Что такое дамп памяти в windows 10 — Ваш верный помощник с OS Windows

Все способы:

Что это такое
Вариант 1: Удаление мусорных файлов
Вариант 2: Отключение дампа памяти
Вариант 3: Исправление ошибки дампа памяти
- Способ 1: Восстановление системных файлов
- Способ 2: Проверка диска
- Способ 3: Автоматическое восстановление
Анализ дампа памяти
Вопросы и ответы: 0

Что это такое

Для начала следует разобраться, что такое дамп памяти и в каких ситуациях пользователи сталкиваются с ним. В зависимости от этого и применяются различные способы устранения неполадки. Дамп памяти – это файл, который автоматически создается при возникновении критических ошибок в работе операционной системы.

Если вкратце, наверняка каждый юзер Windows получал «синий экран смерти» (BSOD), который по своей сути является результатом различных сбоев. Он появляется на любой стадии использования ОС, а сама система при возникновении такого экрана автоматически создает один или несколько файлов. Они содержат в себе отладочную информацию о компьютере, включая данные, которые при критической ошибке, повлекшей BSOD, находились в ОЗУ. Такие сведения позволяют понять причину проблемы, которая вызывает «синий экран смерти». То есть система генерирует дамп, а аварийным он называется, потому что формируется при возникновении аварий в работе ОС.

Теперь стоит понять, как нужно действовать при появлении дампа памяти. Например, если рядом с названием диска в утилите «Управление дисками» появляется надпись «Аварийный дамп памяти», тогда это не является ошибкой. Тут указана информация о том, что файлы со сведениями о системной проблеме попросту хранятся на этом томе. Соответственно, исправлений никаких не требуется, но можно убрать данную надпись, о чем мы написали в Вариантах 1 и 2.

как исправить аварийный дамп памяти в windows 10-01

В случае если BSOD появляется периодически, тогда может потребоваться решение проблемы на системном уровне, а дамп памяти лишь поможет выяснить, что случилось. В Варианте 3 мы рассмотрели наиболее распространенные пути решения (даже когда Windows 10 не запускается), а также привели несколько специализированных программных средств, с помощью которых можно проанализировать дамп памяти.

Вариант 1: Удаление мусорных файлов

Как уже говорилось, при появлении сообщений о дампе памяти, касающихся локального диска, беспокоиться не стоит – это не проблема накопителя, а лишь информация о том, что файлы были созданы именно на этом разделе. Но можно убрать дамп памяти, очистив данный диск.

Нажмите на кнопку «Пуск» и выберите запуск штатных «Параметров».
Перейдите в раздел «Система».

как исправить аварийный дамп памяти в windows 10-03

Через левую панель переключитесь на вкладку «Память», затем в центральной части окна найдите локальный диск, у которого появилось сообщение об аварийном дампе памяти, и нажмите по «Временные файлы».

как исправить аварийный дамп памяти в windows 10-04

После сканирования системы отобразятся различные временные файлы. Снимите галочки у всех пунктов, кроме «Файлы дампа памяти для системных ошибок» (впрочем, по желанию можно очистить и другие категории), затем нажмите на кнопку «Удалить файлы», расположенную вверху.

как исправить аварийный дамп памяти в windows 10-05

Удалить дампы памяти с локального диска можно и другим способом – вручную через файловую систему. Достаточно запустить «Проводник» и перейти к корневой директории диска. Если это системный раздел, то откройте папку «Windows», где должен располагаться файл под названием «MEMORY.DMP» (это основной дамп памяти), а в каталоге «Minidump» можно найти малые дампы (их размер, как правило, составляет около 1 МБ). Удалите эти данные, но для процедуры потребуются права администратора.

Читайте также: Получение прав Администратора на компьютере с Windows 10

Вариант 2: Отключение дампа памяти

В Windows 10 можно отключить автоматическое создание файла с данными об ошибке – то есть дампа памяти. Конечно, это позволит избежать появления различных предупреждающих надписей и иногда BSOD, но при этом системная ошибка, вызывающая это, исправлена не будет, и, возможно, узнать потом причину ее появления без дампа памяти окажется довольно проблематично.

Кликните правой кнопкой мыши по иконке «Этот компьютер» на рабочем столе и из контекстного меню выберите пункт «Свойства».

как исправить аварийный дамп памяти в windows 10-06

В открывшемся окне штатных «Параметров» кликните по строке «Дополнительные параметры системы» в блоке «Сопутствующие параметры».

как исправить аварийный дамп памяти в windows 10-07

На вкладке «Дополнительно» в разделе «Загрузка и восстановление» щелкните по кнопке «Параметры».

как исправить аварийный дамп памяти в windows 10-08

Из выпадающего меню «Запись отладочной информации» выберите пункт «Нет», чтобы отключить аварийный дамп памяти. Нажмите на «ОК» для сохранения настроек.

как исправить аварийный дамп памяти в windows 10-09

Кстати, изменить путь сохранения для дампа памяти можно здесь же: в текстовом поле «Файл дампа» пропишите нужный адрес.

Вариант 3: Исправление ошибки дампа памяти

Аварийный дамп памяти может быть создан по различным причинам, в частности из-за системных ошибок любого характера. Мы рассмотрим несколько универсальных способов, позволяющих решить многие распространенные неполадки в работе ОС.

Способ 1: Восстановление системных файлов

В первую очередь стоит проверить целостность системных файлов, поскольку синий экран и, соответственно, запись дампа памяти часто возникают именно по этой причине. Системные компоненты повреждаются вследствие разных неполадок в работе ОС, а также в результате вирусных атак, но в «десятке» предусматривается специальное средство для сканирования и восстановления поврежденных файлов Windows. О применении такой утилиты мы писали в отдельном материале.

Подробнее: Как проверить целостность системных файлов в Windows 10

как исправить аварийный дамп памяти в windows 10-10

Способ 2: Проверка диска

Также не лишним будет проверить накопитель на наличие ошибок, которые могут стать причиной создания дампа памяти. Для этого предназначен специальный инструмент, который встроен в операционную систему. Можно еще воспользоваться средствами от сторонних разработчиков. Переходите по ссылке ниже, чтобы узнать, как правильно выполнить диагностику диска на компьютере с Windows 10.

Подробнее:
Выполнение диагностики жесткого диска в Windows 10
Проверка работоспособности SSD

как исправить аварийный дамп памяти в windows 10-11

Способ 3: Автоматическое восстановление

Если после появления BSOD система не стартует, скорее всего, придется запустить автоматическое восстановление. В Windows 10 реализована специальная среда (WinRE), с помощью которой выполняются различные манипуляции по восстановлению работы ОС, диагностики и использование системных средств, например «Командной строки». Вероятно, важные файлы оказались повреждены, отчего и не получается полноценно пользоваться ОС.

Подробнее: Запускаем автоматическое восстановление в Windows 10

Анализ дампа памяти

Различные ошибки в работе операционной системы требуют правильного подбора методов решения. При создании аварийного дампа памяти важно корректно его проанализировать и найти нужный способ исправления неполадки. Для анализа файла дампа существуют специализированные программы, как правило, устанавливаемые отдельно. Одним из таких инструментов является фирменная утилита от компании Microsoft – WinDbg. С ее помощью можно посмотреть информацию, которая содержится в файле с расширением DMP, созданного после появления BSOD.

Скачать WinDbg с официального сайта

Перейдите по ссылке выше и скачайте инсталляционный файл программы, нажав на кнопку «Скачивание установщика».

как исправить аварийный дамп памяти в windows 10-13

Далее запустите сохраненный файл и выполните установку на локальный диск. Откройте установленную программу от имени администратора, кликнув правой кнопкой мыши по ярлыку и выбрав нужный тип запуска. В главном окне кликните по строке «Open dump file» и укажите к нему путь (как мы уже упоминали в Варианте 1, он хранится на системном диске в папке «Windows»).

как исправить аварийный дамп памяти в windows 10-14

В текстовом поле панели «Command» введите команду !analyze -v и нажмите на «Enter» для ее выполнения.

как исправить аварийный дамп памяти в windows 10-15

После в основной части окна появится информация об ошибке, вызывавшей сбой. Обратите внимание на строку «PROCESS_NAME», где указано название программы, являющейся причиной появления BSOD и записи дампа памяти.

как исправить аварийный дамп памяти в windows 10-16

Также нужные сведения могут быть связаны с файлом драйвера с расширением SYS (строка «IMAGE_NAME»).

как исправить аварийный дамп памяти в windows 10-17

После того как причина создания дампа памяти станет известна, более детальные сведения можно найти в интернете. Например, вы сможете узнать, каким устройствам соответствуют проблемные драйверы, или выяснить назначение процессов, вызвавших сбой в работе ОС.

К примеру, если стало понятно, что проблема кроется в конкретном программном обеспечении, то его может потребоваться переустановить или вовсе удалить и заменить на аналогичный софт. Если же дамп был создан вследствие неполадок с драйвером, его, может быть, понадобится обновить или выполнить переустановку ПО на текущую либо предыдущую версию.

Также для анализа ошибок BSOD есть и другие программы от сторонних разработчиков, например BlueScreenView. Как пользоваться этим софтом, мы писали ранее в отдельном руководстве.

Подробнее: Как пользоваться BlueScreenView в Windows 10

Наша группа в TelegramПолезные советы и помощь

Источник

Дамп памяти (снимок состояния оперативной, содержащий отладочную информацию) — то, что часто оказывается наиболее полезными при возникновении синего экрана смерти (BSoD) для диагностики причин возникновения ошибок и их исправления. Дамп памяти сохраняется в файл C:\Windows\MEMORY.DMP, а мини дампы (малый дамп памяти) — в папку C:\Windows\Minidump (подробнее об этом далее в статье).

Автоматическое создание и сохранение дампов памяти не всегда включено в Windows 10, и в инструкциях на тему исправления тех или иных ошибок BSoD мне время от времени приходится описывать и путь включения автоматического сохранения дампов памяти в системе для последующего просмотра в BlueScreenView и аналогах — потому и было решено написать отдельное руководство именно о том, как включить автоматическое создание дампа памяти при ошибках системы, чтобы в дальнейшем ссылаться на него.

Настройка создания дампов памяти при ошибках Windows 10

Для того, чтобы включить автоматическое сохранение файла дампа памяти системных ошибок достаточно выполнить следующие простые шаги.

Зайдите в панель управления (для этого в Windows 10 вы можете начать набирать «Панель управления» в поиске на панели задач), если в панели управления в поле «Просмотр» включено «Категории», установите «Значки» и откройте пункт «Система».

Картинка с сайта: remontka.pro
В меню слева выберите пункт «Дополнительные параметры системы».

Картинка с сайта: remontka.pro
На вкладке «Дополнительно» в разделе «Загрузка и восстановление» нажмите кнопку «Параметры».

Картинка с сайта: remontka.pro
Параметры создания и сохранения дампов памяти находятся в разделе «Отказ системы». По умолчанию включены опции записи в системный журнал, автоматической перезагрузки и замены существующего дампа памяти, создается «Автоматический дамп памяти», хранящийся в %SystemRoot%\MEMORY.DMP (т.е. файл MEMORY.DMP внутри системной папки Windows). Параметры для включения автоматического создания дампов памяти, используемые по умолчанию вы также можете увидеть на скриншоте ниже.

Картинка с сайта: remontka.pro

Опция «Автоматический дамп памяти» сохраняет снимок памяти ядра Windows 10 с необходимой отладочной информацией, а также память, выделенную для устройств, драйверов и ПО, работающего на уровне ядра. Также, при выборе автоматического дампа памяти, в папке C:\Windows\Minidump сохраняются малые дампы памяти. В большинстве случаев этот параметр оптимален.

Помимо «Автоматический дамп памяти» в параметрах сохранения отладочной информации есть и другие варианты:

Полный дамп памяти — содержит полный снимок оперативной памяти Windows. Т.е. размер файла дампа памяти MEMORY.DMP будет равен объему используемой (занятой) оперативной памяти на момент появления ошибки. Обычному пользователю обычно не требуется.
Дамп памяти ядра — содержит те же данные что и «Автоматический дамп памяти», по сути это одна и та же опция, за исключением того, как Windows устанавливает размер файла подкачки в случае выбора одной из них. В общем случае вариант «Автоматический» подходит лучше (подробнее для интересующихся, на английском — здесь.)
Малый дамп памяти — создание только мини дампов в C:\Windows\Minidump. При выборе данной опции сохраняются файлы по 256 Кб, содержащие базовую информацию о синем экране смерти, списке загруженных драйверов, процессах. В большинстве случаев при непрофессиональном использовании (например, как в инструкциях на этом сайте по исправлению ошибок BSoD в Windows 10), используется именно малый дамп памяти. Например, при диагностике причины синего экрана смерти в BlueScreenView используются файлы мини дампов. Однако в некоторых случаях может потребоваться и полный (автоматический) дамп памяти — часто службы поддержки ПО при возникновении неполадок (предположительно вызванных этим ПО) могут просить предоставить именно его.

Дополнительная информация

В случае, если вам нужно удалить дамп памяти, вы можете сделать это вручную, удалив файл MEMORY.DMP в системной папке Windows и файлы, содержащиеся в папке Minidump. Также можно использовать утилиту «Очистка диска» Windows (нажать клавиши Win+R, ввести cleanmgr и нажать Enter). В «Очистке диска» нажмите кнопку «Очистить системные файлы», а затем в списке отметьте файла дампа памяти для системных ошибок, чтобы удалить их (при отсутствии таких пунктов можно предположить, что дампы памяти пока не создавались).

Ну и в завершение о том, почему может быть отключено создание дампов памяти (или отключаться само после включения): чаще всего причиной являются программы для очистки компьютера и оптимизации работы системы, а также софт для оптимизации работы SSD, который также может отключать их создание.

Источник

Всем привет! В статье ниже я расскажу про аварийный дамп памяти – что это такое в Windows, как его посмотреть, включить создание и для чего он вообще нужен. Вы можете задавать дополнительные вопросы или дополнить статью в комментариях.

Содержание

Что такое дамп памяти в Windows?
Просмотр дампа
Как включить создание дампов памяти в Windows?
Видео
Задать вопрос автору статьи

Что такое дамп памяти в Windows?

Аварийный дамп памяти - что это и для чего нужны?

Дамп памяти – это специальный файл, который создается операционной системой во время критической ошибки BSoD, когда система зависает и выкидывает «синий экран смерти». Обычно на экране отображается код ошибки и файл, который его мог вызвать. И тут человек сталкивается с двумя проблемами:

Экран пропадает очень быстро – через 3-5 секунд. Обычно пользователь даже не успевает взять телефон, чтобы сделать фотографию для дальнейшего анализа.
Иногда на синем экране отсутствует код или название файла.

Но переживать не стоит, сам файл можно посмотреть – об этом мы поговорим в следующее главе.

Просмотр дампа

Давайте я расскажу – как посмотреть дамп памяти Windows 10, 11, 7 или 8. Тут все зависит от того – грузится ли у вас операционная система. Если Виндовс не погружается, а при каждой попытке, вылезает синий экран, то нам нужно сначала восстановить загрузчик ОС. Если вы столкнулись с подобным – то переходим сюда и читаем рекомендации (ссылка).

Если система грузится, то для просмотра дампов памяти, нам понадобится специальная программа BlueScreenView. Качаем и запускаем её.

Скачать BlueScreenView

Создать файл дампа - что это такое в Windows 10 и 11?

ВНИМАНИЕ! Обратите внимание на дату и время создания дампа. Если вы не видите вообще свежих дампов, то надо включить их создание – об этом поговорим в следующей главе.

Нас интересуют две строчки. Первая – это «Bug Check String», в которой хранится конкретная ошибка. Вторая – это «Bug Check Code». Уже по ним нужно гуглить – что именно вызывает ошибку и от этого отталкиваться.

Еще можно попробовать проанализировать – что вызывает ошибку? Может это какая-то программа или игра. Это может быть какая-то системная служба или драйвер, который недавно установился на ПК. В некоторых случаях синий экран может появляться, если был установлен неподходящий драйвер. Я с таким сталкивался, когда на Windows 7 был установлен драйвер для Windows 10.

Читаем – как переустановить драйвера в системе.

Еще одна из самых частых причин – это проблема с оперативной памятью, когда в ОЗУ появляются битые сектора. В таком случае синий экран появляется постоянно, но он указывает на разные файлы и имеет различные коды. Советую полностью проверить RAM.

Читаем – как проверить оперативную память.

В некоторых случаях понять на 100%, что именно вызывает ошибку – очень сложно. Иногда это связано в целом с проблемой в работе ОС, какими-то программами или драйверами. Поэтому вылечить это можно треями способами:

Первый – выполнить общий комплекс очистки системы и переустановке драйверов. Можно даже попробовать откатить драйвера на старые версии (иногда это помогает).
Второй – откат системы до заводской конфигурации. У нас на сайте есть инструкции на эту тему для Windows 10 и Windows 11.
Третий – полная переустановка ОС.

Как включить создание дампов памяти в Windows?

Если BlueScreenView не видит дампы Windows 10 или 11, то нужно включить их создание в системе:

Зажимаем:

+ R

Вводим:

sysdm.cpl

На вкладке «Дополнительно» в разделе «Загрузка и восстановление» кликаем по «Параметрам».

Установите галочки, как у меня в подразделе «Отказ системы». В конце нажмите «ОК».

Статья подошла к концу и надеюсь она ответила на все ваши вопросы. Вы всегда можете написать нам в комментариях, и специалисты портала WiFiGiD.RU вам помогут.

Видео

Источник

Статья обновлена: 07 июля 2022
ID: 3055

Статья неприменима к Windows Vista SP1 и ниже.

После установки продукта «Лаборатории Касперского» могут возникнуть ситуации, при которых операционная система «зависает». Например, при загрузке компьютера или при запуске сторонней программы. Причиной может быть конфликт программы «Лаборатории Касперского» со сторонним программным обеспечением, либо с драйверами комплектующих вашего компьютера.

При возникновении такой проблемы:

Настройте запись полного дампа памяти в операционной системе.
Получите полный дамп памяти.
Отправьте полный дамп памяти в «Лабораторию Касперского».

Как настроить запись полного дампа памяти в Windows 7, 8, 8.1, 10

Как настроить запись полного дампа памяти в Windows 11

Как получить полный дамп памяти

Как отправить дамп в техническую поддержку «Лаборатории Касперского»

Спасибо за ваш отзыв, вы помогаете нам становиться лучше!

Источник

В момент критического сбоя операционная система Windows прерывает работу и показывает синий экран смерти (BSOD). Содержимое оперативной памяти и вся информация о возникшей ошибке записывается в файл подкачки. При следующей загрузке Windows создается аварийный дамп c отладочной информацией на основе сохраненных данных. В системном журнале событий создается запись о критической ошибке.

Внимание! Аварийный дамп не создается, если отказала дисковая подсистема или критическая ошибка возникла на начальной стадии загрузки Windows.

Содержание:

Типы аварийных дампов памяти Windows
Как включить создание дампа памяти в Windows?
Установка WinDBG в Windows
Настройка ассоциации .dmp файлов с WinDBG
Настройка сервера отладочных символов в WinDBG
Анализ аварийного дампа памяти в WinDBG

Типы аварийных дампов памяти Windows

На примере актуальной операционной системы Windows 10 (Windows Server 2016) рассмотрим основные типы дампов памяти, которые может создавать система:

Мини дамп памяти (Small memory dump) (256 КБ). Этот тип файла включает минимальный объем информации. Он содержит только сообщение об ошибке BSOD, информацию о драйверах, процессах, которые были активны в момент сбоя, а также какой процесс или поток ядра вызвал сбой.
Дамп памяти ядра (Kernel memory dump). Как правило, небольшой по размеру — одна треть объема физической памяти. Дамп памяти ядра является более подробным, чем мини дамп. Он содержит информацию о драйверах и программах в режиме ядра, включает память, выделенную ядру Windows и аппаратному уровню абстракции (HAL), а также память, выделенную драйверам и другим программам в режиме ядра.
Полный дамп памяти (Complete memory dump). Самый большой по объему и требует памяти, равной оперативной памяти вашей системы плюс 1MB, необходимый Windows для создания этого файла.
Автоматический дамп памяти (Automatic memory dump). Соответствует дампу памяти ядра с точки зрения информации. Отличается только тем, сколько места он использует для создания файла дампа. Этот тип файлов не существовал в Windows 7. Он был добавлен в Windows 8.
Активный дамп памяти (Active memory dump). Этот тип отсеивает элементы, которые не могут определить причину сбоя системы. Это было добавлено в Windows 10 и особенно полезно, если вы используете виртуальную машину, или если ваша система является хостом Hyper-V.

Как включить создание дампа памяти в Windows?

С помощью Win+Pause откройте окно с параметрами системы, выберите «Дополнительные параметры системы» (Advanced system settings). Во вкладке «Дополнительно» (Advanced), раздел «Загрузка и восстановление» (Startup and Recovery) нажмите кнопку «Параметры» (Settings). В открывшемся окне настройте действия при отказе системы. Поставьте галку в чек-боксе «Записать события в системный журнал» (Write an event to the system log), выберите тип дампа, который должен создаваться при сбое системы. Если в чек-боксе «Заменять существующий файл дампа» (Overwrite any existing file) поставить галку, то файл будет перезаписываться при каждом сбое. Лучше эту галку снять, тогда у вас будет больше информации для анализа. Отключите также автоматическую перезагрузку системы (Automatically restart).

В большинстве случаев для анализа причины BSOD вам будет достаточно малого дампа памяти.

Теперь при возникновении BSOD вы сможете проанализировать файл дампа и найти причину сбоев. Мини дамп по умолчанию сохраняется в папке %systemroot%\minidump. Для анализа файла дампа рекомендую воспользоваться программой WinDBG (Microsoft Kernel Debugger).

Установка WinDBG в Windows

Утилита WinDBG входит в «Пакет SDK для Windows 10» (Windows 10 SDK). Скачать можно здесь.

Файл называется winsdksetup.exe, размер 1,3 МБ.

WinDBG для Windows7 и более ранних систем включен в состав пакета «Microsoft Windows SDK for Windows 7 and .NET Framework 4». Скачать можно здесь.

Запустите установку и выберите, что именно нужно сделать – установить пакет на этот компьютер или загрузить для установки на другие компьютеры. Установим пакет на локальный компьютер.

Можете установить весь пакет, но для установки только инструмента отладки выберите Debugging Tools for Windows.

После установки ярлыки WinDBG можно найти в стартовом меню.

Настройка ассоциации .dmp файлов с WinDBG

Для того, чтобы открывать файлы дампов простым кликом, сопоставьте расширение .dmp с утилитой WinDBG.

Откройте командную строку от имени администратора и выполните команды для 64-разрядной системы:
cd C:\Program Files (x86)\Windows Kits\10\Debuggers\x64 windbg.exe –IA

для 32-разрядной системы:
C:\Program Files (x86)\Windows Kits\10\Debuggers\x86 windbg.exe –IA
В результате типы файлов: .DMP, .HDMP, .MDMP, .KDMP, .WEW – будут сопоставлены с WinDBG.

Настройка сервера отладочных символов в WinDBG

Отладочные символы (debug-символы или symbol files) – это блоки данных, генерируемые в процессе компиляции программы совместно с исполняемым файлом. В таких блоках данных содержится информация о именах переменных, вызываемых функциях, библиотеках и т.д. Эти данные не нужны при выполнении программы, но полезные при ее отладке. Компоненты Microsoft компилируются с символами, распространяемыми через Microsoft Symbol Server.

Настройте WinDBG на использование Microsoft Symbol Server:

Откройте WinDBG;
Перейдите в меню File –> Symbol File Path;
Пропишите строку, содержащую URL для загрузки символов отладки с сайта Microsoft и папку для сохранения кэша:
SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols
В примере кэш загружается в папку E:\Sym_WinDBG, можете указать любую.
Не забывайте сохранить изменения в меню File –> Save WorkSpace;

WinDBG произведет поиск символов в локальной папке и, если не обнаружит в ней необходимых символов, то самостоятельно загрузит символы с указанного сайта. Если вы хотите добавить собственную папку с символами, то можно сделать это так:

SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols;c:\Symbols

Если подключение к интернету отсутствует, то загрузите предварительно пакет символов с ресурса Windows Symbol Packages.

Анализ аварийного дампа памяти в WinDBG

Отладчик WinDBG открывает файл дампа и загружает необходимые символы для отладки из локальной папки или из интернета. Во время этого процесса вы не можете использовать WinDBG. Внизу окна (в командной строке отладчика) появляется надпись Debugee not connected.

Команды вводятся в командную строку, расположенную внизу окна.

Самое главное, на что нужно обратить внимание – это код ошибки, который всегда указывается в шестнадцатеричном значении и имеет вид 0xXXXXXXXX (указываются в одном из вариантов — STOP: 0x0000007B, 02.07.2019 0008F, 0x8F). В нашем примере код ошибки 0х139.

Полный справочник ошибок можно посмотреть здесь.

Отладчик предлагает выполнить команду !analyze -v, достаточно навести указатель мыши на ссылку и кликнуть. Для чего нужна эта команда?

Она выполняет предварительный анализ дампа памяти и предоставляет подробную информацию для начала анализа.
Эта команда отобразит STOP-код и символическое имя ошибки.
Она показывает стек вызовов команд, которые привели к аварийному завершению.
Кроме того, здесь отображаются неисправности IP-адреса, процессов и регистров.
Команда может предоставить готовые рекомендации по решению проблемы.

Основные моменты, на которые вы должны обратить внимание при анализе после выполнения команды !analyze –v (листинг неполный).

1: kd>
!analyze -v

***************************************************************************** * * * Bugcheck Analysis * * * *****************************************************************************

Символическое имя STOP-ошибки (BugCheck)
KERNEL_SECURITY_CHECK_FAILURE (139)

Описание ошибки (Компонент ядра повредил критическую структуру данных. Это повреждение потенциально может позволить злоумышленнику получить контроль над этой машиной):

A kernel component has corrupted a critical data structure. The corruption could potentially allow a malicious user to gain control of this machine.

Аргументы ошибки:

Arguments: Arg1: 0000000000000003, A LIST_ENTRY has been corrupted (i.e. double remove). Arg2: ffffd0003a20d5d0, Address of the trap frame for the exception that caused the bugcheck Arg3: ffffd0003a20d528, Address of the exception record for the exception that caused the bugcheck Arg4: 0000000000000000, Reserved Debugging Details: ------------------

Счетчик показывает сколько раз система упала с аналогичной ошибкой:

CUSTOMER_CRASH_COUNT: 1

Основная категория текущего сбоя:

DEFAULT_BUCKET_ID: FAIL_FAST_CORRUPT_LIST_ENTRY

Код STOP-ошибки в сокращенном формате:

BUGCHECK_STR: 0x139

Процесс, во время исполнения которого произошел сбой (не обязательно причина ошибки, просто в момент сбоя в памяти выполнялся этот процесс):

PROCESS_NAME: sqlservr.exe

CURRENT_IRQL: 2

Расшифровка кода ошибки: В этом приложении система обнаружила переполнение буфера стека, что может позволить злоумышленнику получить контроль над этим приложением.
ERROR_CODE: (NTSTATUS) 0xc0000409 - The system detected an overrun of a stack-based buffer in this application. This overrun could potentially allow a malicious user to gain control of this application. EXCEPTION_CODE: (NTSTATUS) 0xc0000409 - The system detected an overrun of a stack-based buffer in this application. This overrun could potentially allow a malicious user to gain control of this application.

Последний вызов в стеке:

LAST_CONTROL_TRANSFER: from fffff8040117d6a9 to fffff8040116b0a0

Стек вызовов в момент сбоя:

STACK_TEXT: ffffd000`3a20d2a8 fffff804`0117d6a9 : 00000000`00000139 00000000`00000003 ffffd000`3a20d5d0 ffffd000`3a20d528 : nt!KeBugCheckEx ffffd000`3a20d2b0 fffff804`0117da50 : ffffe000`f3ab9080 ffffe000`fc37e001 ffffd000`3a20d5d0 fffff804`0116e2a2 : nt!KiBugCheckDispatch+0x69 ffffd000`3a20d3f0 fffff804`0117c150 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiFastFailDispatch+0xd0 ffffd000`3a20d5d0 fffff804`01199482 : ffffc000`701ba270 ffffc000`00000001 000000ea`73f68040 fffff804`000006f9 : nt!KiRaiseSecurityCheckFailure+0x3d0 ffffd000`3a20d760 fffff804`014a455d : 00000000`00000001 ffffd000`3a20d941 ffffe000`fcacb000 ffffd000`3a20d951 : nt! ?? ::FNODOBFM::`string'+0x17252 ffffd000`3a20d8c0 fffff804`013a34ac : 00000000`00000004 00000000`00000000 ffffd000`3a20d9d8 ffffe001`0a34c600 : nt!IopSynchronousServiceTail+0x379 ffffd000`3a20d990 fffff804`0117d313 : ffffffff`fffffffe 00000000`00000000 00000000`00000000 000000eb`a0cf1380 : nt!NtWriteFile+0x694 ffffd000`3a20da90 00007ffb`475307da : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13 000000ee`f25ed2b8 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x00007ffb`475307da

Участок кода, где возникла ошибка:

FOLLOWUP_IP: nt!KiFastFailDispatch+d0 fffff804`0117da50 c644242000 mov byte ptr [rsp+20h],0 FAULT_INSTR_CODE: 202444c6 SYMBOL_STACK_INDEX: 2 SYMBOL_NAME: nt!KiFastFailDispatch+d0 FOLLOWUP_NAME: MachineOwner

Имя модуля в таблице объектов ядра. Если анализатору удалось обнаружить проблемный драйвер, имя отображается в полях MODULE_NAME и IMAGE_NAME:

MODULE_NAME: nt IMAGE_NAME: ntkrnlmp.exe

Если кликнете по ссылке модуля (nt), то увидите подробную информацию о пути и других свойствах модуля. Находите указанный файл, и изучаете его свойства.

1: kd>
lmvm nt

Browse full module list Loaded symbol image file: ntkrnlmp.exe Mapped memory image file: C:\ProgramData\dbg\sym\ntoskrnl.exe\5A9A2147787000\ntoskrnl.exe Image path: ntkrnlmp.exe Image name: ntkrnlmp.exe InternalName: ntkrnlmp.exe OriginalFilename: ntkrnlmp.exe ProductVersion: 6.3.9600.18946 FileVersion: 6.3.9600.18946 (winblue_ltsb_escrow.180302-1800)

В приведенном примере анализ указал на файл ядра ntkrnlmp.exe. Когда анализ дампа памяти указывает на системный драйвер (например, win32k.sys) или файл ядра (как в нашем примере ntkrnlmp.exe), вероятнее всего данный файл не является причиной проблемы. Очень часто оказывается, что проблема кроется в драйвере устройства, настройках BIOS или в неисправности оборудования.

Если вы увидели, что BSOD возник из-за стороннего драйвера, его имя будет указано в значениях MODULE_NAME и IMAGE_NAME.

Например:

Image path: \SystemRoot\system32\drivers\cmudaxp.sys Image name: cmudaxp.sys

Откройте свойсва файла драйвера и проверьте его версию. В большинстве случаев проблема с драйверами решается их обнвовлением.

Источник