Как посмотреть файл дампа памяти windows 10

Установка WinDbg в Windows

Утилита, являющаяся отладчиком для юзермодных приложений и драйверов, позволяет проанализировать снимок памяти и выяснить, что спровоцировало BSoD. Поставляется она в составе пакета SDK для Windows 10, инсталлятор скачивается на сайте Microsoft. Для Семёрки и ранних версий систем WinDbg можно найти в пакете Microsoft Windows SDK for Windows 7 and NET Framework 4.

Устанавливаем WinDbg:

• идём на страницу загрузки SDK (в зависимости от версии ОС выбираем нужный пакет, ссылки выше), скачиваем инсталлятор;
• после скачивания файла запускаем процесс инсталляции;
• выбираем первый вариант установки – на этот компьютер (второй предполагает загрузку для установки пакета на другие компьютеры);
• оставляем путь установки по умолчанию или меняем, если это необходимо;
• соглашаемся с условиями лицензионного соглашения;
• можно поставить весь пакет или выбрать в списке только отладчик Debagging Tools for Windows.

Анализ дампа памяти

Рейтинг:   / 303

Просмотров: 726103

Общие сведения об аварийном дампе памяти

Все Windows-системы при обнаружении фатальной ошибки делают аварийный дамп (снимок) содержимого оперативной памяти и сохраняет его на жесткий диск. Существуют три типа дампа памяти:

Полный дамп памяти – сохраняет все содержимое оперативной памяти. Размер снимка равен размеру оперативной памяти + 1 Мб (заголовок). Используется очень редко, так как в системах с большим объемом памяти размер дампа будет слишком большим.

Дамп памяти ядра – сохраняет информацию оперативной памяти, касающуюся только режима ядра. Информация пользовательского режима не сохраняется, так как не несет в себе информации о причине краха системы. Объем файла дампа зависит от размера оперативной памяти и варьируется от 50 Мб (для систем с 128 Мб оперативной памяти) до 800 Мб (для систем с 8 Гб оперативной памяти).

Малый дамп памяти (мини дамп) – содержит довольно небольшое количество информации: код ошибки с параметрами, список драйверов загруженных в оперативную память на момент краха системы и т.д., но этих сведений достаточно, для определения сбойного драйвера. Еще одним преимуществом данного вида дампа является маленький размер файла.

Настройка системы

Для выявления драйвера вызвавшего синий экран нам достаточно будет использовать малый дамп памяти. Для того чтобы система при крахе сохраняла мини дамп необходимо выполнить следующие действия:

Для Windows Xp	Для Windows 7
Правой клавишей мыши нажать на значке Мой компьютер из контекстного меню выберите Свойства (или комбинация клавиш Win+Pause); Переходите на вкладку Дополнительно; В поле Загрузка и восстановление необходимо нажать кнопку Параметры; В поле Запись отладочной информации выбираем Малый дамп памяти (64 Кб).	Правой клавишей мыши нажать на значке Компьютер из контекстного меню выберите Свойства (или комбинация клавиш Win+Pause); В левом меню щелкаем на пункт Дополнительные параметры системы; Переходите на вкладку Дополнительно; В поле Загрузка и восстановление необходимо нажать кнопку Параметры; В поле Запись отладочной информации выбираем Малый дамп памяти (128 Кб).

Проделав все манипуляции, после каждого BSoD в папке C:\WINDOWS\Minidump будет сохраняться файл с расширение .dmp. Советую ознакомиться с материалом «Как создать папку». Также можно установить галочку на “Заменить существующий файл дампа”. В этом случае каждый новый аварийный дамп будет записываться поверх старого. Я не советую включать данную опцию.

Анализ аварийного дампа памяти с помощью программы BlueScreenView

Программа состоит из трех основных блоков:

1. Блок главного меню и панель управления;
2. Блок списка аварийных дампов памяти;
3. В зависимости от выбранных параметров может содержать в себе:

• список всех драйверов находящихся в оперативной памяти до появления синего экрана (по умолчанию);
• список драйверов находящихся в стеке оперативной памяти;
• скриншот BSoD;
• и другие значения, которые мы использовать не будем.

В блоке списка дамп памяти (на рисунке помечен цифрой 2) выбираем интересующий нас дамп и смотрим на список драйверов, которые были загружены в оперативную память (на рисунке помечен цифрой 3). Розовым цветом окрашены драйвера, которые находились в стеке памяти. Они то и являются причиной появления BSoD. Далее переходите в Главное меню драйвера, определяйте к какому устройству или программе они принадлежат

В первую очередь обращайте внимание на не системные файлы, ведь системные файлы в любом случае загружены в оперативной памяти. Легко понять, что на изображении сбойным драйвером является myfault.sys. Скажу, что это программа была специально запущена для вызова Stop ошибки

После определения сбойного драйвера, необходимо его либо обновить, либо удалить из системы

Скажу, что это программа была специально запущена для вызова Stop ошибки. После определения сбойного драйвера, необходимо его либо обновить, либо удалить из системы.

Для того чтобы программа показывала список драйверов находящихся в стеке памяти во время возникновения BSoD необходимо зайти в пункт меню “Options” кликаем на меню “LowerPaneMode” и выбираем “OnlyDriversFoundInStack” (или нажмите клавишу F7), а для показа скриншота ошибки выбираем “BlueScreeninXPStyle” (F8). Что бы вернуться к списку всех драйверов, необходимо выбрать пункт “AllDrivers” (F6).

Буду признателен, если воспользуетесь кнопочками:

Добавить комментарий

Как удалить файлы дампа системной памяти в Windows

1. Удаление аварийных дампов с очисткой диска
2. Удаление аварийных дампов с помощью CCleaner
3. Удалите аварийные дампы через командную строку
4. Отключить аварийные дампы

1. Удалите аварийные дампы с очисткой диска

1. Пользователи могут стирать аварийные дампы с помощью собственной очистки диска Windows. Для этого запустите Запуск с сочетанием клавиш Windows + R.
2. Введите «cleanmgr» в текстовом поле «Открыть».
3. Нажмите Ctrl + Shift + Enter, чтобы открыть очистку диска от имени администратора.
4. Выберите диск C: в окне выбора дисков и нажмите кнопку ОК .
5. Установите флажок Файлы дампа памяти из-за системных ошибок .
6. Затем нажмите кнопку ОК .
7. Пользователи, которые не могут найти параметр «Файлы дампа памяти из-за системных ошибок» в разделе «Очистка диска», должны открыть эту утилиту с помощью командной строки с повышенными привилегиями. Введите strong % SystemRoot% System32Cmd.exe/c Cleanmgr/sageset: 16 & Cleanmgr/sagerun: 16 ’в командной строке и нажмите клавишу возврата. Это откроет Очистку диска с дополнительными опциями флажков.

2. Удалите аварийные дампы с помощью CCleaner

1. Кроме того, пользователи могут стирать аварийные дампы с помощью . Для этого нажмите зеленую кнопку Загрузить на веб-странице CCleaner.
2. Добавьте CCleaner в Windows с помощью мастера настройки.
3. Запустите утилиту CCleaner.
4. Выберите Выборочная очистка слева от CCleaner.
5. Затем установите флажок Дампы памяти .
6. Нажмите кнопку Анализировать .
7. Выберите Запустить программу очистки , чтобы удалить аварийные дампы.

3. Удалите аварийные дампы через командную строку

1. Пользователи также могут стирать аварийные дампы с помощью ряда команд командной строки. Для этого откройте аксессуар Run.
2. Введите «cmd» в «Выполнить» и нажмите клавиши Ctrl + Shift + Enter.
3. Затем введите следующие отдельные команды в подсказке и нажмите Enter после ввода каждой из них.

fsutil usn deletejournal/d/n c:

del «% temp% *»/s/f/q

del «C: $ Recycle.bin *»/s/f/q

del «% systemroot% temp *»/s/f/q

vssadmin удалить тени/для = c:/all/quiet

Dism/Online/Cleanup-Image/StartComponentCleanup/ResetBase

4. Отключить аварийные дампы

1. Пользователи могут отключить аварийные дампы, чтобы не тратить больше места на жестком диске. Введите «Панель управления» в текстовом поле «Открыть» и нажмите «Return».
2. Затем нажмите Система , чтобы открыть аплет панели управления, показанный ниже.
3. Нажмите Расширенные настройки системы в левой части окна, чтобы открыть вкладку Расширенные.
4. Затем нажмите кнопку Настройки в разделе Запуск и восстановление .
5. Выберите параметр (нет) в раскрывающемся меню, показанном непосредственно ниже, чтобы отключить аварийные дампы.
6. Затем нажмите кнопку ОК .

Таким образом, есть несколько способов, которыми пользователи могут стереть аварийные дампы в Windows, которые не особенно важны для сохранения. Удаление аварийных дампов может освободить немного места на жестком диске для некоторых пользователей.

Драйверы устройств

Как было отмечено выше, наиболее частой причиной ошибки DPC_WATCHDOG_VIOLATION в Windows 10 являются проблемы драйверов. При этом, наиболее часто речь идет о следующих драйверах.

• Драйверы SATA AHCI
• Драйверы видеокарты
• Драйверы USB (особенно 3.0)
• Драйверы LAN и Wi-Fi адаптера

Во всех случаях первое, что следует попробовать сделать — установить оригинальные драйверы с сайта производителя ноутбука (если это ноутбук) или материнской платы (если это ПК) вручную именно для вашей модели (для видеокарты при установке используйте опцию «чистая установка», если это драйверы NVidia или опцию удаления предыдущих драйверов, если речь идет о драйверах AMD).

Важно: сообщение диспетчера устройств о том, что драйверы работают нормально или не нуждаются в обновлении, не говорит о том, что это действительно так. В ситуациях, когда проблема вызвана драйверами AHCI, а это, на вскидку, треть случаев ошибки DPC_WATCHDOG_VIOLATION обычно помогает следующий путь решения проблемы (даже без загрузки драйверов):. В ситуациях, когда проблема вызвана драйверами AHCI, а это, на вскидку, треть случаев ошибки DPC_WATCHDOG_VIOLATION обычно помогает следующий путь решения проблемы (даже без загрузки драйверов):

В ситуациях, когда проблема вызвана драйверами AHCI, а это, на вскидку, треть случаев ошибки DPC_WATCHDOG_VIOLATION обычно помогает следующий путь решения проблемы (даже без загрузки драйверов):

Нажмите правой кнопкой мыши по кнопке «Пуск» и перейдите в «Диспетчер устройств».
Откройте раздел «Контроллеры IDE ATA/ATAPI», нажмите правой кнопкой мыши по контроллеру SATA AHCI (может иметь разные названия) и выберите пункт «Обновить драйверы». 
Далее выберите «Выполнить поиск драйверов на этом компьютере» — «Выбрать драйвер из списка уже установленных драйверов» и обратите внимание, присутствует ли в списке совместимых драйверов драйвер, с названием отличным, от того, которое было указано на шаге 2. Если да, выберите его и нажмите «Далее». 
Дождитесь окончания установки драйвера.

Обычно, проблема решается, когда специфичный, загруженный из центра обновлений Windows драйвер SATA AHCI заменяется на Стандартный контроллер SATA AHCI (при условии, что причина была именно в этом)

Обычно, проблема решается, когда специфичный, загруженный из центра обновлений Windows драйвер SATA AHCI заменяется на Стандартный контроллер SATA AHCI (при условии, что причина была именно в этом).

В целом по данному пункту — правильным будет установить все оригинальные драйверы системных устройств, сетевых адаптеров и другие с сайта производителя (а не из драйвер-пака или полагаться на те драйверы, которые Windows установила сама).

Также, если в последнее время вы меняли драйверы устройств или устанавливали программы, создающие виртуальные устройства, обратите внимание на них — они тоже могут являться причиной проблемы

Определяем, какой драйвер вызывает ошибку

Вы можете попробовать узнать, какой именно файл драйвера вызывает ошибку с помощью бесплатной программы BlueScreenView для анализа дампа памяти, а после этого найти в интернете, что это за файл и к какому драйверу относится (затем — заменить его оригинальным или обновленным драйвером). Иногда автоматическое создание дампа памяти бывает отключено в системе, в этом случае см. Как включить создание и сохранение дампа памяти при сбоях Windows 10.

Для того, чтобы программа BlueScreenView могла прочитать дампы памяти, в системе должно быть включено их сохранение (а ваши программы для очистки компьютера, если такие присутствуют, не должны их очищать). Включить сохранение дампов памяти вы можете в меню правого клика по кнопке Пуск (вызываемое также по клавишам Win+X) — Система — Дополнительные параметры системы. На вкладке «Дополнительно» в разделе «Загрузка и восстановление» нажмите кнопку «Параметры», а затем отметьте пункты как на скриншоте ниже и дождитесь следующего появления ошибки.

Примечание: если после решения проблемы с драйверами ошибка исчезла, но через какое-то время стала снова проявлять себя, вполне возможно, что Windows 10 снова установила «свой» драйвер. Тут может оказаться применимой инструкция Как отключить автоматическое обновление драйверов Windows 10.

Респект за пост! Спасибо за работу!

Хотите больше постов? Узнавать новости технологий? Читать обзоры на гаджеты? Для всего этого, а также для продвижения сайта, покупки нового дизайна и оплаты хостинга, мне необходима помощь от вас, преданные и благодарные читатели. Подробнее о донатах читайте на специальной странице.

Спасибо! Все собранные средства будут пущены на развитие сайта. Поддержка проекта является подарком владельцу сайта.

Вам может быть полезно:

Если вы используете Insider Preview сборку Windows 10 и хотите увидеть GSOD, то можете вызвать его принудительно с помощью этого хака.

Если дампов нет, то вы можете принудительно запустить BSOD и создать дамп памяти в Window…

Перевести

2016-2020 Блог Евгения Левашова. Самое интересное и полезное из мира ИТ. Windows 10, Linux, Android и iOS. Обзоры программ и веб-сервисов. Статьи о мотивации и продуктивности.

Использование материалов разрешается с активной ссылкой на levashove.ru.

Данный блог является личным дневником, содержащим частные мнения автора. В соответствии со статьей 29 Конституции РФ, каждый человек может иметь собственную точку зрения относительно его текстового, графического, аудио и видео наполнения, равно как и высказывать ее в любом формате. Блог не имеет лицензии Министерства культуры и массовых коммуникаций РФ и не является СМИ, а, следовательно, автор не гарантирует предоставления достоверной, не предвзятой и осмысленной информации. Сведения, содержащиеся в этом блоге не имеют никакого юридического смысла и не могут быть использованы в процессе судебного разбирательства. Автор блога не несёт ответственности за содержание комментариев к его записям.

Настройка сервера отладочных символов в WinDBG

Отладочные символы (debug-символы или symbol files) – это блоки данных, генерируемые в процессе компиляции программы совместно с исполняемым файлом. В таких блоках данных содержится информация о именах переменных, вызываемых функциях, библиотеках и т.д. Эти данные не нужны при выполнении программы, но полезные при ее отладке. Компоненты Microsoft компилируются с символами, распространяемыми через Microsoft Symbol Server.

Настройте WinDBG на использование Microsoft Symbol Server:

• Откройте WinDBG;
• Перейдите в меню File
  –> Symbol File Path;
  
• Пропишите строку, содержащую URL для загрузки символов отладки с сайта Microsoft и папку для сохранения кэша: SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols В примере кэш загружается в папку E:\Sym_WinDBG, можете указать любую.
• Не забывайте сохранить изменения в меню File
  –> Save WorkSpace;
  

WinDBG произведет поиск символов в локальной папке и, если не обнаружит в ней необходимых символов, то самостоятельно загрузит символы с указанного сайта. Если вы хотите добавить собственную папку с символами, то можно сделать это так:

SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols;c:\Symbols

Если подключение к интернету отсутствует, то загрузите предварительно пакет символов с ресурса Windows Symbol Packages .

Настройка сервера отладочных символов в WinDBG

Отладочные символы (debug-символы или symbol files) – это блоки данных, генерируемые в процессе компиляции программы совместно с исполняемым файлом. В таких блоках данных содержится информация о именах переменных, вызываемых функциях, библиотеках и т.д. Эти данные не нужны при выполнении программы, но полезные при ее отладке. Компоненты Microsoft компилируются с символами, распространяемыми через Microsoft Symbol Server.

Настройте WinDBG на использование Microsoft Symbol Server:

• Откройте WinDBG;
• Перейдите в меню File
  –> Symbol File Path;
  
• Пропишите строку, содержащую URL для загрузки символов отладки с сайта Microsoft и папку для сохранения кэша: SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols В примере кэш загружается в папку E:\Sym_WinDBG, можете указать любую.
• Не забывайте сохранить изменения в меню File
  –> Save WorkSpace;
  

WinDBG произведет поиск символов в локальной папке и, если не обнаружит в ней необходимых символов, то самостоятельно загрузит символы с указанного сайта. Если вы хотите добавить собственную папку с символами, то можно сделать это так:

SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols;c:\Symbols

Если подключение к интернету отсутствует, то загрузите предварительно пакет символов с ресурса Windows Symbol Packages .

Анализ дампа памяти

Для анализа аварийных дампов памяти существует множество программ, например, DumpChk, Kanalyze, WinDbg. Рассмотрим анализ аварийных дампов памяти с помощью программы WinDbg (входит в состав Debugging Tools for Windows).

Установка средств отладки

• посетите веб-узел страницу Download the Debugging Tools for Windows корпорации Microsoft;
• загрузите Windows SDK и выберите только Debugging Tools for Windows при установке (средства отладки также включены в пакет Windows WDK? yj он больше размером);
• Если SDK уже установлен, то откройте Settings, перейдите в Apps & features, выберите Windows Software Development Kit, и затем выберите Modify чтобы изменить установку и добавить Debugging Tools for Windows.
• для интерпретации файлов дампа памяти необходимо также загрузить пакет символов (Symbol Packages, так называемые символьные файлы, или файлы символов отладки) для своей версии Windows.
• выберите свою версию Windows, скачайте и запустите установочный файл Symbol Packages;
• в окне с лицензионным соглашением нажмите Yes;
• в следующем окне выберите папку для установки (по умолчанию предлагается \WINDOWS\Symbols) –> OK –> Да;
• в окне Microsoft Windows Symbols с сообщением «Installation is complete» нажмите OK.

Примечание: К сожалению, Microsoft прекратила публиковать символьные файлы из-за частоты обновления Windows 10. Теперь компания предлагает их скачивать онлайн через Symbol server или создавать символьные ссылки. Как подключиться к символьному серверу, описано здесь: https://docs.microsoft.com/ru-ru/windows-hardware/drivers/debugger/microsoft-public-symbols. Альтернативно, можно подключиться к символам на машине офлайн используя SymChk.

Использование программы WinDbg для анализа аварийных дампов памяти

• запустите WinDbg (по умолчанию устанавливается в папку \Program Files\Debugging Tools for Windows);
• выберите меню File –> Symbol File Path…;
• в окне Symbol Search Path нажмите кнопку Browse…;
• в окне Обзор папок укажите расположение папки Symbols (по умолчанию – \WINDOWS\Symbols) –> OK –> OK;
• выберите меню File –> Open Crash Dump… (или нажмите Ctrl + D);
• в окне Open Crash Dump укажите расположение Crash Dump File (*.dmp) –> Открыть;
• в окне Workspace с вопросом «Save information for workspace?», установите флажок Don’t ask again –> No;
• в окне WinDbg откроется окно Command Dump <путь_и_имя_файла_дампа> с анализом дампа;
• просмотрите анализ дампа памяти;
• в разделе «Bugcheck Analysis» будет указана возможная причина краха, например, «Probably caused by: smwdm.sys (smwdm+454d5)»;
• для просмотра детальной информации нажмите ссылку «!analyze -v» в строке «Use !analyze -v to get detailed debugging information»;
• закройте WinDbg;
• используйте полученную информацию для устранения причины неисправности.

Например, на следующем скриншоте причина неисправности – файл nv4_disp.dll драйвера видеокарты:

Типы DUMP

Доминантный тип файла DUMP

.DUMP

Файл Ext:	.dump
Группа:	Dump File

Файлы, имеющие DUMP расширение файла в основном встречается в виде дамп файлов, созданных с помощью различных приложений, когда есть ошибка в операционной системе. Файл DUMP содержит анализ ошибок в программе, чтобы помочь в устранении неполадок.

Программист:	Microsoft Corporation
Группа:	Системные файлы
Ключ реестра:	HKEY_CLASSES_ROOT\.dump

Программные обеспечения, открывающие Dump File:

macOS, разработчик — Apple

Mac

Microsoft Windows, разработчик — Microsoft Corporation

Windows

Больше DUMP-файлов

.DUMP

Файл Ext:	.dump
Группа:	Google BreakPad Crash Log

Суффикс DUMP Файл также связан с Google BreakPad, система аварии отчетов с открытым исходным кодом для Mozilla Firefox веб-браузера доступна на различных операционных системах. Файл содержит журнал аварии, созданный Google BreakPad.

Программист:
Группа:	Файлы данных

Программы, открывающие файлы Google BreakPad Crash Log :

Mozilla Firefox, разработчик — Mozilla

Совместимый с:

Windows

	Mac
	iOS

Android

Linux

Solaris

illumos

.DUMP

Файл Ext:	.dump
Группа:	Library Symbols File

Суффикс DUMP Файл связан с Apache OpenOffice, популярным офисным пакетом для различных операционных систем. DUMP файлов хранит библиотеку символов, используемых в программе.

Программист:	Apache Software Foundation
Группа:	Файлы данных

Программы, открывающие файлы Library Symbols File :

Apache OpenOffice, разработчик — Apache Software Foundation

Совместимый с:

Windows

Mac

Android

Linux

.DUMP

Файл Ext:	.dump
Группа:	CodeWarrior File

Файлы, имеющие расширение DUMP файла, также связаны с CodeWarrior, интегрированный инструмент разработки для Microsoft Windows, которая позволяет разработчикам создавать приложения для различных микроконтроллеров устройств. В магазинах файл DUMP разобранном данные.

Программист:	Freescale
Группа:	Файлы данных

Программы, открывающие файлы CodeWarrior File :

CodeWarrior, разработчик — NXP

Совместимый с:

Windows

Mac

Анализ аварийного дампа памяти в WinDBG

Отладчик WinDBG открывает файл дампа и загружает необходимые символы для отладки из локальной папки или из интернета. Во время этого процесса вы не можете использовать WinDBG. Внизу окна (в командной строке отладчика) появляется надпись Debugee not connected.

Команды вводятся в командную строку, расположенную внизу окна.

Самое главное, на что нужно обратить внимание – это код ошибки, который всегда указывается в шестнадцатеричном значении и имеет вид 0xXXXXXXXX (указываются в одном из вариантов — STOP: 0x0000007B, 02.07.2019 0008F, 0x8F). В нашем примере код ошибки 0х139. Полный справочник ошибок можно посмотреть здесь.

Полный справочник ошибок можно посмотреть здесь.

Отладчик предлагает выполнить команду !analyze -v, достаточно навести указатель мыши на ссылку и кликнуть. Для чего нужна эта команда?

• Она выполняет предварительный анализ дампа памяти и предоставляет подробную информацию для начала анализа.
• Эта команда отобразит STOP-код и символическое имя ошибки.
• Она показывает стек вызовов команд, которые привели к аварийному завершению.
• Кроме того, здесь отображаются неисправности IP-адреса, процессов и регистров.
• Команда может предоставить готовые рекомендации по решению проблемы.

Основные моменты, на которые вы должны обратить внимание при анализе после выполнения команды !analyze –v (листинг неполный). 1: kd>. 1: kd>

1: kd>

Символическое имя STOP-ошибки (BugCheck)Описание ошибки (Компонент ядра повредил критическую структуру данных. Это повреждение потенциально может позволить злоумышленнику получить контроль над этой машиной):

Аргументы ошибки:

Счетчик показывает сколько раз система упала с аналогичной ошибкой:

Основная категория текущего сбоя:

Код STOP-ошибки в сокращенном формате:

Процесс, во время исполнения которого произошел сбой (не обязательно причина ошибки, просто в момент сбоя в памяти выполнялся этот процесс):

CURRENT_IRQL: 2

Расшифровка кода ошибки: В этом приложении система обнаружила переполнение буфера стека, что может позволить злоумышленнику получить контроль над этим приложением.

Последний вызов в стеке:

Стек вызовов в момент сбоя:

Участок кода, где возникла ошибка:

Имя модуля в таблице объектов ядра. Если анализатору удалось обнаружить проблемный драйвер, имя отображается в полях MODULE_NAME и IMAGE_NAME:

1: kd>

В приведенном примере анализ указал на файл ядра ntkrnlmp.exe. Когда анализ дампа памяти указывает на системный драйвер (например, win32k.sys) или файл ядра (как в нашем примере ntkrnlmp.exe), вероятнее всего данный файл не является причиной проблемы. Очень часто оказывается, что проблема кроется в драйвере устройства, настройках BIOS или в неисправности оборудования.

Если вы увидели, что BSOD возник из-за стороннего драйвера, его имя будет указано в значениях MODULE_NAME и IMAGE_NAME.

Например:

Откройте свойсва файла драйвера и проверьте его версию. В большинстве случаев проблема с драйверами решается их обнвовлением.

Как это работает

При возникновении сбоя, система полностью останавливает свою работу и, если создание дампов активно, в файл, помещаемый на диск будет записана информация о возникшей проблеме
. Если что-то случилось с физическими компонентами, то будет работать аварийный код, а железо, которое дало сбой будет вносить какие-либо изменения, что обязательно отразится в снимке.

Обычно файл сохраняется в выделенном для файла подкачки блоке жёсткого диска, после появления BSoD файл перезаписывается в тот вид, который пользователь сам и настроил (Малый, полный или дамп ядра). Хотя, в современных ОС участие файла подкачки не обязательно.

Решение

Если Вы один из тех, кто, столкнувшись с ошибкой «Memory_Management», может загрузиться на рабочий стол, хотя бы в безопасном режиме, то перед тем, как приступить к выполнению вышеописанных вариантов, следует потратить время на создание точки восстановления.

Сделать это можно следующим образом:

• Откройте «Этот компьютер» и кликом правой кнопкой по пустому месту открывшегося окна вызовите «Свойство»;
• Далее, откройте раздел «Защита системы»;
• Если кнопка «Создать» у вас неактивна, то нажмите на кнопку «Настроить»;
• Установите флажок в строке «Включить защиту системы», и используя ползунок отмерьте максимальный объём свободного пространства, которые вы предоставите системе восстановления для хранения необходимых ей файлов;
• Вернувшись к предыдущему окну, нажмите на кнопку «Создать»;
• Введите название создаваемой точки восстановления;
• Дождитесь появления окна, сигнализирующего об успешном создании точки восстановления и закройте окно «Свойства системы», нажав на кнопку «ОК».

Подробнее о том, как создать точку восстановления мы писали в статье: Как создать образ системы Windows 10

Теперь имея данную «страховку» следует приступить к подтверждению наличия обозначенных выше причин.

Как уже неоднократно говорилось, драйверы вместе с файлами библиотеки динамической компоновки (.dll) наиболее подвержены различным сбоям.

Поэтому первое на что стоит обратить внимание – это проверка корректности используемого драйверного обеспечения операционной системы. Для этого сделайте следующее:. Для этого сделайте следующее:

Для этого сделайте следующее:

• Нажмите сочетание клавиш «WIN+R» и выполните команду «verifier»;
• Перед вами откроется окно штатной утилиты «Диспетчер проверки драйверов»;
• Из представленных вариантов выберите пункт «Создать нестандартные параметры (для кода программ)» и нажмите «Далее»;
• Откроется список параметров диагностики, среди которых необходимо найти и отметить галочкой:
  • «Особый пул»;
  • «Отслеживание пула»;
  • «Обязательная проверка IRQL»;
  • «Обнаружение взаимоблокировок»;
  • «Проверки безопасности»;
  • «Проверка соответствия требованиям DDI»;
  • «Прочие проверки».
• В следующем шаге отметьте «Выбрать имя драйвера из списка» и дождитесь завершения загрузки информации;
• Полученные результаты отсортируйте по столбцу «Поставщик» и отметьте галочкой все варианты, которые поставляются не компанией «Microsoft»;
• Нажмите на кнопку «Готово» и перезагрузите компьютер, для инициирования созданной проверки.

Следует учитывать, что данная проверка будет запускаться автоматически до момента её отключения. Но если в результате проверки будут найдены ошибки, препятствующие входу, то система может выдать «BSOD» и уйти в циклическую перезагрузку, что будет продолжаться до бесконечности.

Если в вашем случае ситуация развивается именно таким образом, то во время очередного старта Windows постоянно нажимайте на клавишу «F8» и далее:

• Выберите раздел «Диагностика»;
• Далее «Дополнительные параметры» — «Восстановление при загрузке» — «Перезагрузить»;
• Отметьте параметр «Безопасный режим с поддержкой командной строки»;
• Дождитесь появления консоли командной строки и поочерёдно выполните две команды:
  • «verifier /reset» — для деактивации автоматической диагностики драйверов;
  • «shutdown -r -t 0» — для инициирования перезагрузки компьютера.

Альтернативным вариантом является использования ранее созданной точки восстановления , для отката конфигурации системы до активации проверки драйверов.

На этом список дел не заканчивается. Отключенная утилита диагностики по факту своей работы создала определённый файл, который находится в папке «C:\windows\ minidump». В нём содержится прямое указание на драйверы, имеющие в своей структуре какие-либо ошибки.

Открыть файл с подобным форматом можно и средствами операционной системы с помощью официальной утилиты «Debugging Tools for Windows», которая доступна для скачивания на официальном сайте «Microsoft», но выводимая информация будет сложна для восприятия.

Поэтому лучшим вариантом будет воспользоваться сторонним специализированным программным обеспечением, например, «BlueScreenView». Программа распознает файл дампа памяти и выведет информацию в максимально понятной интерпретации, выделив сбойный драйвер розовым цветом.

Останется только удалить «виновника» и провести его ручное обновление/установку, скачав с официального сайта разработчиков.

Решения для устранение ошибки memory.dump в Windows 10/8.1

1. Включить функцию автоматического обновления

В Windows 10/8.1 автоматическое обновление включено по умолчанию, но вы наверняка отключили его и забыли. Это не правильный подход. Система должна все время обновляться и развиваться, тем самым в этих же обновлениях могут приходить критические исправления различных ошибок. Включите функцию автоматического обновления навсегда. Рассмотрим ниже несколько рекомендаций.

• Если вы отключили его с помощью специальной утилиты, то включите обратно.
• Проверьте в службах, работает ли «Центр обновления Windows».
• Постарайтесь обновить свою систему до последней версии.

2. Ручное обновление для системного драйвера

Вручную обновите все установленные системные драйверы, такие как видео, USB и аудио, до последней версии используя Интернет. Часто устаревшие системные драйверы являются причинами ошибок memory.dump.

• Нажмите Win + R и введите devmgmt.msc, чтобы открыть «Диспетчер устройств».
• У вас появится список всех устройств. Обновите их все по порядку, нажав правой кнопкой мыши и выбрав «Обновить драйвер».

 3. Отключить функцию быстрого запуска

Функция Hybrid Shutdown или Fast startup была добавлена ​​в Windows 8 для быстрого запуска в Windows 10, 8. Но число людей жаловалось на то, что Hybrid shutdown выдает различные проблемы, когда она работает с Fast startup, и обе эти функции несут ответственность за создание ошибок memory.dump в системе Windows 10/8. Отключим функцию Hybrid shutdown в системе. 

Перейдите в раздел «Электропитание» с панели управления. Далее нажмите справа на «Действия кнопок питания».

1. Нажмите на «Изменение параметров, которые сейчас недоступны», чтобы вы смогли пользоваться ниже параметрами.
2. Теперь Вам доступны параметры снизу. Отключите «Быстрый запуск» убрав галочку. Сохраните изменения.

4. Восстановление системных файлов и жесткого диска

Попробуем  исправить поврежденные системные файлы, если они имеются, и восстановить жесткий диск. 

Запустите командную строку от имени администратора и введите команду sfc /scannow, чтобы проверить системные файлы.

Запустите командную строку от имени администратора и введите chkdsk /f /r, чтобы проверить и восстановить ошибки на жестком диске.

Смотрите еще:

• Как проверить оперативную память на ошибки в Windows
• Как увеличить оперативную память с помощью флешки ReadyBoost
• Сжатая память Windows 10: Что это? Как работает? Как Отключить?
• Почему Ntoskrnl.exe System грузит ЦП и Память в Windows 10
• Как снять защиту от записи с USB флешки и карт памяти 

comments powered by HyperComments

Как удалить файлы дампа памяти

Если понадобилось удалить memory dump, это можно выполнить вручную, пройдя по пути месторасположения объекта на диске. Так, в системном каталоге Windows нужно найти и удалить файл MEMORY.DMP, а также элементы в каталоге Minidump. Кроме того, можно использовать штатный инструмент системы «Очистка диска»:

• вызываем консоль «Выполнить» (Win+R) и вводим команду «Cleanmgr», чтобы перейти к службе;
• жмём кнопку очищения системных файлов, затем находим и отмечаем в списке строчки, касающиеся memory dump. Если не нашлось, значит, их не создавали.

Создание снимков бывает отключено, даже если вы когда-либо активировали эту функцию по причине деятельности специального софта. Если речь о SSD-накопителе, это могут быть программы для работы с твердотельными дисками. Отключение некоторых опций ОС выполняется ими с целью оптимизации работы, поскольку многократные процессы чтения/записи сокращают продолжительность жизни диска. Также причиной отключения дампа памяти могут быть различные программы очистки компьютера и оптимизации системы.