Co jsou výpisy paměti systému Windows? Použití výpisu paměti k diagnostice selhání. Jak povolit ukládání paměti v systému Windows

Tato krátká poznámka má za cíl ukázat, jak můžete nakonfigurovat systém pro případ nouze Výpis paměti Windows, tedy výpis, který lze vytvořit, pokud dojde ke kritickému selhání, charakterizovanému zobrazením modré obrazovky smrti (BSOD). Co je to skládka obecně, proč ji potřebujeme a co to je, jaké problémy má řešit a jaké informace obsahuje?

Výpis paměti - obsah pracovní paměti procesu, jádra nebo celého operačního systému, zahrnující kromě pracovních oblastí další informace o stavu registrů procesoru, obsahu zásobníku a dalších strukturách služeb.

Proč bychom mohli potřebovat tento obsah, tzn. Výpis paměti Windows? Snad nejběžnějším použitím výpisu paměti je studium příčin selhání systému (), které způsobilo úplné zastavení operačního systému. Kromě toho lze stav paměti použít pro jiné účely. Je také důležité, že výpis paměti je doslova jediným způsobem, jak získat informace o případném selhání! A získání (získání) výpisu systémové paměti je ve skutečnosti jedinou přesnou metodou, jak získat okamžitý otisk (kopii) obsahu fyzické paměti systému.

Čím přesněji obsah výpisu odráží stav paměti v době poruchy, tím podrobněji budeme schopni analyzovat nouzovou situaci. Proto je nesmírně důležité získat aktuální kopii fyzické paměti systému v přesně definovaném okamžiku bezprostředně předcházejícím selhání. A jediný způsob, jak toho dosáhnout, je vytvořit úplný výpis z havárie. Důvod je zcela triviální - když dojde k crash dumpu systémové paměti, ať už v důsledku poruchy nebo v důsledku uměle simulované situace, je systém v tomto okamžiku přijímání řízení nouzových funkcí (KeBugCheckEx) v absolutně nezměněný (statický) stav, proto mezi okamžikem, kdy dojde k poruše, a okamžikem zápisu dat na médium, se obsah fyzické paměti nic nemění a na disk je zapsána v původním stavu. Tedy teoreticky, ale v životě občas, ale jsou situace, kdy kvůli vadným hardwarovým komponentům může dojít k poškození samotného výpisu paměti, nebo k zamrznutí stanice při nahrávání výpisu.

V naprosté většině případů od okamžiku, kdy začne proces vytváření výpisu paměti při selhání, až do konce zápisu obsahu paměti na disk, zůstávají informace v paměti nezměněny.

Teoreticky se statika (neměnnost) paměťového „otisku“ vysvětluje tím, že při volání funkce KeBugCheckEx, která zobrazí informaci o poruše a spustí proces vytváření výpisu paměti, je systém již zcela zastaven a obsah fyzické paměti se zapíše do bloků obsazených na disku stránkovacím souborem, načež se při následném načtení operačního systému resetuje na soubor na systémovém médiu. No, skoro jednou jsem pozoroval situaci, kdy mi vadná základní deska neumožnila uložit výpis paměti: a) zamrznutí, když běžela logika ukládání výpisu (proces nedosáhl 100 %), b) poškození souboru výpisu paměti ( ladicí program si stěžoval na struktury), c) zapisování souborů s výpisem paměti.dmp nulové délky. Přestože je tedy systém v okamžiku vytvoření výpisu paměti již zcela zastaven a běží pouze nouzový kód, vadný hardware může provádět úpravy libovolné logiky bez výjimky v jakékoli fázi provozu.
Tradičně se v počáteční fázi diskové bloky přidělené stránkovacímu souboru používají k uložení výpisu paměti systému Windows. Poté, po modré obrazovce a restartu, jsou data přesunuta do samostatného souboru a poté je soubor přejmenován pomocí vzoru v závislosti na typu výpisu. Počínaje verzí Windows Vista je však možné tento stav změnit; nyní má uživatel možnost uložit vybraný výpis bez účasti stránkovacího souboru a umístit informace o selhání do dočasného souboru. Bylo to provedeno za účelem eliminace konfiguračních chyb spojených s nesprávným nastavením velikosti a pozice stránkovacího souboru, což často vedlo k problémům při procesu ukládání výpisu paměti.
Podívejme se, jaké typy výpisů paměti nám operační systém Windows umožňuje vytvářet:

• Výpis paměti procesu (aplikace);
• výpis paměti jádra;
• Kompletní výpis paměti (výpis dostupné části fyzické paměti systému).

Všechny výpisy při selhání lze rozdělit do dvou hlavních kategorií:

• Selhání vypíše informace o výjimce, ke které došlo. Obvykle se vytvářejí automaticky, když se v aplikaci/jádru objeví neošetřená výjimka, a podle toho lze zavolat systémový (vestavěný) debugger. V tomto případě jsou informace o výjimce zaznamenány do výpisu, což usnadňuje určení typu výjimky a místa, kde k ní došlo během následné analýzy.
• Chybové výpisy bez informací o výjimce. Obvykle je vytvořen ručně uživatelem, když je nutné jednoduše vytvořit snímek procesu pro následnou analýzu. Tato analýza neznamená určení typu výjimky, protože k žádné výjimce nedošlo, ale analýzu zcela jiného druhu, například studium datových struktur procesu a podobně.

Konfigurace výpisu paměti jádra

Abyste mohli provádět akce popsané v této části, musíte být přihlášeni pomocí účtu správce.

Pojďme rovnou do konfigurace nastavení výpisu při selhání systému Windows. Nejprve musíme jedním z následujících způsobů přejít do okna vlastností systému:

1. Klepněte pravým tlačítkem myši na ikonu "Tento počítač" - "Vlastnosti" - "Pokročilá nastavení systému" - "Upřesnit".
2. Tlačítko "Start" - "Ovládací panely" - "Systém" - "Pokročilá nastavení systému" - "Upřesnit".
3. Klávesová zkratka "Windows" + "Pauza" - "Pokročilá nastavení systému" - "Upřesnit".
4. 
   řídicí systém.cpl,3
5. Spustit na příkazovém řádku (cmd):
   SystemPropertiesAdvanced

Výsledkem popsaných akcí je otevření okna „Vlastnosti systému“ a výběr karty „Upřesnit“:

Poté v části „Boot and Recovery“ klikneme, vybereme „Možnosti“ a tím otevřete nové okno s názvem „Stažení a obnovení“:

Všechny parametry výpisu z havárie jsou seskupeny v bloku parametrů nazvaném "System Failure". V tomto bloku můžeme nastavit následující parametry:

1. Zapisujte události do systémového protokolu.
2. Proveďte automatický restart.
3. Záznam informací o ladění.
4. Dump soubor.
5. Nahradit existující soubor výpisu.

Jak vidíte, mnoho parametrů ze seznamu je docela triviálních a snadno pochopitelných. Rád bych však podrobněji uvedl parametr "Soubor výpisu". Parametr je zobrazen jako rozevírací seznam a má čtyři možné hodnoty:

Malý výpis paměti

Malý výpis paměti (minidump) je soubor, který obsahuje nejmenší množství informací o selhání. Nejmenší ze všech možných výpisů paměti. Navzdory zjevným nevýhodám jsou minidumpy často používány jako informace o selhání, které mají být převedeny na dodavatele ovladačů třetích stran k následnému prostudování.
Sloučenina:

• Chybové hlášení.
• Chybová hodnota.
• Parametry chyby.
• Kontext procesoru (PRCB), ve kterém došlo k selhání.
• Informace o procesu a kontext jádra (EPROCESS) pro zhroucení procesu a všech jeho vláken.
• Zpracovat informace a kontext jádra (ETHREAD) pro vlákno způsobující selhání.
• Zásobník režimu jádra pro vlákno, které způsobilo selhání.
• Seznam načtených ovladačů.

Ubytování: %SystemRoot%\Minidump\MMDDYY-XXXXX-NN.dmp. Kde MMDDYY je měsíc, den a rok, NN je sériové číslo výpisu.
Objem: Velikost závisí na bitové verzi operačního systému: ve stránkovacím souboru (nebo v souboru specifikovaném v DedicatedDumpFile) je vyžadováno pouze 128 kilobajtů pro 32bitový a 256 kilobajtů pro 64bitový operační systém. Protože nemůžeme nastavit tak malou velikost, zaokrouhlíme ji na 1 megabajt.

Výpis paměti jádra

Tento typ výpisu obsahuje kopii veškeré paměti jádra v době havárie.
Sloučenina:

• Seznam běžících procesů.
• Stav aktuálního vlákna.
• Paměťové stránky v režimu jádra přítomné ve fyzické paměti v době havárie: paměť ovladače v režimu jádra a programová paměť v režimu jádra.
• Hardwarově závislá paměť (HAL).
• Seznam načtených ovladačů.

Ve výpisu paměti jádra chybí stránky nepřidělené paměti a stránky uživatelského režimu. Souhlasíte, je nepravděpodobné, že by nás stránky procesu uživatelského režimu mohly zajímat během selhání systému (BugCheck), protože selhání systému je obvykle iniciováno kódem režimu jádra.

Velikost: Liší se v závislosti na velikosti adresního prostoru jádra přiděleného operačním systémem a počtu ovladačů režimu jádra. V odkládacím souboru (nebo v souboru specifikovaném v DedicatedDumpFile) je obvykle vyžadována asi třetina fyzické paměti. Se může lišit.

Kompletní výpis paměti

Úplný výpis paměti obsahuje kopii veškeré fyzické paměti (RAM) v době selhání. V souladu s tím je do souboru zahrnut celý obsah systémové paměti. To je výhoda i hlavní nevýhoda, protože jeho velikost může být na některých serverech s velkým množstvím paměti RAM významná.
Sloučenina:

• Všechny stránky "viditelné" fyzické paměti. Toto je téměř celá systémová paměť, s výjimkou oblastí používaných hardwarem: BIOS, PCI prostor atd.
• Data z procesů, které byly spuštěny v systému v době selhání.
• Stránky fyzické paměti, které nejsou mapovány do virtuálního adresového prostoru, ale které mohou pomoci při vyšetřování příčiny selhání.

Ve výchozím nastavení úplný výpis paměti nezahrnuje oblasti fyzické paměti používané systémem BIOS.
Umístění: %SystemRoot%\MEMORY.DMP . Předchozí výpis je přepsán.
Svazek: Stránkovací soubor (nebo soubor specifikovaný v DedicatedDumpFile) vyžaduje svazek rovný velikosti fyzické paměti + 257 megabajtů (těchto 257 MB je rozděleno na určitou hlavičku + data ovladače). Ve skutečnosti lze v některých operačních systémech spodní práh stránkovacího souboru nastavit přesně na hodnotu velikosti fyzické paměti.

Automatický výpis paměti

Počínaje Windows 8/Windows Server 2012 byl do systému zaveden nový typ výpisu paměti s názvem Automatic Memory Dump, který je nastaven jako výchozí typ. V tomto případě se systém sám rozhodne, který výpis paměti zaznamená v případě konkrétního selhání. Logika výběru navíc závisí na mnoha kritériích, včetně frekvence „havárií“ operačního systému.

Po změně konfigurace výpisu paměti systému Windows může být nutné restartovat počítač.

Nastavení registru

Sekce registru, která definuje parametry výpisu při selhání:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

Možnosti:

Parametr	Typ	Popis
AutoReboot	REG_DWORD	Povolit/zakázat automatický restart, když dojde k BSOD.
CrashDumpEnabled	REG_DWORD	Typ vytvářeného výpisu. 0 - nevytvářet výpis paměti; 1 - kompletní výpis paměti; 2 - výpis paměti jádra; 3 - malý výpis paměti;
DumpFile	REG_EXPAND_SZ	Cesta a název výpisu paměti jádra a úplného výpisu paměti.
DumpFilters	REG_MULTI_SZ	Filtr ovladačů v zásobníku ovladačů výpisu paměti. Umožňuje přidat nové funkce ve fázi vytváření výpisů při selhání. Například šifrování obsahu výpisu. Změna hodnoty se nedoporučuje.
LogEvent	REG_DWORD	Záznam události do systémového protokolu.
MinidumpDir	REG_EZPAND_SZ	Cesta a název malého výpisu paměti.
MinidumpsCount	REG_DWORD	Maximální počet malých výpisů paměti. Při překročení se začnou přepisovat starší verze.
Přepsat	REG_DWORD	Nahradit existující soubor výpisu. Pouze pro výpis paměti jádra a úplný výpis paměti.
IgnorovatPagefileSize	REG_DWORD	Ignoruje soubor standardní stránky jako místo pro dočasné (přechodné) úložiště výpisu paměti. Označuje, že výpis paměti by měl být zapsán do samostatného souboru. Používá se ve spojení s možností DedicatedDumpFile.
DedicatedDumpFile	REG_EZPAND_SZ	Cesta a název dočasného alternativního souboru pro záznam výpisu paměti. Ve druhém průchodu budou data stále přesunuta do DumpFile/MinidumpDir.

Ruční vytvoření výpisu paměti

Výše jsme popsali nastavení pro automatické vytváření výpisů zhroucení systému v případě kritické chyby, tedy neošetřené výjimky v kódu jádra. Ale v reálném životě, kromě pádu operačního systému, existují situace, kdy je nutné získat výpis systémové paměti v konkrétním okamžiku. Jak být v tomto případě? Existují způsoby, jak získat snímek veškeré fyzické paměti, například pomocí příkazu .dump v ladicích programech WinDbg/LiveKD. LiveKD je program, který vám umožňuje spouštět ladicí program jádra Kd na běžícím systému v místním režimu. Debugger WinDbg má také podobnou funkci. Metoda výpisu za běhu však není přesná, protože výpis vygenerovaný v tomto případě je „nekonzistentní“, protože vygenerování výpisu chvíli trvá a v případě použití ladicího programu v režimu jádra systém nadále běží a vytváří změny na stránkách paměti.

Jedním z nejčastějších selhání systému Windows jsou systémové výjimky, které uživatel vidí ve formě „modré obrazovky smrti“ (BSOD). K této fatální chybě zpravidla dochází buď v důsledku nefunkčnosti ovladačů, hardwaru (obvykle při načítání OS) nebo v důsledku působení virů a antivirů.

Modrá obrazovka smrti obsahuje informace o důvodech, které způsobily výjimku (ve formě kódu chyby STOP ve tvaru 0x0000007b), adresy paměti, ke kterým se přistupovalo, když došlo k výjimce, a další užitečné informace. Taková informace se nazývá chyba STOP, jejíž proměnnými parametry jsou právě adresy paměti. Někdy také obsahuje název souboru, který způsobil výjimku.

Všechny tyto informace se na obrazovce nezobrazují po dlouhou dobu (až 100 sekund), poté se počítač restartuje. Během této krátké doby se obvykle vygeneruje výpis paměti a zapíše se do souboru. Jednou z důležitých profesionálních metod diagnostiky selhání je analýza výpisu paměti, o které bude podrobně pojednáno v tomto článku.

Co je to skládka

• skládka (anglicky) – halda odpadu; skládka; otvor; slum.
• dump (výpis paměti) – 1) výpis, výstup obsahu paměti RAM na tisk nebo obrazovku; 2) „snímek“ paměti RAM; údaje získané v důsledku dumpingu; 3) nouzové odstranění, vypnutí, reset.
• vysypání – vysypání, odvoz skládky.

Nastavení pro ukládání výpisu paměti jsou uložena v systémovém registru Windows.

Informace o výpisu paměti v systémovém registru:

V části Registr systému Windows je výpis při selhání definován následujícími parametry:

– Parametr REG_DWORD AutoReboot s hodnotou 0×1 (volba Automaticky restartovat pomocné okno Boot and Restore dialogového okna Vlastnosti systému);

– Parametr REG_DWORD CrashDumpEnabled s hodnotou 0×0, pokud není vytvořen výpis paměti; 0×1 – Kompletní výpis paměti; 0×2 – výpis paměti jádra; 0x3 – Malý výpis paměti (64 kB);

– Parametr REG_EXPAND_SZ DumpFile s výchozí hodnotou %SystemRoot%\MEMORY.DMP (umístění úložiště souborů výpisu);

– parametr REG_DWORD LogEvent s výchozí hodnotou 0×1 (možnost Zaznamenat událost do systémového protokolu okna Boot and Recovery);

– Parametr REG_EXPAND_SZ MinidumpDir s výchozí hodnotou %SystemRoot%\Minidump (možnost Složka malého výpisu v okně Boot and Recovery);

– Parametr REG_DWORD Přepsat s výchozí hodnotou 0×1 (možnost Přepsat existující soubor výpisu v okně Boot and Restore);

– Parametr REG_DWORD SendAlert s výchozí hodnotou 0x1 (možnost Odeslat administrativní výstrahu okna Boot and Recovery).

Jak systém vytváří soubor výpisu zhroucení

Během spouštění operační systém kontroluje nastavení výpisu zhroucení v klíči registru. Pokud je zadán alespoň jeden parametr, systém vygeneruje mapu diskových bloků obsazených stránkovacím souborem na zaváděcím svazku a uloží ji do paměti. Systém také určí, který ovladač diskového zařízení řídí spouštěcí svazek, vypočítá kontrolní součty pro obraz paměti ovladače a pro datové struktury, které musí být celé číslo, aby ovladač mohl provádět I/O operace.

Po selhání systémové jádro zkontroluje integritu mapy souboru stránky, ovladače disku a řídicí struktury ovladače disku. Pokud nedojde k narušení integrity těchto struktur, pak jádro systému zavolá speciální I/O funkce ovladače disku určené k uložení obrazu paměti po selhání systému. Tyto I/O funkce jsou samostatné a nespoléhají na služby jádra, protože programy odpovědné za psaní výpisu zhroucení nemohou učinit žádné předpoklady o tom, které části jádra systému nebo ovladače zařízení byly poškozeny, když došlo k havárii. Systémové jádro zapisuje data z paměti do mapy sektorů stránkovacího souboru (nemusí používat ovladače souborového systému).

Nejprve jádro systému zkontroluje stav každé součásti zapojené do procesu výpisu. To je provedeno tak, aby při přímém zápisu do sektorů disku nedošlo k poškození dat umístěných mimo soubor stránky. Velikost stránkovacího souboru by měla být o 1 MB větší než velikost fyzické paměti, protože při zápisu informací do výpisu se vytvoří hlavička, která obsahuje signaturu výpisu zhroucení a hodnoty několika kritických systémových proměnných jádra. Záhlaví je menší než 1 MB, ale operační systém může zvětšit (nebo zmenšit) velikost souboru stránky minimálně o 1 MB.

Po spuštění systému inicializuje Správce relací (Správce relací Windows NT; adresa disku - \WINDOWS\system32\smss.exe) soubory systémových stránek pomocí vlastní funkce NtCreatePagingFile k vytvoření každého souboru. NtCreatePagingFile určuje, zda existuje inicializovaný stránkovací soubor, a pokud ano, zda má záhlaví výpisu. Pokud existuje záhlaví, NtCreatePagingFile odešle speciální kód do Správce relací. Správce relací poté spustí proces přihlášení do systému Winlogon (Program přihlášení Windows NT; adresa disku je \WINDOWS\system32\winlogon.exe), který je upozorněn na existenci výpisu zhroucení. Winlogon spouští program SaveDump (program pro kopírování paměti Windows NT; adresa disku - \WINDOWS\system32\savedump.exe), který analyzuje hlavičku výpisu a určuje další akce v nouzové situaci.

Pokud záhlaví označuje existenci výpisu, SaveDump zkopíruje data ze stránkovacího souboru do souboru výpisu zhroucení, jehož název je určen parametrem REG_EXPAND_SZ sekce DumpFile registru. Zatímco SaveDump přepisuje soubor výpisu, operační systém nepoužívá část stránkovacího souboru, která obsahuje výpis při selhání. Během této doby se množství virtuální paměti dostupné systému a aplikacím sníží o velikost výpisu (a na obrazovce se mohou objevit zprávy indikující nedostatek virtuální paměti). SaveDump poté informuje správce paměti, že výpis dokončil ukládání, a uvolní část stránkovacího souboru, ve kterém je výpis uložen, pro obecné použití.

Po uložení souboru výpisu zaznamená program SaveDump vytvoření výpisu zhroucení do protokolu událostí systému, například: „Počítač byl restartován po kritické chybě: 0x100000d1 (0xc84d90a6, 0x00000010, 0x00000000, 0xc84d90a). Uložená kopie paměti: C:\WINDOWS\Minidump\Mini060309-01.dmp".

Pokud je povolena možnost Odeslat upozornění správce, SaveDump odešle upozornění správci.

Typy skládek

• Úplný výpis paměti zapíše celý obsah systémové paměti, když dojde k závažné chybě. Pro tuto možnost musíte mít na spouštěcím svazku stránkovací soubor, jehož velikost se rovná množství veškeré fyzické paměti RAM plus 1 MB. Ve výchozím nastavení je úplný výpis paměti zapsán do souboru %SystemRoot%\Memory.dmp. Když dojde k nové chybě a vytvoří se nový soubor úplného výpisu paměti (nebo výpisu paměti jádra), předchozí soubor je nahrazen (přepsán). Možnost Úplný výpis paměti není k dispozici na počítačích s 32bitovým operačním systémem a 2 gigabajty nebo více paměti RAM.

Když dojde k nové chybě a vytvoří se nový soubor s úplným výpisem paměti, předchozí soubor bude nahrazen.

• Výpis paměti jádra zapisuje pouze paměť jádra, takže proces zápisu dat do logu při náhlém zastavení systému probíhá rychleji. V závislosti na velikosti fyzické paměti počítače vyžaduje v tomto případě stránkovací soubor 50 až 800 MB nebo jednu třetinu fyzické paměti počítače na spouštěcím svazku. Ve výchozím nastavení je výpis paměti jádra zapsán do souboru %SystemRoot%\Memory.dmp.

Tento výpis nezahrnuje nepřidělenou paměť nebo paměť přidělenou programům v uživatelském režimu. Zahrnuje pouze paměť přidělenou jádru a hardwarově závislé vrstvě (HAL) v systému Windows 2000 a novějších verzích systému, stejně jako paměť přidělenou ovladačům v režimu jádra a dalším programům v režimu jádra. Ve většině případů je takový výpis nejvýhodnější možností. Zabírá mnohem méně místa než úplný výpis paměti, přičemž vylučuje pouze ty sektory paměti, které s největší pravděpodobností nesouvisejí s chybou.
Když dojde k nové chybě a vytvoří se nový soubor výpisu paměti jádra, předchozí soubor bude nahrazen.

• Malý výpis paměti zaznamenává nejmenší množství užitečných informací nezbytných k určení příčiny problému. Chcete-li vytvořit malý výpis paměti, velikost stránkovacího souboru musí být na spouštěcím svazku alespoň 2 MB.

Malé soubory výpisu paměti obsahují následující informace:

• Závažná chybová zpráva, její parametry a další údaje;
• seznam načtených ovladačů;
• kontext procesoru (PRCB), na kterém došlo k selhání;
• informace o procesu a kontext jádra (EPROCESS) pro proces, který způsobil chybu;
• informace o zpracování a kontext jádra (ETHREAD) pro vlákno, které způsobilo chybu;
• Zásobník volání režimu jádra pro vlákno, které způsobilo chybu.

Soubor s malým výpisem paměti se používá, když je místo na pevném disku omezené. Vzhledem k omezeným informacím, které obsahuje, však analýza tohoto souboru nemusí vždy odhalit chyby, které nebyly přímo způsobeny vláknem, které bylo spuštěno, když k chybě došlo.

Když dojde k další chybě a vytvoří se druhý malý soubor s výpisem stavu paměti, uloží se předchozí soubor. Každý další soubor má jedinečný název. Datum je zakódováno v názvu souboru. Například Mini051509-01.dmp je první soubor s výpisem paměti vytvořený 15. května 2009. Seznam všech malých souborů výpisu paměti je uložen ve složce %SystemRoot%\Minidump.

Operační systém Windows XP je nepochybně mnohem spolehlivější než předchozí verze, a to díky úsilí vývojářů společnosti Microsoft, vývojářů hardwarových ovladačů a vývojářů aplikačního softwaru. Nouzové situace – všechny druhy selhání a zhroucení systému – jsou nevyhnutelné a zda má uživatel PC znalosti a dovednosti k jejich odstranění, závisí na tom, zda bude muset strávit několik minut odstraňováním problémů (například aktualizací/laděním ovladače nebo přeinstalování aplikace, která způsobí zhroucení systému) - nebo několik hodin na přeinstalaci/konfiguraci operačního systému a aplikačního softwaru (což nezaručuje absenci selhání a selhání v budoucnu!).

Mnoho systémových administrátorů stále zanedbává analýzu výpisů při selhání systému Windows a věří, že práce s nimi je příliš obtížná. Je to obtížné, ale je to možné: i když se například analýza jednoho výpisu z deseti ukáže jako úspěšná, úsilí vynaložené na zvládnutí nejjednodušších technik analýzy crash dumpů nebude marné!...

Uvedu příklady ze své „sysadminské“ praxe.

V lokální síti bez zjevného důvodu („hardware je v pořádku, absence virů zaručena, uživatelé mají „normální ruce“) vypadlo několik pracovních stanic s Windows XP SP1/SP2 „na desce“. Nebylo možné nabootovat počítače v normálním režimu - dostal se na "Pozdravy" - a restartování trvalo věčnost. Současně se počítače spustily do nouzového režimu.

Studium výpisů paměti umožnilo identifikovat příčinu poruchy: viníkem se ukázal být Kaspersky Anti-Virus, přesněji čerstvé antivirové databáze (přesněji dva databázové moduly - base372c.avc, base032c.avc) .

...Byl další takový případ. Na místním počítači se systémem Windows XP SP3 došlo k restartu při pokusu o otevření souborů videa ve formátech .avi a .mpeg. Studium výpisu paměti nám umožnilo identifikovat příčinu problému - soubor nv4_disp.dll ovladače grafické karty NVIDIA GeForce 6600 Po aktualizaci ovladače byl problém odstraněn. Obecně je ovladač nv4_disp.dll jedním z nejvíce nestabilních ovladačů, což často vedlo k BSOD.

V obou těchto případech umožnilo studium výpisu paměti při selhání zkrátit dobu diagnostiky a odstranění poruchy na minimum (několik minut!).

Analýza výpisu paměti

Existuje mnoho programů pro analýzu výpisů paměti při selhání, například DumpChk, Kanalyze, WinDbg.

Podívejme se na analýzu výpisů paměti při selhání pomocí programu WinDbg (součást Debugging Tools for Windows).

Instalace ladicích nástrojů

• navštivte webové stránky společnosti Microsoft Corporation http://www.microsoft.com/whdc/devtools/debugging/default.mspx;
• stáhnout Debugging Tools for Windows, například pro 32bitovou verzi Windows to lze provést na stránce Download the Debugging Tools for Windows;
• po stažení spusťte instalační soubor;
• v okně Průvodce instalací Debugging Tools for Windows klepněte na tlačítko Další;
• v okně s licenčním ujednáním vyberte přepínač Souhlasím –> Další;
• v dalším okně vyberte typ instalace (standardně se ladicí nástroje instalují do složky \Program Files\Debugging Tools for Windows) –> Další –> Instalovat –> Dokončit;
• Chcete-li interpretovat soubory výpisu paměti, musíte si také stáhnout balíčky symbolů pro vaši verzi systému Windows – přejděte na stránku Stáhnout balíčky symbolů systému Windows;
• vyberte svou verzi Windows, stáhněte a spusťte instalační soubor Symbol Packages;
• v okně s licenční smlouvou klikněte na Ano;
• v dalším okně vyberte instalační složku (výchozí je \WINDOWS\Symboly) –> OK –> Ano;
• V okně Microsoft Windows Symbols se zprávou „Instalace je dokončena“ klikněte na OK.

Použití WinDbg k analýze výpisů při selhání

• spusťte WinDbg (standardně nainstalovaný ve složce \Program Files\Debugging Tools for Windows);
• vyberte nabídku Soubor –> Cesta k souboru symbolu…;
• v okně Cesta hledání symbolů klikněte na tlačítko Procházet…;
• v okně Procházet složku zadejte umístění složky Symboly (standardně – \WINDOWS\Symboly) –> OK –> OK;
• vyberte nabídku Soubor –> Otevřít výpis z havárie… (nebo stiskněte Ctrl + D);
• v okně Open Crash Dump určete umístění souboru Crash Dump (*.dmp) –> Open;
• v okně Pracovní prostor s otázkou „Uložit informace pro pracovní prostor?“ zaškrtněte políčko Už se neptat –> Ne;
• V okně WinDbg se otevře okno Command Dump<путь_и_имя_файла_дампа>s analýzou skládky;
• zkontrolovat analýzu výpisu paměti;
• v části „Analýza kontroly chyb“ bude uvedena možná příčina selhání, například „Pravděpodobně způsobeno: smwdm.sys (smwdm+454d5)“;
• pro zobrazení podrobných informací klikněte na odkaz „!analyze -v“ v řádku „Použít !analyze -v k získání podrobných informací o ladění“;
• zavřít WinDbg;
• Pomocí získaných informací odstraňte příčinu problému.

Například na následujícím snímku obrazovky je příčinou poruchy soubor nv4_disp.dll ovladače grafické karty.

Když dojde ke kritickému selhání, operační systém Windows se zhroutí a zobrazí se modrá obrazovka smrti (BSOD). Obsah paměti RAM a všechny informace o chybě, ke které dojde, se zapíší do stránkovacího souboru. Při příštím spuštění systému Windows se vytvoří výpis zhroucení s informacemi o ladění na základě uložených dat. V protokolu systémových událostí se vytvoří záznam kritické chyby.

Pozornost! Výpis zhroucení se nevytvoří, pokud diskový subsystém selže nebo dojde ke kritické chybě během počáteční fáze spouštění systému Windows.

Typy výpisů při selhání systému Windows

Na příkladu aktuálního operačního systému Windows 10 (Windows Server 2016) se podívejme na hlavní typy výpisů paměti, které může systém vytvořit:

• Mini výpis paměti(256 kB). Tento typ souboru obsahuje minimální množství informací. Obsahuje pouze chybovou zprávu BSOD, informace o ovladačích, procesech, které byly aktivní v době havárie, a který proces nebo vlákno jádra způsobilo havárii.
• Výpis paměti jádra. Obvykle malá velikost – jedna třetina velikosti fyzické paměti. Výpis paměti jádra je podrobnější než mini výpis. Obsahuje informace o ovladačích a programech v režimu jádra, zahrnuje paměť přidělenou jádru Windows a hardwarové abstraktní vrstvě (HAL) a paměť přidělenou ovladačům a dalším programům v režimu jádra.
• Kompletní výpis paměti. Největší velikost a vyžaduje paměť rovnající se paměti RAM vašeho systému plus 1 MB požadované systémem Windows k vytvoření tohoto souboru.
• Automatický výpis paměti. Pokud jde o informace, odpovídá výpisu paměti jádra. Jediný rozdíl je v tom, kolik místa používá k vytvoření souboru výpisu. Tento typ souboru ve Windows 7 neexistoval. Byl přidán ve Windows 8.
• Aktivní výpis paměti. Tento typ eliminuje prvky, které nemohou určit příčinu selhání systému. Toto bylo přidáno do Windows 10 a je zvláště užitečné, pokud používáte virtuální počítač nebo pokud je váš systém hostitelem Hyper-V.

Jak povolit dumping ve Windows?

Pomocí Win+Pause otevřete okno nastavení systému, vyberte " Pokročilé systémové nastavení"(Pokročilé systémové nastavení). V " dodatečně" (Pokročilé), sekce "" (Spuštění a obnovení) klikněte na tlačítko " Možnosti"(Nastavení). V okně, které se otevře, nakonfigurujte akce, které se mají provést, když systém selže. Zkontrolovat " Zaznamenat události do systémového protokolu" (Zapište událost do systémového protokolu), vyberte typ výpisu, který se má vytvořit při zhroucení systému. Pokud je v zaškrtávacím políčku " Nahradit existující soubor výpisu"(Přepsat jakýkoli existující soubor) zaškrtněte políčko, soubor bude přepsán pokaždé, když dojde k chybě. Je lepší zrušit zaškrtnutí tohoto políčka, pak budete mít více informací pro analýzu. Zakázat také Automaticky restartovat.

Ve většině případů bude k analýze příčiny BSOD stačit malý výpis paměti.

Nyní, když dojde k BSOD, můžete analyzovat soubor výpisu a najít příčinu selhání. Mini výpis se ve výchozím nastavení ukládá do složky %systemroot%\mindump. Pro analýzu souboru výpisu doporučuji použít program WinDBG(Microsoft Kernel Debugger).

Instalace WinDBG na Windows

Utility WinDBG obsažen v " Windows 10 SDK"(Windows 10 SDK). .

Soubor se nazývá winsdksetup.exe, velikost 1,3 MB.

Spusťte instalaci a vyberte si, co přesně chcete udělat – nainstalovat balíček na tento počítač nebo si jej stáhnout pro instalaci na jiné počítače. Nainstalujme balíček na místní počítač.

Můžete nainstalovat celý balíček, ale chcete-li nainstalovat pouze ladicí nástroj, vyberte Nástroje pro ladění pro Windows.

Po instalaci lze v nabídce Start nalézt zástupce WinDBG.

Nastavení přidružení souborů .dmp k WinDBG

Chcete-li otevřít soubory výpisu jednoduchým kliknutím, namapujte příponu .dmp na nástroj WinDBG.

1. Otevřete příkazový řádek jako správce a spusťte příkazy pro 64bitový systém: cd C:\Program Files (x86)\Windows Kits\10\Debuggers\x64
   windbg.exe –IA
   pro 32bitový systém:
   C:\Program Files (x86)\Windows Kits\10\Debuggers\x86
   windbg.exe –IA
2. V důsledku toho budou typy souborů: .DMP, .HDMP, .MDMP, .KDMP, .WEW mapovány na WinDBG.

Nastavení serveru symbolů ladění ve WinDBG

Ladicí symboly (ladicí symboly nebo soubory symbolů) jsou bloky dat generované během kompilace programu spolu se spustitelným souborem. Takové datové bloky obsahují informace o názvech proměnných, nazývaných funkcích, knihovnách atd. Tyto údaje nejsou potřeba při spouštění programu, ale jsou užitečné při jeho ladění. Komponenty společnosti Microsoft jsou kompilovány se symboly distribuovanými prostřednictvím serveru Microsoft Symbol Server.

Nakonfigurujte WinDBG pro použití Microsoft Symbol Server:

• Otevřete WinDBG;
• Přejděte do nabídky Soubor –> Cesta k souboru symbolů;
• Napište řádek obsahující adresu URL pro stažení ladicích symbolů z webu společnosti Microsoft a složku pro uložení mezipaměti: SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols V příkladu se stáhne mezipaměť. do složky E:\Sym_WinDBG můžete označit libovolný.
• Nezapomeňte uložit změny v nabídce Soubor–>Uložit pracovní prostor;

WinDBG vyhledá symboly v místní složce a pokud v ní potřebné symboly nenajde, automaticky je stáhne ze zadané stránky. Pokud chcete přidat vlastní složku symbolů, můžete to udělat takto:

SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols;c:\Symbols

Pokud nemáte připojení k Internetu, stáhněte si nejprve balíček symbolů ze zdroje Windows Symbol Packages.

Analýza výpisu při selhání ve WinDBG

Ladicí program WinDBG otevře soubor výpisu a stáhne potřebné symboly pro ladění z místní složky nebo z Internetu. Během tohoto procesu nelze použít WinDBG. Ve spodní části okna (v příkazovém řádku debuggeru) se zobrazí zpráva Debugee není připojen.

Příkazy se zadávají do příkazového řádku umístěného ve spodní části okna.

Nejdůležitější je věnovat pozornost chybovému kódu, který je vždy uveden v šestnáctkové soustavě a má tvar 0xXXXXXXXXX(uvedeno v jedné z možností - STOP: , 7.2.2019 0008F, 0x8F). V našem příkladu je kód chyby 0x139.

Debugger nabízí spuštění příkazu!analyze -v, stačí najet myší na odkaz a kliknout. K čemu je tento příkaz?

• Provádí předběžnou analýzu výpisu paměti a poskytuje podrobné informace pro zahájení analýzy.
• Tento příkaz zobrazí kód STOP a symbolický název chyby.
• Zobrazuje zásobník volání příkazů, které vedly k havárii.
• Kromě toho se zde zobrazují chyby IP adresy, procesu a registru.
• Tým může poskytnout hotová doporučení k vyřešení problému.

Hlavní body, kterým byste měli věnovat pozornost při analýze po provedení příkazu!analyze –v (výpis je neúplný).

1: kd> !analyzovat -v

* *
* Analýza kontroly chyb *
* *
*****************************************************************************
Symbolický název chyby STOP (BugCheck)
KERNEL_SECURITY_CHECK_FAILURE (139)
Popis chyby (Komponenta jádra poškodila kritickou datovou strukturu. Toto poškození by mohlo útočníkovi umožnit získat kontrolu nad tímto počítačem):

Komponenta jádra poškodila kritickou datovou strukturu. Poškození by mohlo potenciálně umožnit uživateli se zlými úmysly získat kontrolu nad tímto počítačem.
Argumenty chyby:

Argumenty:
Arg1: 0000000000000003, položka LIST_ENTRY byla poškozena (tj. dvojité odstranění).
Arg2: ffffd0003a20d5d0, Adresa rámce trapu pro výjimku, která způsobila kontrolu chyb
Arg3: ffffd0003a20d528, Adresa záznamu výjimky pro výjimku, která způsobila kontrolu chyb
Arg4: 0000000000000000, Rezervováno
Podrobnosti ladění:
------------------

Počítadlo ukazuje, kolikrát se systém zhroutil s podobnou chybou:

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: FAIL_FAST_CORRUPT_LIST_ENTRY

STOP chybový kód ve zkráceném formátu:

BUGCHECK_STR: 0x139

Proces, během kterého došlo k selhání (nemusí být nutně příčinou chyby, právě v době selhání tento proces běžel v paměti):

PROCESS_NAME: sqlservr.exe

Popis chybového kódu: Systém v této aplikaci zjistil přetečení zásobníku, což by mohlo umožnit útočníkovi získat kontrolu nad touto aplikací.

ERROR_CODE: (NTSTATUS) 0xc0000409 - Systém v této aplikaci zjistil přetečení vyrovnávací paměti založené na zásobníku. Toto překročení by mohlo potenciálně umožnit uživateli se zlými úmysly získat kontrolu nad touto aplikací.
EXCEPTION_CODE: (NTSTATUS) 0xc0000409 - Systém v této aplikaci zjistil přetečení vyrovnávací paměti založené na zásobníku. Toto překročení by mohlo potenciálně umožnit uživateli se zlými úmysly získat kontrolu nad touto aplikací.

Poslední call na stacku:

LAST_CONTROL_TRANSFER: z ffff8040117d6a9 na ffff8040116b0a0

Zásobník volání v době selhání:

STACK_TEXT:
ffffd000`3a20d2a8 ffff804`0117d6a9: 00000000`00000139 00000000`00000003 ffffd000`3a20d5d0 ffffd000`8e:nta20d
ffffd000`3a20d2b0 fffff804`0117da50: ffffe000`f3ab9080 ffffe000`fc37e001 ffffd000`3a20d5d0 fffff804`0116e2a2BugCheck+
FFFD000`3A20D3F0 FFFFF804`0117C150: 0000000000 000000 000000 00000000 0000000 00000000 000000`0000000`0000000 `0000000
ffffd000`3a20d5d0 ffffff804`01199482: ffffc000`701ba270 ffffc000`00000001 000000ea`73f68040 fffff804`000x3006KiR9:0000006
ffffd000`3a20d760 fffff804`014a455d: 00000000`00000001 ffffd000`3a20d941 ffffe000`fcacb000 ffffd000`3a20d951 ?? ::FNODOBFM::`string"+0x17252
ffffd000`3a20d8c0 fffff804`013a34ac: 00000000`00000004 00000000`00000000 ffffd000`3a20d9d8 ffffe001`0a34c6sServiceTa0a:+nt!
ffffd000`3a20d990 ffffff804`0117d313: ffffffff`fffffffe 00000000`00000000 00000000`00000000 000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000:0W:
ffffd000`3a20da90 00007ffb`475307da: 00000000`00000000 00000000`00000000 00000000 00000000`00000000`00000000`00000000`00000000`00000000`00000000`00000000`00000000`00000000 00000000 00000000 00000000 00000000 0000000 00000000000000000000000000
000000ee`f25ed2b8 00000000`00000000: 00000000`00000000 00000000`00000000 00000000`00000000`00000000 00000 00000000 3 07 da

Část kódu, kde došlo k chybě:

FOLLOWUP_IP:
nt!KiFastFailDispatch+d0
fffff804`0117da50 c644242000 mov byte ptr ,0
FAULT_INSTR_CODE: 202444c6
SYMBOL_STACK_INDEX: 2
SYMBOL_NAME: nt!KiFastFailDispatch+d0
FOLLOWUP_NAME: Majitel stroje

Název modulu v tabulce objektů jádra. Pokud byl analyzátor schopen detekovat problematický ovladač, zobrazí se název v polích MODULE_NAME a IMAGE_NAME:

MODULE_NAME: nt
IMAGE_NAME: ntkrnlmp.exe

1: kd> lmvm nt
Procházet úplný seznam modulů
Načtený soubor obrázku symbolu: ntkrnlmp.exe
Soubor obrázku namapované paměti: C:\ProgramData\dbg\sym\ntoskrnl.exe\5A9A2147787000\ntoskrnl.exe
Cesta k obrázku: ntkrnlmp.exe
Název obrázku: ntkrnlmp.exe
Interní název: ntkrnlmp.exe
Původní název souboru: ntkrnlmp.exe
Verze produktu: 6.3.9600.18946
FileVersion: 6.3.9600.18946 (winblue_ltsb_escrow.180302-1800)

V uvedeném příkladu analýza ukázala na soubor jádra ntkrnlmp.exe. Když analýza výpisu paměti ukazuje na systémový ovladač (například win32k.sys) nebo soubor jádra (jako v našem příkladu ntkrnlmp.exe), tento soubor s největší pravděpodobností není příčinou problému. Velmi často se ukazuje, že problém spočívá v ovladači zařízení, nastavení BIOSu nebo selhání hardwaru.

Pokud zjistíte, že BSOD byl způsoben ovladačem třetí strany, jeho název bude uveden v hodnotách MODULE_NAME a IMAGE_NAME.

Například:

Cesta k obrázku: \SystemRoot\system32\drivers\cmudaxp.sys
Název obrázku: cmudaxp.sys

Otevřete vlastnosti souboru ovladače a zkontrolujte jeho verzi. Ve většině případů je problém s ovladači vyřešen jejich aktualizací.

Dnes si povíme, co je to výpis paměti. Tento soubor obsahuje určitá data, která byla v paměti RAM konkrétního počítače po určitou dobu. Je také cenný pro specialisty a vývojáře různého softwaru. Když dojde k výpadku paměti při selhání, tito lidé mají možnost vidět, v jakém okamžiku k němu došlo az jakých důvodů. To vám umožní opravit softwarové vady a chyby. Kdykoli operační systémy Microsoft selžou, vždy se vytvoří výpis paměti.

Pokud potřebujete zjistit umístění a také velikost tohoto souboru, musíte kliknout pravým tlačítkem myši na ikonu počítače. Když vyjde, spusťte jeho vlastnosti a otevřete kartu s dalšími informacemi. Poté v sekci spouštění a obnovení musíte kliknout na tlačítko nastavení. Před vámi se objeví okno pro záznam informací o ladění. Z rozevíracího seznamu máte možnost vybrat jednu z následujících funkcí.

Malý výpis paměti se bude rovnat šedesáti čtyřem kilobajtům. V tomto případě se do něj zaznamenají jen nejnutnější informace o vzniklých problémech. Následuje výpis paměti jádra. Jeho velikost je také obvykle šedesát čtyři kilobajtů. Obsahuje ladicí data pro jádro vašeho systému. Přejděme k poslednímu bodu. Říká se tomu „úplný výpis paměti systému Windows 7“. Úplně šetří veškerou systémovou paměť. V tomto okamžiku se vytvoří potřebné soubory, jejichž velikost odpovídá paměti RAM nainstalované ve vašem zařízení.

Můžete také nezávisle určit umístění, kde bude tento soubor umístěn, a také změnit nastavení odpovědné za mělký záznam na existující soubor. Důrazně doporučuji, abyste tato nastavení neměnili, aby zůstala stejná jako ve výchozím nastavení.

Za zmínku také stojí, že tento soubor můžete vytvořit sami ručně. Chcete-li to provést, zavolejte do nabídky Start, spusťte službu s názvem „Spustit“ a zadejte do ní příkaz „regedit“ a poté klikněte na tlačítko „OK“. Před vámi se objeví operační systém. Zde musíte najít klíč, který vypadá takto: HKEYS LOCAL MACHINES/ SYSTEMA/ CurrentControlSets / Service/ i8042prt/ Parametres.

Když jej najdete, klikněte pravým tlačítkem myši na pravou stranu tohoto okna a vyberte vytvořit DWORLD. Poté napište název klíče „CrashOnCtrlScroll“ a přiřaďte mu hodnotu „1“. Poté zavřete tento editor a restartujte počítač nebo notebook. Chcete-li vytvořit nový soubor obsahující výpis paměti, stiskněte a podržte tlačítko Contral a poté dvakrát stiskněte klávesu

To je vše. Doufám, že výše uvedené informace byly prezentovány přístupným způsobem. Bez určitých důvodů však tyto postupy nemusíte provádět, protože se jedná o systémové prostředky. Pokud uděláte chyby, může dojít k nenapravitelným následkům pro váš operační systém.

Každý moderní operační systém je velmi složitá sada různých softwarových modulů, které spolupracují v různých kombinacích. Mohou obsahovat chyby nebo mohou být v konfliktu mezi sebou nebo s běžícím programem. V důsledku toho dojde k selhání a systém Windows přestane fungovat a zobrazí se známá „modrá obrazovka smrti“. Výpis paměti Windows 10 vám pomůže pochopit, proč k tomu došlo, a funguje i v jiných verzích. Standardně se většinou nevytvářejí, takže je třeba je povolit a pro studium používat speciální programy, které vytáhnou užitečné informace ve srozumitelné podobě.

Nastavení výpisu paměti.

V podstatě se jedná o „snímek“ paměti RAM, jejího obsahu v okamžiku, kdy došlo k poruše. Tento obsah je zapsán do samostatného souboru, který se nazývá výpis. Jeho analýzou můžete pochopit, co se pokazilo a ve které části programu se problém vyskytl. Když je vše v pořádku a nedochází k žádným poruchám, systém nevytváří žádné soubory s obsahem paměti. Tato funkce tedy nijak neovlivňuje výkon. Jakmile však dojde k fatální chybě, která způsobí zobrazení „modré obrazovky“, takový soubor se vytvoří. Jedná se o speciální nástroj, který pomáhá vývojářům takové problémy řešit. Běžní uživatelé to mohou využít také ke zjištění, které programy způsobují pád systému. Mějte však na paměti, že k tomu potřebujete mít určité znalosti o tom, jak počítače a software fungují, jinak budou všechny tyto informace zcela k ničemu. Běžný uživatel úrovně „Můžu to zapnout, napsat, vypnout“ tomu prostě nic neporozumí.

Nastavení výpisů paměti pro chyby systému Windows

Chcete-li například zobrazit a nakonfigurovat, abyste zvýšili výpis paměti Windows, zvažte verzi 7 - je stále populární. Ano, a v jiných verzích se to dělá podobným způsobem. Chcete-li to provést, klikněte pravým tlačítkem myši na ikonu „Tento počítač“ a vyberte „Vlastnosti“. Můžete jít jinou cestou - přejděte na „Ovládací panely“ a vyberte „Systém“. V obou případech se otevře stejné okno. Dále vyberte vlevo „Pokročilá nastavení systému“ a v zobrazeném malém okně přejděte na kartu „Upřesnit“. Zde v části „Boot and Recovery“ klikněte na tlačítko „Options“.

1. Malý výpis - jeho objem je pouze 256 kb, zaznamenávají se tam jen nejobecnější informace.
2. Výpis paměti jádra – zaznamenává stav různých programů v době selhání jednoho jádra procesoru. Velikost souboru je asi 33 % celkové dostupné paměti RAM. Jsou zde užitečné informace, které vám umožní identifikovat příčinu poruchy, ale není jich příliš mnoho.
3. Úplný výpis je kopií celé paměti RAM a velikost souboru se bude rovnat její kapacitě. Zde můžete najít vše, co chcete. Takový výpis se vytváří i při přepnutí do režimu hibernace – celý obsah RAM se jednoduše uloží na pevný disk a po zapnutí počítače pokračuje v práci ze stejného místa.

V novějších verzích Windows existuje režim „Automatický výpis paměti“ - můžete jej vybrat, a to bude stačit. Jak vidíte, nastavení výpisu paměti v systému Windows 7 není obtížné. Zaznamená se pouze při poruchách a nijak neovlivní chod systému.

Jak a čím otevřít soubor výpisu paměti

Když dojde k poruše a vytvoří se nový soubor s hlášením o problému, je potřeba jej ještě nějak otevřít a zjistit, co je v něm napsáno. Soubor má příponu dmp, ale vestavěné nástroje pro jeho otevření jsou nepohodlné a lze k nim přistupovat z příkazového řádku. Mimochodem, systém uloží tento soubor do své vlastní složky. Jak otevřít soubor výpisu paměti s příponou dmp? K tomu existují různé nástroje, včetně těch od Microsoftu, například Microsoft Kernel Debuggers. Z oficiálních stránek je ke stažení zcela zdarma, je však třeba zvážit, zda je potřeba 32bitová nebo 64bitová verze. V tomto programu můžete otevírat soubory výpisu paměti, které jsou umístěny v systémové složce, a prohlížet jejich obsah ve formě dešifrování. Informace jsou samozřejmě vysoce specifické a určené pro specialisty.

Existuje další populární nástroj - BlueScreenView. Je velmi jednoduchý a snadno se používá. Ale zobrazené informace nejsou tak snadno pochopitelné, ale s určitými technickými znalostmi je to docela možné. Červeně program zvýrazní v seznamu problematické části kódu, které způsobily modrou obrazovku, například některé ovladače. To značně zjednodušuje práci s analýzou.

Jak odstranit soubor výpisu paměti

Je možné je vůbec smazat? Ano, jsou to pouze servisní informace pro další analýzu. Pokud již byly zobrazeny nebo nejsou potřeba, lze je smazat nejjednodušším způsobem - do koše. V opačném případě se postupně hromadí a začnou zabírat spoustu místa na pevném disku, zejména pokud je zabrána plná kopie paměti RAM. Ruční vyhledávání a mazání všech těchto souborů samozřejmě není příliš příjemná záležitost. Proto můžete použít jakýkoli nástroj pro čištění disku, dokonce i ten, který je integrován ve Windows, zaškrtnutím políčka „Odstranit systémové soubory“. Když to funguje, všechny výpisy budou také odstraněny. Samotný systém tyto soubory nepoužívá a jejich smazání je zcela bezpečné.