Большинство пользователей Windows, к сожалению, знакомы с «синим экраном смерти» (BSoD) — критической системной ошибкой, возникающей при неполадках, угрожающих стабильности системы. Это может быть вызвано неисправными драйверами сторонних разработчиков, аппаратными сбоями или даже ошибками в системном коде Microsoft.
Одним из самых эффективных инструментов для диагностики BSoD является минидамп-файл, содержащий ключевую информацию о сбое. В этой статье мы расскажем, что такое минидамп-файл и как включить его автоматическое создание в Windows.
Содержание
- Что такое минидамп-файл?
- Как включить создание минидамп-файлов в Windows
- Где хранятся минидамп-файлы?
Что такое минидамп-файл?
Минидамп-файл (с расширением .dmp) — это небольшой файл дампа памяти, который сохраняет ключевую диагностическую информацию о системном сбое непосредственно перед появлением синего экрана. Эти данные помогают разработчикам или службе поддержки определить первопричину проблемы.
В Windows 10 и новее на экране BSoD отображается QR-код и стоп-код для поиска дополнительной информации в интернете. Однако для глубокого анализа минидамп-файл гораздо полезнее.
По умолчанию Windows не создает минидамп-файлы автоматически — сначала нужно настроить систему.
Как включить создание минидамп-файлов в Windows
Даже если вы пока не сталкивались с BSoD, рекомендуем заранее включить создание минидампов. (Примечание: эта инструкция универсальна и не привязана к конкретному ПО.)
Действуйте по шагам:
1. Нажмите Win + S, введите sysdm.cpl и нажмите Enter, чтобы открыть окно «Свойства системы».
(Альтернативный путь: Параметры → Система → О системе → Дополнительные параметры системы.)
2. В окне «Свойства системы» перейдите на вкладку «Дополнительно».
3. В разделе «Загрузка и восстановление» нажмите «Параметры».
4. Настройте следующие параметры:
— Поставьте галочку в «Записать событие в системный журнал».
— Активируйте «Выполнить автоматическую перезагрузку».
— В выпадающем списке «Файл дампа» выберите «Малый дамп памяти (256 КБ)».
5. Нажмите OK для сохранения изменений.
6. Перезагрузите компьютер.
После настройки Windows будет автоматически создавать минидамп-файлы при системных сбоях.
Где хранятся минидамп-файлы?
По умолчанию файлы сохраняются в папке: %SystemRoot%\Minidump
Обычно это соответствует пути: C:\Windows\Minidump
Хотя можно изменить этот путь, мы рекомендуем оставить его по умолчанию. Многие диагностические инструменты ищут минидамп-файлы именно в этой папке.
При системных сбоях Windows 11 по умолчанию создаёт файлы дампов памяти, которые в дальнейшем могут быть использованы для того, чтобы разобраться с причинами синего экрана и устранить их. Однако, некоторые пользователи могут столкнуться с тем, что дампы не сохраняются.
В этой инструкции подробно о том, как включить создание дампов памяти в Windows 11 в различных ситуациях и дополнительная информация, которая может быть полезной.
Настройка записи дампа памяти в свойствах системы
Прежде чем приступить к описанию необходимых действий, базовая информация о дампах памяти в Windows 11 и предыдущих версиях системы:
- Для создания дампов памяти требуется, чтобы файл подкачки не был отключён, ещё лучше, если его размер будет выбираться автоматически системой. Подробно про настройку файла подкачки.
- С параметрами по умолчанию при синем экране полный дамп памяти сохраняется в файл
C:\Windows\MEMORY.DMP
который заменяется при каждом сбое, одновременно сохраняются мини-дампы (малые дампы памяти) в папке
C:\Windows\Minidump
они не удаляются при новых сбоях (по умолчанию сохраняются 5 последних) и обычно достаточны для анализа причин ошибок со стороны пользователя.
- Различные программы для очистки и оптимизации Windows или продления срока службы SSD могут удалять файлы дампов или отключать их создание.
Для анализа дампов памяти можно использовать специальные утилиты, о которых в отдельной инструкции.
Базовый способ включить создание дампов памяти при сбоях — использовать параметры системы, шаги будут следующими:
- Нажмите клавиши Win+R на клавиатуре, либо нажмите правой кнопкой мыши по кнопке «Пуск» и выберите пункт «Выполнить», введите команду sysdm.cpl и нажмите Enter.
- Перейдите на вкладку «Дополнительно» и нажмите по кнопке «Параметры» в разделе «Загрузка и восстановление».
- В следующем окне, в разделе «Отказ системы» вы увидите доступные параметры создания дампов памяти, на скриншоте ниже — параметры по умолчанию при включенном автоматическом сохранении дампов: обычно достаточно установить «Автоматический дамп памяти», указать место сохранения дампа памяти, по умолчанию —
%SystemRoot%\MEMORY.DMP
и применить настройки.
В поле выбора типа записи отладочной информации есть несколько вариантов выбора:
- Автоматический дамп памяти — сохраняет снимок памяти ядра, отладочную информацию и снимок памяти, выделенной для устройств, драйверов и другого ПО, работающего на уровне ядра. Также сохраняются мини-дампы памяти в C:\Windows\Minidump
- Малый дамп памяти — выполняется сохранение только мини-дампов: файлов, содержащих базовую информацию о сбое и вызвавших синий экран модулях, загруженных драйверах и процессах. Для обычного пользователя, желающего разобраться в причинах ошибок, обычно бывает достаточным.
- Дамп памяти ядра — содержит дамп всей оперативной памяти, используемой ядром Windows на момент сбоя.
- Полный дамп памяти — сохраняет полный снимок оперативной памяти в файле MEMORY.DMP, размер дампа будет равен объёму занятой оперативной памяти на момент сбоя. В большинстве случаев не требуется.
- Активный дамп памяти — то же самое, что в предыдущем случае, но с фильтрацией страниц памяти, которые с большой вероятностью не относятся к сбою, потому занимает меньше места на диске.
Если несмотря на то, что создание дампов памяти включено, они не создаются, проверьте события в Просмотре событий, возможно там регистрируется ошибка их создание. Об исправлении — в отдельной инструкции Не удалось создать файл дампа из-за ошибки при создании дампа — варианты решения.
Редактор реестра
Способ включения создания дампов памяти в редакторе реестра может пригодиться в случае, если вы сталкиваетесь с синим экраном раньше, чем появляется возможность выполнить настройки в самой ОС.
В этом случае вы можете использовать редактор реестра в среде восстановления (regedit в командной строке) или с WinPE:
- Запустить редактор реестра, выбрать раздел
HKEY_LOCAL_MACHINE
- Использовать меню «Файл» — «Загрузить куст» и загрузить файл SYSTEM из
C:\Windows\System32\config
после чего задать удобное имя раздела, под которым загруженный куст будет отображаться внутри
HKEY_LOCAL_MACHINE
во время редактирования.
- Внутри созданного вами раздела перейти к нужному подразделу и выполнить необходимые изменения.
Основной параметр для определения типов создаваемых дампов памяти — это DWORD с именем CrashDumpEnabled, который при работающей ОС можно найти в разделе
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl
в случае, если выполнялась загрузка куста удаленного реестра, как было описано выше, путь будет следующим:
HKEY_LOCAL_MACHINE\заданное_имя\ControlSet001\Control\CrashControl
Параметр CrashDumpEnabled может принимать значения:
- 0 — дамп памяти отключен
- 1 — полный дамп памяти
- 2 — дамп памяти ядра
- 3 — создание мини-дампов
- 7 — автоматический дамп памяти
Как было отмечено выше, следует также учитывать необходимость включенного файла подкачки, настройки которого хранятся в разделе
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
О том, как именно задать необходимые параметры — в отдельной инструкции по настройке файла подкачки в редакторе реестра.
Дополнительно, рекомендую не отключать сохранение события в системный журнал (параметры в реестре EnableLogFile и LogEvent, значение — 1), так как эта информация также может пригодиться для диагностики причин возникающих сбоев.
Minidump files hold a wealth of information that can be indispensable when troubleshooting certain types of problems with Windows. You can leverage these minidumps with the right tools and knowledge to identify and resolve system crashes or similar issues.
Understanding a Windows minidump
A Windows minidump is a term that is often used within the realm of the Windows operating system. When the system encounters a severe error, usually resulting in a crash or the ‘Blue Screen of Death’ (BSOD), a smaller version of a dump file is created, known as a minidump. It is not an exhaustive record of all the data present in the system’s memory at the time of the crash. Instead, the most useful information for diagnosing the cause of the error is selected and included in this file.
The creation of a minidump file, also known as a DMP file, is an automatic process that occurs when a critical system error is detected.
What is a DMP File?
A DMP file, in essence, is a binary file that is generated by Windows upon encountering a system error. The primary purpose of these files is to facilitate the diagnosis and troubleshooting of the error that led to the system crash. This file contains a snapshot of the system’s memory at the precise moment of the crash, including details about the operating system, applications running at the time, and the state of the central processing unit (CPU).
DMP files serve as valuable tools for IT professionals and system administrators, providing crucial insights into the nature and cause of system crashes. However, due to their binary format, specialized tools are required to read and interpret these files.
How to Read a DMP File?
Reading a DMP file may seem complicated, but it can be accomplished using a DMP file viewer. Microsoft provides a tool called Debugging Tools for Windows, which includes a debugger that can open and read DMP files.
To read a DMP file, the debugger must first be installed on the system. Once installed, the DMP file is opened within the debugger, which interprets the binary data and presents it in a human-readable format.
Analyzing a Minidump
The analysis of a minidump involves a careful examination of the information contained within the DMP file. This process helps to identify the cause of the system error or crash.
To analyze a minidump, the DMP file is first loaded into a debugger. The debugger then processes the file, revealing details about the state of the system at the time of the crash. By examining these details, it is often possible to pinpoint the exact cause of the crash, whether it be a problematic driver, a faulty hardware component, or a software bug.
With the right tools and knowledge, these minidumps can be powerful allies in troubleshooting Windows issues. Learning to read and use minidumps can greatly enhance your ability to effectively troubleshoot and resolve problems with the Windows operating system.
Minidumps as key diagnostic tools
Windows minidump and DMP files serve as essential tools for maintaining system stability and performance. While their interpretation requires specialized knowledge and tools, the insights they offer make them invaluable for anyone tasked with diagnosing and resolving system errors.
Время на прочтение2 мин
Количество просмотров307K
Как часто Вам приходится лицезреть экран смерти Windows (BSoD)? BSoD может возникать в разных случаях: как уже при работе с системой, так и в процессе загрузки операционной системы. Как же определить, чем вызвано появление BSoD и устранить эту проблему? Операционная система Windows способна сохранять дамп памяти при появлении ошибки, чтобы системный администратор мог проанализировать данные дампа и найти причину возникновения BSoD.
Существует два вида дампов памяти — малый (minidump) и полный. В зависимости от настроек операционной системы, система может сохранять полный или малый дампы, либо не предпринимать никаких действий при возникновении ошибки.
Малый дамп располагается по пути %systemroot%\minidump и имеет имя вроде Minixxxxxx-xx.dmp
Полный дамп располагается по пути %systemroot% и имеет имя вроде Memory.dmp
Для анализа содержимого дампов памяти следует применять специальную утилиту — Microsoft Kernel Debugger.
Получить программу и компоненты, необходимые для ее работы, можно напрямую с сайта Microsoft — Debugging Tools
При выборе отладчика следует учитывать версию операционной системы, на которой Вам придется анализировать дампы памяти. Для 32-разрядной ОС необходима 32-битовая версия отладчика, а для 64-разрядной ОС предпочтительно использовать 64-битовую версию отладчика.
Помимо самого пакета Debugging Tools for Windows, также понадобятся набор отладочных символов — Debugging Symbols. Набор отладочных символов специфичен для каждой ОС, на которой был зафиксирован BSoD. Потому придется загрузить набор символов для каждой ОС, анализировать работу которой Вам придется. Для 32-разрядной Windows XP потребуются набор символов для Windows XP 32-бит, для 64-разрядной ОС потребуются набор символов для Windows XP 64-бит. Для других ОС семейства Windows наборы символов подбираются сообразно такому же принципу. Загрузить отладочные символы можно отсюда. Устанавливать их рекомендуется по адресу %systemroot%\symbols
После установки отладчика и отладочных символов, запускаем отладчик. Окно отладчика после запуска выглядит следующим образом.
Перед анализом содержимого дампа памяти, потребуется провести небольшую настройку отладчика. Конкретно — сообщить программе, по какому пути следует искать отладочные символы. Для этого выбираем в меню File > Symbol File Path… Нажимаем кнопку Browse… и указываем папку, в которую мы установили отладочные символы для рассматриваемого дампа памяти.
Можно запрашивать информацию о требуемых отладочных символах прямо через Интернет, с публичного сервера Microsoft. Таким образом у вас будет самая новая версия символов. Сделать это можно следующим образом — в меню File > Symbol File Path… вводим: SRV*%systemroot%\symbols*http://msdl.microsoft.com/download/symbols
После указания пути к отладочным символам, выбираем в меню File > Save workspace и подтверждаем действие нажатием на кнопку OK.
Чтобы приступить к анализу дампа памяти, выбираем в меню File > Open Crash Dump… и выбираем требуемый для рассмотрения файл.
Система проведет анализ содержимого, по окончанию которого выдаст результат о предполагаемой причине ошибки.
Команда !analyze -v, данная отладчику в командной строке, выведет более детальную информацию.
Завершить отладку можно выбором пункта меню Debug > Stop Debugging
Таким образом, используя пакет Debugging Tools for Windows, всегда можно получить достаточно полное представление о причинах возникновения системных ошибок.
В момент критического сбоя операционная система Windows прерывает работу и показывает синий экран смерти (BSOD). Содержимое оперативной памяти и вся информация о возникшей ошибке записывается в файл подкачки. При следующей загрузке Windows создается аварийный дамп c отладочной информацией на основе сохраненных данных. В системном журнале событий создается запись о критической ошибке.
Внимание! Аварийный дамп не создается, если отказала дисковая подсистема или критическая ошибка возникла на начальной стадии загрузки Windows.
Содержание:
- Типы аварийных дампов памяти Windows
- Как включить создание дампа памяти в Windows?
- Установка WinDBG в Windows
- Настройка ассоциации .dmp файлов с WinDBG
- Настройка сервера отладочных символов в WinDBG
- Анализ аварийного дампа памяти в WinDBG
Типы аварийных дампов памяти Windows
На примере актуальной операционной системы Windows 10 (Windows Server 2016) рассмотрим основные типы дампов памяти, которые может создавать система:
- Мини дамп памяти (Small memory dump) (256 КБ). Этот тип файла включает минимальный объем информации. Он содержит только сообщение об ошибке BSOD, информацию о драйверах, процессах, которые были активны в момент сбоя, а также какой процесс или поток ядра вызвал сбой.
- Дамп памяти ядра (Kernel memory dump). Как правило, небольшой по размеру — одна треть объема физической памяти. Дамп памяти ядра является более подробным, чем мини дамп. Он содержит информацию о драйверах и программах в режиме ядра, включает память, выделенную ядру Windows и аппаратному уровню абстракции (HAL), а также память, выделенную драйверам и другим программам в режиме ядра.
- Полный дамп памяти (Complete memory dump). Самый большой по объему и требует памяти, равной оперативной памяти вашей системы плюс 1MB, необходимый Windows для создания этого файла.
- Автоматический дамп памяти (Automatic memory dump). Соответствует дампу памяти ядра с точки зрения информации. Отличается только тем, сколько места он использует для создания файла дампа. Этот тип файлов не существовал в Windows 7. Он был добавлен в Windows 8.
- Активный дамп памяти (Active memory dump). Этот тип отсеивает элементы, которые не могут определить причину сбоя системы. Это было добавлено в Windows 10 и особенно полезно, если вы используете виртуальную машину, или если ваша система является хостом Hyper-V.
Как включить создание дампа памяти в Windows?
С помощью Win+Pause откройте окно с параметрами системы, выберите «Дополнительные параметры системы» (Advanced system settings). Во вкладке «Дополнительно» (Advanced), раздел «Загрузка и восстановление» (Startup and Recovery) нажмите кнопку «Параметры» (Settings). В открывшемся окне настройте действия при отказе системы. Поставьте галку в чек-боксе «Записать события в системный журнал» (Write an event to the system log), выберите тип дампа, который должен создаваться при сбое системы. Если в чек-боксе «Заменять существующий файл дампа» (Overwrite any existing file) поставить галку, то файл будет перезаписываться при каждом сбое. Лучше эту галку снять, тогда у вас будет больше информации для анализа. Отключите также автоматическую перезагрузку системы (Automatically restart).
В большинстве случаев для анализа причины BSOD вам будет достаточно малого дампа памяти.
Теперь при возникновении BSOD вы сможете проанализировать файл дампа и найти причину сбоев. Мини дамп по умолчанию сохраняется в папке %systemroot%\minidump. Для анализа файла дампа рекомендую воспользоваться программой WinDBG (Microsoft Kernel Debugger).
Установка WinDBG в Windows
Утилита WinDBG входит в «Пакет SDK для Windows 10» (Windows 10 SDK). Скачать можно здесь.
Файл называется winsdksetup.exe, размер 1,3 МБ.
WinDBG для Windows7 и более ранних систем включен в состав пакета «Microsoft Windows SDK for Windows 7 and .NET Framework 4». Скачать можно здесь.
Запустите установку и выберите, что именно нужно сделать – установить пакет на этот компьютер или загрузить для установки на другие компьютеры. Установим пакет на локальный компьютер.
Можете установить весь пакет, но для установки только инструмента отладки выберите Debugging Tools for Windows.
После установки ярлыки WinDBG можно найти в стартовом меню.
Настройка ассоциации .dmp файлов с WinDBG
Для того, чтобы открывать файлы дампов простым кликом, сопоставьте расширение .dmp с утилитой WinDBG.
- Откройте командную строку от имени администратора и выполните команды для 64-разрядной системы:
cd C:\Program Files (x86)\Windows Kits\10\Debuggers\x64
windbg.exe –IA
для 32-разрядной системы:
C:\Program Files (x86)\Windows Kits\10\Debuggers\x86
windbg.exe –IA - В результате типы файлов: .DMP, .HDMP, .MDMP, .KDMP, .WEW – будут сопоставлены с WinDBG.
Настройка сервера отладочных символов в WinDBG
Отладочные символы (debug-символы или symbol files) – это блоки данных, генерируемые в процессе компиляции программы совместно с исполняемым файлом. В таких блоках данных содержится информация о именах переменных, вызываемых функциях, библиотеках и т.д. Эти данные не нужны при выполнении программы, но полезные при ее отладке. Компоненты Microsoft компилируются с символами, распространяемыми через Microsoft Symbol Server.
Настройте WinDBG на использование Microsoft Symbol Server:
- Откройте WinDBG;
- Перейдите в меню File –> Symbol File Path;
- Пропишите строку, содержащую URL для загрузки символов отладки с сайта Microsoft и папку для сохранения кэша:
SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols
В примере кэш загружается в папку E:\Sym_WinDBG, можете указать любую. - Не забывайте сохранить изменения в меню File –> Save WorkSpace;
WinDBG произведет поиск символов в локальной папке и, если не обнаружит в ней необходимых символов, то самостоятельно загрузит символы с указанного сайта. Если вы хотите добавить собственную папку с символами, то можно сделать это так:
SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols;c:\Symbols
Если подключение к интернету отсутствует, то загрузите предварительно пакет символов с ресурса Windows Symbol Packages.
Анализ аварийного дампа памяти в WinDBG
Отладчик WinDBG открывает файл дампа и загружает необходимые символы для отладки из локальной папки или из интернета. Во время этого процесса вы не можете использовать WinDBG. Внизу окна (в командной строке отладчика) появляется надпись Debugee not connected.
Команды вводятся в командную строку, расположенную внизу окна.
Самое главное, на что нужно обратить внимание – это код ошибки, который всегда указывается в шестнадцатеричном значении и имеет вид 0xXXXXXXXX (указываются в одном из вариантов — STOP: 0x0000007B, 02.07.2019 0008F, 0x8F). В нашем примере код ошибки 0х139.
Полный справочник ошибок можно посмотреть здесь.
Отладчик предлагает выполнить команду !analyze -v, достаточно навести указатель мыши на ссылку и кликнуть. Для чего нужна эта команда?
- Она выполняет предварительный анализ дампа памяти и предоставляет подробную информацию для начала анализа.
- Эта команда отобразит STOP-код и символическое имя ошибки.
- Она показывает стек вызовов команд, которые привели к аварийному завершению.
- Кроме того, здесь отображаются неисправности IP-адреса, процессов и регистров.
- Команда может предоставить готовые рекомендации по решению проблемы.
Основные моменты, на которые вы должны обратить внимание при анализе после выполнения команды !analyze –v (листинг неполный).
1: kd>
!analyze -v
*****************************************************************************
* *
* Bugcheck Analysis *
* *
*****************************************************************************
Символическое имя STOP-ошибки (BugCheck)
KERNEL_SECURITY_CHECK_FAILURE (139)
Описание ошибки (Компонент ядра повредил критическую структуру данных. Это повреждение потенциально может позволить злоумышленнику получить контроль над этой машиной):
A kernel component has corrupted a critical data structure. The corruption could potentially allow a malicious user to gain control of this machine.
Аргументы ошибки:
Arguments:
Arg1: 0000000000000003, A LIST_ENTRY has been corrupted (i.e. double remove).
Arg2: ffffd0003a20d5d0, Address of the trap frame for the exception that caused the bugcheck
Arg3: ffffd0003a20d528, Address of the exception record for the exception that caused the bugcheck
Arg4: 0000000000000000, Reserved
Debugging Details:
------------------
Счетчик показывает сколько раз система упала с аналогичной ошибкой:
CUSTOMER_CRASH_COUNT: 1
Основная категория текущего сбоя:
DEFAULT_BUCKET_ID: FAIL_FAST_CORRUPT_LIST_ENTRY
Код STOP-ошибки в сокращенном формате:
BUGCHECK_STR: 0x139
Процесс, во время исполнения которого произошел сбой (не обязательно причина ошибки, просто в момент сбоя в памяти выполнялся этот процесс):
PROCESS_NAME: sqlservr.exe
CURRENT_IRQL: 2
Расшифровка кода ошибки: В этом приложении система обнаружила переполнение буфера стека, что может позволить злоумышленнику получить контроль над этим приложением.
ERROR_CODE: (NTSTATUS) 0xc0000409 - The system detected an overrun of a stack-based buffer in this application. This overrun could potentially allow a malicious user to gain control of this application.
EXCEPTION_CODE: (NTSTATUS) 0xc0000409 - The system detected an overrun of a stack-based buffer in this application. This overrun could potentially allow a malicious user to gain control of this application.
Последний вызов в стеке:
LAST_CONTROL_TRANSFER: from fffff8040117d6a9 to fffff8040116b0a0
Стек вызовов в момент сбоя:
STACK_TEXT:
ffffd000`3a20d2a8 fffff804`0117d6a9 : 00000000`00000139 00000000`00000003 ffffd000`3a20d5d0 ffffd000`3a20d528 : nt!KeBugCheckEx
ffffd000`3a20d2b0 fffff804`0117da50 : ffffe000`f3ab9080 ffffe000`fc37e001 ffffd000`3a20d5d0 fffff804`0116e2a2 : nt!KiBugCheckDispatch+0x69
ffffd000`3a20d3f0 fffff804`0117c150 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiFastFailDispatch+0xd0
ffffd000`3a20d5d0 fffff804`01199482 : ffffc000`701ba270 ffffc000`00000001 000000ea`73f68040 fffff804`000006f9 : nt!KiRaiseSecurityCheckFailure+0x3d0
ffffd000`3a20d760 fffff804`014a455d : 00000000`00000001 ffffd000`3a20d941 ffffe000`fcacb000 ffffd000`3a20d951 : nt! ?? ::FNODOBFM::`string'+0x17252
ffffd000`3a20d8c0 fffff804`013a34ac : 00000000`00000004 00000000`00000000 ffffd000`3a20d9d8 ffffe001`0a34c600 : nt!IopSynchronousServiceTail+0x379
ffffd000`3a20d990 fffff804`0117d313 : ffffffff`fffffffe 00000000`00000000 00000000`00000000 000000eb`a0cf1380 : nt!NtWriteFile+0x694
ffffd000`3a20da90 00007ffb`475307da : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13
000000ee`f25ed2b8 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x00007ffb`475307da
Участок кода, где возникла ошибка:
FOLLOWUP_IP:
nt!KiFastFailDispatch+d0
fffff804`0117da50 c644242000 mov byte ptr [rsp+20h],0
FAULT_INSTR_CODE: 202444c6
SYMBOL_STACK_INDEX: 2
SYMBOL_NAME: nt!KiFastFailDispatch+d0
FOLLOWUP_NAME: MachineOwner
Имя модуля в таблице объектов ядра. Если анализатору удалось обнаружить проблемный драйвер, имя отображается в полях MODULE_NAME и IMAGE_NAME:
MODULE_NAME: nt
IMAGE_NAME: ntkrnlmp.exe
Если кликнете по ссылке модуля (nt), то увидите подробную информацию о пути и других свойствах модуля. Находите указанный файл, и изучаете его свойства.
1: kd>
lmvm nt
Browse full module list
Loaded symbol image file: ntkrnlmp.exe
Mapped memory image file: C:\ProgramData\dbg\sym\ntoskrnl.exe\5A9A2147787000\ntoskrnl.exe
Image path: ntkrnlmp.exe
Image name: ntkrnlmp.exe
InternalName: ntkrnlmp.exe
OriginalFilename: ntkrnlmp.exe
ProductVersion: 6.3.9600.18946
FileVersion: 6.3.9600.18946 (winblue_ltsb_escrow.180302-1800)
В приведенном примере анализ указал на файл ядра ntkrnlmp.exe. Когда анализ дампа памяти указывает на системный драйвер (например, win32k.sys) или файл ядра (как в нашем примере ntkrnlmp.exe), вероятнее всего данный файл не является причиной проблемы. Очень часто оказывается, что проблема кроется в драйвере устройства, настройках BIOS или в неисправности оборудования.
Если вы увидели, что BSOD возник из-за стороннего драйвера, его имя будет указано в значениях MODULE_NAME и IMAGE_NAME.
Например:
Image path: \SystemRoot\system32\drivers\cmudaxp.sys
Image name: cmudaxp.sys
Откройте свойсва файла драйвера и проверьте его версию. В большинстве случаев проблема с драйверами решается их обнвовлением.