При возникновении синих экранов BSoD Windows 11, 10 и другие версии системы создают дамп (снимок состояния) оперативной памяти, содержащий отладочную информацию, которую можно использовать для диагностики и определения причин сбоя. Функция обычно включена по умолчанию, но если дампы памяти не создаются, их можно включить: Как включить создание дампов памяти в Windows.
Подробным анализом дампов памяти занимаются разработчики, но и для рядового пользователя, столкнувшегося с синими экранами в Windows это может оказаться полезным: адреса в памяти ему ничего не дадут, но часто можно обнаружить имя файла приложения или драйвера, вызывающее сбой. Здесь помогут специальные программы для анализа дампов памяти, о которых и пойдёт речь далее.
WinDbg
У Майкрософт имеется собственный инструмент отладки и анализа дампов памяти — WinDbg (пока Preview). Скачать его для Windows 11 и Windows 10 можно из Microsoft Store, используя поиск в магазине приложений или прямую ссылку.
Пример простого анализа дампа памяти для обычного пользователя с целью выявления процесса, вызвавшего BSoD с помощью WinDbg:
- Запустите WinDbg от имени Администратора (правый клик по ярлыку в меню «Пуск» — «Запуск от имени администратора»).
- В главном меню программы выберите «Файл» — «Open dump File» и укажите путь к нужному мини-дампу, обычно находящемуся в папке C:\Windows\Minidump, нажмите кнопку «Open».
- Введите команду
!analyze -v
в поле ввода команд (либо нажмите по ссылке с командой в верхней панели WinDbg) и дождитесь завершения анализа.
- В панели «Command» в верхней части окна программы будет отображен результат анализа, где, при удаче, вы сможете найти информацию о том, каким процессом был инициирован сбой (PROCESS_NAME).
- Может быть информация о файле драйвера (.sys) в поле IMAGE_NAME и другая информация, позволяющая найти источник проблемы.
Далее полученную информацию можно использовать для того, чтобы найти, каким устройствам соответствуют драйверы в Интернете, выяснить назначение процессов вызвавших сбой, предпринять те или иные действия с целью их устранения.
BlueScreenView
BlueScreenView — очень простая утилита, которая позволяет выбрать файла дампа памяти в списке и посмотреть, какие файлы драйвера и процессы привели к сбою: в окне программы они будут выделены красным цветом.
Скачать BlueScreenView можно с официального сайта разработчика https://www.nirsoft.net/utils/blue_screen_view.html
WhoCrashed
Ещё одна программа для анализа дампов памяти — WhoCrashed. В бесплатной версии предоставляет не так много информации.
После нажатия кнопки «Analyze» имеющиеся дампы памяти анализируются, и на вкладке «Report» выводятся коды ошибок, а также текстовое описание на английском языке о том, что означает этот код и о возможных причинах сбоя.
Официальный сайт WhoCrashed https://www.resplendence.com/whocrashed, судя по всему, не открывается из РФ, но утилиту легко найти и скачать из сторонних источников.
В момент критического сбоя операционная система Windows прерывает работу и показывает синий экран смерти (BSOD). Содержимое оперативной памяти и вся информация о возникшей ошибке записывается в файл подкачки. При следующей загрузке Windows создается аварийный дамп c отладочной информацией на основе сохраненных данных. В системном журнале событий создается запись о критической ошибке.
Внимание! Аварийный дамп не создается, если отказала дисковая подсистема или критическая ошибка возникла на начальной стадии загрузки Windows.
Содержание:
- Типы аварийных дампов памяти Windows
- Как включить создание дампа памяти в Windows?
- Установка WinDBG в Windows
- Настройка ассоциации .dmp файлов с WinDBG
- Настройка сервера отладочных символов в WinDBG
- Анализ аварийного дампа памяти в WinDBG
Типы аварийных дампов памяти Windows
На примере актуальной операционной системы Windows 10 (Windows Server 2016) рассмотрим основные типы дампов памяти, которые может создавать система:
- Мини дамп памяти (Small memory dump) (256 КБ). Этот тип файла включает минимальный объем информации. Он содержит только сообщение об ошибке BSOD, информацию о драйверах, процессах, которые были активны в момент сбоя, а также какой процесс или поток ядра вызвал сбой.
- Дамп памяти ядра (Kernel memory dump). Как правило, небольшой по размеру — одна треть объема физической памяти. Дамп памяти ядра является более подробным, чем мини дамп. Он содержит информацию о драйверах и программах в режиме ядра, включает память, выделенную ядру Windows и аппаратному уровню абстракции (HAL), а также память, выделенную драйверам и другим программам в режиме ядра.
- Полный дамп памяти (Complete memory dump). Самый большой по объему и требует памяти, равной оперативной памяти вашей системы плюс 1MB, необходимый Windows для создания этого файла.
- Автоматический дамп памяти (Automatic memory dump). Соответствует дампу памяти ядра с точки зрения информации. Отличается только тем, сколько места он использует для создания файла дампа. Этот тип файлов не существовал в Windows 7. Он был добавлен в Windows 8.
- Активный дамп памяти (Active memory dump). Этот тип отсеивает элементы, которые не могут определить причину сбоя системы. Это было добавлено в Windows 10 и особенно полезно, если вы используете виртуальную машину, или если ваша система является хостом Hyper-V.
Как включить создание дампа памяти в Windows?
С помощью Win+Pause откройте окно с параметрами системы, выберите «Дополнительные параметры системы» (Advanced system settings). Во вкладке «Дополнительно» (Advanced), раздел «Загрузка и восстановление» (Startup and Recovery) нажмите кнопку «Параметры» (Settings). В открывшемся окне настройте действия при отказе системы. Поставьте галку в чек-боксе «Записать события в системный журнал» (Write an event to the system log), выберите тип дампа, который должен создаваться при сбое системы. Если в чек-боксе «Заменять существующий файл дампа» (Overwrite any existing file) поставить галку, то файл будет перезаписываться при каждом сбое. Лучше эту галку снять, тогда у вас будет больше информации для анализа. Отключите также автоматическую перезагрузку системы (Automatically restart).
В большинстве случаев для анализа причины BSOD вам будет достаточно малого дампа памяти.
Теперь при возникновении BSOD вы сможете проанализировать файл дампа и найти причину сбоев. Мини дамп по умолчанию сохраняется в папке %systemroot%\minidump. Для анализа файла дампа рекомендую воспользоваться программой WinDBG (Microsoft Kernel Debugger).
Установка WinDBG в Windows
Утилита WinDBG входит в «Пакет SDK для Windows 10» (Windows 10 SDK). Скачать можно здесь.
Файл называется winsdksetup.exe, размер 1,3 МБ.
WinDBG для Windows7 и более ранних систем включен в состав пакета «Microsoft Windows SDK for Windows 7 and .NET Framework 4». Скачать можно здесь.
Запустите установку и выберите, что именно нужно сделать – установить пакет на этот компьютер или загрузить для установки на другие компьютеры. Установим пакет на локальный компьютер.
Можете установить весь пакет, но для установки только инструмента отладки выберите Debugging Tools for Windows.
После установки ярлыки WinDBG можно найти в стартовом меню.
Настройка ассоциации .dmp файлов с WinDBG
Для того, чтобы открывать файлы дампов простым кликом, сопоставьте расширение .dmp с утилитой WinDBG.
- Откройте командную строку от имени администратора и выполните команды для 64-разрядной системы:
cd C:\Program Files (x86)\Windows Kits\10\Debuggers\x64
windbg.exe –IA
для 32-разрядной системы:
C:\Program Files (x86)\Windows Kits\10\Debuggers\x86
windbg.exe –IA - В результате типы файлов: .DMP, .HDMP, .MDMP, .KDMP, .WEW – будут сопоставлены с WinDBG.
Настройка сервера отладочных символов в WinDBG
Отладочные символы (debug-символы или symbol files) – это блоки данных, генерируемые в процессе компиляции программы совместно с исполняемым файлом. В таких блоках данных содержится информация о именах переменных, вызываемых функциях, библиотеках и т.д. Эти данные не нужны при выполнении программы, но полезные при ее отладке. Компоненты Microsoft компилируются с символами, распространяемыми через Microsoft Symbol Server.
Настройте WinDBG на использование Microsoft Symbol Server:
- Откройте WinDBG;
- Перейдите в меню File –> Symbol File Path;
- Пропишите строку, содержащую URL для загрузки символов отладки с сайта Microsoft и папку для сохранения кэша:
SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols
В примере кэш загружается в папку E:\Sym_WinDBG, можете указать любую. - Не забывайте сохранить изменения в меню File –> Save WorkSpace;
WinDBG произведет поиск символов в локальной папке и, если не обнаружит в ней необходимых символов, то самостоятельно загрузит символы с указанного сайта. Если вы хотите добавить собственную папку с символами, то можно сделать это так:
SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols;c:\Symbols
Если подключение к интернету отсутствует, то загрузите предварительно пакет символов с ресурса Windows Symbol Packages.
Анализ аварийного дампа памяти в WinDBG
Отладчик WinDBG открывает файл дампа и загружает необходимые символы для отладки из локальной папки или из интернета. Во время этого процесса вы не можете использовать WinDBG. Внизу окна (в командной строке отладчика) появляется надпись Debugee not connected.
Команды вводятся в командную строку, расположенную внизу окна.
Самое главное, на что нужно обратить внимание – это код ошибки, который всегда указывается в шестнадцатеричном значении и имеет вид 0xXXXXXXXX (указываются в одном из вариантов — STOP: 0x0000007B, 02.07.2019 0008F, 0x8F). В нашем примере код ошибки 0х139.
Полный справочник ошибок можно посмотреть здесь.
Отладчик предлагает выполнить команду !analyze -v, достаточно навести указатель мыши на ссылку и кликнуть. Для чего нужна эта команда?
- Она выполняет предварительный анализ дампа памяти и предоставляет подробную информацию для начала анализа.
- Эта команда отобразит STOP-код и символическое имя ошибки.
- Она показывает стек вызовов команд, которые привели к аварийному завершению.
- Кроме того, здесь отображаются неисправности IP-адреса, процессов и регистров.
- Команда может предоставить готовые рекомендации по решению проблемы.
Основные моменты, на которые вы должны обратить внимание при анализе после выполнения команды !analyze –v (листинг неполный).
1: kd>
!analyze -v
*****************************************************************************
* *
* Bugcheck Analysis *
* *
*****************************************************************************
Символическое имя STOP-ошибки (BugCheck)
KERNEL_SECURITY_CHECK_FAILURE (139)
Описание ошибки (Компонент ядра повредил критическую структуру данных. Это повреждение потенциально может позволить злоумышленнику получить контроль над этой машиной):
A kernel component has corrupted a critical data structure. The corruption could potentially allow a malicious user to gain control of this machine.
Аргументы ошибки:
Arguments:
Arg1: 0000000000000003, A LIST_ENTRY has been corrupted (i.e. double remove).
Arg2: ffffd0003a20d5d0, Address of the trap frame for the exception that caused the bugcheck
Arg3: ffffd0003a20d528, Address of the exception record for the exception that caused the bugcheck
Arg4: 0000000000000000, Reserved
Debugging Details:
------------------
Счетчик показывает сколько раз система упала с аналогичной ошибкой:
CUSTOMER_CRASH_COUNT: 1
Основная категория текущего сбоя:
DEFAULT_BUCKET_ID: FAIL_FAST_CORRUPT_LIST_ENTRY
Код STOP-ошибки в сокращенном формате:
BUGCHECK_STR: 0x139
Процесс, во время исполнения которого произошел сбой (не обязательно причина ошибки, просто в момент сбоя в памяти выполнялся этот процесс):
PROCESS_NAME: sqlservr.exe
CURRENT_IRQL: 2
Расшифровка кода ошибки: В этом приложении система обнаружила переполнение буфера стека, что может позволить злоумышленнику получить контроль над этим приложением.
ERROR_CODE: (NTSTATUS) 0xc0000409 - The system detected an overrun of a stack-based buffer in this application. This overrun could potentially allow a malicious user to gain control of this application.
EXCEPTION_CODE: (NTSTATUS) 0xc0000409 - The system detected an overrun of a stack-based buffer in this application. This overrun could potentially allow a malicious user to gain control of this application.
Последний вызов в стеке:
LAST_CONTROL_TRANSFER: from fffff8040117d6a9 to fffff8040116b0a0
Стек вызовов в момент сбоя:
STACK_TEXT:
ffffd000`3a20d2a8 fffff804`0117d6a9 : 00000000`00000139 00000000`00000003 ffffd000`3a20d5d0 ffffd000`3a20d528 : nt!KeBugCheckEx
ffffd000`3a20d2b0 fffff804`0117da50 : ffffe000`f3ab9080 ffffe000`fc37e001 ffffd000`3a20d5d0 fffff804`0116e2a2 : nt!KiBugCheckDispatch+0x69
ffffd000`3a20d3f0 fffff804`0117c150 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiFastFailDispatch+0xd0
ffffd000`3a20d5d0 fffff804`01199482 : ffffc000`701ba270 ffffc000`00000001 000000ea`73f68040 fffff804`000006f9 : nt!KiRaiseSecurityCheckFailure+0x3d0
ffffd000`3a20d760 fffff804`014a455d : 00000000`00000001 ffffd000`3a20d941 ffffe000`fcacb000 ffffd000`3a20d951 : nt! ?? ::FNODOBFM::`string'+0x17252
ffffd000`3a20d8c0 fffff804`013a34ac : 00000000`00000004 00000000`00000000 ffffd000`3a20d9d8 ffffe001`0a34c600 : nt!IopSynchronousServiceTail+0x379
ffffd000`3a20d990 fffff804`0117d313 : ffffffff`fffffffe 00000000`00000000 00000000`00000000 000000eb`a0cf1380 : nt!NtWriteFile+0x694
ffffd000`3a20da90 00007ffb`475307da : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13
000000ee`f25ed2b8 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x00007ffb`475307da
Участок кода, где возникла ошибка:
FOLLOWUP_IP:
nt!KiFastFailDispatch+d0
fffff804`0117da50 c644242000 mov byte ptr [rsp+20h],0
FAULT_INSTR_CODE: 202444c6
SYMBOL_STACK_INDEX: 2
SYMBOL_NAME: nt!KiFastFailDispatch+d0
FOLLOWUP_NAME: MachineOwner
Имя модуля в таблице объектов ядра. Если анализатору удалось обнаружить проблемный драйвер, имя отображается в полях MODULE_NAME и IMAGE_NAME:
MODULE_NAME: nt
IMAGE_NAME: ntkrnlmp.exe
Если кликнете по ссылке модуля (nt), то увидите подробную информацию о пути и других свойствах модуля. Находите указанный файл, и изучаете его свойства.
1: kd>
lmvm nt
Browse full module list
Loaded symbol image file: ntkrnlmp.exe
Mapped memory image file: C:\ProgramData\dbg\sym\ntoskrnl.exe\5A9A2147787000\ntoskrnl.exe
Image path: ntkrnlmp.exe
Image name: ntkrnlmp.exe
InternalName: ntkrnlmp.exe
OriginalFilename: ntkrnlmp.exe
ProductVersion: 6.3.9600.18946
FileVersion: 6.3.9600.18946 (winblue_ltsb_escrow.180302-1800)
В приведенном примере анализ указал на файл ядра ntkrnlmp.exe. Когда анализ дампа памяти указывает на системный драйвер (например, win32k.sys) или файл ядра (как в нашем примере ntkrnlmp.exe), вероятнее всего данный файл не является причиной проблемы. Очень часто оказывается, что проблема кроется в драйвере устройства, настройках BIOS или в неисправности оборудования.
Если вы увидели, что BSOD возник из-за стороннего драйвера, его имя будет указано в значениях MODULE_NAME и IMAGE_NAME.
Например:
Image path: \SystemRoot\system32\drivers\cmudaxp.sys
Image name: cmudaxp.sys
Откройте свойсва файла драйвера и проверьте его версию. В большинстве случаев проблема с драйверами решается их обнвовлением.
Все способы:
- Что это такое
- Вариант 1: Удаление мусорных файлов
- Вариант 2: Отключение дампа памяти
- Вариант 3: Исправление ошибки дампа памяти
- Способ 1: Восстановление системных файлов
- Способ 2: Проверка диска
- Способ 3: Автоматическое восстановление
- Анализ дампа памяти
- Вопросы и ответы: 0
Что это такое
Для начала следует разобраться, что такое дамп памяти и в каких ситуациях пользователи сталкиваются с ним. В зависимости от этого и применяются различные способы устранения неполадки. Дамп памяти – это файл, который автоматически создается при возникновении критических ошибок в работе операционной системы.
Если вкратце, наверняка каждый юзер Windows получал «синий экран смерти» (BSOD), который по своей сути является результатом различных сбоев. Он появляется на любой стадии использования ОС, а сама система при возникновении такого экрана автоматически создает один или несколько файлов. Они содержат в себе отладочную информацию о компьютере, включая данные, которые при критической ошибке, повлекшей BSOD, находились в ОЗУ. Такие сведения позволяют понять причину проблемы, которая вызывает «синий экран смерти». То есть система генерирует дамп, а аварийным он называется, потому что формируется при возникновении аварий в работе ОС.
Теперь стоит понять, как нужно действовать при появлении дампа памяти. Например, если рядом с названием диска в утилите «Управление дисками» появляется надпись «Аварийный дамп памяти», тогда это не является ошибкой. Тут указана информация о том, что файлы со сведениями о системной проблеме попросту хранятся на этом томе. Соответственно, исправлений никаких не требуется, но можно убрать данную надпись, о чем мы написали в Вариантах 1 и 2.
В случае если BSOD появляется периодически, тогда может потребоваться решение проблемы на системном уровне, а дамп памяти лишь поможет выяснить, что случилось. В Варианте 3 мы рассмотрели наиболее распространенные пути решения (даже когда Windows 10 не запускается), а также привели несколько специализированных программных средств, с помощью которых можно проанализировать дамп памяти.
Вариант 1: Удаление мусорных файлов
Как уже говорилось, при появлении сообщений о дампе памяти, касающихся локального диска, беспокоиться не стоит – это не проблема накопителя, а лишь информация о том, что файлы были созданы именно на этом разделе. Но можно убрать дамп памяти, очистив данный диск.
- Нажмите на кнопку «Пуск» и выберите запуск штатных «Параметров».
- Перейдите в раздел «Система».
- Через левую панель переключитесь на вкладку «Память», затем в центральной части окна найдите локальный диск, у которого появилось сообщение об аварийном дампе памяти, и нажмите по «Временные файлы».
- После сканирования системы отобразятся различные временные файлы. Снимите галочки у всех пунктов, кроме «Файлы дампа памяти для системных ошибок» (впрочем, по желанию можно очистить и другие категории), затем нажмите на кнопку «Удалить файлы», расположенную вверху.
Удалить дампы памяти с локального диска можно и другим способом – вручную через файловую систему. Достаточно запустить «Проводник» и перейти к корневой директории диска. Если это системный раздел, то откройте папку «Windows», где должен располагаться файл под названием «MEMORY.DMP» (это основной дамп памяти), а в каталоге «Minidump» можно найти малые дампы (их размер, как правило, составляет около 1 МБ). Удалите эти данные, но для процедуры потребуются права администратора.
Читайте также: Получение прав Администратора на компьютере с Windows 10
Вариант 2: Отключение дампа памяти
В Windows 10 можно отключить автоматическое создание файла с данными об ошибке – то есть дампа памяти. Конечно, это позволит избежать появления различных предупреждающих надписей и иногда BSOD, но при этом системная ошибка, вызывающая это, исправлена не будет, и, возможно, узнать потом причину ее появления без дампа памяти окажется довольно проблематично.
- Кликните правой кнопкой мыши по иконке «Этот компьютер» на рабочем столе и из контекстного меню выберите пункт «Свойства».
- В открывшемся окне штатных «Параметров» кликните по строке «Дополнительные параметры системы» в блоке «Сопутствующие параметры».
- На вкладке «Дополнительно» в разделе «Загрузка и восстановление» щелкните по кнопке «Параметры».
- Из выпадающего меню «Запись отладочной информации» выберите пункт «Нет», чтобы отключить аварийный дамп памяти. Нажмите на «ОК» для сохранения настроек.
Кстати, изменить путь сохранения для дампа памяти можно здесь же: в текстовом поле «Файл дампа» пропишите нужный адрес.
Вариант 3: Исправление ошибки дампа памяти
Аварийный дамп памяти может быть создан по различным причинам, в частности из-за системных ошибок любого характера. Мы рассмотрим несколько универсальных способов, позволяющих решить многие распространенные неполадки в работе ОС.
Способ 1: Восстановление системных файлов
В первую очередь стоит проверить целостность системных файлов, поскольку синий экран и, соответственно, запись дампа памяти часто возникают именно по этой причине. Системные компоненты повреждаются вследствие разных неполадок в работе ОС, а также в результате вирусных атак, но в «десятке» предусматривается специальное средство для сканирования и восстановления поврежденных файлов Windows. О применении такой утилиты мы писали в отдельном материале.
Подробнее: Как проверить целостность системных файлов в Windows 10
Способ 2: Проверка диска
Также не лишним будет проверить накопитель на наличие ошибок, которые могут стать причиной создания дампа памяти. Для этого предназначен специальный инструмент, который встроен в операционную систему. Можно еще воспользоваться средствами от сторонних разработчиков. Переходите по ссылке ниже, чтобы узнать, как правильно выполнить диагностику диска на компьютере с Windows 10.
Подробнее:
Выполнение диагностики жесткого диска в Windows 10
Проверка работоспособности SSD
Способ 3: Автоматическое восстановление
Если после появления BSOD система не стартует, скорее всего, придется запустить автоматическое восстановление. В Windows 10 реализована специальная среда (WinRE), с помощью которой выполняются различные манипуляции по восстановлению работы ОС, диагностики и использование системных средств, например «Командной строки». Вероятно, важные файлы оказались повреждены, отчего и не получается полноценно пользоваться ОС.
Подробнее: Запускаем автоматическое восстановление в Windows 10
Анализ дампа памяти
Различные ошибки в работе операционной системы требуют правильного подбора методов решения. При создании аварийного дампа памяти важно корректно его проанализировать и найти нужный способ исправления неполадки. Для анализа файла дампа существуют специализированные программы, как правило, устанавливаемые отдельно. Одним из таких инструментов является фирменная утилита от компании Microsoft – WinDbg. С ее помощью можно посмотреть информацию, которая содержится в файле с расширением DMP, созданного после появления BSOD.
Скачать WinDbg с официального сайта
- Перейдите по ссылке выше и скачайте инсталляционный файл программы, нажав на кнопку «Скачивание установщика».
- Далее запустите сохраненный файл и выполните установку на локальный диск. Откройте установленную программу от имени администратора, кликнув правой кнопкой мыши по ярлыку и выбрав нужный тип запуска. В главном окне кликните по строке «Open dump file» и укажите к нему путь (как мы уже упоминали в Варианте 1, он хранится на системном диске в папке «Windows»).
- В текстовом поле панели «Command» введите команду
!analyze -vи нажмите на «Enter» для ее выполнения. - После в основной части окна появится информация об ошибке, вызывавшей сбой. Обратите внимание на строку «PROCESS_NAME», где указано название программы, являющейся причиной появления BSOD и записи дампа памяти.
- Также нужные сведения могут быть связаны с файлом драйвера с расширением SYS (строка «IMAGE_NAME»).
После того как причина создания дампа памяти станет известна, более детальные сведения можно найти в интернете. Например, вы сможете узнать, каким устройствам соответствуют проблемные драйверы, или выяснить назначение процессов, вызвавших сбой в работе ОС.
К примеру, если стало понятно, что проблема кроется в конкретном программном обеспечении, то его может потребоваться переустановить или вовсе удалить и заменить на аналогичный софт. Если же дамп был создан вследствие неполадок с драйвером, его, может быть, понадобится обновить или выполнить переустановку ПО на текущую либо предыдущую версию.
Также для анализа ошибок BSOD есть и другие программы от сторонних разработчиков, например BlueScreenView. Как пользоваться этим софтом, мы писали ранее в отдельном руководстве.
Подробнее: Как пользоваться BlueScreenView в Windows 10
Наша группа в TelegramПолезные советы и помощь
If your Windows PC suffers a Blue Screen of Death (BSOD) error, several things will happen. The most obvious is that your PC is forced to restart, as a BSOD is a result of Windows completely crashing. One less obvious result of a BSOD error, however, is the error log that is created that allows you to troubleshoot the issue afterward.
This is called a memory dump file, saved in the DMP file format. These files contain various information on the problem, including your current Windows version, any running apps and drivers at the time of the BSOD, and the error code itself. To help you analyze memory dump files, here’s what you’ll need to do.
What are Memory Dump Files on Windows 10?
A Blue Screen of Death is a critical and unrecoverable error on a Windows PC, but the cause of these errors can vary. For example, an unexpected kernel mode trap BSOD is usually caused by incompatible or overclocked hardware, while a critical process died BSOD can have various causes, including corrupt system files.
To help you troubleshoot the problem, Windows automatically generates a memory dump file. This usually contains the stop code name and value (e.g. a system service exception stop code), a list of any running drivers at the time of the crash, and some additional technical information that you can use to identify the cause.
These dump files (using the DMP file format) are saved automatically in either the root C:\, C:\minidump, or C:\Windows\minidump folders. To help you analyze them, you can install Microsoft’s debugging app WinDbg from the Microsoft Store. This helps you analyze the memory dump files and locate the stop code information.
You can also use older tools like NirSoft BlueScreenView to quickly analyze the dump files created on your PC. This will also help you identify the stop code value and the possible cause (such as a specific driver file).
Once you know the stop code value, you can then search for additional information online about the issue. For instance, if you discovered from your dump file that you suffered a memory management BSOD, you can check out our BSOD error guide for additional advice on how to resolve the issue.
Because a BSOD error can stop your PC from working, you may need to try and restart Windows in Safe Mode. Running Windows in Safe Mode reduces the number of active system processes and drivers to the bare minimum, allowing you to investigate things further.
If you can’t boot into Windows at all, however, your options are limited. Currently, there are no standalone tools that you can run if Windows itself isn’t working properly to analyze BSOD dump files. If this happens, you’ll need to recover the dump files using a Linux live CD using a DVD or a portable USB flash memory stick.
You can then analyze the file using WinDbg or NirSoft BlueScreenView on a working Windows PC or laptop by following the steps below.
Changing Memory Dump File Settings in Windows Settings
Memory dump files are created automatically, but you can set the level of detail included in a memory dump file in Windows Settings. This will only work for BSODs that occur after changing this setting, but if your PC is having problems, you can follow these steps to add additional information to the dump files.
- To start, right-click the Start menu and select Settings.
- In the Settings menu, select System > About. In the Related settings panel, in the System > About menu, select the Advanced system settings option.
- In the System Properties menu, select the Settings option listed in the Startup and Recovery section at the bottom.
- To change the level of detail recorded by memory dump files when a BSOD occurs, select one of the available options using the Write debugging information drop-down menu in the Startup and Recovery window. Full information on what is included in each memory dump is available at the Microsoft documentation website. Select OK > OK to save your choice.
You may need to restart your PC after making this change to ensure the setting is applied. Any future BSOD errors that occur will generate a memory dump file containing the level of information you selected above.
If you suffer a BSOD error, you can use WinDbg to analyze the memory dump file. This Microsoft-created development tool is the best way to analyze your memory files, but you can also use the older NirSoft BlueScreenView as an alternative, following the steps below.
These steps assume your PC is working well enough to install and use WinDbg. If it isn’t, you’ll need to retrieve the dump files from your hard drive using a Linux live CD or USB to analyze them elsewhere. Live CD environments can be booted using the installation media of most Linux distributions, including Ubuntu and Debian.
- To begin, you’ll need to install WinDbg Preview from the Microsoft Store. On the WinDbg store page, select Get to begin the installation.
- Once WinDbg is installed, launch it by selecting Launch on the store page or by launching it from the Start menu. If you can’t access your dump files, you’ll need to locate WinDbg in the Start menu, then right-click and select More > Run as administrator to grant it the necessary access.
- In the WinDbg window, select File > Start debugging > Open dump file. Use the built-in File Explorer menu to open your latest dump file, which is typically saved in the root C:\ folder, C:\minidump, or C:\Windows\minidump folder.
- Opening the DMP file will cause the WinDbg debugger to run and load the file. This could take some time, depending on the size of the file and the level of detail saved. Once this is done, type !analyze -v into the command box at the bottom of the Command tab, then press Enter to run the command.
- The !analyze -v command will take some time to load and analyze the log file created by the BSOD error—wait for this process to complete. Once it’s done, you can analyze the full output in the Command tab. In particular, search for the stop code name and value (e.g. DRIVER_IRQL_NOT_LESS_OR_EQUAL and d1) listed under the Bugcheck Analysis section. Along with the stop code, a brief description offering a cause (such as driver issues) will be listed, allowing you to troubleshoot further.
- You can also look at other relevant information listed in the WinDbg analysis (such as the MODULE_NAME value) to identify the cause. In this example instance, the BSOD code was caused by running the NotMyFault system testing tool.
Once you’ve identified the stop code and possible cause of the BSOD error, you can research the issue further to determine a possible fix.
How to Analyze Windows Memory Dump Files Using NirSoft BlueScreenView
While WinDbg isn’t included with Windows, it’s produced by Microsoft to troubleshoot BSOD errors. If you’d prefer, however, you can analyze memory dump files from your PC (or from another PC if you have a copy of the relevant dump files) using the older NirSoft BlueScreenView tool.
BlueScreenView may look dated, but it continues to offer all of the relevant information about your BSOD dump files. This includes the stop code name and value (such as DRIVER_IRQL_NOT_LESS_OR_EQUAL) that you can then use to identify the cause.
- To start, download and install the NirSoft BlueScreenView tool on your Windows PC. Once the tool is installed, launch it from the Start menu.
- BlueScreenView will automatically locate any memory dump files from known sources such as C:/ and C:/Windows/minidump. If you want to load a file manually, however, select Options > Advanced Options.
- In the Advanced Options menu, switch to the folder containing your dump files by selecting the Browse button positioned next to the Load from the following MiniDump folder box. To return this to the default location, select Default. Select OK to save your choice and load your files.
- In the main BlueScreenView window, a list of your saved memory dump files will appear. Select one of the files listed to view more information about it. The stop code name will appear in the Bug Check String column, allowing you to research the issue further.
- With the memory dump file selected, a full list of active files and drivers will be listed underneath. Files that are highlighted red will have a direct link to the cause of the BSOD error. For instance, myfault.sys is related to the NotMyFault system testing tool, while ntoskrnl.exe is the Windows system kernel process.
While BlueScreenView is a useful tool for quickly identifying the BSOD error name, it isn’t a full debugging tool like WinDbg. If you can’t troubleshoot the problem using this tool, you’ll need to try WinDbg for a more detailed analysis.
Troubleshooting BSOD Errors Using Memory Dump Files
Using the memory dump file information you recover, you can troubleshoot the BSOD errors by searching for the stop codes or related BSOD error files. The error stop codes, in particular, can help you find the cause behind a BSOD, from a bad system config info BSOD to an unexpected store exception error BSOD.
BSOD errors are caused by everything from faulty hardware to corrupt system files. To help stop them, you should check your PC for malware regularly and use tools like SFC to repair your Windows installation if it becomes corrupted. If all else fails, you can always reset or reinstall Windows 10 to restore your PC to full working order.
Related Posts
- How to Fix a “This file does not have an app associated with it” Error on Windows
- How to Fix an Update Error 0x800705b4 on Windows
- How to Resolve “A JavaScript error occured in the main process” Error on Windows
- How to Fix the Network Discovery Is Turned Off Error on Windows
- How to Change Folder Icons in Windows
If your PC has recently crashed, you must have faced the Blue Screen of Death (BSOD), which lists the crash’s cause and then the PC shutdown abruptly. Now the BSOD screen is only shown for a few seconds, and it’s not possible to analyze the reason for the crash at that moment. Thankfully, when Windows crashes, a crash dump file (.dmp) or memory dump is created to save information about the crash just before the Windows shutdown.
As soon as the BSOD screen is displayed, Windows dumps the information about the crash from the memory to a small file called “MiniDump” which is generally saved in the Windows folder. And this .dmp files can help you troubleshoot the cause of the error, but you need to analyze the dump file. This is where it gets tricky, and Windows doesn’t use any pre-installed tool to analyze this memory dump file.
Now there is a various tool which can help you debug the .dmp file, but we are going to talk about two tools which are BlueScreenView and Windows Debugger tools. The BlueScreenView can analyze what went wrong with the PC quickly, and the Windows Debugger tool can be used to get more advanced information. So without wasting any time let’s see How to Read Memory Dump Files in Windows 10 with the help of the below-listed guide.
Make sure to create a restore point just in case something goes wrong.
Method 1: Analyze Memory Dump Files using BlueScreenView
1. From NirSoft Website downloads the latest version of BlueScreenView according to your version of Windows.
2. Extract the zip file you download and then double-click on BlueScreenView.exe to run the application.
3. The program will automatically search for the MiniDump files at the default location, which is C:\Windows\Minidump.
4. Now if you want to analyze a particular .dmp file, drag and drop that file to BlueScreenView application and the program will easily read the minidump file.
5. You will see the following information at the top of the BlueScreenView:
- The name of the Minidump file: 082516-12750-01.dmp. Here 08 is the month, 25 is the date, and 16 is the year of the dump file.
- Crash Time is when the crash happens: 26-08-2016 02:40:03
- Bug Check String is the error code: DRIVER_VERIFIER_IOMANAGER_VIOLATION
- Bug Check Code is the STOP error: 0x000000c9
- Then there will be Bug Check Code Parameters
- The most important section is Caused By Driver: VerifierExt.sys
6. In the lower part of the screen, the driver who caused the error will be highlighted.
7. Now you have all the information about the error you could easily search the web for the following:
Bug Check String + Caused by Driver, e.g., DRIVER_VERIFIER_IOMANAGER_VIOLATION VerifierExt.sys
Bug Check String + Bug Check Code eg: DRIVER_VERIFIER_IOMANAGER_VIOLATION 0x000000c9
8. Or you can right-click on the minidump file inside the BlueScreenView and click “Google Search – Bug Check + Driver“.
9. Use this information to troubleshoot the cause and fix the error. And this is the end of the guide How to Read Memory Dump Files in Windows 10 using BlueScreenView.
Method 2: Analyze Memory Dump Files Using Windows Debugger
1. Download Windows 10 SDK from here.
Note: This program contains WinDBG program that we will be using to analyze the .dmp files.
2. Run the sdksetup.exe file and specify the installation location or use default.
3. Accept License agreement then at “Select the features you want to install” screen select only the Debugging Tools for Windows option and then click Install.
4. The application will begin downloading the WinDBG program, so wait for it to be installed on your system.
5. Open Command Prompt. The user can perform this step by searching for ‘cmd’ and then press Enter.
6. Type the following command into cmd and hit Enter:
cd\Program Files (x86)\Windows Kits\10\Debuggers\x64\
Note: Specify the correct installation of the WinDBG program.
7. Now once you’re inside the correct directory type the following command to associate WinDBG with .dmp files:
windbg.exe -IA
8. As soon as you enter the above command, a new blank instance of WinDBG will open with a confirmation notice which you can close.
9. Type windbg in Windows Search then click on WinDbg (X64).
10. In the WinDBG panel, click on File, then select Symbol File Path.
11. Copy and paste the following address into the Symbol Search Path box:
SRV*C:\SymCache*http://msdl.microsoft.com/download/symbols
12. Click OK and then save the symbol path by clicking File > Save Workspace.
13. Now find the dump file you want to analyze, you could either use the MiniDump file found in C:\Windows\Minidump or use the Memory dump file found in C:\Windows\MEMORY.DMP.
14. Double click the .dmp file and the WinDBG should launch and begin processing the file.
Note: Since this is the first .dmp file being read on your system, WinDBG appears to be slow but do not interrupt the process as these processes are being carried out in the background:
A folder called Symcache is being created in C: Symbols are being downloaded and saved to C:\Symcache
Once the symbols have been downloaded, and the dump is ready to analyze, you will see the message Followup: MachineOwner at the dump text’s bottom.
15. Also, the next .dmp file is processed, it will be quicker as it will have already downloaded the required symbols. Over time the C:\Symcache folder will grow in size as more symbols are added.
16. Press Ctrl + F to open Find then type “Probably caused by” (without quotes) and hit Enter. This is the quickest way to find what caused the crash.
17. Above the Probably caused by line, you will see a BugCheck code, e.g., 0x9F. Use this code and visit Microsoft Bug Check Code Reference for verifying the bug check refer.
Recommended:
- Fix Windows can’t set up a HomeGroup on this computer
- Fix Computer Screen Turns Off Randomly
- How To Fix Right Click Not Working in Windows 10
- Fix The Registry editor has stopped working
That’s it you have successfully learned How to Read Memory Dump Files in Windows 10 but if you still have any queries regarding this post then feel free to ask them in the comment’s section.