How to read the small memory dump file that is created by windows if a crash occurs

Задний план

Название происходит от памяти на магнитных сердечниках , основной формы оперативной памяти с 1950-х по 1970-е годы. Название осталось еще долгое время после того, как технология магнитных сердечников устарела.

Самые ранние дампы ядра представляли собой бумажные распечатки содержимого памяти, обычно расположенные в столбцах восьмеричных или шестнадцатеричных чисел (« шестнадцатеричный дамп »), иногда сопровождаемые их интерпретацией как инструкции машинного языка, текстовые строки или десятичные числа или числа с плавающей запятой ( см. дизассемблер ).

По мере увеличения объема памяти и разработки утилит для посмертного анализа дампы записывались на магнитные носители, такие как лента или диск.

Вместо того, чтобы отображать только содержимое соответствующей памяти, современные операционные системы обычно генерируют файл, содержащий изображение памяти, принадлежащей аварийному процессу, или образы памяти частей адресного пространства, связанных с этим процессом, вместе с другой информацией, такой как в качестве значений регистров процессора, счетчика программ, системных флагов и другой информации, полезной для определения основной причины сбоя. Эти файлы можно просматривать в виде текста, распечатывать или анализировать с помощью специализированных инструментов, таких как elfdump в Unix и Unix-подобных системах, objdump и kdump в Linux , WinDbg в Microsoft Windows, Valgrind или других отладчиках.

Резюме файла DMP

Расширение файла DMP имеет четыре тип (-ов) файла (-ов) и связано с семь различными программными обеспечениями, но главным образом с Microsoft Visual Studio, разработанным Microsoft Corporation. Часто они представлены в формате Windows Memory Dump File.
Эти файлы классифицируют на System Files или Data Files. Основная часть файлов относится к System Files.

Просматривать файлы DMP можно с помощью операционных систем Windows, Mac и Linux. Они обычно находятся на настольных компьютерах (и ряде мобильных устройств) и позволяют просматривать и иногда редактировать эти файлы.

Рейтинг популярности данных файлов составляет «Низкий», что означает, что они не очень распространены.

Как удалить файлы дампа памяти

Если понадобилось удалить memory dump, это можно выполнить вручную, пройдя по пути месторасположения объекта на диске. Так, в системном каталоге Windows нужно найти и удалить файл MEMORY.DMP, а также элементы в каталоге Minidump. Кроме того, можно использовать штатный инструмент системы «Очистка диска»:

• вызываем консоль «Выполнить» (Win+R) и вводим команду «Cleanmgr», чтобы перейти к службе;
• жмём кнопку очищения системных файлов, затем находим и отмечаем в списке строчки, касающиеся memory dump. Если не нашлось, значит, их не создавали.

Создание снимков бывает отключено, даже если вы когда-либо активировали эту функцию по причине деятельности специального софта. Если речь о SSD-накопителе, это могут быть программы для работы с твердотельными дисками. Отключение некоторых опций ОС выполняется ими с целью оптимизации работы, поскольку многократные процессы чтения/записи сокращают продолжительность жизни диска. Также причиной отключения дампа памяти могут быть различные программы очистки компьютера и оптимизации системы.

Параметры реестра

Раздел реестра, который определяет параметры аварийного дампа:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

Параметры:

Параметр	Тип	Описание
AutoReboot	REG_DWORD	Включение/отключение автоматической перезагрузки при возникновении BSOD.
CrashDumpEnabled	REG_DWORD	Вид создаваемого дампа. 0 — не создавать дамп памяти; 1 — полный дамп памяти; 2 — дамп памяти ядра; 3 — малый дамп памяти;
DumpFile	REG_EXPAND_SZ	Путь и название дампа памяти ядра и полного дампа памяти.
DumpFilters	REG_MULTI_SZ	Драйвер-фильтр в стеке драйверов дампа памяти. Позволяет добавлять новый функционал на этапе создания аварийных дампов. Например, шифрование содержимого дампа. Изменять значение не рекомендуется.
LogEvent	REG_DWORD	Запись события в системный журнал.
MinidumpDir	REG_EZPAND_SZ	Путь и название малого дампа памяти.
MinidumpsCount	REG_DWORD	Максимальное количество малых дампов памяти. При превышении начинают затираться более старые версии.
Overwrite	REG_DWORD	Заменять существующий файл дампа. Только для дампа памяти ядра и полного дампа памяти.
IgnorePagefileSize	REG_DWORD	Игнорирует стандартный файл подкачки как место для временного (промежуточного) хранения дампа памяти. Указывает на необходимость записать дамп памяти в отдельный файл. Используется совместно с опцией DedicatedDumpFile.
DedicatedDumpFile	REG_EZPAND_SZ	Путь и название временного альтернативного файла для записи дампа памяти. Во втором проходе данные все равно будут перемещены в DumpFile/MinidumpDir.

Шаг 2. Настройка пути назначения для дампа памятиStep 2: Configure the destination path for a memory dump

Вам не нужно иметь файл подкачки в разделе, где установлена операционная система.You don’t have to have the page file on the partition where the operating system is installed. Чтобы разместить файл подкачки в другом разделе, необходимо создать новую запись реестра с именем дедикатеддумпфиле.To put the page file on another partition, you must create a new registry entry named DedicatedDumpFile. Размер файла подкачки можно определить с помощью записи реестра думпфилесизе .You can define the size of the paging file by using the DumpFileSize registry entry. Чтобы создать записи реестра Дедикатеддумпфиле и Думпфилесизе, выполните следующие действия.To create the DedicatedDumpFile and DumpFileSize registry entries, follow these steps:

1. В командной строке выполните команду regedit , чтобы открыть редактор реестра.At the command prompt, run the regedit command to open the Registry Editor.

2. Найдите и щелкните следующий подраздел реестра: HKEY_LOCAL_MACHINE \Систем\куррентконтролсет\контрол\крашконтролLocate and then click the following registry subkey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

3. Щелкните изменить > новый > строковый параметр.Click Edit > New > String Value.

4. Назовите новое значение дедикатеддумпфилеи нажмите клавишу ВВОД.Name the new value DedicatedDumpFile, and then press ENTER.

5. Щелкните правой кнопкой мыши дедикатеддумпфилеи выберите пункт изменить.Right-click DedicatedDumpFile, and then click Modify.

6. В параметре тип данных ** <Drive> : \ <Dedicateddumpfile.sys> **, а затем нажмите кнопку ОК.In Value data type <Drive>:\<Dedicateddumpfile.sys>, and then click OK.

   Примечание

   Замените на <Drive> диск, на котором достаточно места на диске для файла подкачки, и замените на <Dedicateddumpfile.dmp> полный путь к выделенному файлу.Replace <Drive> with a drive that has enough disk space for the paging file, and replace <Dedicateddumpfile.dmp> with the full path to the dedicated file.

7. Щелкните изменить > создать > значение DWORD.Click Edit > New > DWORD Value.

8. Введите думпфилесизеи нажмите клавишу ВВОД.Type DumpFileSize, and then press ENTER.

9. Щелкните правой кнопкой мыши думпфилесизеи выберите пункт изменить.Right-click DumpFileSize, and then click Modify.

10. В поле изменить значение DWORDв разделе базовыйщелкните десятичный.In Edit DWORD Value, under Base, click Decimal.

11. В поле данные значениявведите соответствующее значение и нажмите кнопку ОК.In Value data, type the appropriate value, and then click OK.

    Примечание

    Размер файла дампа находится в мегабайтах (МБ).The size of the dump file is in megabytes (MB).

12. Закройте редактор реестра.Exit the Registry Editor.

Определив расположение раздела дампа памяти, настройте путь назначения для файла подкачки.After you determine the partition location of the memory dump, configure the destination path for the page file. Чтобы просмотреть текущий конечный путь к файлу подкачки, выполните следующую команду:To view the current destination path for the page file, run the following command:

По умолчанию для дебугфилепас задано значение%системрут%\мемори.ДМП.The default destination for DebugFilePath is %systemroot%\memory.dmp. Чтобы изменить текущий целевой путь, выполните следующую команду:To change the current destination path, run the following command:

Задайте <FilePath> целевой путь.Set <FilePath> to the destination path. Например, следующая команда устанавливает путь назначения дампа памяти в К:\ВИНДОВС\МЕМОРИ. DMPFor example, the following command sets the memory dump destination path to C:\WINDOWS\MEMORY.DMP:

Настройка сервера отладочных символов в WinDBG

Отладочные символы (debug-символы или symbol files) – это блоки данных, генерируемые в процессе компиляции программы совместно с исполняемым файлом. В таких блоках данных содержится информация о именах переменных, вызываемых функциях, библиотеках и т.д. Эти данные не нужны при выполнении программы, но полезные при ее отладке. Компоненты Microsoft компилируются с символами, распространяемыми через Microsoft Symbol Server.

Настройте WinDBG на использование Microsoft Symbol Server:

• Откройте WinDBG;
• Перейдите в меню File
  –> Symbol File Path;
  
• Пропишите строку, содержащую URL для загрузки символов отладки с сайта Microsoft и папку для сохранения кэша: SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols В примере кэш загружается в папку E:\Sym_WinDBG, можете указать любую.
• Не забывайте сохранить изменения в меню File
  –> Save WorkSpace;
  

WinDBG произведет поиск символов в локальной папке и, если не обнаружит в ней необходимых символов, то самостоятельно загрузит символы с указанного сайта. Если вы хотите добавить собственную папку с символами, то можно сделать это так:

SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols;c:\Symbols

Если подключение к интернету отсутствует, то загрузите предварительно пакет символов с ресурса Windows Symbol Packages .

Космические миссии

Программа NASA Voyager была, вероятно, первым аппаратом, который регулярно использовал функцию дампа ядра в сегменте Deep Space. Функция дампа ядра является обязательной функцией телеметрии для сегмента Deep Space, поскольку, как было доказано, минимизирует затраты на диагностику системы. Корабль «Вояджер» использует обычные дампы ядра, чтобы обнаружить повреждение памяти в результате космических лучей .

Системы дампа ядра Space Mission в основном основаны на существующих инструментах для целевого ЦП или подсистемы. Тем не менее, в течение миссии подсистема дампа активной зоны может быть существенно модифицирована или улучшена для конкретных нужд миссии.

Как прочитать аварийный дамп памяти Windows (MEMORY.DMP)?

SDK (software development kit) — это набор средств разработки, который позволяет специалистам по программному обеспечению создавать приложения для определённого пакета программ, программного обеспечения базовых средств разработки, аппаратной платформы, компьютерной системы, игровых консолей, операционных систем и прочих платформ.

Установка утилиты Debugging Tools for Windows из набора Software Development Kit (SDK)

1. Запустить установочный файл на компьютере на котором будет проводиться анализ аварийного дампа памяти MEMORY.DMP 2. Выбрать путь установки и 2 раза нажатьNext

3. Принять лицензионное соглашение 4. В окне выбора набора устанавливаемых утилит выбратьDebugging Tools for Windows (остальные пункты для анализа дампа памяти не понадобятся) и нажатьInstall

5. По завершении установки нажатьClose

Утилита Debugging Tools for Windows установлена.

Анализ аварийного дампа памяти MEMORY.DMP

1. Запускаем установленную утилиту WinDbg и в меню File выбираемOpen Crash Dump

2. В окне открытия файла переходим к пути размещения файла MEMORY.DMP и открываем его 3. После изучения заголовков переходим по кликабельной ссылке: !analyze -v или вводим эту команду вручную

4. Ожидаем некоторое время, которое потребуется утилите на чтение файла и поиск ошибок 5. Анализируем информацию о процессе, который вызвал аварийное завершение работы Windows

Используя полученную информацию, можно понять, какой из процессов вызвал аварийное завершение ОС. Если указанный процесс принадлежить производителю ПО, то можно обратиться к нему с соответствующим кейосм.

Типы файлов DMP

Ассоциация основного файла DMP

.DMP

Формат файла:	.dmp
Тип файла:	Windows Memory Dump File

DMP Файл ассоциации в основном связано с файлами дампа памяти для Windows. Эти файлы содержат данные «сбрасывали» из пространства памяти программы. DMP файлы обычно создаются, когда программа падает, и они используются разработчиками программы для исправления ошибок и ошибок.

Создатель:	Microsoft Corporation
Категория файла:	Системные файлы
Ключ реестра:	HKEY_CLASSES_ROOT\.dmp

Программные обеспечения, открывающие Windows Memory Dump File:

Microsoft Visual Studio, разработчик — Microsoft Corporation

Совместимый с:

Windows

Microsoft Windows SDK, разработчик — Microsoft Corporation

Совместимый с:

Windows

Windows Debugger Tools, разработчик — Microsoft Corporation

Совместимый с:

Windows

Microsoft Dumpflop Utility, разработчик — Microsoft Corporation

Совместимый с:

Windows

Ассоциации других файлов DMP

.DMP

Формат файла:	.dmp
Тип файла:	Steam Client Dump File

DMP расширение файла связано с программным обеспечением Steam, инструмент управления, созданный корпорацией Valve для управления игры для Microsoft Windows и Apple Mac OS X.

Создатель:	Valve
Категория файла:	Файлы данных

Программы, открывающие файлы Steam Client Dump File :

Steam, разработчик — Valve

Совместимый с:

Windows

Mac

Linux

.DMP

Формат файла:	.dmp
Тип файла:	Dream Maker Map File

DMP расширение файла используется мечта Maker, интегрированная среда (интегрированная среда разработки), созданного Byond. Он содержит файл карты, связанные с программой.

Создатель:	BYOND
Категория файла:	Файлы данных

Программы, открывающие файлы Dream Maker Map File :

Dream Maker, разработчик — BYOND

Совместимый с:

Windows

Linux

.DMP

Формат файла:	.dmp
Тип файла:	PDP-10 Uncompressed Core Dump

Файл DMP также связан с PDP-10, прекращенной ЭВМ, изготовленной в 1960-х годах. Он содержит несжатый дамп.

Создатель:	Dec Software
Категория файла:	Файлы данных

Программы, открывающие файлы PDP-10 Uncompressed Core Dump :

PDP-10, разработчик — Digital Equipment Corporation

Совместимый с:

Windows

Включить параметр реземых резлосов памятиEnable memory dump setting

Для выполнения этой процедуры необходимо войти в службу как администратор или член группы «Администраторы».You must be logged on as an administrator or a member of the Administrators group to complete this procedure. Если компьютер подключен к сети, параметры политики сети могут помешать вам выполнить эту процедуру.If your computer is connected to a network, network policy settings may prevent you from completing this procedure.

Чтобы включить параметр автоматизации памяти, выполните следующие действия:To enable memory dump setting, follow these steps:

1. На панели управления выберите «Система и > система безопасности».In Control Panel, select System and Security > System.

2. Выберите «Дополнительные параметры системы» и перейдите на вкладку «Дополнительно».Select Advanced system settings, and then select the Advanced tab.

3. В области запуска и восстановления выберите «Параметры».In the Startup and Recovery area, select Settings.

4. Убедитесь, что в разделе «Сведения отладки» выбран опасной памяти или завершенный помех памяти. Complete memory dumpMake sure that Kernel memory dump or Complete memory dump is selected under Writing Debugging Information.

5. Перезагрузите компьютер.Restart the computer.

Примечание

Путь к файлу dump можно изменить, отредактировав поле Dump.You can change the dump file path by edit the Dump file field. Другими словами, вы можете изменить путь с адреса %SystemRoot%\Memory.dmp, указывая на локальный диск, например E:\Memory.dmp.In other words, you can change the path from %SystemRoot%\Memory.dmp to point to a local drive that has enough disk space, such as E:\Memory.dmp.

Советы по генеральной сборке дампа памятиTips to generate memory dumps

При сбое компьютера сбоя компьютера в файл размещения, расположенном на его части, сохраняется в файле страницы, на котором установлена операционная система.When the computer crashes and restarts, the contents of physical RAM are written to the paging file that is located on the partition on which the operating system is installed.

В зависимости от скорости жесткого диска, на котором установлена Windows, память юридические (ГБ) памяти могут занимать много времени.Depending on the speed of the hard disk on which Windows is installed, dumping more than 2 gigabytes (GB) of memory may take a long time. Даже в случаях, если файл dump просматривается на другом жестком диске, существует значительное количество данных для чтения и записи на жесткие диски.Even in a best case scenario, if the dump file is configured to reside on another local hard drive, a significant amount of data will be read and written to the hard disks. Это может привести к недоступности продления сервера.This can cause a prolonged server outage.

Примечание

Используйте этот метод для генерации полных файлов потери памяти.Use this method to generate complete memory dump files with caution. Идеально, сделать это только в случае явного запроса технической поддержки Майкрософт.Ideally, you should do this only when you are explicitly requested to by the Microsoft Support engineer. После завершения всех стандартных способов устранения неполадок необходимо использовать последнюю сортировку, чтобы полностью сортировать их.Any kernel or complete memory dump file debugging should be the last resort after all standard troubleshooting methods have been completely exhausted.

Менеджер по продажам

Open the dump file

To open the dump file after the installation is complete, follow these steps:

1. Click Start, click Run, type , and then click OK.

2. Change to the Debugging Tools for Windows folder. To do this, type the following at the command prompt, and then press ENTER:

3. To load the dump file into a debugger, type one of the following commands, and then press ENTER:

   or

The following table explains the use of the placeholders that are used in these commands.

Placeholder	Explanation
SymbolPath	Either the local path where the symbol files have been downloaded or the symbol server path, including a cache folder. Because a small memory dump file contains limited information, the actual binary files must be loaded together with the symbols for the dump file to be correctly read.
ImagePath	The path of these files. The files are contained in the I386 folder on the Windows XP CD-ROM. For example, the path may be .
DumpFilePath	The path and file name for the dump file that you are examining.

Sample commands

You can use the following sample commands to open the dump file. These commands assume the following:

• The contents of the I386 folder on the Windows CD-ROM are copied to the folder.
• Your dump file is named .

Sample 1:

Sample 2. If you prefer the graphical version of the debugger instead of the command-line version, type the following command instead:

Как избежать проблем с отправкой и доставкой почты

По статистике самая частая причина проблем с доставкой почты это неверно указанный адрес. То есть, по сути, виноват не тот, кто получает письмо, а тот, кто его пишет.

Поэтому Вы должны быть очень внимательны не только при печати адреса в поле «Кому», но и в процессе его «получения».

Если Вам, например, диктуют адрес по телефону, не стесняйтесь уточнить, правильно ли Вы поняли ту или иную букву. Желательно, конечно, получить его в текстовом виде, а не стараться понять на слух (по смс, через социальную сеть и т.д.).

Также следует помнить, что у адресов электронной почты есть определенный синтаксис. То есть имеется, так сказать, набор правил, по которым формируется каждый адрес ящика в Интернете.

• Любой адрес состоит только из английских букв, цифр и некоторых знаков (точка, дефис, нижнее подчеркивание). Никаких русских букв!
• В нем не может быть пробелов.
• В нем всегда есть знак @ (примерно посередине) и этот знак всего один.
• После знака @ всегда идет название какого-то сайта. И в этом названии всегда есть точка, после которой еще несколько английских букв (например, mail.ru, gmail.com).
• Точка в конце адреса не ставится.

Желательно, конечно, запомнить эти правила. Тогда ошибка «Некорректный адрес электронной почты» возникать у Вас не будет.

Очень часто вы могли замечать что при регистрации на какой нибудь сайт, при не правильном вводе вашей электронной почты, у вас выбивает что вы ввели не корректный почтовый адрес. Слово корректный означает правильный, по этому корректный почтовый адрес — это тот адрес которым вы пользуетесь и он существует и работает.

На некоторых сайтах некорректными считаются адреса Е-mail, если почтовый ящик открыт на Яндексе, например. Обычно в таком случае успешно проходят проверку почтовые адреса на Гугле и на liveinternet.ru.

Очень часто корректными адресами мыла считают адреса тех почтовых серверов, к которым данный сайт дружественно относится. Некоторые считают корректными адреса только платных сервисов, буржуйские сайты часто не признают российские хосты. Им gmail подавай.

Что имеется ввиду?

Есть корректный синтаксически:

где имя — набор цифр, букв (латинских) и некоторых знаков: -, ., _

Можно также говорить о корректности в смысле существования почтового сервера (хост).

Можно говорить корректности в смысле существования пользователя

Корректно заполненный адрес электронной почты должен быть таким:

mailname — это название почты, которое для не выбрал хозяин почтового ящика. Он может состоять из строчных английских букв и цифр. Заглавными буквами в принципе тоже можно записать. Почтовый сервис сам преобразует их в строчные.

@ — этот значок называется собака. Это отличительный признак почтового адреса. По этому значку определяют, что это адрес электронной почты, а не название сайта. Он обязательно должен присутствовать в адресе почты.

servername — это адрес сервера, на котором находится почта. Например yandex, mail, gmail, rambler, yahoo и т.п.

domen — это обозначение домена 1-го уровня, в котором находится домен почтового сервера, например ru, com и т.д.

quot;Корректныйquot; — это правильный. Вам нужно ввести корректный адрес в форме авторизации или регистрации, чтобы вы могли войти или создать аккаунт. Если ввести неверный имейл, то вы не сможете его подтвердить, а сейчас почти на всех сайтах при регистрации высылают письма с ссылкой для активации.

Два способа как расшифровать малый дам памяти minidump

Первый способ
, заключается в использовании довольно популярной утилите BlueScreenView . Эта утилита может также стать хорошим вариантом для анализа дампа памяти. Применение этой утилиты как нельзя кстати пригодится, как способ чтобы определить проблемный драйвер.

Более того, она особенно примечательна тем, что с ее помощью возможен просмотр BSOD (синего экрана смерти) как бы в стоп-кадре, как это было, когда система крашилась. Она отображает время и дату сбоя, данные о драйвере или модуле с версией и кратким описанием. Кроме того, утилита доступна на множестве языков, включая русский. Так что утилита BlueScreenView как раз самое то, если нужно произвести быстрый анализ дампов памяти при BSOD.

Для второго способа
нужно установить Debugging Tools for Windows , а также загрузить утилиту bsdos_utility . Далее после распаковки скрипта bsdos_utility.cmd следует переместить его на диск C:\ (можно создать отдельную папку, но стоит помнить, что строка адреса запуска скрипта будет отличатся от нашего примера). Затем в командной строке следует написать:

C:\bsdos_utility.cmd

После выведения списка всех дампов из списка C:\Windows\Minidump\, после чего скрипт спросит какой именно дамп должен подвергнуться анализу. Выбрать нужный минидамп можно также самостоятельно при запуске скрипта:

Подобным образом возможно обнаружение массы ошибок Windows 10, из-за которых выпал BSOD, а также проблематичных программ.exe из-за которых случился синий экран.

На следующем шаге выбора компонент к установке (Select the features you want to install
) отмечаем только то, что нам нужно — Debugging tools for Windows
и нажимаем Install

В указанную на первом экране папку из Интернета будет загружен и установлен набор утилит.

После окончания установки находим в меню “Пуск” или на стартовом экране в группе ярлыков Windows Kits
утилиту WinDbg
и запускаем её с правами администратора

Если по какой-то причине ярлык найти не удалось, то можно запустить исполняемый файл из каталога установки — С:\Program Files (x86)\Windows Kits\8.1\Debuggers\x64\windbg.exe

В главном меню программы WinDbg
выбираем пункты File
> Symbol File Path
. В открывшееся окно вставляем строку определяющую пусть к локальному каталогу символьного кэша и его онлайн-источнику:

SRV*C:\Windows\symbol_cache*http://msdl.microsoft.com/download/symbols

Сохраняем настройки, выбрав в главном меню пункты File
> Save Workspace

Открываем файл дампа памяти, выбрав в меню File
> Open Crash Dump
…

Выбираем файл MEMORY.DMP
(по умолчанию расположен в каталоге C:\Windows
) и нажимаем Open

Появится информация о том, какой именно исполняемый модуль стал причиной остановки работы системы. Щёлкнув по гиперссылке !analyze-v

можно получить более развернутую информацию о состоянии системы на момент возникновения стоп-ошибки.

Туже самую информацию можно получить и с помощью командной строки используя примерно следующую последовательность команд:

cd /d «C:\Program Files (x86)\Windows Kits\8.1\Debuggers\x64\
»
kd -z «D:\DOWNLOADS\VM05\MEMORY.DMP
»
.logopen C:\Debuglog.txt

.sympath srv*C:\Windows\symbol_cache*http://msdl.microsoft.com/download/symbols

В этом примере вся информация о разборе дампа будет выгружена в читаемом виде в файл C:\Debuglog.txt

Источники информации:

Добрый день уважаемые коллеги и читатели блога сайт. Сегодня я хочу вам рассказать как производится анализ дампа памяти windows 10 Redstone. Делается это в большинстве случаев когда у вас выскакивает синий экран смерти с ошибкой, после чего ваш компьютер перезагружается. И данный анализ помогает понять причину сбоя.

Как я могу получить доступ к файлам DMP в Windows 10?

Какое расширение файла DMP обозначает?

Файлы дампа памяти Windows с расширением «.dmp» – это системные файлы, хранящиеся в двоичном формате. В случае ошибки или внезапного сбоя сторонней программы или даже функции системы эти файлы создаются автоматически.

Они хранят подробности о сбое, поэтому большинство опытных пользователей будут использовать файлы .dmp для устранения проблем с уязвимыми программами.

Если есть, скажем, BSOD (синий экран смерти), подробности о возможных причинах (драйверы или другое программное обеспечение обычно подозреваются) можно найти в автоматически сгенерированном файле .dmp.

Синий экран смерти кажется страшным? Исправьте любые ошибки BSOD с этими удивительными инструментами!

По понятным причинам они в основном называются «Memory.dmp» или «Crash.dmp» соответственно. По размеру они могут быть маленькими индивидуально.

Однако, поскольку они имеют тенденцию накапливаться с течением времени, файлы DMP могут занимать много места для хранения при объединении. Таким образом, вы можете легко очистить их с помощью утилиты очистки диска.

Проблемы с удалением всех ваших нежелательных файлов? Следуйте этому руководству, чтобы решить проблемы с очисткой диска и сохранить диск.

Как открыть файлы DMP в Windows 10?

Теперь открыть эти файлы не так просто, поскольку в Windows 10 нет встроенного инструмента. Для этого есть веская причина: редко обычный пользователь захочет получить к ним доступ в первую очередь.

Однако есть несколько сторонних утилит, которые позволят вам открывать и читать файлы DMP. Они могут выглядеть устаревшими, но в этом случае мы отдаем предпочтение эффективности, а не внешнему виду.

Первое приложение – WhoCrashed, анализатор дамп-файлов. Этот инструмент требует установки, но он довольно прост в использовании и обладает всеми необходимыми функциями

Вы даже можете симулировать сбой системы (делайте это с осторожностью) с определенными параметрами

Вы знаете, что лучше всего работает с анализатором файлов дампа? Дисковый анализатор. Проверьте этот список с лучшими из доступных.

Второе приложение – BlueScreenView. Oldtimer, который поддерживает каждую итерацию Windows на сегодняшний день. Вы должны легко использовать его.

Это портативное приложение небольшого размера, поэтому не требует установки. Как только вы получите его, просто распакуйте его и запустите файл EXE. Тем не менее, мы спешим. Во-первых, вам нужно разрешить системе создавать файлы дампа, доступные для чтения сторонним программным обеспечением.

Это должно сделать это. Если у вас есть альтернативные способы открывать и читать файлы DMP, обязательно сообщите нам об этом в разделе комментариев ниже. Мы будем рады услышать от вас.

Если вам интересно, как удалить файлы дампа памяти из-за системных ошибок в Windows 10, ознакомьтесь с этим замечательным руководством. Кроме того, если вы хотите эффективно исправить поврежденный дамп памяти, выполните простые шаги из этого полезного руководства.

Если у вас есть другие вопросы, оставьте их там же.

Ссылки

Complete memory dump

A complete memory dump records all the contents of system memory when your computer stops unexpectedly. A complete memory dump may contain data from processes that were running when the memory dump was collected.

If you select the Complete memory dump option, you must have a paging file on the boot volume that is sufficient to hold all the physical RAM plus 1 megabyte (MB).

If a second problem occurs and another complete memory dump (or kernel memory dump) file is created, the previous file is overwritten.

Note

• In Windows 7, the paging file can be on a partition that differs from the partition on which the operating system is installed.
• In Windows 7, you do not have to use the DedicatedDumpFile registry entry to put a paging file onto another partition.
• The Complete memory dump option is not available on computers that are running a 32-bit operating system and that have 2 gigabytes (GB) or more of RAM. For more information, see Specify what happens when the system stops unexpectedly.

Дамп памяти Windows и Синий Экран Смерти

Итак, если компьютер внезапно перезагружается или зависает, а cиний экран смерти не появляется или появляется на долю секунды, то все равно информацию о причинах сбоя можно восстановить.

Дело в том, что операционная система в момент сбоя сохраняет содержимое оперативной памяти в так называемый дамп-файл (имеет расширение .dmp). В дальнейшем файл дампа можно будет проанализировать и получить туже самую информацию, что и на синем экране и даже чуть больше.

Но создание дампов может быть отключено в системе, поэтому стоит убедиться, что, во-первых, система создает дампы при сбоях, а, во-вторых, стоит узнать место на диске, куда они сохраняются.

Для этого нужно зайти в раздел Система.

В Windows 10 это можно сделать через поиск, а в предыдущих версиях операционной системы через Панель управления.

Далее переходим в Дополнительные параметры, а затем на вкладке Дополнительно переходим в Параметры раздела Загрузка и восстановление.

Здесь должна быть включена запись событий в системный журнал, ну а чтобы компьютер автоматически не перезагружался и отображал нам содержимое синего экрана смерти, нужно отменить автоматическую перезагрузку, если она была включена.

Также здесь отображается путь к дампам — мы видим, что дамп сохраняется в папку %SystemRoot% — это обозначение папки Windows.

Также здесь можно выбрать «малый дамп памяти», которого будет вполне достаточно для поиска кодов ошибки.

Итак, система вылетела в синий экран смерти, после чего был создан дамп памяти.

Для анализа дампов существуют специальные программы и одной из самых популярных является утилита BlueScreenView.

Программа очень проста в использовании и не требует установки — скачиваем с официального сайта и разархивируем. При этом с официального сайта можно скачать файл, с помощью которого можно русифицировать программу. Для этого данный файл нужно будет поместить в папку с разархивированной программой.

Если после запуска в программе не отображаются дампы, хотя система «срывалась» в синий экран смерти, то стоит зайти в настройки программы и убедиться, что путь к дампам памяти указан верно, то есть он должен быть таким же, как и в настройках системы.

После этого нужно обновить информацию в окне программы и все созданные в системе дампы отобразятся. Если дампов несколько, то, ориентируемся по дате сбоя. Выбираем нужный дамп, а затем появится подробная информация по нему.

Здесь выводится название ошибки, ее STOP-код с параметрами и если причиной стал драйвер, то в соответствующем поле мы обнаружим его название.

Также в нижней части окна программы розовым будут выделяться файлы, которые также могли стать причиной сбоя. Придется по порядку разбираться с каждым из них. Алгоритм здесь аналогичен рассмотренному в прошлой заметке — ищем решение в интернете, а в качестве поискового ключа используем название файла или код ошибки.

При этом не обязательно вручную вводить данные в поисковик. Если щелкнуть правой кнопкой мыши по строке дампа, то из контекстного меню можно выбрать пункт, который позволит найти в Гугле описание именно этой проблемы.

Можно выбрать поиск в Гугл по коду ошибки, по коду ошибки и названию драйвера или по коду ошибки и параметру.

Также с помощью этой утилиты можно быстро найти местоположение проблемного файла на диске.

Иногда бывает, что файл, вызвавший проблему, принадлежит какой-то программе или игре. По местоположению файла на диске можно быстро определить, к какой именно программе или игре он относится.

Ну и стоит знать, что чистильщики вроде Ccleaner удаляют дампы памяти, поэтому если вы пользуетесь подобными программами, то на время выявления причины появления синего экрана смерти, стоит воздержаться от их использования.

И последний вопрос, на который я отвечу в рамках этой заметки — что делать, если после появления синего экрана компьютер более не запускается? То есть компьютер зависает или постоянно перегружается, а значит нет возможности проанализировать дамп памяти.

Ответ логичен и прост — нужно создать загрузочную флешку, с помощью которой «вытянуть» файл дампа с жесткого диска и проанализировать его на другом компьютере. Для этого загружаемся с флешки и на жестком диске компьютера в папке Windows или в подпапке minidump находим файл дампа, который копируем на флешку. Затем на другом компьютере с помощью утилиты BlueScreenView анализируем дамп, как было рассказано в этой заметке.