Как анализировать файлы дампа памяти (.dmp) в Windows 10

Если на вашем ПК с Windows возникает ошибка синего экрана смерти (BSOD), произойдет несколько вещей. Наиболее очевидным является то, что ваш компьютер принудительно перезагружается, поскольку BSOD является результатом полного сбоя Windows. Однако менее очевидным результатом ошибки BSOD является журнал ошибок, который создается, что позволяет впоследствии устранить проблему.

Это называется файлом дампа памяти, сохраненным в формате файла DMP. Эти файлы содержат различную информацию о проблеме, включая вашу текущую версию Windows, все запущенные приложения и драйверы на момент BSOD, а также сам код ошибки. Вот что вам нужно сделать, чтобы помочь вам проанализировать файлы дампа памяти.

Что такое файлы дампа памяти в Windows 10?

Синий экран смерти — это критическая и неисправимая ошибка на ПК с Windows, но причины этих ошибок могут быть разными. Например, неожиданный BSOD с ловушкой режима ядра обычно вызван несовместимым или разогнанным оборудованием, в то время как BSOD с остановкой критического процесса может иметь различные причины, в том числе поврежденные системные файлы.

Чтобы помочь вам устранить проблему, Windows автоматически создает файл дампа памяти. Обычно он содержит имя и значение кода остановки (например, код остановки исключения системной службы), список всех работающих драйверов на момент сбоя и некоторую дополнительную техническую информацию, которую можно использовать для определения причины.

Эти файлы дампа (с использованием формата файлов DMP) автоматически сохраняются в корневую папку C: , C: minidump или C: Windows minidump. Чтобы помочь вам проанализировать их, вы можете установить приложение отладки Microsoft WinDbg из Microsoft Store. Это поможет вам проанализировать файлы дампа памяти и найти информацию о коде остановки.

Вы также можете использовать старые инструменты, такие как NirSoft BlueScreenView, для быстрого анализа файлов дампа, созданных на вашем ПК. Это также поможет вам определить значение кода остановки и возможную причину (например, конкретный файл драйвера).

Как только вы узнаете значение кода остановки, вы сможете найти дополнительную информацию о проблеме в Интернете. Например, если вы обнаружили из своего файла дампа, что у вас BSOD управления памятью, вы можете ознакомиться с нашим руководством по ошибкам BSOD, чтобы получить дополнительные советы о том, как решить проблему.

Поскольку ошибка BSOD может остановить работу вашего компьютера, вам может потребоваться попробовать и перезапустите Windows в безопасном режиме. Запуск Windows в безопасном режиме сокращает количество активных системных процессов и драйверов до минимума, что позволяет вам исследовать ситуацию дальше.

Однако, если вы вообще не можете загрузиться в Windows, ваши возможности ограничены. В настоящее время нет автономных инструментов, которые можно было бы запустить, если сама Windows не работает должным образом для анализа файлов дампа BSOD. Если это произойдет, вам потребуется восстановить файлы дампа с помощью Live CD Linux с помощью DVD-диска или переносного USB-накопителя.

Затем вы можете проанализировать файл с помощью WinDbg или NirSoft BlueScreenView на рабочем ПК или ноутбуке с Windows, выполнив следующие действия.

Изменение настроек файла дампа памяти в настройках Windows

Файлы дампа памяти создаются автоматически, но вы можете установить уровень детализации, включенный в файл дампа памяти, в настройках Windows. Это будет работать только для BSOD, которые возникают после изменения этого параметра, но если на вашем компьютере возникают проблемы, вы можете выполнить следующие действия, чтобы добавить дополнительную информацию в файлы дампа.

1. Чтобы начать, щелкните правой кнопкой мыши меню «Пуск» и выберите «Настройка».

2. В меню «Настройки» выберите «Система»> «О программе». На панели «Связанные параметры» в меню «Система»> «О программе» выберите параметр «Дополнительные параметры системы».

3. В меню «Свойства системы» выберите параметр «Параметры», указанный в разделе «Запуск и восстановление» внизу.

4. Чтобы изменить уровень детализации, записываемой файлами дампа памяти при возникновении BSOD, выберите один из доступных вариантов с помощью раскрывающегося меню «Запись отладочной информации» в окне «Запуск и восстановление». Полная информация о том, что входит в каждый дамп памяти, доступна на сайте Веб-сайт документации Microsoft. Выберите ОК> ОК, чтобы сохранить свой выбор.

После внесения этого изменения вам может потребоваться перезагрузить компьютер, чтобы убедиться, что параметр применен. Любые будущие ошибки BSOD будут генерировать файл дампа памяти, содержащий уровень информации, который вы выбрали выше.

Как анализировать файлы дампа памяти Windows с помощью WinDbg

Если вы столкнулись с ошибкой BSOD, вы можете использовать WinDbg для анализа файла дампа памяти. Этот созданный Microsoft инструмент разработки — лучший способ проанализировать ваши файлы памяти, но вы также можете использовать более старую версию NirSoft BlueScreenView в качестве альтернативы, выполнив следующие шаги.

Эти шаги предполагают, что ваш компьютер работает достаточно хорошо, чтобы установить и использовать WinDbg. Если это не так, вам нужно будет получить файлы дампа с жесткого диска с помощью Live CD Linux или USB, чтобы проанализировать их в другом месте. Среды Live CD можно загрузить с установочного носителя большинства дистрибутивов Linux, включая Ubuntu и Debian.

1. Для начала вам нужно установить WinDbg Preview из Microsoft Store. На странице магазина WinDbg выберите Получить, чтобы начать установку.

2. После установки WinDbg запустите его, выбрав «Запустить» на странице магазина или запустив его из меню «Пуск». Если у вас нет доступа к файлам дампа, вам нужно найти WinDbg в меню «Пуск», затем щелкнуть правой кнопкой мыши и выбрать «Дополнительно»> «Запуск от имени администратора», чтобы предоставить ему необходимый доступ.

3. В окне WinDbg выберите Файл> Начать отладку> Открыть файл дампа. Используйте встроенное меню проводника, чтобы открыть последний файл дампа, который обычно сохраняется в корневой папке C: , C: minidump или C: Windows minidump.

4. Открытие файла DMP вызовет запуск отладчика WinDbg и загрузку файла. Это может занять некоторое время, в зависимости от размера файла и уровня сохраняемой детализации. Как только это будет сделано, введите! Analysis -v в командное поле в нижней части вкладки «Команда», затем нажмите Enter, чтобы запустить команду.

5. Команде! Analysis -v потребуется некоторое время, чтобы загрузить и проанализировать файл журнала, созданный ошибкой BSOD — дождитесь завершения этого процесса. Как только это будет сделано, вы можете полностью проанализировать вывод на вкладке «Команда». В частности, найдите имя и значение кода остановки (например, DRIVER_IRQL_NOT_LESS_OR_EQUAL и d1), перечисленные в разделе «Анализ ошибок». Наряду с кодом остановки будет указано краткое описание причины (например, проблемы с драйвером), что позволит вам устранить неполадки в дальнейшем.

6. Вы также можете посмотреть другую соответствующую информацию, перечисленную в анализе WinDbg (например, значение MODULE_NAME), чтобы определить причину. В этом примере код BSOD был вызван запуском Инструмент тестирования системы NotMyFault.

После того, как вы определили код остановки и возможную причину ошибки BSOD, вы можете дополнительно изучить проблему, чтобы определить возможное исправление.

Как анализировать файлы дампа памяти Windows с помощью NirSoft BlueScreenView

Хотя WinDbg не входит в состав Windows, он создан Microsoft для устранения ошибок BSOD. Однако, если вы предпочитаете, вы можете анализировать файлы дампа памяти со своего ПК (или с другого ПК, если у вас есть копия соответствующих файлов дампа), используя более старый инструмент NirSoft BlueScreenView.

BlueScreenView может показаться устаревшим, но он по-прежнему предлагает всю необходимую информацию о ваших файлах дампа BSOD. Это включает имя и значение кода остановки (например, DRIVER_IRQL_NOT_LESS_OR_EQUAL), которое затем можно использовать для определения причины.

1. Начать, загрузите и установите инструмент NirSoft BlueScreenView на вашем ПК с Windows. После установки инструмента запустите его из меню «Пуск».

2. BlueScreenView автоматически найдет файлы дампа памяти из известных источников, таких как C: / и C: / Windows / minidump. Однако, если вы хотите загрузить файл вручную, выберите «Параметры»> «Дополнительные параметры».

3. В меню «Дополнительные параметры» переключитесь в папку, содержащую файлы дампа, нажав кнопку «Обзор», расположенную рядом с полем «Загрузить из следующего окна папки MiniDump». Чтобы вернуть это в расположение по умолчанию, выберите По умолчанию. Нажмите ОК, чтобы сохранить свой выбор и загрузить файлы.

4. В главном окне BlueScreenView появится список сохраненных файлов дампа памяти. Выберите один из файлов в списке, чтобы просмотреть дополнительную информацию о нем. Название кода остановки появится в столбце Строка проверки ошибки, что позволит вам изучить проблему дальше.

5. Если выбран файл дампа памяти, внизу будет указан полный список активных файлов и драйверов. Файлы, выделенные красным, будут иметь прямую ссылку на причину ошибки BSOD. Например, myfault.sys относится к инструменту тестирования системы NotMyFault, а ntoskrnl.exe — к процессу ядра системы Windows.

Хотя BlueScreenView — полезный инструмент для быстрого определения имени ошибки BSOD, это не полноценный инструмент отладки, такой как WinDbg. Если вы не можете устранить проблему с помощью этого инструмента, вам нужно попробовать WinDbg для более подробного анализа.

Устранение ошибок BSOD с помощью файлов дампа памяти

Используя информацию файла дампа памяти, которую вы восстанавливаете, вы можете устранить ошибки BSOD, выполнив поиск кодов остановки или связанных файлов ошибок BSOD. Коды остановки ошибки, в частности, могут помочь вам найти причину BSOD, от плохой информации о конфигурации системы BSOD до неожиданной ошибки исключения из хранилища BSOD.

Ошибки BSOD вызваны всем — от неисправного оборудования до поврежденных системных файлов. Чтобы их остановить, вам следует регулярно проверять свой компьютер на наличие вредоносных программ и использовать такие инструменты, как SFC, для восстановления вашей установки Windows, если она повреждена. Если все остальное не помогло, вы всегда можете сбросить или переустановить Windows 10, чтобы восстановить свой компьютер до полного рабочего состояния.