В Windows помилванията често са в капан, за да се събудят с „чиста“ система. Ако е възможно да се коригират критичните извинения на програмата, тя ще бъде по-сгъваема (има обяснение за компонента, който е отхвърлен), след това коригирайте критичните извинения.

Какво е дъмп на паметта в Windows

За да разрешите проблеми със системата, пуснете срив на паметта - този знакчасти или ново задължение оперативна паметтова приложение на йога върху независим нос ( харддиск). С други думи, вместо оперативната памет е възможно да се извърши анализ на дъмпа на паметта.

Полезен изглед на дъмп на паметта:

Бутище в Мали(Small Memory Dump) - спестява минималното количество RAM, където можете да разберете за критичните извинения (BSoD) и компоненти, които са били zavantazheny за часа на роботизираната система, например драйвери, програми. MiniDumpзапазено по начин C:\Windows\Minidump.

Ново сметище(Пълен дъмп на паметта) – записва се нов OZP. Tse означава, че файлът ще бъде възстановен в операционната памет. Тъй като няма достатъчно място на диска, ще бъде проблематично да спестите, например, 32 GB. Съществуват и проблеми със създаването на файл с дъмп на паметта, по-голям от 4 GB. Tsey view vikoristovuєtsya много рядко. Внимавайте за C:\Windows\MEMORY.DMP.

Изхвърляне основна памет- приема се по-малко информация, което си струва ядрото на системата.

Ако сте готови да анализирате помилването, достатъчно е да спечелите само minidamp (jalic dump). Но пред цима на вина може да се вдигне обовязково, иначе няма да можете да разпознаете проблема. Също така, за по-ефективно откриване на злополука, е по-добре да използвате нов знак за памет.

Информация от регистъра

Как да разгледаме Регистър на Windows, можете да знаете правилните параметри на знаците. Натиснете клавишите Win + R, въведете командата regeditи по следния начин:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

За този gіlci koristuvach трябва да се покажат следните параметри:

• автоматично рестартиране– активиране или деактивиране на повторното ангажиране след задействане на синия екран на смъртта (BSoD).
• DumpFile- Името на вида на сметищата, които roztashuvannya.
• CrashDumpEnabled– номер на файла, който се създава, например числото 0 – дъмпът не се създава; 1 - създаване на ново сметище; 2 - създаване на дъмп на ядрото; 3 - малка сгъвка за изхвърляне.
• DumpFilters– Позволява ви да добавяте нови функции преди създаването на картината. Например криптиран файл.
• MinidumpDir- Името на малкото сметище е, че йога roztashuvannya.
• регистрирайте събитие– активиране на записа на извлечения в системния дневник.
• MinidumpsCount- Задайте броя на малките дъмпове, които да бъдат създадени. (Преместване на количеството стари файлове и подмяната им).
• Презаписване- Функция за пълен дъмп или дъмп на системата. При създаване на нов знак, предният трябва да бъде заменен с нов.
• Специализиран файл DumpFile– създаване на алтернативен файл с изображения и йога начин.
• IgnorePagefileSize– етикет за timchas znіmka znіmka без znіmka znіmka znіmka файл.

Как работи

В случай на повреда, системата ще възобнови работата си и, тъй като дъмпът е активен, файлът, който се поставя на диска, ще бъде записан информация за проблема. Ако сте били trapilos с физически компоненти, тогава ще изработите кода за спешни случаи и след това, ако ви даде zbiy, ще направите промени, така че името да се появи на знака.

Стартирайте файла, който се записва, от видяния файл за файла за изтегляне на блокове харддискСлед като се появи BSoD, файлът се презаписва по същия начин, който изглежда като самият koristuvach и е завършен (Maly, или нов дъмп на ядрото). Въпреки че в днешните операционни системи съдбата на изтегляния файл не е obov'yazkovo.

Как да се изпусна

IN Windows 7:

IN Windows 8 и 10:

Тук процесът е донякъде подобен, можете да използвате информацията за системата такава, каквато е, както при Windows 7. Tsey компютър“, натискайки безплатна мисияс десния бутон на мечката, която е избрана " мощност". В противен случай можете да го използвате чрез Care Panel.

Друг вариант за Wiwindows 10:

След това посочете какво е новото Версии на WindowsПоявиха се 10 нови точки, които не бяха в „sіmtsі“:

• Бутище в Малипамет 256 KB - минимални данни за атаката.
• Активно сметище- появява се в десетата версия на системата и запазва активната памет на компютъра, ядрото на системата и ядрото. Препоръчително е да печелите на сървъри.

Yak vidaliti сметище

Dosit отидете в каталога, де zberіgayutsya znіmki mem'yati, че просто да ги видите. Друг начин да го премахнете е да използвате помощната програма за почистване на диска:

Въпреки че нямаше очаквани точки, е възможно сметищата да не са включени.

Например, ако сте ги включили, такива помощни програми за оптимизиране на системата, които са победители, могат лесно изключете текущата функционалност. Често се случват много неща с натрупването на различни SSD дискове, фрагменти от грешки, процедури за четене и писане ще навредят значително на здравия диск.

Анализ на паметта за помощ за WinDbg

Взето от официалния сайт на Microsoft qiu програмана croc 2, описано " ИнсталиранWDK» - https://docs.microsoft.com/en-us/windows-hardware/drivers/download-the-wdk.

За да работите с програмата, все още се нуждаете от специален пакет от символични награди. Вина Вин Символи за отстраняване на грешки, Преди можехте да се възползвате от сайта на Microsoft, но сега вонята е вдъхновена от идеята и можете да спечелите функцията на програмата File - Път към файла на символа", къде следва да въведете следващия ред и натиснете OK:

задайте _NT_SYMBOL_PATH=srv*DownstreamStore*https://msdl.microsoft.com/download/symbols

Ако не работи, опитайте тази команда:

SRV*%systemroot%\symbols*http://msdl.microsoft.com/download/symbols

Щракнете отново върху елемента "Файл" и изберете опцията "Запазване на работното пространство".

Помощната програма е настроена. Моля, изберете пътя до файловете с дъмп на паметта. За кой файл е натиснат и щракнете върху опцията " ОхимилкаКатастрофаИзхвърляне". Ревизията на всички сметища е посочена на кочана на статията.

Когато решите да прекратите анализа, проблемният компонент ще се види автоматично. За да получите повече информация през същата седмица, можете да въведете следната команда: !анализирам -v

Полезен анализ BlueScreenView

Можете да получите инструмента безплатно от този сайт - http://www.nirsoft.net/utils/blue_screen_view.html. Инсталацията не изисква нови начинаещи. Vykoristovuetsya по-малко в Windows 7 и повече.

Да започнем и тогава ще го направим. Натиснете "Настройки" (Опции) - " Допълнителни параметри »(Разширени опции). Изберете първия елемент Вземете MiniDumpy от папките qiєї» и каталог по избор - C:\WINDOWS\Minidump. Ако желаете, можете просто да натиснете бутона "За заключване". Натиснете OK.

В главния прозорец има дъмп файлове. Вин може да бъде като един, така че е цаца. За йога е достатъчно да натиснете новата мечка.

В долната част на прозореца компонентите ще бъдат показани, сякаш са се върнали в момента на срива. С червен цвят ще видите вината на произшествието.

Сега натиснете "Файл" и изберете, например, елемента " Знайте в Google код за извинение + драйвер". От къде знаеш необходим драйвер, инсталирайте и рестартирайте компютъра си. Вероятно, извинете znikne.

В момент на критична повреда операционната система Windows прекъсва робота и показва синия екран на смъртта (BSOD). В оперативната памет и цялата информация за помилването се записва в архивния файл. За офанзива завантажен WindowsСъздава се авариен дъмп с данъчна информация въз основа на спестявания на данни. Системният дневник има запис за критично помилване.

Уважение! Краш дъмпне работи, тъй като дисковата подсистема работи, или извинението на винила е от решаващо значение в началния етап на напредъка на Windows.

Типове срива на паметта на Windows

На актуалното операционна система Windows 10 (Windows Server 2016) нека разгледаме основните типове изхвърляния на паметта, които една система може да създаде:

• Малко сметище на паметта(256 KB). Този тип файл трябва да съдържа минимално количество информация. Нуждаем се от повече информация относно помилването на BSOD, информация за драйвери, процеси, които са били активни по време на срива, както и всеки процес или ядро, което е причинило срив.
• Dump памет на ядрото. Като правило, малък за rozmir - една трета obyagu физическа памет. Изхвърляне на основната памет на повече отчети, по-малко минимално изхвърляне. Извличане на информация за драйвери и програми в режим на ядрото, включително памет, видима за ядрото на Windows и хардуерно нивоабстракция (HAL), както и памет, виждана от драйвери и други програми в режим на ядрото.
• Нов дъмп на паметта (Пълен дъмп на паметта). Най-голямото количество памет и RAM, което е повече от RAM на вашата система плюс 1MB, изисква Windowsза създаване на файл.
• Автоматично изхвърляне на паметта. Изпратете дъмп на паметта на ядрото с един поглед. Моля, имайте предвид, че връзката към файла на победителя за създаване на дъмп файла. Този тип файлове не е наличен в Windows 7. Vіn buv допълнения към Windows 8.
• Dump на активната памет. Този тип визуални елементи, yakі, могат да определят причината за повредата на системата. Това беше добавено към Windows 10 и е особено цветно, както можете да видите виртуална машинаВ противен случай вашата система е Hyper-V хост.

Как да създам дъмп на паметта на Windows?

За помощ Win + Pause, отворете прозореца със системни параметри, изберете " Допълнителни системни параметри" (Разширени настройки на системата). При вложителя" Добавково" (Разширени), разделяне "" (Стартиране и възстановяване) натиснете бутона " Параметри"(Настройки). При vіknі nalashte dіy at vіdmovі система. Поставете отметка в квадратчето. Запишете події в системния дневник» (Запишете събитие в системния дневник), изберете типа на дъмп, който може да бъде създаден по време на системна повреда. Какво има в квадратчето за отметка Заменете текущия дъмп файл» (Презаписване на всеки съществуващ файл) поставете отметка в квадратчето, след което файлът ще бъде презаписан в случай на проблем с кожата. Вместо да поставяте отметка в квадратчето, тогава ще имате повече информация за анализ. Активирайте Автоматично рестартиране на системата.

Най-добрият начин да се анализира причината за BSOD е да се направи малък дъмп на паметта.

Сега, след като сте намерили BSOD, можете да анализирате дъмп файла и да знаете причината за срива. Минидумпът за заключване се взема от папката %systemroot%\minidump. За да анализирате дъмп файла, препоръчвам да ускорите програмата WinDBG(Microsoft Kernel Debugger).

Инсталиране на WinDBG на Windows

Полезност WinDBGвъведете " Windows 10 SDK(SDK за Windows 10). .

Файлът се извиква winsdksetup.exe, Розмир 1,3 MB.

Стартирайте инсталацията и изберете какво трябва да направите сами - инсталирайте пакета на целия компютър или поискайте инсталация на други компютри. Инсталирайте пакета на локалния компютър.

Можете да инсталирате целия пакет, но за да инсталирате само инструмента за настройка, изберете Инструменти за отстраняване на грешки за Windows.

Веднъж инсталирани, преките пътища на WinDBG могат да бъдат намерени в стартовото меню.

Регулиране на асоциацията на .dmp файлове с WinDBG

За да отворите дъмп файлове с просто щракване, въведете extension.dmp с помощната програма WinDBG.

1. Отворете командния ред като администратор и въведете команди за 64-битова система: cd C:\Program Files (x86)\Windows Kits\10\Debuggers\x64
   windbg.exe -IA
   за 32-битова система:
   C:\Program Files (x86)\Windows Kits\10\Debuggers\x86
   windbg.exe -IA
2. Получените типове файлове: .DMP, .HDMP, .MDMP, .KDMP, .WEW ще бъдат маркирани с WinDBG.

Настройка на сървъра за персонализиране на символи в WinDBG

Персонализирани символи (debug-symbols или символни файлове) - всички блокове от данни, които се генерират в процеса на компилиране на програмата заедно с файла. Такива блокове от данни съдържат информация за имената на променените, функции, библиотеки и др. Данните не се изискват за часа на програмата, но цената е в її nagodzhennі. Компонентите на Microsoft са компилирани от символи, които се изобразяват чрез сървъра на символите на Microsoft.

Включете WinDBG Разобличител на MicrosoftСървър на символи:

• Отворете WinDBG;
• Отидете в менюто файл –> Път на файла на символа;
• Напишете ред, за да изтриете URL адреса за заснемане на символи от уебсайта на Microsoft и папката за запазване на кеша: SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols можете да кажете be-yaku .
• Не забравяйте да запазите промените в менюто файл–>Запазете работно пространство;

WinDBG за търсене на символи от локалната папка, за да не открие необходимите символи от тях, самостоятелно придобива символите от назначения сайт. Ако искате да добавите папка със символи, можете да го направите по следния начин:

SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols;c:\Symbols

Ако сте свързани с интернет ежедневно, вземете първо пакета със символи от ресурса на Windows Symbol Packages.

Анализ на crash dump за WinDBG

Драйверът на WinDBG показва дъмп файла и улавя необходимите символи за качване от локална папка или в Интернет. По време на този процес не можете да хакнете WinDBG. В долната част на прозореца (в командния ред на собственика) е написано Debugee не се свързва.

Командите се въвеждат в командния ред, загнивайки в долната част на прозореца.

Naygolovnіshe, за което е необходимо да се отдаде уважение - това е кодът за помилване, който винаги се показва на шестнадесетата стойност, която може да изглежда 0xXXXXXXXXX(Посочено е в една от опциите - СТОП:, 02.07.2019 0008F, 0x8F). Приложението има код за помилване 0x139.

Лидерът предлага предложение на виконтския екип! Имате ли нужда от екип?

• Няма да чакам предишния анализ на дъмпа на паметта и това е всичко подробна информацияза началото на анализа.
• Тази команда показва STOP кода и е символ на помилването.
• Вон показва стека от командни извиквания, които са били извикани за срив.
• Освен това има грешки в IP-адреси, процеси и регистри.
• Командата може да бъде дадена изготвени препоръкикакво е решението на проблема.

Основни моменти, на базата на вашата вина, обърнете внимание на анализа след завършване на командата!analyze –v (списъкът не се актуализира).

1: kd>!

* *
*Проверка на грешки анализ*
* *
*****************************************************************************
Im'ya STOP Pardon (BugCheck)
KERNEL_SECURITY_CHECK_FAILURE (139)
Описание на извинението (компонент от ядрото, който е повредил критичната структура на данните. Потенциално е възможно да се позволи на нападателя да поеме контрола над тази машина):

Компонент на ядрото е повредил критична структура от данни. Corupuvannya потенциално може да позволи maly koristuvachevі keruvati zim машина.
Аргументи за извинение:

Аргументи:
Arg1: 0000000000000003, LIST_ENTRY е повреден (т.е. двойно премахване).
Arg2: ffffd0003a20d5d0, Адрес на рамката на trap за изключение, което е причинило проверката за грешки
Arg3: ffffd0003a20d528, Адрес на записа за изключение за изключението, което е причинило проверката за грешка
Arg4: 0000000000000000, запазено
Подробности за отстраняване на грешки:
------------------

Личникът показва колко пъти системата е попадала в подобно помилване:

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: FAIL_FAST_CORRUPT_LIST_ENTRY

СТОП код за извинение за кратък формат:

BUGCHECK_STR: 0x139

Процесът, под часа на vikonannya, който стана zbіy (не obov'yazkovo причината за помилването, точно в момента на неуспеха, целият процес беше запомнен):

PROCESS_NAME: sqlservr.exe

Дешифриране на кода за помилване: Системата откри препълване на буфера на стека в това допълнение, което може да позволи на нападателя да поеме контрола над тази програма.

ERROR_CODE: (NTSTATUS) 0xc0000409 - Системата е открита извън буфера с активиран помощен фрейм в това приложение. Tsey превишаване може потенциално да позволи maly coristuvachevі keruvati tsim zastosuvannyam.
EXCEPTION_CODE: (NTSTATUS) 0xc0000409 - Системата е открита зад допълнителен фрейм-файл, който трябва да се отмъсти в тази застосунка. Tsey превишаване може потенциално да позволи maly coristuvachevі keruvati tsim zastosuvannyam.

Останалата част от щракването върху стека:

LAST_CONTROL_TRANSFER: от fffff8040117d6a9 към fffff8040116b0a0

Купчина туитове по време на катастрофата:

STACK_TEXT:
ffffd000`3a20d2a8 fffff804`0117d6a9: 00000000`00000139 00000000`00000003 ffffd000`3a20d5d0 ffffd000`3a20d
ffffd000`3a20d2b0 fffff804`0117da50: ffffe000`f3ab9080 ffffe000`fc37e001 ffffd000`3a20d5d0 fffff804`0116e2a2: nt!
ffffd000`3a20d3f0 fffff804`0117c150: 00000000`00000000 00000000`00000000 00000000`00000000 0000000000
ffffd000`3a20d5d0 fffff804`01199482: ffffc000`701ba270 ffffc000`00000001 000000ea`73f68040 fffff804`000006f9a
ffffd000`3a20d760 fffff804`014a455d: 00000000`00000001 ffffd000`3a20d941 ffffe000`fcacb000 ffffd000`3a20d95? ::FNODOBFM::`string”+0x17252
ffffd000`3a20d8c0 fffff804`013a34ac: 00000000`00000004 00000000`000000000 ffffd000`3a20d9d8 ffffe001`0a34c
ffffd000`3a20d990 fffff804`0117d313: ffffffff`fffffffe 00000000`00000000 00000000`00000000 000000eb`a0cf1380:
ffffd000`3a20da90 00007ffb`475307da: 00000000`00000000 00000000`00000000 00000000`00000000 0000000000
000000ee`f25ed2b8 00000000`00000000: 00000000`00000000 00000000`00000000 00000000`00000000 000000

Дилянка код, de vinikla pardon:

FOLLOWUP_IP:
nt!KiFastFailDispatch+d0
fffff804`0117da50 c644242000 mov байт ptr ,0
FAULT_INSTR_CODE: 202444c6
SYMBOL_STACK_INDEX: 2
SYMBOL_NAME: nt!KiFastFailDispatch+d0
FOLLOWUP_NAME: Собственик на машината

Името на модула на таблицата с обекти на ядрото. Тъй като анализаторът успя да открие проблемен драйвер, той се появява в полетата MODULE_NAME и IMAGE_NAME:

MODULE_NAME: nt
IMAGE_NAME: ntkrnlmp.exe

1: kd > lmvm nt
Разгледайте пълния списък с модули
Зареден файл с изображение на символи: ntkrnlmp.exe
Файл с изображение на картирана памет: C:\ProgramData\dbg\sym\ntoskrnl.exe\5A9A2147787000\ntoskrnl.exe
Път на изображението: ntkrnlmp.exe
Име на изображението: ntkrnlmp.exe
Вътрешно име: ntkrnlmp.exe
Оригинално име на файл: ntkrnlmp.exe
Версия на продукта: 6.3.9600.18946
Версия на файл: 6.3.9600.18946 (winblue_ltsb_escrow.180302-1800)

За насоченото приложение анализирайте, като въведете файла на ядрото ntkrnlmp.exe. Ако анализът на дъмпа на паметта сочи към системния драйвер (например win32k.sys) или файла на ядрото (като в нашето приложение ntkrnlmp.exe), намерете дани файлне е причината за проблема. Още по-често се появява, че проблемът е в драйвера, ще го добавя, персонализиран BIOSно неправилността има притежание.

Ако разберете, че BSOD е причинен от драйвер на трета страна, това име ще бъде посочено в стойностите MODULE_NAME и IMAGE_NAME.

Например:

Път на изображението: \SystemRoot\system32\drivers\cmudaxp.sys
Име на изображението: cmudaxp.sys

Отворете файла с драйвер и конвертирайте версията си. Най-често проблемът с драйверите се влияе от техните актуализации.

Добър ден на моите колеги и читатели на сайта на блога. Днес искам да ви кажа как да анализирате дъмп на паметта на Windows 10 Redstone. Бийте се в по-голям vipadkіv, ако имате син екран на смъртта с извинение, след което компютърът ви се рестартира. аз Датски анализпомагат да се разбере причината за неуспеха.

Налащоваемо дъмп на паметта на windows 10

И така, какво е дъмп на паметта в операционната система Windows 10 Redstone. Описах ви повече, дори по-често причината, когато се появи изхвърляне на системната памет и се появи син екран на смъртта. Причините за появата им вече са страхотни:

• Не summіsnіst dodatkіv
• Не е сбор от драйвери
• Нов Актуализация на Windows
• Не сумата от стопански постройки

Това е само малък списък от загадки, за кода на помилването на синия екран, броя на тъмнината, ще донеса останалите.

Нашата задача е да познаваме тези файлове за диагностика и да ги интерпретираме за получаване на информация за проблема.

Dealashtovuetsya crash dump памет на windows 10

За кочана, нека разберем къде трябва да се извърши настройката, сякаш е предупреждение за срив на паметта на Windows 10. Щракнете с десния бутон върху бутона за стартиране на Windows 10 контекстно менюизберете Система.

На v_kn_ Системата, която видяхте, виждате вляво горна торбаизберете Добавени системни параметри.

Тук и там има изхвърляне на паметта на Windows 10.

Z nalashtuvan, памет dump windows 10 Искам да посоча следващата стъпка:

• Запишете дневника в системния дневник > ето информация за син екранще бъде добавен към регистрационните файлове на операционната система.
• Vikonati автоматично се рестартира > за да продължи работата след помилване
• Записването на данъчна информация > ви позволява да изберете типа на дъмп файл, цената е по-ниска.
• Заменете основния дъмп файл, квадратчето за отметка, така че тези дъмпи да могат да съхраняват десетки гигабайта, дори по-критични за малки компактдискове.

Вижте дъмпове на паметта

Нека да разгледаме какви опции за записване на данъчна информация

• Малък дъмп на паметта 256 kb: Малки файлове с дъмп на паметта

– информация за неотделно помилване, її параметри и други данни;

- Списък на атрактивните шофьори;

- Контекст на процесора ( PRCB), при което станах zbiy;

ЕПРОЦЕС) за процеса, довел до помилване;

– контекст на ядрото за преглед на процеса ( ETHREAD) за потока, който е причинил помилване;

– стека от заявки за режима на ядрото за нишката, която е причинила помилването.

Yogo vikoristovuyut, ако вече имате малко дисково пространство на вашия местен диск. За сметка на което жертваме синя информация, която не може да бъде прочетена за диагностициране на синия екран.

Запазете минидумп в C:\Windows\Minidump

• Dump на паметта на ядрото > Не записва повече памет на ядрото. Изисква се фалшив достъп до физическата памет на компютъра едновременно за изтегляния файл от 50 до 800 MBили една трета от физическата памет на компютър на вълнуващ обем.
• Най-новото сметище на паметта е тук и така всичко има смисъл от името. Пишете абсолютно всичко максимална информацияотносно синия екран, даващ стандартна диагноза на проблема.

Roztashovuetsya по пътя C:\Windows\Memory.dmp

• Активен дъмп на паметта > Тук се консумира активната памет на хост машината, функцията е по-голяма за сървърни платформи, тъй като смрадът може да се използва за виртуализация и така че дъмпът не консумира информация за виртуални машини, беше измислена опция .

Причината за критичната Извинете Windows, които са придружени от сини екрани (BSOD), често драйверът - преинсталиране или повреда. След като определите, че самият драйвер е причината за извинението, можете да продължите с отстраняването на проблема: актуализирайте драйвера, вземете повече ранна версия, преинсталирайте или деинсталирайте програмата, както сте инсталирали драйвера и т.н. Името на драйвера не се показва на синия екран. Има обаче друг прост начин, който ви позволява да идентифицирате проблемен драйвер за цаца глоби за допълнително изхвърляне на паметта.

Krok 1 - Уведомяване за записа за дъмп на паметта

Необходимо е да се преразгледа на гърба, че записът за изхвърляне е отбелязан. За кого е необходимо да се тества мощността на системата чрез натискане на комбинация от клавиши победа + пауза, [в Vista щракнете върху бутона за захранване Допълнителни системни параметри], отидете на раздела Добавково, след което натиснете бутона.

Маличдъмповете на паметта може да са достатъчни за нашите цели.

Върнете уважението по пътя към папката, където е взета вонята от времето на критичното помилване.

Сега можете да архивирате файла в архив, да го прикачите към известието във форума Usunennya критична прощава WindowsМоля, докато искате да запомните името на проблемния драйвер :) Е, можете да работите сами, без да отчитате страхотни susils.

Krok 2 - Анализ на дъмпове с помощта на помощната програма MinDumper

Можете да научите за помощната програма в тази статия.

1. Уверете се, че сте инсталирали Инструменти за отстраняване на грешки за Windows. Можете да отидете в уеб магазина за инсталиране на Windows SDK, след което след стартиране трябва да изберете Инструменти за отстраняване на грешки в разпространението на Common Utilities.
2. Zavantage сценарий(kdfe.cmd), който е написан от Александър Суховей и публикуван в ресурса sysadmins.ru(Oskіlki жив ме изпрати там, за да знам недалеч, аз проповядвам своите). Разархивирайте архивите в папка.
   Забележка. Ако имате нестандартно оформление на папката Program Files, може да се наложи да посочите в kdfe.cmd пътя до папката, където са инсталирани инструменти за отстраняване на грешки за Windows. Поставете отметка за промяна на dbgpath на ред 41.

Krok 3 - Анализ на дъмпа на паметта

Сега всичко трябва да стартира до края на една команда. Отворете командния ред и отидете в папката, разопакована в яка kdfe.cmd. Стартирайте файла, като посочите пътя към файла за дъмп на паметта като параметър (в приложението по-долу файлът се извиква Mini1110307-01.dmp)

На следващия етап изберете компонента преди инсталиране ( Изберете функциите, които искате да инсталирате) изглежда само тези, от които се нуждаем - Инструменти за отстраняване на грешки за Windowsтова нападение Инсталирай

На първия екран ще се покаже папка от Интернет, тя ще бъде настроена и комплектът помощни програми ще бъде инсталиран.

След като инсталацията приключи, тя е известна в менюто "Старт" или на стартовия екран в групата преки пътища Windows комплектиполезност windbgи стартирайте ее с права на администратор

По някаква причина ярликът не е далеч, можете да бягате Лош файлот инсталационната директория - C:\Program Files (x86)\Windows Kits\8.1\Debuggers\x64\windbg.exe

В главното меню на програмата windbgизберете точки файл > Път към файла на символа. В прозореца, който се появи, вмъкваме първоначалния ред, оставяме го, докато локален указателкеш на символите за онлайн игра:

SRV*C:\Windows\symbol_cache*http://msdl.microsoft.com/download/symbols

Записваме настройките, като избираме елементите в главното меню файл > Запазване на работното пространство

Отворете файла с дъмп на паметта, като изберете менюто файл > Отворете Crash Dump...

Изберете файл ПАМЕТ.DMP(поради заключване на промените в директорията C:\Windows) и натиснете отворен

Ще има информация за това кой модул, който се оправя, става причина за зъбите на роботизираната система. Кликване за молба !анализ-vможете да вземете по-подробна информация за състоянието на системата към момента на прекратяване на помилването.

Същата информация може да бъде отнета за помощ командна линия vikoristovuyuchi приблизително идват последователност от команди:

cd /d" C:\Program Files (x86)\Windows Kits\8.1\Debuggers\x64\" kd -z "D:\DOWNLOADS\VM05\MEMORY.DMP " .logopen C:\Debuglog.txt .sympath srv*C:\Windows\symbol_cache*http://msdl.microsoft.com/download/symbols

В това приложение цялата информация за анализа на дъмпа ще бъде показана в изгледа, в който се чете файлът C:\Debuglog.txt

Информация за Джерела:

Таблетки