– lista driverelor încărcate;

– contextul procesorului ( PRCB) la care s-a produs defecțiunea;

EPROCES) pentru procesul care a cauzat eroarea;

– procesarea informațiilor și contextul nucleului ( ETHREAD) pentru firul care a cauzat eroarea;

– stiva de apeluri în modul kernel pentru firul de execuție care a cauzat eroarea.

Este folosit atunci când aveți foarte puțin spațiu pe disc pe unitatea locală. Din acest motiv, sacrificăm informații utile, care ar putea să nu fie suficiente pentru a diagnostica un ecran albastru.

Minidump-ul este stocat de-a lungul căii C:\Windows\Minidump

  • Dump memorie kernel > înregistrează numai memoria kernel. În funcție de cantitatea de memorie fizică a computerului în acest caz, fișierul de paginare necesită de la 50 la 800 MB sau o treime din memoria fizică a computerului pe volumul de pornire.
  • Memorie completă > bine, totul este clar din nume. Scrie absolut totul, aceasta este informația maximă despre ecranul albastru, oferă diagnosticare sută la sută a problemei.

Situat de-a lungul căii C:\Windows\Memory.dmp

  • Active memory dump > memoria activă a mașinii gazdă ajunge aici, aceasta este o funcție mai mult pentru platformele de server, deoarece acestea pot fi folosite pentru virtualizare și pentru ca informațiile despre mașinile virtuale să nu ajungă în dump, această opțiune a fost inventată.