Рейтинг: 4.0/5.0 (1877 проголосовавших)Категория: Windows: Мониторинг
Июнь, 18th 2015
Windows вывалился в синий экран смерти. Что делать? Однозначного ответа на этот вопрос нет, так как вариантов лечения и расшифровки синих экранов смерти великое множество. Попробую рассказать как выявить причину синего экрана и диагностировать ошибку с вероятностью, близкой к 100%, а гадание оставим синоптикам.
На прошлой неделе ремонтировал компьютер на котором вылетал синий экран смерти с разными ошибками, чаще всего BAD_POOL_CALLER — stop 0x000000c2. Диагностируется данная ошибка довольно сложно, на его примере и попытаюсь рассказать как узнать причину возникновения по синего экрана смерти.
В процессе диагностики не обойтись без анализа специального файла minidump (дамп памяти) системы. Такие файлы создаются каждый раз после сбоя работы системы и содержат информацию о том, что к этому привело. Обычно все файлы minidump при BSOD сохраняются в папку C:\Windows\Minidump. Кроме того, имя файла содержит текущую дата его создания, чтобы не путаться когда возникла ошибка, если файлов много.
Проверьте, включено ли на вашем компьютере создание файлов minidump при сбое системы.
Анализ дампа памяти. Расшифровываем minidump.Нам понадобится установить Debugging Tools for Windows и скачать утилиту непосредственно для расшифровки файла дампа kdfe.cmd
Распаковываем скрипт kdfe.cmd и кладем его непосредственно в корень диска диска C:\ или создаем каталог C:\dump. Тут уж как вам удобнее. В командной строке пишем:
Выведется список всех минидампов, из папки C:\Windows\Minidump\ и скрипт предложит указать какой именно дамп будем анализироваться, либо можно самостоятельно выбрать требуемый дамп при запуске скрипта:
На мой взгляд первый вариант удобнее. Пример того что выдал скрипт при анализе одного из дампов памяти:
Еще одно доказательство что лучше избавляться от этих дебильных Амиго и майлру агентов. Таким же образом можно выявить и другие ошибки, приводящие к BSOD.
Существует еще одна интересная утилитка BlueScreenView. часто встречается на загрузочных флешках-реаниматорах, о которой я уже писал ранее на страницах блога. но на мой взгляд менее понятная для новичков.
Если вы считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.
- - 
Внимание. (Картинки и скриншоты приветствуются, но не злоупотребляйте размерами и объемом. Обязательно прятать под [Spoiler]) Для размещения фотографий используйте хостинг 
Размеры фотографий синих экранов можно уменьшить 
. Ваши пиксели и цветы рядом с монитором никому не интересны. 
Настройка параметров обработки сбоев и восстановления системы в Windows (Устранение неполадок)
Устранение неполадок
Устранение неполадок
- - Анализ дампа памяти при BSOD, или синих экранах.
Как определить почему у вас выпадает синий экран или как его еще называют BSOD - Blue Screen of Death??
Возможно он появляется из-за поврежденного вирусом приложения или плохого драйвера, так же бсоды могут появляться из-за ряда проблем с железом.
После того когда вы определите из-за какого драйвера выбивает синий экран вы можете откатиться на более ранний или исправный, бывают случаи когда после синего экрана по нормальному не пускает в windows или просто windows не дает заменить драйвер, тут вы должны воспользоваться Safe Mode - в него можно войти после перезагрузки компьютера - нажать F8 перед экраном приветствия.
Итак, чтобы определить что послужило причиной бсода вы должны получить так называемый дамп памяти, который генерирует windows при появлении бсода:
настройки для Windows 7
Открываем свойства системы Win + Pause (или правой кнопкой по моему компьютеру и свойства), далее Дополнительные параметры системы. вкладка Дополнительно и Загрузка и восстановление.
Детальное описание как решить проблему с синим экраном смерти или BSOD для новичков.
Наверное, многие из вас, мои уважаемые читатели, сталкивались с синим экраном смерти или BSOD. В данном руководстве пойдет речь о том, как выявить причину возникновения синего экрана и как ее устранить. Для начала разберем что же такое этот синий экран смерти и когда он появляется.
Синий экран смерти появляется, когда в Windows возникает серьезная ошибка и операционная система не может дальше продолжать работу. На экран выводится небольшая информация о произошедшей ошибке и система перезагружается или нет в зависимости от настроек. Если синий экран появился всего-то один два раза, то на проблему можно не обращать внимания, а вот если он появляется регулярно, то это уже повод для более детальных исследований проблемы.
Причины возникновения синего экрана смерти:С причинами разобрались. Рассмотрим теперь типичный синий экран смерти:
В контексте решения проблемы с синим экраном смерти нас интересует название ошибки и ее код. Часто под кодом указывается имя файла, который ошибку вызвал. Эта информация нам очень пригодится при решении проблемы с синим экраном смерти.
Важное замечание: по-умолчанию компьютер или ноутбук сразу перезагружается при появлении синего экрана смерти. В итоге ничего не получается разглядеть. Как отключить автоматическую перезагрузку будет показано ниже.
Прежде чем переходить непосредственно к решению проблемы с BSOD, нужно сначала узнать имя файла, который вызвал синий экран. Если оно было указано на синем экране, то можете переходить сразу к последнему разделу данного руководства.
Для начала нам необходимо включить запись отладочной информации.
Включение записи отладочной информации (дампов)При возникновении синего экрана смерти система может сохранить в файл детали об ошибке, которая произошла. По-умолчанию данная функция в Windows отключена. Нам нужно ее включить. Для этого переходим в Панель управления > Система > Дополнительно > Загрузка и восстановление > Параметры. В итоге откроется такое окно для XP и Vista/Windows 7:
В выпадающем меню выбираем Малый дамп памяти (64 КБ) и нажимаем ОК .
Важное замечание: прошу заметить, что в этом же окне можно отключить автоматическую перезагрузку системы при возникновении синего экрана смерти. Для этого достаточно лишь снять галочку с Выполнять автоматическую перезагрузку. Также прошу заметить, что внизу указывается куда те самые дампы будут сохраняться. Обычно они сохраняются в папке C:\Windows\Minidump\ .
И так. Теперь стоит дождаться синего экрана смерти. Тогда в папке C:\Windows\Minidump\ появится файл с именем примерно Mini. . Тот файл содержит информацию об ошибке, которая вызвала синий экран смерти.
Когда файл (дамп) будет сгенерирован Windows, можно переходить к его анализу. В этой статье будет рассмотрено два способа анализа. Один простой, а второй сложный, который позволяет получить гораздо больше информации об ошибке чем простой.
Простой способ анализа дампаСначала нам нужно скачать набор с утилитами по данным ссылкам: скачать / скачать. Сохраняете его на диске C:\. В результате у вас на диске С:\ должна появится папка BSOD .
Переходим в папку BlueScreenView и запускаем BlueScreenView.exe :
Данная утилита автоматически сканирует папку C:\Windows\Minidump\ на наличие дампов памяти, а потом сканирует каждый файл. В результате если выделить мышкой дамп памяти в верхнем окне, то в нижнем появится информация об ошибке. На изображении видно, что ошибку вызвал файлы nv4_disp.dll и другие. В данном случае это означает, что виновником появления синего экрана является видеодрайвер. Как это определяется будет рассказано в отдельном разделе ниже.
Сложный способ анализа дампаЭтот способ позволяет получить гораздо больше информации об ошибке чем простой. Для его реализации нужно сначала установить Windows Debugging Tools. Данный пакет есть в папке Windows Debugging Tools в архиве, который вы скачали в начале раздела Простой способ анализа дампа. Также понадобится скрипт kdfe.com. который также содержится в том архиве, который вы скачали.
Запускаем Командную строку от имени Администратора:
Вводим там команду C:\BSOD\kdfe.cmd C:\Windows\Minidump\(имя вашего дампа). Чтобы облегчить себе труд и не допустить ошибок при наборе, рекомендую пользоваться клавишей TAB. Нажимаете Enter :
Нас интересует строка Probably caused by:. Там указано какой файл возможно вызвал синий экран смерти. В примере выше это igxprd32.dll. который является одним из файлов видеодрайвера от Intel. Очевидно, что проблема вызвана видеодрайвером.
Если этой информации вам недостаточно, то можно запустить команду с ключом -v в конце: C:\BSOD\kdfe.cmd C:\Windows\Minidump\(имя вашего дампа) -v :
Выведется гораздо больше информации:
Ее можно сохранить в текстовый файл, который потом можно будет выложить при решении проблемы в данной теме форума: Решение проблем с синими экранами смерти (BSOD). Для этого нужно в конце команды дописать > C:\bsod.txt :
В результате на диске С:\ должен появится файл bsod.txt :
Теперь можно переходить к следующему шагу.
Решение проблемы с синим экраном смерти (BSOD)Сразу предупрежу, что сама по себе задача анализа дампа памяти может быть очень сложной и нетривиальной и далеко не факт, что у вас получится ее решить самостоятельно. Ниже будет представлено как решить своими силами наиболее частые проблемы с синим экраном смерти.
И так. К данному моменту у вас уже должно быть имя файла, который вызывает ошибку. Теперь определим к какой программе или драйверу данный файл относится. Для этого предлагаю воспользоваться информацией ниже:
Имя файла и программа или драйвер, к которой он относится (для некоторых драйверов даны только первые буквы):Когда проблемный драйвер или программа обнаружены, то их стоит обновить или заменить на другие версии. За драйверами вы можете обращаться в одну из данных темы форума: Решение проблем с поиском и установкой драйверов (общая тема по самым различным драйверам, кроме драйверов для видеокарт, сетевых карт, звуковых карт и Wi-Fi адаптеров. По ним есть отдельные темы), Решение проблем с драйверами на видеокарту. Решение проблем с драйверами для сетевой карты и Wi-Fi и Решение проблем с драйверами для звуковой карты. Прошу заметить, что сообщения не в подходящих темах будут или удалены, или проигнорированы.
Часто бывает полезно заглянуть в Журнал событий. который доступен через Панель управления. Там также можно найти много полезной информации об ошибке.
Если вы не нашли имени своего файла в списке выше или не смогли самостоятельно определить и решить проблему с синим экраном смерти, то обращайтесь только в данную тему форума: Решение проблем с синими экранами смерти (BSOD). В сообщении обязательно указываем имя файла, который вызвал ошибку, код самой ошибки, а также прикрепляем к сообщению дамп.
Прежде чем обращаться за помощью на форум проверьте винчестер, память и ноутбук в целом согласно данному руководству: Быстрая диагностика неисправностей ноутбука .
Все вопросы, которые связаны с синими экранами смерти, прошу излагать в данной теме форума: Решение проблем с синими экранами смерти (BSOD) .
Все замечания и предложения по самой статье вы можете высказать через данную контактную форму: отправить e-mail автору. Прошу заметить, что если у вас что-то не получается, то спрашивать стоит только на форуме. Подобного рода электронные письма будут проигнорированы.
С уважением, автор материала - Тониевич Андрей. Публикация данного материала на других ресурсах разрешаются исключительно со ссылкой на источник и с указанием автора
Рейтинг:
/ 332
Хуже Лучше
Автор gecata
В один безрадостный день (ночь) вы убеждаетесь, что бунт машин – не выдумка фантастов. Ваш комп перезагрузился. Сам. Без вашего желания, и, что наиболее поразительно, не спросив разрешения! Потом это случилось еще раз. Потом еще. Если вы – не Большой Босс, комп нужен вам для работы (полноценного отдыха), и морока с сервис-центром не входит в ваши планы, вы начинаете искать причину. И в еще один (прекрасный) день вам говорят, что перезагружаясь, комп пытается спастись от краха системы, и если вы эту перезагрузку снимете, то можно узнать причину грозящей беды.
Рецепт прост, как все гениальное: правой кнопкой мыши кликаем по значку Мой компьютер. выбираем Свойства. вкладка Дополнительно. там кнопка Параметры в разделе Загрузка и восстановление. И, наконец, в появившемся окошке, в разделе Отказ системы снять галочку напротив Выполнить автоматическую перезагрузку .
И вот с этого момента ваша зубная боль (перезагрузки) превращается в головную. Потому что с какого-то момента при очередном отказе системы появляется знаменитый Синий Экран (BSOD), на котором написаны цифры, тот самый код, в котором хранится та самая страшная тайна.
Пометавшись по Сети, получив на разных форумах рекомендации от замены всего железа и переустановки системы до. других (наверное, умных – потому что совершенно непонятных) и добравшись до сайта поддержки Майкрософт, вы, возможно, получите по коду ошибки решение вашей проблемы. Но чаще – получите вы совершенно непереводимую статью на английском языке. Но все-таки там периодически мелькает одно понятное слово – drivers.
Да, стоит упомянуть, что во время метаний по сайту Майкрософт вы пару раз наткнетесь на слово ОТЛАДЧИК (debugger). Но потом вам объяснят, что вещь, оно, может, и полезная, но бестолковая. Потому что результат работы отладчика надо посылать в Майкрософт и ждать от них ЦУ.
И вот свершилось! И от отладчика может быть польза.
Итак, определяем «виновный» драйвер:Kdfe "%systemroot%\Minidump\Mini050208-01.dmp"
где Mini050208-01.dmp – имя файла из папки Minidump. Вы, естественно, вместо моего файла подставляете имя своего. Нажимаете Enter и через некоторое время получаете имя повинного в ваших проблемах драйвера.
2) Щелкаете ссылку Дополнительные параметры системы
3) Переходите на вкладку Дополнительно
4) Нажимаете кнопку Параметры в Загрузка и восстановление
Анализ дампа памяти и определение драйвера, вызвавшего ошибку:
2) Загрузите командный файл kdfe.cmd kdfe.zip [2,44 Kb] (cкачиваний: 601) (Kernel Debugger Front End) со скриптом для облегчения анализа дамп-файлов, создаваемых Windows при STOP ошибках (BSoD), оригинальный его код взят на ресурсе sysadmins.ru.
Примечание: Если папка Debugging Tools for Windows находиться у вас не в папке Program Files. то в файле kdfe.cmd необходимо указать другой путь к папке, в которую установлены средства Debugging Tools for Windows.
Путь к папке указан после параметра set dbgpath=
4) Откройте командную строку и перейдите в папку, в которую вы распаковали kdfe.cmd.
5) Запустите файл, указав в качестве параметра путь к файлу дампа памяти (в примере ниже файл называется Mini1110307-01.dmp)
user000 11 июн 2005
2. У меня команды в RUN не сохраняются. В реестре я не копалься.
3. Где можно найти справку о всех папках WIndows?
Ray 11 июн 2005
1. В этой папке хранятся минидампы (по 64kb) оперативной памяти, которые создаются при ее крахе (Когда синий экран выскакивает). Толку с них тебе лично никакого, поэтому можно их потереть и отключить их создание через Панель управдения - Система - вкладка "Быстродейтсвие" - параметры Загрузки и восстановления - в списке "Запись отладочной информации" выбрать "Отсутствует".
user000 12 июн 2005
Ray 12 июн 2005
Что такое дамп
• dump (англ.) – мусорная куча; свалка; дыра; трущоба.
• dump (memory dump ) – 1) дамп. вывод содержимого оперативной памяти на печать или экран; 2) «снимок» оперативной памяти; данные, получаемые в результате дампинга ; 3) аварийное снятие, выключение, сброс.
Информация о дампе памяти в системном Реестре
В разделе Реестра Windows [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl] аварийный дамп памяти определяется следующими параметрами:
– REG_DWORD -параметр AutoReboot со значением 0x1 (опция Выполнить автоматическую перезагрузку вспомогательного окна Загрузка и восстановление диалогового окна Свойства системы );
– REG_DWORD -параметр CrashDumpEnabled со значением 0x0. если дамп памяти не создаётся; 0x1 – Полный дамп памяти ; 0x2 – Дамп памяти ядра ; 0x3 – Малый дамп памяти (64КБ) ;
– REG_EXPAND_SZ -параметр DumpFile со значением по умолчанию %SystemRoot%\MEMORY.DMP (место хранения файла дампа);
– REG_DWORD -параметр LogEvent со значением по умолчанию 0x1 (опция Записать событие в системный журнал окна Загрузка и восстановление );
– REG_EXPAND_SZ -параметр MinidumpDir со значением по умолчанию %SystemRoot%\Minidump (опция Папка малого дампа окна Загрузка и восстановление );
– REG_DWORD -параметр Overwrite со значением по умолчанию 0x1 (опция Заменять существующий файл дампа окна Загрузка и восстановление );
– REG_DWORD -параметр SendAlert со значением по умолчанию 0x1 (опция Отправить административное оповещение окна Загрузка и восстановление ).
Как система создаёт файл аварийного дампа памяти
Во время загрузки операционная система проверяет параметры создания аварийного дампа в разделе реестра [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl]. Если указан хотя бы один параметр, то система генерирует карту блоков диска, занимаемых файлом подкачки на загрузочном томе, и сохраняет её в памяти. Система также определяет, какой драйвер дискового устройства управляет загрузочным томом, вычисляет контрольные суммы для образа драйвера в памяти и для структур данных, которые должны быть целыми, чтобы драйвер мог выполнять операции ввода/вывода.
После сбоя ядро системы проверяет целостность карты страничного файла, дискового драйвера и управляющих структур дискового драйвера. Если целостность этих структур не нарушена, то ядро системы вызывает специальные функции ввода/вывода дискового драйвера, предназначенные для сохранения образа памяти после системного сбоя. Эти функции ввода/вывода самодостаточны и не полагаются на службы ядра системы, поскольку в программах, отвечающих за запись аварийного дампа, нельзя делать никаких предположений о том, какие части ядра системы или драйверы устройств при сбое были повреждены. Ядро системы записывает данные из памяти по карте секторов файла подкачки (при этом ему не приходится использовать драйверы файловой системы).
Сначала ядро системы проверяет состояние каждого компонента, задействованного в процессе сохранения дампа. Это делается для того, чтобы при прямой записи в секторы диска не повредить данные, лежащие вне страничного файла. Размер страничного файла должен быть на 1МБ больше размера физической памяти, потому что при записи информации в дамп создаётся заголовок, в котором содержатся сигнатура аварийного дампа и значения нескольких важнейших переменных ядра системы. Заголовок занимает меньше 1МБ. но операционная система может увеличивать (или уменьшать) размер файла подкачки не менее чем на 1МБ.
После загрузки системы Session Manager (Диспетчер сеанса Windows NT ; дисковый адрес – \WINDOWS\system32\smss.exe ) инициализирует страничные файлы системы, используя для создания каждого файла собственную функцию NtCreatePagingFile. NtCreatePagingFile определяет, существует ли инициализируемый страничный файл, и если да, то имеется ли в нём заголовок дампа. Если заголовок есть, то NtCreatePagingFile посылает в Session Manager специальный код. После этого Session Manager запускает процесс Winlogon (Программа входа в систему Windows NT ; дисковый адрес – \WINDOWS\system32\winlogon.exe ), который извещается о существовании аварийного дампа. Winlogon запускает программу SaveDump (Программа сохранения копии памяти Windows NT ; дисковый адрес – \WINDOWS\system32\savedump.exe ), которая анализирует заголовок дампа и определяет дальнейшие действия в аварийной ситуации.
Если заголовок указывает на существование дампа, то SaveDump копирует данные из страничного файла в файл аварийного дампа. имя которого задано REG_EXPAND_SZ -параметром DumpFile раздела Реестра [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl]. Пока SaveDump переписывает файл дампа, операционная система не задействует ту часть страничного файла, в которой содержится аварийный дамп. В это время объём виртуальной памяти, доступной для системы и приложений, уменьшается на размер дампа (при этом на экране могут появиться сообщения, указывающие на нехватку виртуальной памяти). Затем SaveDump информирует диспетчер памяти о завершении сохранения дампа, и тот высвобождает ту часть страничного файла, в которой хранится дамп, для общего пользования.
Сохранив файл дампа, программа SaveDump делает запись о создании аварийного дампа в журнале событий Система . например: «Компьютер был перезагружен после критической ошибки: 0x100000d1 (0xc84d90a6, 0x00000010, 0x00000000, 0xc84d90a6). Копия памяти сохранена: C:\WINDOWS\Minidump\Mini060309-01.dmp».
Если включена опция Отправить административное оповещение. то SaveDump отправляет оповещение администратору.
• Полный дамп памяти записывает всё содержимое системной памяти при возникновении неустранимой ошибки. Для этого варианта необходимо иметь на загрузочном томе файл подкачки, размер которого равен объёму всей физической оперативной памяти плюс 1МБ. По умолчанию полный дамп памяти записывается в файл %SystemRoot%\Memory.dmp. При возникновении новой ошибки и создании нового файла полного дампа памяти (или дампа памяти ядра) предыдущий файл заменяется (перезаписывается). Параметр Полный дамп памяти недоступен на ПК. на которых установлена 32-битная операционная система и 2 или более гигабайта оперативной памяти.
При возникновении новой ошибки и создании нового файла полного дампа памяти предыдущий файл заменяется.
• Дамп памяти ядра записывает только память ядра, благодаря чему процесс записи данных в журнал при внезапной остановке системы протекает быстрее. В зависимости от объёма физической памяти ПК в этом случае для файла подкачки требуется от 50 до 800МБ или одна треть физической памяти компьютера на загрузочном томе. По умолчанию дамп памяти ядра записывается в файл %SystemRoot%\Memory.dmp.
Этот дамп не включает нераспределённую память или память, выделенную для программ пользовательского режима. Он включает только память, выделенную для ядра и аппаратно-зависимого уровня (HAL ) в Windows 2000 и более поздних версиях системы, а также память, выделенную для драйверов режима ядра и других программ режима ядра. В большинстве случаев такой дамп является наиболее предпочтительным вариантом. Он занимает намного меньше места по сравнению с полным дампом памяти, при этом исключая только те сектора памяти, которые, скорее всего, не связаны с ошибкой.
При возникновении новой ошибки и создании нового файла дампа памяти ядра предыдущий файл заменяется.
• Малый дамп памяти записывает наименьший объем полезной информации, необходимых для определения причины неполадок. Для создания малого дампа памяти необходимо, чтобы размер файла подкачки составлял как минимум 2МБ на загрузочном томе.
Файлы малого дампа памяти содержат следующие сведения:
– сообщение о неустранимой ошибке, её параметры и прочие данные;
– список загруженных драйверов ;
– контекст процессора (PRCB ), на котором произошел сбой;
– сведения о процессе и контекст ядра (EPROCESS ) для процесса, вызвавшего ошибку;
– сведения о процессе и контекст ядра (ETHREAD ) для потока, вызвавшего ошибку;
– стек вызовов в режиме ядра для потока, вызвавшего ошибку.
Файл малого дампа памяти используется при ограниченном пространстве жёсткого диска. Однако из-за ограниченности содержащихся в нём сведений в результате анализа этого файла не всегда удаётся обнаружить ошибки, которые не были непосредственно вызваны потоком, выполнявшимся в момент её возникновения.
При возникновении следующей ошибки и создании второго файла малого дампа памяти предыдущий файл сохраняется. Каждому дополнительному файлу даётся уникальное имя. Дата закодирована в имени файла. Например, Mini051509-01.dmp — это первый файл дампа памяти, созданный 15 мая 2009 г. Список всех файлов малого дампа памяти хранится в папке %SystemRoot%\Minidump.
Операционная система Windows 10 . несомненно, значительно надёжнее предыдущих версий, – благодаря усилиям как разработчиков Microsoft. так и разработчиков драйверов аппаратного обеспечения, так и разработчиков прикладного программного обеспечения. Однако аварийные ситуации – всевозможные сбои и крахи системы – неизбежны, и от того, владеет ли пользователь ПК знаниями и навыками в их устранении, зависит, придётся ему затратить несколько минут на поиск и устранение неисправности (например, на обновление/отладку драйвера или переустановку прикладной программы, вызывающей системный сбой), – или несколько часов на переустановку/настройку операционной системы и прикладного программного обеспечения (что не гарантирует отсутствия сбоев и крахов в дальнейшем!).
Многие системные администраторы пренебрегают анализом аварийных дампов Windows . считая, что работать с ними слишком трудно. Трудно, но можно: даже если, например, анализ одного дампа из десяти окажется успешным, – усилия, потраченные на освоение простейших приемов анализа аварийных дампов, будут не напрасны.
Приведу примеры из своей «сисадминской» практики.
В локальной сети без видимой причины («железо» в порядке, отсутствие вирусов гарантировано, пользователи – с «нормальными руками») «полегли» несколько рабочих станций с Windows XP SP1/SP2 «на борту». Компьютеры загрузить в нормальном режиме не удавалось, – доходило до «Приветствия» – и на перезагрузку до бесконечности. При этом, в Безопасном режиме ПК загружались.
Изучение дампов памяти позволило выявить причину неисправности: виновником оказался антивирус Касперского . точнее, свежие антивирусные базы (если еще точнее, то два модуля баз – base372c.avc. base032c.avc ).
…Еще был такой случай. На локальном ПК с Windows XP SP3 при попытке открыть видеофайлы форматов .avi и .mpeg происходила перезагрузка. Изучение аварийного дампа памяти позволило выявить причину неисправности – файл nv4_disp.dll драйвера видеокарты NVIDIA GeForce 6600. После обновления драйвера неисправность была устранена.
В обоих случаях изучение аварийного дампа памяти позволило до минимума (несколько минут!) свести время для диагностирования и устранения неисправности.
Примечания
1. Хотя документация Microsoft по отладке Windows постоянно совершенствуется, она всё еще ориентирована на разработчиков драйверов устройств.
2. Загрузочный том содержит операционную систему Windows и файлы поддержки. Загрузочный том может быть одновременно и системным (необязательно).
3. Системный том содержит файлы конфигурации оборудования, необходимые для загрузки Windows. Системный том может быть одновременно и загрузочным (необязательно). Системный том содержит такие файлы как, например, boot.ini . NTDETECT.COM и Bootfont.bin.
4. Как правило, для выявления причины неисправности вполне достаточно даже малого дампа памяти.
5. Дамп системной памяти может потребоваться представителям службы технической поддержки операционной системы или прикладного программного обеспечения для устранения причины системного сбоя.
6. Дампы памяти, как правило, создаются операционной системой, но могут создаваться и различными программами (например, антивирусами). Дампы памяти активно используются и хакерами, – при взломе лицензионного программного обеспечения.
BSoD – «Синий экран смерти» (Blue Screen of Death). Объяснять, что это такое, думаю, нет смысла, все с этим сталкивались. Иногда синий экран вполне информативен, повествует нам о возникшей ошибке в виде ее кода (UNMOUNTABLE_BOOT_VOLUME, BAD_POOL_CALLER и т.п.) или напрямую пишет имя процесса, вызвавшего падение системы. Но, к сожалению, не всегда… бывает, что кроме советов проверить оперативную память, обновить драйвера и просканировать диски на ошибки, никакой информативности синий экран не несет.
В Windows существует такая вещь, как minidump. Это файл, который создается после сбоя работы системы с информацией о том, что к этому привело. Каждый BSoD сохраняется в системе в виде зашифрованного файла. По умолчанию, все эти логи находятся в папке Windows\Minidump. Хранятся в виде файлов формата «Mini[Дата]-[Номер].dmp», например, файл Mini060911-05.dmp хранит данные о синем экране, обрадовавшем нас 9 июня 2011 года, причем пятый раз за день. Но для того, чтобы просмотреть этот файл нужна специальная утилита.
О том как включить функцию Minidump и суметь прочитать его и пойдет речь в этой статье.
1. Включить Minidump
«Пуск» — «Настройка» — «Панель управления» — «Система», переходим во вкладку «Дополнительно», в блоке Загрузка и восстановление жмем «Параметры». Внизу должен быть выбран «Малый дамп памяти» и указан каталог, где он будет храниться:
Теперь, если друг система падает в Синий Экран Смерти (BSoD), то в каталоге C:\Windows\Minidump создастся файл, в имени которого будет текущая дата.
2. Расшифровать Minidump
Для этого нам понадобится установить Debugging Tools for Windows и скачать утилиту непосредственно для расшифровки файла дампа kdfe.cmd
Когда установили Debugging Tools, копируем kdfe.cmd в корень диска C:\
Запускаем командную строку «Пуск» -«Выполнить», вписываем команду cmd
Теперь в черном окне пишем следующее:
где «Mini120710-01.dmp» — имя вашего файла дампа.
Результат выглядит так:
В моем случае сбой системы был вызван браузером Google Chrome.
