Программа для просмотра дампа bsod

Содержание

Как провести анализ дампа памяти для выявления причины BSoD?

Программа для просмотра дампа bsod

Здравствуйте друзья, сегодня разберем интересную тему, которая поможет вам в будущем при появлении синего экрана смерти (BSoD).

Как и мне, так и многим другим пользователям приходилось наблюдать появление экрана с синим фоном, на котором что-то написано (белым по синему).

Данное явление говорит о критической неполадке, как в программном обеспечении, например, конфликт драйверов, так и в физической неисправности какого-то компонента компьютера.

Недавно у меня снова появился голубой экран в Windows 10, но я быстро от него избавился и скоро об этом вам расскажу.
Хотите смотреть фильмы онлайн в хорошем качестве? Тогда переходите по ссылке.

Итак, большинство пользователей не знают, что BSoD можно анализировать, чтобы впоследствии понять проблемы критической ошибки. Для таких случаев Windows создает на диске специальные файлы – дампы памяти, их то мы и будем анализировать.

Есть три типа дампа памяти:

Полный дамп памяти – эта функция позволяет полностью сохранить содержимое оперативной памяти. Он редко используется, так как представьте, что у вас 32 Гб оперативной памяти, при полном дампе весь этот объем сохранится на диске.

Дамп ядра – сохраняет информацию о режиме ядра.

Малый дамп памяти – сохраняет небольшой объем информации о ошибках и загруженных компонентов, которые были на момент появления неисправности системы. Мы будем использовать именно этот тип дампа, потому что она даст нам достаточное количество сведений о BSoD.

Расположение, как малого, так и полного дампа отличается, например, малый дамп находится по следующему пути: %systemroot%\minidump.

Полный дамп находится здесь: %systemroot%.

Для анализа дампов памяти существуют различные программы, но мы воспользуемся двумя. Первая — Microsoft Kernel Debuggers, как понятно из названия утилита от Microsoft. Скачать ее можно с официального сайта. Вторая программа – BlueScreenView, бесплатная программка, скачиваем отсюда.

Анализ дампа памяти с помощью Microsoft Kernel Debuggers

Для разных версий систем нужно скачивать свой тип утилиты. Например, для 64-х разрядной операционной системы, нужна 64-битовая программа, для 32-х разрядной – 32-битная версия.

Это еще не все, вам нужно скачать и установить пакет отладочных символов, нужные для программы. Называется Debugging Symbols.

Каждая версия данного пакета тоже скачивается под определённою ОС, для начала узнайте какая у вас система, а потом скачивайте. Дабы вам не искать где попало эти символы, вот ссылка на скачивание.

Установка, желательно, должна производиться по этому пути: %systemroot%\symbols.

Теперь можно запускать наш отладчик, окно которого будет выглядеть вот так:

Прежде чем проанализировать дампы мы кое-что настроим в утилите. Во-первых, нужно указать программе, куда мы установили отладочные символы. Для этого нажимаем на кнопку «File» и выбираем пункт «Symbol File Path», потом указываем путь до символов.

Программа позволяет извлекать символы прямо из сети, поэтому вам даже не придется их скачивать (извините те, кто уже скачал). Они буду браться с сервером Microsoft, поэтому все безопасно. Итак, вам нужно снова открыть «File», потом «Symbol File Path» и ввести следующую команду:

SRV*%systemroot%\symbols*http://msdl.microsoft.com/download/symbols

Таким образом мы указали программе, что символы должны браться из сети. Как только мы это сделали нажимаем «File» и выбираем пункт «Save Workspace», потом жмем ОК.

Вот и все. Мы настроили программу на нужный лад, теперь приступаем к анализу дампов памяти.  В программе нажимаем кнопочку «File», потом «Open Crash Dump» и выбираем нужный файл.

Kernel Debuggers начнет анализ файла и после этого выведет результат о причине ошибки.

В появившемся окне можно вводить команды. Если мы введем !analyze –v, то получим больше информации.

Вот и все с этой программой. Чтобы остановить работу отладчика, выберите «Debug» и пункт «Stop Debugging».

Анализ дампа памяти с помощью BlueScreenView

Для анализа различных ошибок и BSoD подойдет и программа BlueScreenView, которая имеет простой интерфейс, поэтому проблем с освоением возникнуть не должно.

Скачайте программу по указанной выше ссылке и установите. После запуска утилиты нужно ее настроить.

Зайдите в параметры: «Настройки» — «Дополнительные параметры». Откроется небольшое окошко, в котором есть пару пунктов. В первом пункте нужно указать местонахождение дампов памяти. Обычно они находятся по пути C:\WINDOWS\Minidump.

Тогда просто нажмите кнопку «По умолчанию».

Что можно видеть в программе? У нас есть пункты меню, часть окна с названиями файлов дампов и вторая часть окна – содержимое дампов памяти.

Как я говорил в начале статьи, дампы могут хранить драйвера, сам скриншот «экрана смерти» и другая полезная информация, которая нам может пригодиться.

Итак, в первой части окна, где файлы дампов, выбираем нужный нам дамп памяти. В следующей части окна смотрим на содержимое. Красноватым цветом помечены драйвера, находившиеся в стеке памяти. Как раз они и есть причина синего экрана смерти.

В интернете можно найти все о коде ошибке и драйвере, который может быть виной BSoD. Для этого нажимаем «Файл», а потом «Найти в Google код ошибки + Драйвер».

Можно сделать показ только драйверов, которые были на момент появления ошибки. Для этого нужно нажать «Настройки» — «Режим нижнего окна» — «Только драйвера, найденные в крэш-стеке». Либо нажать клавишу F7.

Чтобы показать скриншот BSoD нажмите клавишу F8.

Для показа всех драйверов и файлов нажимаем F6.

Ну вот собственно и все. Теперь вы знаете, как узнать о проблеме «Синего экрана смерти», и в случае чего найти решение в интернете, либо на этом сайте. Можете предлагать свои коды ошибок, а я постараюсь писать для каждой статьи по решению проблемы.

Что такое Зеленый экран смерти GSOD

Источник: https://computerinfo.ru/analiz-dampa-pamyati/

BlueScreenView — утилита анализа синего экрана. BSOD ошибка | World-X

» Обзор программ » Определение ошибки «Синего экрана Смерти». Утилита BlueScreenView

Существует великое множество проблем в связи с которыми могут появляться «синие экраны смерти». В большинстве случаев это, конечно, проблемы связанные с драйверами устройств и неисправностью  оборудования. Встаёт вопрос как определить в чём неисправность обычному пользователю?

Стоит начать с того что настроим операционную систему, а именно сделаем так чтобы она автоматически не переходила на перезагрузку при возникновении ошибки синего экрана, а показывала данный экран до ручного сброса или выключения самим пользователем:

  1. Для этого откройте «Свойства системы», найдите в левой колонке пункт «Дополнительные параметры системы».
  2. Найдите в открывшемся окне раздел «Загрузка и восстановление». Нажмите «Параметры».
  3. После в сменившемся окне найдите раздел «Отказ системы». Снимите галочку с пункта «Выполнить автоматическую перезагрузку».
  4. После потребуется сохранить изменённые параметры, нажатием кнопок «ОК».

Теперь при возникновении сбоя сопровождаемого синим экраном смерти , компьютер не будет перезагружен и Вы сможете записать код ошибки, по которому в дальнейшем  сможете распознать проблему.

К примеру, найдя ошибку в таблице ошибок BSOD  определить что неисправность относится к оперативной памяти.

  КЕсли же выполнение таких манипуляций для Вас сложны в исполнении, на этот случай есть утилита, которая покажет синий экран в удобном формате для обычного пользователя.

Утилита в помощь!

Blue Screen View самостоятельно отыщет созданные при сбое файлы аварийного дампа памяти, где записываются данные о критической ошибке.

  Blue Screen View имеет двухпанельный интерфейс. В верхней панели утилиты представлен список файлов дампов, а в нижней панели — вызвавшие сбой файлы с адресами.

  • dump (memory dump) — «снимок» оперативной памяти, вывод содержимого оперативной памяти на печать или экран;

Бывают следующие разновидности дампов:

  • Полный дамп памяти записывает всё содержимое системной памяти при возникновении неустранимой ошибки. По умолчанию полный дамп памяти записывается в файл Каталог Windows\Memory.dmp. Параметр Полный дамп памяти недоступен на ПК, на которых установлена 32-битная операционная система и 2 или более гигабайта оперативной памяти. При возникновении новой ошибки предыдущий файл заменяется.
  • Дамп памяти ядра записывает только память ядра, благодаря чему процесс записи данных в журнал при внезапной остановке системы протекает быстрее. По умолчанию дамп памяти ядра записывается в файл Каталог Windows\Memory.dmp. При возникновении новой ошибки и создании нового файла дампа памяти ядра предыдущий файл так же заменяется.
  • Малый дамп памяти записывает наименьший объем необходимой информации для определения причины неполадок.  Файлы малого дампа памяти содержат сведения о неустранимой ошибке, ее параметрах, список загруженных драйверов и так далее.

Примечание!   При возникновении следующей ошибки предыдущий файл сохраняется.

Каждому дополнительному файлу дается уникальное имя по дате создания. Например, Mini112711−01.dmp — это первый файл дампа памяти, созданный 27 ноября 2011 г. Список всех файлов малого дампа памяти хранится в папке Каталог Windows \Minidump.

Получение дампа памяти

  1. Открываем свойства системы Win + Pause (или правой кнопкой по «Мой компьютер» и свойства);
  2. Дополнительные параметры системы, вкладка Дополнительно, Загрузка и восстановление и Параметры.

  3. В появившемся окне » Загрузка и восстановление » выбираем генерацию малых дампов: — Запись отладочной информации, Малый дамп памяти.

Читайте также  Как удалить программу зона из компьютера

Тут же снимается галочка автоматической перезагрузки, как уже было сказано выше .

Результат работы BlueScreenView

BlueScreenView просканирует все файлы аварийного дампа памяти, созданные во время BsoD, и отобразит информацию обо всех авариях в одной таблице.

Для каждой аварии, BlueScreenView выводит дамп файла, дата и время аварии, основную информацию аварии, которая отображается на синем экране, а также детали драйверов или модулей, которые возможно вызвали сбой (имя файла, название продукта, описание файла и версия файла).

После определения «сбойного» драйвера , который вызывает синий экран смерти, мы можем заменить этот драйвер или откатиться на более ранний и исправный срок.

Примечание!   Если синий экран смерти появится в случае критической ошибки загрузчика, файл дампа создаваться не будет. Тогда Вам придется воспользоваться Live CD или  запустить консоль восстановления.

Загрузки

Программа проста в использовании и не требует специальных знаний.

Поддерживаемые ОС Windows: Все

Тип лицензии: Бесплатно

  • Скачать с World-X с руссификатором
  • Скачать с Оф. сайта разработчика

Источник: https://wd-x.ru/bluescreenview-utilities/

Bluescreenview: как пользоваться и как узнать, в чём проблема синего экрана

Если вы активный пользователь Windows, то вы наверняка сталкивались с проблемой внезапного появления синего экрана с какими-то непонятными белыми буквами. Как правило, после перезагрузки компьютера всё снова работает, как и прежде. Но беспокойное чувство всё же остаётся.

В этой статье я расскажу вам, что означает этот синий экран, насколько он опасен, как узнать, в чём причина его появления, как её можно устранить, а также познакомлю вас с программой Bluescreenview, и расскажу, как ею пользоваться.

И прежде, чем начинать решать проблемы, нам понадобится немного теории.

Что такое синий экран

Представьте, что человек внезапно увидел что-то страшное и упал от этого в обморок. Почему? Потому что сработала защитная функция его организма.

Ведь от страха у него могли полопаться сосудики, разорваться сердечные мышцы, появиться психическая травма на всю жизнь.

Поэтому тело решило не перенапрягаться и полежать немного без сознания, пока это страшное не закончится. То есть, это защитная реакция.

Когда компьютер испытывает шок, то есть глобальную ошибку, решить которую невозможно, и при которой дальнейшая работа может оказаться рискованной для его составных частей, срабатывает защитная функция.

Компьютер приостанавливает работу, напоследок выводя сообщение на синем экране. Именно в этом сообщении и кроется описание того страшного, что увидел ваш компьютер, от чего впал в обморочное состояние.

Cиний экран или BSOD (англ. «blue screen of death» — «синий экран смерти»)

Наша задача – узнать, в чём причина.

Кстати…

Кстати, если вы не успеваете прочитать сообщение на синем экране, потому что ваш компьютер перезагружается, сделайте следующее:

  1. Нажмите правой кнопкой на «Мой компьютер» (или «Компьютер», или что там у вас…) и выберите «Свойства».
  2. Выберите «Дополнительно» и нажмите кнопку «Параметры».
  3. Уберите галочку напротив «Выполнять автоматическую перезагрузку».

Чтобы компьютер не перезагружался

После этих действий при появлении синего крана компьютер не будете перезагружаться. После прочтения сообщения вы сможете перезагрузить его самостоятельно, нажав на кнопку рестарта.

Bluescreenview: как пользоваться и как диагностировать причину синего экрана

Bluescreenview – это программа, которая помогает диагностировать сообщения синего экрана и понять, в чём причина его появления. Программа крохотная и не требует установки на компьютер.

Главный вопрос, который появляется при работе с Bluescreenview: как пользоваться этим? Неопытный пользователь не всё сразу сообразит. Для ускорения понимания я специально для вас даже подобрал русскую версию, которую вы можете скачать по ссылке ниже.

  • Операционная система: Windows XP, Vista и 7 (x32 и x64);
  • Язык: русский;
  • Разработчик: Nir Sofer.

Итак, сейчас я вам покажу, как пользоваться Bluescreenview.

Сразу после запуска программы мы видим два окна: в верхнем отображаются все файлы дампов, которые создались после появления синих экранов; а в нижнем — драйверы устройств, среди которых красным отмечены те, которые и вызвали ошибку.

Выберите в верхнем окне один из файлов дампа, а в нижем дважды кликните на драйвер, отмеченный красным (их может быть несколько). В появившемся окне вы можете видеть полную информацию о данном программном обеспечении и, наконец, выяснить, какое устройство вызвало ошибку.

Например, на скриншоте ниже, вы видите, как я выявил, таким образом, проблему в своей звуковой карте, неполадка в которой вызывала несколько раз синий экран.

Находим устройство, которое вызывает ошибку

Если вы сами не хотите разбираться и пользоваться Bluescreenview, то вы можете создать отчётный файл о дампе и направить его кому-то из знакомых специалистов. Для этого необходимо кликнуть правой кнопкой на файл дампа и выбрать пункт «HTML-отчёт: выбранный элемент».

Составить HTML отчёт об ошибке

Синий экран: причины и решение

Итак, теперь вы знаете, как пользоваться Bluescreenview. и сами или с помощью специалиста выяснили, в какой части компьютера у вас проблема. Следующий вопрос: почему это произошло и как её решить?

Вот что может быть:

  • Если синий экран появляется во время тяжёлых операций, например, игры и программы с большими требованиями, то проблема кроется, скорее всего, в перегреве каких-то деталей. Решение: апгрейд компьютера или отказ от этих программ и игр.
  • Если синий экран появляется спонтанно, без видимых событий, а при пользовании Bluescreenview постоянно фигурирует один и тот же драйвер, то причина может быть в этом драйвере. Возможно, он от ненадёжного поставщика. Решение: установка правильного драйвера или отказ от этого драйвера и устройства.
  • Если причиной синего экрана является одно и то же ПО, то, возможно, в нём обитает вирус либо оно повреждено. Решение: переустановка драйвера, переустановка системы или очистка от вирусов, возможно, поможет восстановление системы.Как это сделать в Windows XP здесь, а в Windows 7 – здесь.
  • Но всё же, самой частой причиной синего экрана является физическая неисправность, повреждение того или иного устройства, которое обслуживается тем драйвером, которое вызывает ошибку. Решение очевидно: ремонт или замена устройства.

Источник: https://system-blog.ru/bluescreenview-kak-polzovatsya

Утилита BlueScreenView: как узнать причину синего экрана смерти Windows

Причин, вызывающих синий экран смерти (BSoD), много: это аппаратные неполадки компьютера, конфликт комплектующих, сбой в работе драйверов, установка несоответствующих конфигурации компьютера ПО или игр, повреждение важных системных файлов вирусами, неудачное обновление и пр. Как узнать причину появления синего экрана смерти в конкретном случае? Если таковой не имеет следствием полную неработоспособность Windows с необходимостью ее переустановки, если сбой системы происходит периодически, для устранения проблемы нужно установить ее причину.

1. Как узнать причину синего экрана смерти?

Информация о причине появления синего экрана смерти указывается в нем самом. При его появлении необходимо запомнить и записать текстовое название ошибки и так называемые стоп-коды в виде подборки буквенных и цифровых символов, как указано на скриншоте ниже.

1

По этим данным затем можно будет отыскать информацию в Интернете. Однако этот совет идеален лишь в теории. На деле запомнить эти данные, не говоря о том, чтобы записать тих, за те несколько секунд, пока отображается синий экран смерти до перезагрузки, нереально.

Разве что под рукой будет фотоаппарат или мобильное устройство с камерой на борту. Реальным и более удобным способом узнать причину синего экрана смерти будет ее извлечение из минидампов памяти — файлов «.

dmp», сохраненных на жесткий диск аварийных снимков содержимого оперативной памяти с кодами ошибок и прочей информацией по сбою системы. В перезагрузившейся после сбоя системе это можно сделать с помощью специальных программных средств.

Как узнать причину синего экрана смерти с помощью штатных средств Windows, уже описывалось на страницах сайта. В этой статье рассмотрим сторонний инструмент, помогающий определить причину BSoD – утилиту BlueScreenView.

2. О BlueScreenView

BlueScreenView – это небольшая портативная утилита, являющая собой удобный интерфейс для чтения информации, сохраненной в аварийных минидампах памяти, и предлагающая некоторый функционал для удобства выявления причин синего экрана смерти.

3. Скачивание и русификация BlueScreenView

Скачать BlueScreenView можно бесплатно на официальном сайте ее разработчиков. Для поддержки утилитой русского языка ниже ссылок скачивания инсталляторов нужно дополнительно выбрать в таблице файл русификации, скачать его, разархивировать и поместить в папку с утилитой.

2

4. Информация о синем экране смерти

При запуске BlueScreenView просканирует содержимое минидампов памяти, созданных при появлении синего экрана смерти, и по итогу отобразит информацию в своем окне.

В верхней части окна утилиты содержатся все обнаруженные файлы минидампов памяти с указанием даты, времени сбоя системы и прочих данных по существу уже самого сбоя.

В нижней части окна представлен перечень системных компонентов и драйверов устройств компьютера, задействованных в момент сбоя. Проблемные – те, что вызвали синий экран смерти – отображаются с пометкой розовым маркером.

3

Детальная информация по синему экрану представлена в верхней части окна утилиты, в таблице, но, сделав двойной клик на интересующем минидампе, получим эту же информацию, только в удобочитаемом компактном окошке свойств.

Вам может быть интересно:  Lite OS

На какие данные необходимо обратить внимание? В первую очередь это графы «Драйвер причины», «Описание файла» и «Название продукта». Содержимое этих граф укажет на конкретный системный компонент, драйвер или устройство, что стали причиной сбоя работы Windows.

Извлечение детальной информации по синему экрану с помощью BlueScreenView далеко не в каждом случае будет окончательным этапом в процессе поиска причины системного сбоя.

Тестируемый случай, данные по которому отображены на скриншотах выше – один немногих, когда не потребовались ни анализ минидампа, ни справки в сети, поскольку причина сбоя изначально была очевидной: синий экран появился тотчас же после запуска сторонней программы, реализующей в среде Windows эмулятор другой операционной системы, а такого рода софт часто вызывает сбой. Это был конфликт ПО, и об этом свидетельствует указание в графе «Драйвер причины» системный компонент ntoskrnl.exe. Но этот компонент, и он не единственный, без очевидной предыстории появления синего экрана смерти может указывать на довольно широкий спектр предполагаемых причин проблемы. Что конкретно вызвало сбой, возможно, придется дополнительно узнавать в Интернете путем мониторинга информации с указанием драйвера причины, текстового описания BSoD или стоп-кодов, значащихся в графах окна свойств минидампа «Текст ошибки», «Код ошибки», «Параметр №№».

Читайте также  Программа стабилизации видеоизображения

5. Готовые решения для получения справки или помощи

Данные любых граф окна свойств минидампа можно скопировать для вставки в поисковик или сообщение при обращении за помощью к специалисту, в сообщество Microsoft, на компьютерный форум, сайт и т.п.

Но можно прибегнуть и к функциям утилиты, реализованным в контекстном меню на минидампе. Создатель BlueScreenView позаботился о возможности извлечения информации в универсальные форматы и даже продумал момент с генерированием поисковых запросов.

Опция «Сохранить выбранные элементы» сохраняет всю информацию по выбранному синему экрану в файл TXT. Опция «HTML-отчет…» сохраняет все или выбранные элементы (минидампы, строки системных компонентов и драйверов) таблицей в файл HTML.

А три опции «Найти в Google…» открывают поисковик в окне браузера с уже сгенерированным поисковым запросом, в который включены соответствующие данные:

  • просто текстовое описание (код ошибки),
  • текстовое описание и имя системного компонента или драйвера (код ошибки + драйвер),
  • текстовое описание и стоп-код (код ошибки + параметр 1).

6

Плюс к этому, сообщить суть проблемы людям, которые могут помочь в ее решении, можно скриншотом, представив информацию по синему экрану смерти в его оригинальном виде, правда, только в формате Windows XP.

7

Такой формат отобразится в нижней части окна утилиты при нажатии клавиши F8. Для возврата в исходный формат отображения данных по минидампам нужно жать F6.

Источник: https://WindowsTips.ru/utilita-bluescreenview-kak-uznat-prichinu-sinego-ekrana-smerti-windows

Аварийный дамп памяти

:   / 299

673170

Все Windows-системы при обнаружении фатальной ошибки делают аварийный дамп (снимок) содержимого оперативной памяти и сохраняет его на жесткий диск. Существуют три типа дампа памяти:

Полный дамп памяти – сохраняет все содержимое оперативной памяти. Размер снимка равен размеру оперативной памяти + 1 Мб (заголовок). Используется очень редко, так как в системах с большим объемом памяти размер дампа будет слишком большим.

Дамп памяти ядра – сохраняет информацию оперативной памяти, касающуюся только режима ядра.

Информация пользовательского режима не сохраняется, так как не несет в себе информации о причине краха системы.

Объем файла дампа зависит от размера оперативной памяти и варьируется от 50 Мб (для систем с 128 Мб оперативной памяти) до 800 Мб (для систем с 8 Гб оперативной памяти).

Малый дамп памяти (мини дамп) – содержит довольно небольшое количество информации: код ошибки с параметрами, список драйверов загруженных в оперативную память на момент краха системы и т.д., но этих сведений достаточно, для определения сбойного драйвера. Еще одним преимуществом данного вида дампа является маленький размер файла.

Настройка системы

Для выявления драйвера вызвавшего синий экран нам достаточно будет использовать малый дамп памяти. Для того чтобы система при крахе сохраняла мини дамп необходимо выполнить следующие действия:

Для Windows Xp Для Windows 7
  1. Правой клавишей мыши нажать на значке Мой компьютер из контекстного меню выберите Свойства (или комбинация клавиш Win+Pause);
  2. Переходите на вкладку Дополнительно;
  3. В поле Загрузка и восстановление необходимо нажать кнопку Параметры;
  4. В поле Запись отладочной информации выбираем Малый дамп памяти (64 Кб).
  1. Правой клавишей мыши нажать на значке Компьютер из контекстного меню выберите Свойства (или комбинация клавиш Win+Pause);
  2. В левом меню щелкаем на пункт Дополнительные параметры системы;
  3. Переходите на вкладку Дополнительно;
  4. В поле Загрузка и восстановление необходимо нажать кнопку Параметры;
  5. В поле Запись отладочной информации выбираем Малый дамп памяти (128 Кб).

Проделав все манипуляции, после каждого BSoD в папке C:\WINDOWS\Minidump будет сохраняться файл с расширение .dmp. Советую ознакомиться с материалом «Как создать папку».

Также можно установить галочку на “Заменить существующий файл дампа”. В этом случае каждый новый аварийный дамп будет записываться поверх старого.

Я не советую включать данную опцию.

Анализ аварийного дампа памяти с помощью программы BlueScreenView

Итак, после появления синего экрана смерти система сохранила новый аварийный дамп памяти. Для анализа дампа рекомендую использовать программу BlueScreenView. Её можно бесплатно скачать тут.

Программа довольно удобная и имеет интуитивный интерфейс. После её установки первое, что необходимо сделать – это указать место хранение дампов памяти в системе.

Для этого необходимо зайти в пункт меню “Options” и выбрать “Advanced Options”. Выбираем радиокнопку “Load from the following Mini Dump folder” и указываем папку, в которой хранятся дампы.

Если файлы хранятся в папке C:\WINDOWS\Minidump можно нажатием кнопки “Default”. Нажимаем OK и попадаем в интерфейс программы.

Программа состоит из трех основных блоков:

  1. Блок главного меню и панель управления;
  2. Блок списка аварийных дампов памяти;
  3. В зависимости от выбранных параметров может содержать в себе:
  • список всех драйверов находящихся в оперативной памяти до появления синего экрана (по умолчанию);
  • список драйверов находящихся в стеке оперативной памяти;
  • скриншот BSoD;
  • и другие значения, которые мы использовать не будем.

В блоке списка дамп памяти (на рисунке помечен цифрой 2) выбираем интересующий нас дамп и смотрим на список драйверов, которые были загружены в оперативную память (на рисунке помечен цифрой 3).

Розовым цветом окрашены драйвера, которые находились в стеке памяти. Они то и являются причиной появления BSoD. Далее переходите в Главное меню драйвера, определяйте к какому устройству или программе они принадлежат.

В первую очередь обращайте внимание на не системные файлы, ведь системные файлы в любом случае загружены в оперативной памяти. Легко понять, что на изображении сбойным драйвером является myfault.sys.

Скажу, что это программа была специально запущена для вызова Stop ошибки. После определения сбойного драйвера, необходимо его либо обновить, либо удалить из системы.

Для того чтобы программа показывала список драйверов находящихся в стеке памяти во время возникновения BSoD необходимо зайти в пункт меню “Options” кликаем на меню “LowerPaneMode” и выбираем “OnlyDriversFoundInStack” (или нажмите клавишу F7), а для показа скриншота ошибки выбираем “BlueScreeninXPStyle” (F8). Что бы вернуться к списку всех драйверов, необходимо выбрать пункт “AllDrivers” (F6).

Буду признателен, если воспользуетесь кнопочками:

Источник: http://BsodStop.ru/poleznye-stati/analiz-dampa-pamyati

BlueScreenView — анализ аварийного дампа памяти

  BSOD, BugCheckCode, KeBugCheckEx, Symbol

Данная статья продолжает серию публикаций по обзору инструментов анализа аварийных дампов системы. И сегодня мы рассмотрим пожалуй наиболее автономное средство в арсенале специалиста, утилиту с говорящим названием BlueScreenView.

Чем это средство так уникально? Не тем, что алгоритм работы программы в какой то степени отличается от алгоритмов программ подобного класса (скорее всего всё крутится вокруг одних и тех же схем), а более из-за того, что программа не использует отладочные символы, что делает её полностью независимой. BlueScreenView представляет собой бесплатное программное обеспечение, которое анализирует содержимое файлов дампов, создаваемых при критическом сбое системы (BSOD, синий экран смерти), и предоставляет информацию пользователю в виде легко интерпретируемой результирующей таблицы. В дополнение ко всему прочему, утилита предоставляет расширенную информацию по свойствам дампов памяти системы. Как уже отмечалось, BlueScreenView полностью автономна и не требует для своей работы никаких дополнительных дынных, как то символы либо отладчики. Скачал, запустил, проанализировал! Автором программы является Nier Sofer, хотел бы сказать спасибо ему огромное за предоставленную чрезвычайно полезную утилиту.
Скачать BlueScreenView можно по вот этой ссылке. При этом, что действительно удобно, так это то, что скачать утилиту можно не только в виде классического установщика (зачем мне инсталлировать временный софт на сервер?), но и в форме отдельного переносимого (portable) приложения (пункт Download BlueScreenView (in Zip file)). Распаковал из архива и запустил, что еще надо? Опять же, это позволяет держать утилиту в наборе своих «инструментов на каждый день». BlueScreenView доступна в двух вариантах кода — в 32- и 64-битном.

Интерфейс BlueScreenView

После старта утилита BlueScreenView сканирует стандартное местоположение дампов памяти:

и находит все дампы, которые располагаются в каталоге по-умолчанию, далее для каждого дампа (по своему собственному алгоритму) перечисляет адреса памяти внутри стека момента сбоя и определяет все драйвера/модули которые могут быть причиной критической ситуации.

По умолчанию BlueScreenView ищет дампы в каталоге %SystemRoot%\Minidump. Однако, данное положение может быть изменено редактированием параметра «Load from the following MiniDump folder» в разделе «Options» — «Advanced Options» (Ctrl+O).

В дополнение, вид окна программы легко и удобно настраивается, что позволяет показывать/скрывать определенные столбцы.

Верхнее окно интерфейса программы BluScreenView по-умолчанию выглядит несколько иначе. На моем скриншоте я замаскировал (скрыл) четыре столбца под названием «Parameter 1», «Parameter 2», «Parameter 3», «Parameter 4», которые являются четырьмя аргументами функции KeBugCheckEx.

Как можно наглядно увидеть из скриншота, интерфейс программы разбит на две основные части: список файлов дампов (сверху) и список драйверов, находящихся в ядре на момент сбоя (снизу).
В верхней части интерфейса BlueScreenView отображает список обнаруженных в системе дампов памяти. Здесь я перечислю только основные столбцы верхнего фрейма программы:

СтолбецНазначение
Dump File Файл дампа памяти, найденный утилитой в заданной директории. Хранит различную информацию о состоянии системы на момент критической ошибки.
Bug Check String Символическое имя или описание критической ошибки (Bug Check) по классификации Microsoft. В нашем примере это BAD_POOL_HEADER.
Caused By Driver Драйвер или модуль, который, предположительно и вызвал сбой. BluScreenView пытается вычислить драйвер/модуль по стеку момента критического сбоя, который присутствует в дампе. В нашем случае RtkHDAud.sys. Помните, что механизм определения сбойного модуля/драйвера не может со 100% вероятностью определить виновника, и необходимо анализировать более расширенный список в нижнем фрейме окна программы, выделенный розовым цветом. Сам автор предупреждает нас об этом на странице утилиты.
Bug Check Code Идентификатор кода BugCheck или STOP-ошибка. Например, STOP 0x00000019.
Caused By Address Тоже самое что и колонка «Caused By Driver», однако показывает относительный адрес инструкций, вызвавшей сбой. Относительно начала модуля в котором произошел сбой. В нашей ситуации RtkHDAud.sys+1f93fc.
File Description Описание проблемного файла.
Crash Address Адрес по которому и случилась ошибка. Содержимое регистров EIP/RIP на момент сбоя. В некоторых случаях идентичен адресу из колонки «Caused By Address», в других адрес не совпадает. Пример: ntoskrnl.exe+22f5f.
Читайте также  Push control что это за программа

В нижней части интерфейса BlueScreenView отображает список всех драйверов режима ядра, которые в момент сбоя находились в памяти. И маркирует розовым цветом все драйвера, которые найдены в стеке сбоя. Перечислю в таблице лишь основные столбцы:

СтолбецНазначение
Filename Имя драйвера/модуля.
Address In Stack Адрес памяти драйвера, который найден в стеке.
From Address Смещение первого байта драйвера в адресном пространстве ядра. Пара значений From Address / To Address показывает адресное пространство, занимаемое драйвером.
To Address Смещение последнего байта драйвера в адресном пространстве ядра. Пара значений From Address / To Address показывает адресное пространство, занимаемое драйвером.
Size Размер драйвера в памяти.
Product Name Имя продукта, в состав которого входит драйвер. Загружается из поля ресурсов?
File Description Описание файла драйвера. Загружается из поля ресурсов?
File Version Версия файла драйвера. Загружается из поля ресурсов?
Company Имя компании. Загружается из поля ресурсов?.
Full Path Полный путь до файла драйвера в файловой системе.

В один прекрасный момент, анализируя очередной дамп памяти при помощи программы BlueScreenView я обратил внимание на одну интересную особенность.

Если Вы внимательно посмотрите на столбец в верхнем фрейме программы под названием «Caused by Address», то увидите, что в нем присутствуют имена модулей/драйверов и относительный адрес инструкции.

Так вот, почему же там присутствуют голые числовые значения смещений, но не имена? Причина проста и как мы уже отмечали:

BlueScreenView не использует отладочные символы и не нуждается в них.

То есть он ничего не знает о сопоставлении адресов реальным функциям.

Конечно, это не позволяет программисту получить более детальную информацию, однако это абсолютно не нужно рядовому пользователю, которому для решения задачи достаточна и более общая информация о сбое, обобщенная до указания на модуль/драйвер.

Как это сказывается на точности определения причины критической ошибки, спросите Вы? Пока что ответить на этот вопрос для меня сложновато, но могу предположить что никак не отражается, поскольку точность определения зависит от корректности работы внутреннего алгоритма BlueScreenView, который опирается на адреса памяти, но никак не зависит от наличия/отсутствия символов системы/модулей/драйверов. Символы нужны для дополнительной информации по внутренним функциям.

Анализ результатов

Собственно, вкратце, общий алгоритм поиска причины сбоя следующий:

  1. (в верхней части окна) ставим курсор на имя интересующего нас минидампа, тем самым выделяя (выбирая) его. Нижняя часть окна автоматически заполняется результатом анализа.
  2. (в верхней части окна) смотрим столбец Caused By Driver, видим там наименование проблемного модуля/драйвера (для нашего случая это RtkHDAud.sys).
  3. (в нижней части окна) находим этот же драйвер/модуль (столбец Filename), ставим курсор на эту строку и опять перемещаем ползунок вправо, чтобы посмотреть значения в столбцах Product Name, File Description и Full Path. По значениям этих полей мы сможем определить принадлежность модуля/драйвера. Если же поля нам не дали никакой информации, то вбиваем имя модуля/драйвера RtkHDAud.sys в поисковик и ищем информацию уже в Сети.

Изредка встречаются случаи, когда указываемый в верхнем фрейме программой BlueScreenView драйвер не является источником проблемы.

Да, ведь сам автор, как я писал уже выше, предупреждает от том, что невозможно сделать точный вывод по сбою в 100% случаев.

Однако, не стоит отчаиваться, поскольку драйвер/модуль, который является истинным виновником сбоя, наверняка присутствует среди списка, подсвеченного красным цветом в нижней части окна программы. У нас это: ks.sys, ntoskrnl.exe, portcls.

sys, sysaudio.sys, wdmaud.sys. Исходя из отсутствия 100% гарантии определения, в исследовании аварийных дампов я бы не ограничивался применением только лишь утилиты BlueScreenView, а использовал бы и другие продукты для анализа проблемы.

Источник: http://datadump.ru/bluescreenview/

Как анализировать синий экран dump memory в Windows

Как анализировать синий экран dump memory в Windows-01

Синий экран смерти или как его еще называют BSOD, может изрядно подпортить жизнь как компьютеру так и серверу, а еще выяснилось и виртуальной машине.

Сегодня расскажу как анализировать синий экран dump memory в Windows, так как правильная диагностика и получение причины из за чего не работает ваша система, 99 процентов ее решения, тем более системный инженер, просто обязан уметь это делать, да и еще в кратчайшие сроки, так как от этого бизнес может в следствии простоя сервиса, терять кучу денег.

BSOD расшифровка

Давайте для начала разберем, что означает данная аббревиатура, BSOD от английского Blue Screen of Death или еще режим STOP ошибки.

Ошибки синего экрана смерти возникают по разным причинам, среди которых могут быть проблемы с драйверами, может быть какое то сбойное приложение, или сбойный модуль оперативной памяти. Как только у вас появился синий экран в Windows, то ваша система автоматически создаст файл crash memory dump, который мы и будем анализировать.

Как настроить создание memory dump

По умолчанию windows при синем экране создает аварийный дамп файл memory.

dmp, сейчас покажу как он настраивается и где хранится, я буду показывать на примере Windows Server 2008 R2, так как у меня недавно была задача по изучению вопроса синего экрана в виртуальной машине.

Для того чтобы узнать где настроен dump memory windows, открываем пуск и щелкаем правым кликом по значку Компьютер и выбираем свойства.

Как анализировать синий экран dump memory в Windows-Свойства компьютера

Далее идем в пункт Дополнительные параметры системы

Как анализировать синий экран dump memory в Windows-параметры системы

Переходим во вкладку Дополнительно-Загрузка и восстановление. Жмем кнопку Параметры

Как анализировать синий экран dump memory в Windows-Загрузка и восстановление

Где хранится файл memory.dmp

и видим, что во первых стоит галка выполнить автоматическую перезагрузку, для записи отладочной информации, выбрано Дамп памяти ядра и ниже есть пусть куда сохраняется дамп памяти %SystemRoot%\MEMORY.DMP

Как анализировать синий экран dump memory в Windows-05

Перейдем в папку c:\windows\ и найдем файл MEMORY.DMP в нем содержаться коды синего экрана смерти

Как анализировать синий экран dump memory в Windows-memory.dmp

Как настроить mini dump

В малый дамп памяти тоже записываются ошибки синего экрана смерти, настраивается он там же, нужно только его выбрать.

Как анализировать синий экран dump memory в Windows-07

Хранится он в папке c:\windows\minidump. Преимущество в том, что он занимает меньше места и на каждый синий экран создается отдельным файлом. Всегда можно просмотреть историю появлений синего экрана.

Как анализировать синий экран dump memory в Windows-08

Теперь когда мы разобрались где искать файл memory dump, нужно научиться его интерпритировать и понимать причину из за чего происходит синий экран смерти.

В решении этой задачи нам поможет Microsoft Kernel Debugger.

Скачать Microsoft Kernel Debugger можно с официального сайта, главное выберите нужную версию ОС если кому то влом, то можете скачать с яндекс диска по прямой ссылке. Так же он входит в состав ADK.

Как установить Microsoft Kernel Debugger

Скачиваем Microsoft Kernel Debugger, в итоге у вас будет маленький файл который позволит скачать из интернета все что вам нужно. Запускаем его.

Как установить Microsoft Kernel Debugger-01

присоединяться к программе по улучшению качества участвовать не будем

Как установить Microsoft Kernel Debugger-02

жмем Accept и соглашаемся с лицензией

Как установить Microsoft Kernel Debugger-соглашаемся с лицензией

Далее выбираем компонент и жмем install

Как установить Microsoft Kernel Debugger-04

начнется установка Microsoft Kernel Debugger

Как установить Microsoft Kernel Debugger-установка MKD

Видим, что Microsoft Kernel Debugger успешно установлен

Как установить Microsoft Kernel Debugger-06

После чего видим, что в пуске появилась папка Debugging Tools for Windows как для 32 так и для 64 битных систем.

Как установить Microsoft Kernel Debugger-07

Помимо самого пакета Debugging Tools for Windows, также понадобятся набор отладочных символов — Debugging Symbols. Набор отладочных символов специфичен для каждой ОС, на которой был зафиксирован BSoD.

Потому придется загрузить набор символов для каждой ОС, анализировать работу которой Вам придется. Для 32-разрядной Windows XP потребуются набор символов для Windows XP 32-бит, для 64-разрядной ОС потребуются набор символов для Windows XP 64-бит.

Для других ОС семейства Windows наборы символов подбираются сообразно такому же принципу. Загрузить отладочные символы можно отсюда.

Устанавливать их рекомендуется по адресу %systemroot%\symbols хотя мне нравится устанавливать их в отдельные папки и не захламлять папку Windows.

Анализ синего экрана в Debugging Tools

После установки Debugging Symbols под систему на которой был синий экран смерти запускаем Debugging Tools

Как установить Microsoft Kernel Debugger-Запуск

Перед анализом содержимого дампа памяти, потребуется провести небольшую настройку отладчика. Конкретно — сообщить программе, по какому пути следует искать отладочные символы. Для этого выбираем в меню File > Symbol File Path…

Как установить Microsoft Kernel Debugger-09

Нажимаем кнопку Browse…

Как установить Microsoft Kernel Debugger10

и указываем папку, в которую мы установили отладочные символы для рассматриваемого дампа памяти, можно указать несколько папок через запятую и можно запрашивать информацию о требуемых отладочных символах прямо через Интернет, с публичного сервера Microsoft. Таким образом у вас будет самая новая версия символов. Сделать это можно следующим образом — в меню File > Symbol File Path… вводим:

SRV*%systemroot%\symbols*http://msdl.microsoft.com/download/symbols

Как установить Microsoft Kernel Debugger-11

Как анализировать синий экран смерти

Копируем с компьютера где выскочил синий экран, файл memory.dmp или minidump, и открываем его, выбираем в меню File > Open Crash Dump… и выбираем требуемый для рассмотрения файл.

Как анализировать синий экран смерти-01

Выбираем для примера minidump

Как анализировать синий экран смерти-открываем minidump

Начнется анализ минидампа, видим появилась ссылка на ошибку, щелкаем по ней для более детальной информации о синем экране.

Как анализировать синий экран смерти-03

И видим сбойное приложение которое крушит вашу систему, так же можно еще детальнее посмотреть в чем дело, ткнув ссылку.

Как анализировать синий экран смерти-04

Получите более детальную информацию по причине синего экрана.

Как анализировать синий экран смерти-05

Если открыть memory.dmp то вы получите подобную картину и видим почему синий экран у вас появился.

Как анализировать синий экран смерти-06

Ткнув по ссылке в логе вы получаете самую детальную информацию об ошибке.

Как анализировать синий экран смерти-07

Вот так вот просто диагностировать и устранить синий экран смерти.

Материал сайта pyatilistnik.org

Источник: http://pyatilistnik.org/kak-analizirovat-siniy-ekran-dump-memory-v-windows/

Понравилась статья? Поделить с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: