Какой дамп памяти поставить для windows 7. аварийный дамп памяти

Настраиваем дамп памяти windows 10

И так, что же такое дамп памяти в операционной системе Windows 10 Redstone . Выше я вам описал, очень частую причину при которой появляется дамп памяти системы и это синие экраны смерти. Причины их появления очень обширны:

• Не совместимость приложений
• Не совместимость драйверов
• Новые обновления Windows
• Не совместимость устройств

Это лишь маленький обобщенный список, так как кодов ошибок от синих экраном, целая тьма, приведу самые последние из них.

Наша с вами задача, уметь найти эти файлы для диагностики и уметь их интерпретировать, для получения информации о проблеме.

Где настраивается аварийный дамп памяти windows 10

Для начала давайте разберемся, где производится настройка, которая отвечает за аварийный дамп памяти windows 10. Щелкаете правым кликом по кнопке пуск Windows 10 и из контекстного меню выбираете пункт Система.

В открывшемся окне Система, вы в левом верхнем углу выбираете Дополнительные параметры Системы.

Именно тут и настраивается дамп памяти windows 10. жмем пункт параметры в Загрузка и восстановление.

Из настроек, дампа памяти windows 10, хочу отметить следующие:

• Запись события в системный журнал > тут информация о синем экране будет добавлена в логи операционной системы.
• Выполнить автоматическую перезагрузку > чтобы продолжить после ошибки работу
• Запись отладочной информации > позволяет выбрать вид дамп файла, об этом ниже.
• Заменить существующий файл дампа, полезная галка, так как данные дампы могут весить десятки гигабайт, очень критично для маленьких ссд дисков.

Виды дампов памяти

Давайте рассмотрим, чем же отличаются варианты записи отладочной информации

Малый дамп памяти 256 кб: Файлы малого дампа памяти содержат следующие сведения:

– сообщение о неустранимой ошибке, ее параметры и прочие данные;

– список загруженных драйверов;

– контекст процессора (PRCB
), на котором произошел сбой;

EPROCESS
) для процесса, вызвавшего ошибку;

– сведения о процессе и контекст ядра (ETHREAD
) для потока, вызвавшего ошибку;

– стек вызовов в режиме ядра для потока, вызвавшего ошибку.

Его используют, когда у вас очень мало дискового пространства на вашем локальном диске. За счет этого мы жертвуем полезной информацией, которой может не хватить для диагностики синего экрана.

Хранится мини дамп по пути C:\Windows\Minidump

• Дамп памяти ядра > записывает только память ядра. В зависимости от объема физической памяти ПК в этом случае для файла подкачки требуется от 50 до 800 МБ
  или одна треть физической памяти компьютера на загрузочном томе.
• Полный дамп памяти > ну тут и так все понятно из названия. Пишет абсолютно все, это максимальная информация о синем экране, дает сто процентную диагностику проблемы.

Располагается по пути C:\Windows\Memory.dmp

Активный дамп памяти > сюда попадает активная память хостовой машины, это функция больше для серверных платформ, так как они могут использоваться для виртуализации, и чтобы в дамп не попадала информация о виртуальных машинах , придумана данная опция.

Где находится дамп файл ? / Where is the dump file ?

Дамп файл – используется для анализа ошибок компьютера так называемого синего экрана.

Причем не все видят данный экран. В настройках Windows можно установить действие при возникновении критической ошибки – Перезагрузка

При получении заявок от пользователей о периодических перезагрузках компьютера в течении дня без видимой причины стоит обратить внимание на дамп системы который перед этим создается.

MinidumpDir

Содержится информация о пути где находятся дамп файлы. Обычно, данные файлы находятся в папке

C:WindowsMinidump

В значении параметра Min >установлено %SystemRoot%Minidump

%SystemRoot% – эта переменная для директории Windows.

Если открыть командную строку (Win+R -> В окне выполнить ввести cmd)

и в окне командной строки ввести

то в результате в окне командной строки вы переместитесь в папку Windows

После нахождения дамп файла его еще нужно открыть и для этого можно воспользоваться утилитами созданными специально для этого.

Например BlueScreenView или WinDBG входящий в состав инструментов по отладке Windows.

The dump file – is used for the analysis of the errors of the computer the blue screen.

And not everyone can see the screen. In the settings Windows you can set the action when a critical error occurs – Restart

Upon receipt of the applications from users on the periodic rebooting of the computer during the day for no apparent reason you should pay attention to the system dump which is created.

MinidumpDir

Contains information about the path where the dump files. Usually, these files are in the folder

In the MinidumpDir value of the parameter using %SystemRoot%Minidump

%SystemRoot% is the variable for the Windows directory.

If you open a command prompt (Win+R -> In run box type cmd)

in the command prompt window, enter

the result in the command prompt window, you navigate to the Windows folder

After finding the dump file it has to open and you can use the utilities created for this purpose.

For example BlueScreenView or WinDBG part of debugging tools for Windows.

Получение информации о проблемном драйвере

Если удалось обнаружить драйвер, в котором возникла ошибка, имя драйвера будет отображено в полях MODULE_NAME и IMAGE_NAME.

start             end                 module name
fffff880`0583c000 fffff880`059ef000   cmudaxp  T (no symbols)           
    Loaded symbol image file: cmudaxp.sys
    Image path: \SystemRoot\system32\drivers\cmudaxp.sys
    Image name: cmudaxp.sys
    Timestamp:        Fri Jan 18 13:58:45 2008 (47906A45)
    CheckSum:         0013077F
    ImageSize:        001B3000
    Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4

Если полный путь к драйверу не указан, по умолчанию используется папка %SystemRoot%\system32\drivers.

Находим указанный файл, и изучаем его свойства.

Обновляем проблемный драйвер.

DMP – Дамп памяти Windows (Windows Memory Dump)

В Windows: Windows Debug Tools, Windows Kernel Debug, Microsoft Visual Studio, Microsoft Dumpflop utility, Microsoft Windows, BlueScreenView

Описание расширения DMP

Популярность:

Раздел: Системные файлы

Разработчик: Microsoft

Расширение DMP связано с файлами дампа памяти Windows – это снимок содержимого оперативной памяти. DMP файлы, как правило, создается автоматически, когда Windows падает. Дамп с ошибками Windows, как правило, имеет наименование размером 64 КБ. Часть 000000-00 в названии – это месяц, день, год и порядковый номер для этой даты (ммддгг-e2_).

Вы можете настроить Windows, чтобы также сохранялись дополнительные информационные сообщения для дампа файлов, например, стоп код, значения регистров процессора и содержимое стека. Три типа дапма памяти доступны:

полный дамп памяти, который записывается в папку %SystemRoot%\ Файл подкачки загрузочного тома должен быть достаточно большим, чтобы вместить всю физическую память плюс 1 МБ.

4. В разделе «Запись отладочной информации» можно выбрать один из трех видов дампов памяти, а так же папку, где они будут созданы.

Если компьютер уже не загружается, тогда при загрузке нажимаете на F8 и выбираете пункт меню «При отказе системы не выполнять перезагрузку». После этого вы увидите BSOD, где и будет вся информация о проблемных файлах. Для исправления ошибки необходимо или обновить файл, как правило, это файлы драйвера, или удалить из системы, если это возможно.

Примечание: Т.к. файлы .DMP могут занимать много места, то их можно удалить при необходимости.

Примечание: Вообще говоря, многие программы кроме Windows используют расширение .DMP для своих файлов дампов памяти, создаваемых при аварийной работе приложения. Они используются для решения проблем и исправления ошибок разработчиками программ. Формат таких файлов .DMP отличен от системного формата дампа памяти, используемых в Windows. Например, антивирус Касперского создает DMP файл при аварийном завершении работы антивируса, файл находится в папке C:\Documents and Settings\All Users\Application Data\Kaspersky Lab или C:\ProgramData\Kaspersky Lab\.

MIME тип: application/x-dmpHEX код: 50 41 47 45 44 55, 4D 44 4D 50 93 A7ASCII код: PAGEDU, MDMP

Другие программы, связанные с расширением DMP

1. Файл дампа ORACLE от Oracle CorporationРасширение DMP – дамп базы ORACLE, который используется для резервирования схемы и данных. DMP файл хранит данные только на момент, создания дампа. Для экспорта или импорта дампа базы данных в Oracle используются утилиты входящие в состав Oracle и находящиеся в каталоге BIN – и impNN.

exe, где NN зависит от версии Оракла. Так же данные можно просмотреть с использованием утилит Oracle Dump Viewer и NXTract, причем утилита NXTract позволяет конвертировать данные из .DMP в форматы баз данных CSV, Sybase, SQL Server, DB2, Excel, Access, Ingres, MySQL, Informix, Lotus 123, dBASE, Visual Basic, Foxpro Powerbuilder и любой другой версией Oracle.

Относится к разделу Файлы резервных копий.

Популярность:

1. Файл дампа клиента Steam от Valve CorporationРасширение DMP файла связано с клиентом инструмента управления Steam для Microsoft Windows и Apple Mac OS X, используемой для управления играми, приобретенные на Steam, разработанная Valve. В * DMP-файлах хранятся данных. Файлы находятся в каталоге /tmp/dumps с наименованием crash_YYYYMMDDHHMMSS_, где YYYY – год, MM – месяц, DD – день, HH – час, MM – минута, SS – секунда, N – счетчик.

Относится к разделу Файлы резервных копий.

Популярность:

Включить параметр сброса памяти

Для выполнения этой процедуры необходимо войти в систему в качестве администратора или члена группы администраторов. Если компьютер подключен к сети, параметры сетевой политики могут помешать вам завершить эту процедуру.

Чтобы включить параметр сброса памяти, выполните следующие действия:

1. В панели управлениявыберите систему и систему > безопасности.

2. Выберите параметры расширенных систем, а затем выберите вкладку Advanced.

3. В области запуска и восстановления выберите Параметры . ****

4. Убедитесь, что сброс памяти ядра или полная свалка памяти выбраны в статье Writing Debugging Information.

5. Перезагрузите компьютер.

Примечание

Вы можете изменить путь файла сброса, редактировать поле файла Dump. Другими словами, можно изменить путь с %SystemRoot%\Memory.dmp на локальный диск с достаточным диском, например E:\Memory.dmp.

Советы для создания свалок памяти

При сбое и перезапуске компьютера содержимое физической оперативной памяти передается в файл paging, расположенный на разделе, на котором установлена операционная система.

В зависимости от скорости жесткого диска, на котором Windows установлена, сброс более 2 гигабайт (ГБ) памяти может занять длительное время. Даже в лучшем случае, если файл сброса настроен для проживания на другом локальном жестком диске, значительное количество данных будет прочитано и записано на жесткие диски. Это может привести к длительному отключению сервера.

Примечание

Используйте этот метод для создания полных файлов сброса памяти с осторожностью. В идеале это следует делать только при явном запросе инженера службы поддержки Майкрософт

Отладка файлов сброса ядра или полного файла памяти должна быть последней инстанцией после полного исчерпания всех стандартных методов устранения неполадок.

Получение информацию о компьютере

Для начала надо искать информа­цию о:

• про­цес­сах;
• ис­тории бра­узе­ра;
• ис­тории запущен­ных команд в кон­соли.

Этих 3 пун­ктов хва­тит для опре­деле­ния направления даль­нейшей раз­ведки.

Процессы

Что­бы най­ти про­цес­сы, нам дос­таточ­но исполь­зовать коман­ду pstree. Есть еще pslist, но пер­вая коман­да удоб­нее, потому что показы­вает про­цес­сы в виде дерева — так нам­ного про­ще понять, на какие из них сто­ит обра­тить вни­мание.

1	$vol.py-fchallenge.vmem—profile Win10x64_18362 pstree

Ни­чего бро­сающе­гося в гла­за, вро­де pswd_manager.exe или not_a_virus.exe, не вид­но, поэто­му про­дол­жим нашу раз­ведку.

История браузера

Хоть в хин­те (см. первый скрин) и говори­лось, что «уда­лен­ный» не обя­затель­но зна­чит «бра­узер», мы про­верим этот век­тор. В Volatility есть готовый пла­гин для прос­мотра исто­рии Internet Explorer — iehistory. И не говорите, что им уже ник­то не поль­зует­ся!

1	$vol.py-fchallenge.vmem—profile Win10x64_18362 iehistory

Ко­ман­да работа­ла слиш­ком дол­го на моей машине (поряд­ка 20 минут) и завер­шать­ся не пла­ниро­вала. Это не счи­тает­ся нор­маль­ным поведе­нием для Volatility, сле­дова­тель­но, тут искать нечего.

Ес­ли вы подума­ете сос­тавлять задач­ки для CTF — имейте в виду, что задачи, в которых надо по пол­часа бру­тить извра­щен­ные пароли или искать неуло­вимый API endpoint, ник­то не любит, и сле­дующую задачу вам доверят делать еще не ско­ро.

Список команд в консоли

Есть еще одна удоб­ная фун­кция для про­вер­ки всех вве­ден­ных в кон­соль команд. Воз­можно, поль­зователь запус­кал что‑нибудь из кон­соли или хра­нил там важ­ные дан­ные (нап­ример, флаг). Про­верить все из кон­соли мож­но с помощью коман­ды cmdscan.

1	$vol.py-fchallenge.vmem—profile Win10x6_18362 cmdscan

Тут чис­то — сле­дова­тель­но, тер­минал тоже не при делах.

Полезный прием при анализе оперативной памяти

Пос­коль­ку до сих пор не наш­лось ничего инте­рес­ного — мы что‑то упус­тили. Мож­но при­менить еще один полез­ный при­ем при ана­лизе опе­ратив­ной памяти — пос­мотреть на скрин­шот рабоче­го сто­ла. Помога­ет он не силь­но час­то, но поз­воля­ет уви­деть более пол­ную кар­тину.

Сде­лать скрин­шот всех окон про­цес­сов в сис­теме мож­но с помощью коман­ды screenshot. Обя­затель­но нуж­но ука­зать сущес­тву­ющую конеч­ную дирек­торию, где будут находить­ся все сним­ки.

Важ­но понимать, что боль­шинс­тво кар­тинок будут пус­тыми: это свя­зано с тем, что не все окна вооб­ще могут отоб­ражать­ся (для луч­шего понима­ния рекомен­дую озна­комить­ся с до­кумен­таци­ей).

1	$vol.py-fchallenge.vmem—profile Win10x64_18362 screenshot-Dshot/

К сожале­нию, коман­да закан­чива­ется с ошиб­кой, так что этот трюк тоже не про­шел и нам сто­ит вер­нуть­ся к самому началу.

Что делать при появлении ошибки «dumping physical memory to disk»

Проверка целостности системных файлов и корректности работы жёсткого диска

Это стандартный алгоритм проверки работы системы, который даже если не решит основную проблему, то поможет избавиться от мелких системных сбоев.

Утилита «sfc/scannow» предназначена для выявления повреждённых и отсутствующих системных файлов, с их последующим восстановлением.

Для её активации сделайте следующее:

• Нажмите «Пуск» и в строке поиска введите «cmd.exe».
• Кликните правой кнопкой мышки по найденному результату и выберите «Запустить от имени администратора».
• В открывшейся консоли командной строки введите и выполните команду «sfc/scannow».
• Дождитесь завершения сканирования и просмотрите отчёт утилиты.

Утилита «CHKDSK» предназначена для проверки физических носителей на наличие имеющихся ошибок и их автоматического исправления:

• Аналогичным образом запустите консоль командной строки.
• Введите и выполните команду «CHKDSK f/ r/» — параметр «f/» указывает на автоматический поиск и исправление ошибок, параметр «r/» — сканирует жёсткий диск на наличие повреждённых секторов и автоматически их исправляет.
• Процесс может занять длительное время, поэтому наберитесь терпения и не прерывайте работу утилиты.

Анализ и переустановка графического драйвера

В продолжение темы физической неисправности видеокарты, следует проверить её работу на наличие программных ошибок (в виде некорректно работающих драйверов программного обеспечения).

Если версия драйвера актуальна, то, возможно, причиной возникновения сбоя «dumping physical memory to disk» стала его некорректная установка.

Проверить это можно следующим образом:

• Нажмите комбинацию клавиш «WIN+R» и выполните «devmgmt.msc».
• В открывшемся окне «Диспетчер устройств» разверните строку/раздел «Видеоадаптеры».
• Кликните правой кнопкой мышки по найденному устройству и выберите «Свойства».
• Перейдите на вкладку «Драйвер» и нажмите на кнопку «Удалить».

Здесь возможно два варианта дальнейших действий:

1. Перезагрузить компьютер и предоставить операционной системе «карт бланш» на самостоятельную установку драйвера графического адаптера.
2. Воспользоваться специализированным программным обеспечением (DriverPack или Driver Booster) для самостоятельной полуавтоматической установки необходимых драйверов.

Анализ работы оперативной памяти

Как и с работой графического адаптера, так и в работе оперативной памяти возможны ошибки, которые также необходимо выявить на программном уровне.

Делается это достаточно просто:

• Наиболее популярная и качественная программа для диагностики работы оперативной памяти является «Memtest». Для работы вам потребуется скачать и записать образ программы на загрузочный носитель, с которого и будет осуществляться тестирование.
• Далее потребуется просто загрузиться с носителя (используя «Boot Menu» или установив соответствующий приоритет загрузки в BIOS) и начать работу с «Memtest».
• После загрузки с носителя сканирование и тестирование начнётся автоматически.
• Остаётся набраться терпения, так как сканирование займёт длительное время (это часы тестирования для каждой планки оперативной памяти).

Если по завершению работы «Memtest» внизу активного окна будет предоставлено уведомление «Pass complete, no errors, press Esc to Exit», то программа не обнаружила неисправных блоков.

Если же они присутствуют, то будут наглядно выделены красным цветом, соответственно, вам придется заменить оперативную память.

Папка Windows Temp

Расположение: C: Windows Temp

Как можно догадаться из названия, временные файлы Windows не важны за пределами их первоначального использования. Файлы и папки внутри содержат информацию, которую Windows использовала когда-то, но больше не нужна.

Помимо очистки с помощью Disk Cleanup. Вы можете посетить эту папку и удалить ее содержимое, нажав Ctrl + A выбрать все, а затем нажмите удалять, Когда вы делаете это, Windows может выдать вам ошибку о паре элементов – просто проигнорируйте их и очистите все остальное.

Расположение: оболочка: RecycleBinFolder

Технически, Корзина – это не папка. И хотя это может быть очевидным для некоторых, мы включаем это в случае, если некоторые читатели не знают.

Каждый раз, когда вы удаляете файл в своей системе, Windows отправляет его в корзину. Это особое место, где удаленные файлы хранятся до тех пор, пока вы не удалите их навсегда или не восстановите. Если вы не помните, чтобы регулярно очищать корзину, там может быть несколько гигабайт старых данных.

Вы можете получить доступ к корзине через ярлык на рабочем столе. Если у вас его нет, введите оболочка: RecycleBinFolder в панель навигации Проводника. Оказавшись здесь, вы увидите все, что вы недавно удалили.

Вы можете щелкнуть правой кнопкой мыши по отдельным элементам и выбрать удалять навсегда стереть их или Восстановить отправить файл обратно в исходное местоположение. На ленте выше вы увидите кнопки Пустая мусорная корзина а также Восстановить все предметы,

Чтобы настроить работу корзины, нажмите Свойства корзины на ленте. Здесь вы можете изменить максимальный размер корзины или выбрать Не перемещайте файлы в корзину,

С помощью этого параметра Windows пропускает корзину и удаляет элементы без возможности восстановления при их удалении. Мы не рекомендуем этого, потому что корзина дает вам второй шанс в случае ошибки.

Что такое дамп базы данных

Дамп (англ. dump – сбрасывать) – файл, включающий в себя содержимое памяти компьютера или базы данных. В нашем случае это файл с расширением .sql. Он содержит особые данные, благодаря которым можно легко воссоздать копию БД.

Копирование базы данных может быть полезно, когда нужно выполнить: 

• Перенос данных на другой хостинг. Не нужно повторно создавать БД и вносить в нее все данные руками. Достаточно создать дамп и импортировать его в новый проект.
• Резервное копирование. Отличный способ для экспериментов с веб-сайтом или сервером: вносите корректировки в базу данных и не бойтесь, что произойдет сбой. В случае неисправности всегда можно будет все восстановить из дампа.

Помимо этого, дамп может заполнить не только пустую базу, но и заменить содержимое ранее созданной. Давайте перейдем к практической части и посмотрим на наглядном примере, как все это можно организовать.

Как очистить системный диск Windows?

Здравствуйте, у меня на ноутбуке, на системном диске C: закончилось место, я удалял программы, но это не помогает, все равно место заканчивается. Папка Windows занимает объем 43 Гб, скажите как можно почистить диск? Может можно удалить что-нибудь из Windows 7?

Лучше, самому не удалять файлы из папки C:Windows , а воспользоваться специальным для этого средством: очистка диска. Очистка диска бывает двух типов — стандартная и расширенная.

Стандартная очистка диска

С помощью стандартной очистки диска можно удалить:

• Содержимое папки Downloaded Program Files;
• Временные файлы интернета – файлы, сохраняемые браузером Internet Explorer во время просмотра веб-страниц;
• Автономные веб-страницы – сохраненные на компьютере веб-страницы, которые можно просматривать без подключения к интернету;
• Файлы статистики игр;
• Содержимое Корзины;
• Временные файлы, создаваемые некоторыми программами в процессе работы;
• Эскизы – созданные системой копии эскизов всех изображений и документов для последующего ускорения открытия папок, в которых они содержатся.

1. Щелкните правой кнопкой мыши по диску, который нужно очистить и выберите Свойства.

2. На вкладке Общие нажмите кнопку Очистка диска.

3. На вкладке Очистка диска установите флажки напротив файлов, которые нужно удалить, и нажмите OK.

4. На вкладке Дополнительно можно удалить все точки восстановления системы, кроме самой новой. Чтобы сделать это, нажмите кнопку Очистить.

5. Нажмите ОК.

Расширенная очистка диска

С помощью встроенной в Windows 7 расширенной очистки диска можно удалить все, что удаляет стандартная очистка, плюс:

• Временные файлы установки – временные файлы, созданные во время установки программ и более не нужные на компьютере;
• Debug dump files – файлы, созданные дебаггером Windows;
• Старые файлы программы Chkdsk – потерянные фрагменты файлов, созданные во время проверки диска и более не нужные на компьютере.
• Предыдущие установки Windows – файлы и папки от предыдущих версий Windows, перемещенные в папку Windows.old.
• Настройка файлов журнала;
• Файлы дампа памяти для системных ошибок – можно удалить эти файлы, если ваш компьютер работает исправно и не нуждается в диагностике;
• Файлы минидампа для системных ошибок;
• Файлы, выброшенные обновлением Windows – файлы прежних версий Windows, сохраненные во время обновления до Windows 7.
• Пользовательские архивы отчетов об ошибках – файлы, используемые для отчетов об ошибках и поиска решений;
• Пользовательские очереди отчетов об ошибках;
• Системные архивы отчетов об ошибках;
• Системные очереди отчетов об ошибках;
• Файлы журнала обновлений Windows – данные для определения и устранения проблем, связанных с установкой, обновлением и обслуживанием Windows.

1. Откройте меню Пуск > Все программы > Стандартные, щелкните правой кнопкой по значку командной строки и выберите Запуск от имени администратора.

2. Введите команду: cleanmgr и нажмите Ввод.

3. Выбираете необходимый диск и нажимаете OK

3. Отметьте флажками файлы, которые нужно удалить.

Небольшая свалка памяти

Небольшая свалка памяти записи наименьший набор полезных сведений, которые могут помочь определить, почему компьютер неожиданно остановился. Этот параметр требует файла paging по крайней мере 2 МБ на том загрузки и указывает, что Windows 2000 и более поздней создать новый файл каждый раз, когда компьютер неожиданно останавливается. История этих файлов хранится в папке.

Этот тип файла сброса включает следующие сведения:

• Сообщение Stop, его параметры и другие данные
• Список загруженных драйверов
• Контекст процессора (PRCB) для остановленного процессора
• Сведения о процессе и контекст ядра (EPROCESS) для остановленного процесса
• Сведения о процессе и контекст ядра (ETHREAD) для остановленного потока
• Стек вызовов в режиме ядра для остановленного потока

Этот вид файла сброса может быть полезен при ограниченном пространстве. Однако из-за ограниченной информации ошибки, которые непосредственно не были вызваны потоком, запущенным во время проблемы, могут не быть обнаружены при анализе этого файла.

Если следующие условия верны, предыдущий файл сохраняется.

• Возникает вторая проблема.
• Создается второй небольшой файл сброса памяти.

Каждому дополнительному файлу дается отдельное имя. Дата закодирована в имени файла. Например, Mini022900-01.dmp — это первая свалка памяти, созданная 29 февраля 2000 г. Список всех небольших файлов сброса памяти хранится в папке.

Анализ аварийного дампа памяти в WinDbg

Перед анализом memory dump необходимо выполнить некоторые настройки. Для работ с софтом понадобится пакет символов отладки Debugging Symbols, загруженный с учётом версии и разрядности системы.

Можно настроить извлечение утилитой символов из интернета, что безопасно, поскольку используется официальный ресурс компании Майкрософт.

Ассоциирование файлов .dmp с WinDbg

Для того чтобы объекты при нажатии на них открывались посредством утилиты:

1. В консоли командной строки, запущенной от имени администратора (например, через меню Пуск) выполняем команды (зависимо от разрядности ОС):
2. Или (для 32-разрядной Виндовс):

Теперь файлы типов .DMP, .HDMP, .MDMP, .KDMP, .WEW будут ассоциироваться с приложением.

Настройка сервера отладочных символов

Отладочные символы, которые генерируются в процессе компиляции приложения вместе с исполняемым файлом, нужны при отладке. Настраиваем WinDbg на извлечение символов из сети:

• в окне WinDbg жмём «File» и выбираем «Symbol Fie Path…» или жмём Ctrl+S;

• указываем путь для загрузки, прописав строчку:

• применяем корректировки нажатием «File» – «Save Workspace».

Анализ memory dump в WinDbg

Чтобы перейти к процедуре, открываем объект в утилите (File – Open Crash Dump) или, если предварительно настраивались ассоциации файлов, открываем элемент щелчком мыши. Утилита начнёт анализировать файл, затем выдаст результат.

В окне предполагается ввод команд. Запрос «!analyze –v» позволит получить более детальные сведения о сбое (STOP-код, имя ошибки, стек вызовов команд, приведших к проблеме и другие данные), а также рекомендации по исправлению. Для остановки отладчика в меню программы жмём «Debug» – «Stop Debugging».