Дамп памяти ядра windows 10

В момент критического сбоя операционная система Windows прерывает работу и показывает синий экран смерти (BSOD). Содержимое оперативной памяти и вся информация о возникшей ошибке записывается в файл подкачки. При следующей загрузке Windows создается аварийный дамп c отладочной информацией на основе сохраненных данных. В системном журнале событий создается запись о критической ошибке.

Внимание! Аварийный дамп не создается, если отказала дисковая подсистема или критическая ошибка возникла на начальной стадии загрузки Windows.

Типы аварийных дампов памяти Windows

На примере актуальной операционной системы Windows 10 (Windows Server 2016) рассмотрим основные типы дампов памяти, которые может создавать система:

• Мини дамп памяти (Small memory dump) (256 КБ). Этот тип файла включает минимальный объем информации. Он содержит только сообщение об ошибке BSOD, информацию о драйверах, процессах, которые были активны в момент сбоя, а также какой процесс или поток ядра вызвал сбой.
• Дамп памяти ядра (Kernel memory dump). Как правило, небольшой по размеру — одна треть объема физической памяти. Дамп памяти ядра является более подробным, чем мини дамп. Он содержит информацию о драйверах и программах в режиме ядра, включает память, выделенную ядру Windows и аппаратному уровню абстракции (HAL), а также память, выделенную драйверам и другим программам в режиме ядра.
• Полный дамп памяти (Complete memory dump). Самый большой по объему и требует памяти, равной оперативной памяти вашей системы плюс 1MB, необходимый Windows для создания этого файла.
• Автоматический дамп памяти (Automatic memory dump). Соответствует дампу памяти ядра с точки зрения информации. Отличается только тем, сколько места он использует для создания файла дампа. Этот тип файлов не существовал в Windows 7. Он был добавлен в Windows 8.
• Активный дамп памяти (Active memory dump). Этот тип отсеивает элементы, которые не могут определить причину сбоя системы. Это было добавлено в Windows 10 и особенно полезно, если вы используете виртуальную машину, или если ваша система является хостом Hyper-V.

Как включить создание дампа памяти в Windows?

С помощью Win+Pause откройте окно с параметрами системы, выберите «Дополнительные параметры системы» (Advanced system settings). Во вкладке «Дополнительно» (Advanced), раздел «Загрузка и восстановление» (Startup and Recovery) нажмите кнопку «Параметры» (Settings). В открывшемся окне настройте действия при отказе системы. Поставьте галку в чек-боксе «Записать события в системный журнал» (Write an event to the system log), выберите тип дампа, который должен создаваться при сбое системы. Если в чек-боксе «Заменять существующий файл дампа» (Overwrite any existing file) поставить галку, то файл будет перезаписываться при каждом сбое. Лучше эту галку снять, тогда у вас будет больше информации для анализа. Отключите также автоматическую перезагрузку системы (Automatically restart).

В большинстве случаев для анализа причины BSOD вам будет достаточно малого дампа памяти.

Картинка с сайта: winitpro.ru

Теперь при возникновении BSOD вы сможете проанализировать файл дампа и найти причину сбоев. Мини дамп по умолчанию сохраняется в папке %systemroot%\minidump. Для анализа файла дампа рекомендую воспользоваться программой WinDBG (Microsoft Kernel Debugger).

Установка WinDBG в Windows

Утилита WinDBG входит в «Пакет SDK для Windows 10» (Windows 10 SDK). Скачать можно здесь.

Файл называется winsdksetup.exe, размер 1,3 МБ.

WinDBG для Windows7 и более ранних систем включен в состав пакета «Microsoft Windows SDK for Windows 7 and .NET Framework 4». Скачать можно здесь.

Запустите установку и выберите, что именно нужно сделать – установить пакет на этот компьютер или загрузить для установки на другие компьютеры. Установим пакет на локальный компьютер.

Картинка с сайта: winitpro.ru

Можете установить весь пакет, но для установки только инструмента отладки выберите Debugging Tools for Windows.

Картинка с сайта: winitpro.ru

После установки ярлыки WinDBG можно найти в стартовом меню.

Настройка ассоциации .dmp файлов с WinDBG

Для того, чтобы открывать файлы дампов простым кликом, сопоставьте расширение .dmp с утилитой WinDBG.

1. Откройте командную строку от имени администратора и выполните команды для 64-разрядной системы:
   cd C:\Program Files (x86)\Windows Kits\10\Debuggers\x64
windbg.exe –IA
   
   для 32-разрядной системы:
   C:\Program Files (x86)\Windows Kits\10\Debuggers\x86
windbg.exe –IA
2. В результате типы файлов: .DMP, .HDMP, .MDMP, .KDMP, .WEW – будут сопоставлены с WinDBG.

Настройка сервера отладочных символов в WinDBG

Отладочные символы (debug-символы или symbol files) – это блоки данных, генерируемые в процессе компиляции программы совместно с исполняемым файлом. В таких блоках данных содержится информация о именах переменных, вызываемых функциях, библиотеках и т.д. Эти данные не нужны при выполнении программы, но полезные при ее отладке. Компоненты Microsoft компилируются с символами, распространяемыми через Microsoft Symbol Server.

Настройте WinDBG на использование Microsoft Symbol Server:

• Откройте WinDBG;
• Перейдите в меню File –> Symbol File Path;
• Пропишите строку, содержащую URL для загрузки символов отладки с сайта Microsoft и папку для сохранения кэша:
  SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols
  В примере кэш загружается в папку E:\Sym_WinDBG, можете указать любую.
• Не забывайте сохранить изменения в меню File –> Save WorkSpace;

WinDBG произведет поиск символов в локальной папке и, если не обнаружит в ней необходимых символов, то самостоятельно загрузит символы с указанного сайта. Если вы хотите добавить собственную папку с символами, то можно сделать это так:

SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols;c:\Symbols

Если подключение к интернету отсутствует, то загрузите предварительно пакет символов с ресурса Windows Symbol Packages.

Анализ аварийного дампа памяти в WinDBG

Отладчик WinDBG открывает файл дампа и загружает необходимые символы для отладки из локальной папки или из интернета. Во время этого процесса вы не можете использовать WinDBG. Внизу окна (в командной строке отладчика) появляется надпись Debugee not connected.

Команды вводятся в командную строку, расположенную внизу окна.

Картинка с сайта: winitpro.ru

Самое главное, на что нужно обратить внимание – это код ошибки, который всегда указывается в шестнадцатеричном значении и имеет вид 0xXXXXXXXX (указываются в одном из вариантов — STOP: 0x0000007B, 02.07.2019 0008F, 0x8F). В нашем примере код ошибки 0х139.

Полный справочник ошибок можно посмотреть здесь.

Отладчик предлагает выполнить команду !analyze -v, достаточно навести указатель мыши на ссылку и кликнуть. Для чего нужна эта команда?

• Она выполняет предварительный анализ дампа памяти и предоставляет подробную информацию для начала анализа.
• Эта команда отобразит STOP-код и символическое имя ошибки.
• Она показывает стек вызовов команд, которые привели к аварийному завершению.
• Кроме того, здесь отображаются неисправности IP-адреса, процессов и регистров.
• Команда может предоставить готовые рекомендации по решению проблемы.

Основные моменты, на которые вы должны обратить внимание при анализе после выполнения команды !analyze –v (листинг неполный).

1: kd>
!analyze -v

*****************************************************************************
* *
* Bugcheck Analysis *
* *
*****************************************************************************

Символическое имя STOP-ошибки (BugCheck)
KERNEL_SECURITY_CHECK_FAILURE (139)

Описание ошибки (Компонент ядра повредил критическую структуру данных. Это повреждение потенциально может позволить злоумышленнику получить контроль над этой машиной):

A kernel component has corrupted a critical data structure. The corruption could potentially allow a malicious user to gain control of this machine.

Аргументы ошибки:

Arguments:
Arg1: 0000000000000003, A LIST_ENTRY has been corrupted (i.e. double remove).
Arg2: ffffd0003a20d5d0, Address of the trap frame for the exception that caused the bugcheck
Arg3: ffffd0003a20d528, Address of the exception record for the exception that caused the bugcheck
Arg4: 0000000000000000, Reserved
Debugging Details:
------------------

Счетчик показывает сколько раз система упала с аналогичной ошибкой:

CUSTOMER_CRASH_COUNT: 1

Основная категория текущего сбоя:

DEFAULT_BUCKET_ID: FAIL_FAST_CORRUPT_LIST_ENTRY

Код STOP-ошибки в сокращенном формате:

BUGCHECK_STR: 0x139

Процесс, во время исполнения которого произошел сбой (не обязательно причина ошибки, просто в момент сбоя в памяти выполнялся этот процесс):

PROCESS_NAME: sqlservr.exe

CURRENT_IRQL: 2

Расшифровка кода ошибки: В этом приложении система обнаружила переполнение буфера стека, что может позволить злоумышленнику получить контроль над этим приложением.

ERROR_CODE: (NTSTATUS) 0xc0000409 - The system detected an overrun of a stack-based buffer in this application. This overrun could potentially allow a malicious user to gain control of this application.
EXCEPTION_CODE: (NTSTATUS) 0xc0000409 - The system detected an overrun of a stack-based buffer in this application. This overrun could potentially allow a malicious user to gain control of this application.

Последний вызов в стеке:

LAST_CONTROL_TRANSFER: from fffff8040117d6a9 to fffff8040116b0a0

Стек вызовов в момент сбоя:

STACK_TEXT:
ffffd000`3a20d2a8 fffff804`0117d6a9 : 00000000`00000139 00000000`00000003 ffffd000`3a20d5d0 ffffd000`3a20d528 : nt!KeBugCheckEx
ffffd000`3a20d2b0 fffff804`0117da50 : ffffe000`f3ab9080 ffffe000`fc37e001 ffffd000`3a20d5d0 fffff804`0116e2a2 : nt!KiBugCheckDispatch+0x69
ffffd000`3a20d3f0 fffff804`0117c150 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiFastFailDispatch+0xd0
ffffd000`3a20d5d0 fffff804`01199482 : ffffc000`701ba270 ffffc000`00000001 000000ea`73f68040 fffff804`000006f9 : nt!KiRaiseSecurityCheckFailure+0x3d0
ffffd000`3a20d760 fffff804`014a455d : 00000000`00000001 ffffd000`3a20d941 ffffe000`fcacb000 ffffd000`3a20d951 : nt! ?? ::FNODOBFM::`string'+0x17252
ffffd000`3a20d8c0 fffff804`013a34ac : 00000000`00000004 00000000`00000000 ffffd000`3a20d9d8 ffffe001`0a34c600 : nt!IopSynchronousServiceTail+0x379
ffffd000`3a20d990 fffff804`0117d313 : ffffffff`fffffffe 00000000`00000000 00000000`00000000 000000eb`a0cf1380 : nt!NtWriteFile+0x694
ffffd000`3a20da90 00007ffb`475307da : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13
000000ee`f25ed2b8 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x00007ffb`475307da

Участок кода, где возникла ошибка:

FOLLOWUP_IP:
nt!KiFastFailDispatch+d0
fffff804`0117da50 c644242000 mov byte ptr [rsp+20h],0
FAULT_INSTR_CODE: 202444c6
SYMBOL_STACK_INDEX: 2
SYMBOL_NAME: nt!KiFastFailDispatch+d0
FOLLOWUP_NAME: MachineOwner

Имя модуля в таблице объектов ядра. Если анализатору удалось обнаружить проблемный драйвер, имя отображается в полях MODULE_NAME и IMAGE_NAME:

MODULE_NAME: nt
IMAGE_NAME: ntkrnlmp.exe

Если кликнете по ссылке модуля (nt), то увидите подробную информацию о пути и других свойствах модуля. Находите указанный файл, и изучаете его свойства.

1: kd>
lmvm nt

Browse full module list
Loaded symbol image file: ntkrnlmp.exe
Mapped memory image file: C:\ProgramData\dbg\sym\ntoskrnl.exe\5A9A2147787000\ntoskrnl.exe
Image path: ntkrnlmp.exe
Image name: ntkrnlmp.exe
InternalName: ntkrnlmp.exe
OriginalFilename: ntkrnlmp.exe
ProductVersion: 6.3.9600.18946
FileVersion: 6.3.9600.18946 (winblue_ltsb_escrow.180302-1800)

Картинка с сайта: winitpro.ru

В приведенном примере анализ указал на файл ядра ntkrnlmp.exe. Когда анализ дампа памяти указывает на системный драйвер (например, win32k.sys) или файл ядра (как в нашем примере ntkrnlmp.exe), вероятнее всего данный файл не является причиной проблемы. Очень часто оказывается, что проблема кроется в драйвере устройства, настройках BIOS или в неисправности оборудования.

Если вы увидели, что BSOD возник из-за стороннего драйвера, его имя будет указано в значениях MODULE_NAME и IMAGE_NAME.

Например:

Image path: \SystemRoot\system32\drivers\cmudaxp.sys
Image name: cmudaxp.sys

Откройте свойсва файла драйвера и проверьте его версию. В большинстве случаев проблема с драйверами решается их обнвовлением.

When you encounter a nightmare as Blue screen issue and try to get rid of it, you need to provide a full memory dump of the system. These files are quite large and indicate the root cause of the bugs and problems. So, in this article, we will discuss two ways to Collect Memory Dump Files in Windows 11 or 10.

To create memory dump when the blue screen of death occurs certain configuration is required. These files have copies of computer memory at the instant of crashing. It helps to find and solve the issues that caused the system to crash. Generally, stopping errors mostly occur due to malfunctioning hardware drivers. Rest causes include hardware issues and Microsoft codes.

Ways to Configure System to Collect Memory Dump Files in Windows 11 and 10

Here is how to Configure System to Collect Memory Dump Files in Windows 11 or 10 –

Through System Properties

Step-1: Click Taskbar search box and type Advanced system settings.

Step-2: Press Enter.

Step-3: Be on the Advanced tab on the System Properties box. Here, click the Settings button that appears in the section namely Startup and Recovery.

Step-4: In the new window, click the drop-down below the option Write debugging information. Depending upon your requirement, choose the preferred option accordingly. Click OK.

Using DumpConfigurator tool

• Click on DumpConfigurator tool link and it will start downloading the utility. Now, go to the Downloads folder on your device and extract the contents of the zip file.
• Double-click on sourceCode folder.
• Again extract the items of sourceCode folder and double-click on the file DumpConfigurator.hta.
• In case you come across Open File Security Warning dialog, click Run to continue.

• On the Windows Memory Dump Configuration Editor, click the button Elevate this HTA (see snapshot). Click Yes on the prompt of UAC.

• Click Auto Config Kernel as shown in the picture below.

• Restart Windows 10 PC for the modifications to become effective.
• Now, get access to the Services and locate Automatic System Restart Services (ASR). Double-click on it and then disable and stop it. This is necessary to prevent dump files from being written.

Types of memory dump files 

1. Complete Memory dump: It is the largest of all the “memory dumps”. It contains all the data used by the Windows at the time of crashing.
2. Kernel Memory dump: It is quite smaller than complete “memory dump”. It does not contains unallocated memory and only consists of memory available in the kernel and HAL as well.
3. Small memory dump: This does not provide detailed and contains very little details about the system crash. It is the smallest of all the dump file types and occupies only 256 KB.

The memory dump file is saved at the below-given locations.

That’s all!

Дамп памяти – это очень важный инструмент для диагностики и исправления ошибок в Windows 10. Он представляет собой полный снимок состояния операционной системы и всех запущенных процессов в момент возникновения сбоя.

Включение дампа памяти в Windows 10 может предоставить ценную информацию при диагностике системных проблем. При возникновении системной ошибки, такой как синий экран смерти (BSOD), Windows 10 может создать файл дампа памяти, содержащий информацию о состоянии системы на момент возникновения ошибки. Этот файл можно проанализировать, чтобы определить первопричину проблемы и помочь ее устранить.

Чтобы включить дамп памяти в Windows 10, выполните следующие действия. Нажмите правой кнопкой мыши по значку «Мой компьютер» и выберите «Свойства». В открывшемся окне выберите «Дополнительные параметры системы».

Картинка с сайта: tehnichka.pro

В окне «Свойств системы» перейдите на вкладку «Дополнительно». В разделе «Загрузка и восстановление» нажмите на «Параметры».

Картинка с сайта: tehnichka.pro

В окне «Загрузка и восстановление» в разделе «Отказ системы» установите флажок в «Записать событие в системный журнал» и установите флажок в «Выполнить автоматическую перезагрузку».

Картинка с сайта: tehnichka.pro

В том же окне в разделе «Запись отладочной информации» выберите тип дампа памяти, который вы хотите создать. Вы можете выбрать один из следующих вариантов.

• Автоматический дамп памяти: Этот тип дампа памяти сохраняет снимок ядра с необходимой информацией для отладки.
• Малый дамп памяти (256 КБ): Этот тип дампа памяти содержит наименьший объем информации и полезен для большинства целей.
• Дамп памяти ядра: Этот тип дампа памяти содержит больше информации, чем малый дамп памяти, и полезен для отладки проблем в режиме ядра .
• Полный дамп памяти: Этот тип дампа памяти содержит все содержимое физической памяти и может быть очень большим.
  Обратите внимание, что для опции полного дампа памяти требуется файл подкачки по крайней мере того же размера, что и объем физической памяти, установленной в системе.
• Активный дамп памяти работает также, как и предыдущий. Отличие его заключается в том, что он фильтрует страницы, которые связанны с устранением проблем на хост компьютере.

Картинка с сайта: tehnichka.pro

Затем выберите папку, в которой должен сохраняться дамп памяти. Рекомендуется выбирать папку на другом диске, чтобы в случае сбоя диск с дампом не повредился.

Нажмите кнопку ОК для сохранения изменений. Чтобы изменения вступили в силу, необходимо перезагрузить компьютер.

Теперь Windows 10 будет создавать дамп памяти в случае сбоя. Он может быть очень полезен при диагностировании и устранении ошибок в системе. Однако следует иметь в виду, что размер полного дампа памяти может быть очень большим (обычно несколько гигабайт), поэтому необходимо обеспечить достаточно места на диске для его сохранения. Также следует помнить, что создание дампа памяти может занять довольно продолжительное время, поэтому при возникновении сбоя необходимо дождаться завершения процесса.

Включение создания дампа памяти в Windows 10 может обеспечить ряд преимуществ, в том числе.

1. Легкий доступ к информации о системных ошибках: При возникновении системной ошибки файл дампа памяти можно использовать для быстрого определения причины проблемы.
2. Улучшенная отладка: Дампы памяти могут предоставить подробную информацию о состоянии системы на момент возникновения ошибки, что облегчает диагностику и решение проблем.
3. Более быстрое решение проблем: Дампы памяти могут помочь определить первопричину системных проблем, что позволяет быстрее решать проблемы и повышать производительность системы.
4. Повышение стабильности системы: Включив функцию дампа памяти, пользователи могут обнаружить и устранить проблемы, которые могут вызвать сбои системы и другие проблемы стабильности.
5. Ценная информация для разработчиков программного обеспечения: Дампы памяти могут предоставить разработчикам программного обеспечения ценную информацию, которая поможет им выявить и устранить ошибки и проблемы в программном обеспечении.
6. Расширенный поиск и устранение неисправностей: Дампы памяти обеспечивают расширенные возможности поиска и устранения неисправностей, позволяя пользователям выявлять и устранять сложные системные проблемы, которые трудно диагностировать другими способами.
7. Улучшение производительности системы: Выявляя и устраняя системные проблемы, дампы памяти могут помочь улучшить производительность системы и сократить время простоя.

Утилиты

Существует возможность создания дампа памяти с помощью специальных утилит, таких как WinDbg или ProcDump. Эти утилиты позволяют создавать дамп памяти выбранных процессов или даже отдельных потоков, что может быть полезно при диагностировании проблем, связанных с конкретными приложениями или процессами.

Процесс создания дампа памяти с помощью WinDbg или ProcDump может быть более сложным и требовать дополнительных знаний, но в целом он сводится к следующим простым шагам:

• установка утилиты WinDbg или ProcDump;
• запуск утилиты и указание параметров для создания дампа памяти;
• ожидание завершения создания дампа памяти.

Для создания дампа памяти с помощью WinDbg необходимо запустить утилиту и подключиться к отладочному сеансу, который может быть создан на локальном компьютере или на удаленном компьютере. Затем можно использовать команду «.dump» для создания дампа памяти.

Для создания дампа памяти с помощью ProcDump необходимо запустить утилиту и указать параметры для создания дампа памяти, такие как PID процесса, для которого необходимо создать дамп, или тип события, при возникновении которого должен быть создан дамп.

Использование специальных утилит для создания дампа памяти может быть полезным при диагностировании сложных проблем в Windows 10.

Однако, для большинства случаев, включение создания полного дампа памяти в настройках операционной системы может быть достаточным и проще в использовании.

Post Views: 462