V době kritického selhání operační systém Windows přeruší a zobrazí modrou obrazovku smrti (BSOD). Obsah paměti RAM a všechny informace o chybě, ke které došlo, se zapíše do stránkovacího souboru. Při příštím spuštění systému Windows se z uložených dat vygeneruje výpis stavu s informacemi o ladění. V protokolu událostí systému je generována kritická chyba.
Pozornost! Výpis selhání se nevygeneruje, pokud diskový subsystém selže nebo dojde k kritické chybě v počáteční fázi spuštění systému Windows.
Typy výpisů stavu systému Windows
Na příkladu aktuálního operačního systému Windows 10 (Windows Server 2016) zvážíme hlavní typy výpisů paměti, které může systém vytvořit:
- Malý výpis paměti (256 KB). Tento typ souboru obsahuje minimální množství informací. Obsahuje pouze chybovou zprávu BSOD, informace o ovladačích, procesech, které byly aktivní v době havárie a který proces nebo vlákno jádra havárii způsobily.
- Výpis paměti jádra... Typicky malá velikost - jedna třetina fyzické paměti. Výpis paměti jádra je podrobnější než mini výpis. Obsahuje informace o ovladačích a programech v režimu jádra, zahrnuje paměť přidělenou jádru Windows a vrstvu hardwarové abstrakce (HAL) a paměť přidělenou ovladačům a dalším programům v režimu jádra.
- Kompletní výpis paměti... Největší objem a vyžaduje paměť rovnající se RAM vašeho systému plus 1 MB, kterou Windows potřebují k vytvoření tohoto souboru.
- Automatický výpis paměti... Odpovídá výpisu paměti jádra, pokud jde o informace. Liší se pouze v tom, kolik místa používá k vygenerování souboru s výpisem. Tento typ souboru neexistoval v systému Windows 7. Byl přidán do systému Windows 8.
- Výpis aktivní paměti... Tento typ odfiltruje položky, které nemohou určit příčinu selhání systému. To bylo přidáno v systému Windows 10 a je obzvláště užitečné, pokud používáte virtuální stroj nebo pokud je váš systém hostitelem Hyper-V.
Jak povolím výpis paměti v systému Windows?
Pomocí Win + Pause otevřete okno nastavení systému, vyberte „ Další parametry systému"(Pokročilé systémové nastavení). Na kartě „ dodatečně„(Pokročilé), sekce“ „(Spuštění a obnovení) klikněte na“ Parametry"(Nastavení). V okně, které se otevře, nakonfigurujte akce v případě selhání systému. Zaškrtněte políčko „ Zápis událostí do systémového protokolu"(Napište událost do systémového protokolu), vyberte typ výpisu, který se má generovat při zhroucení systému. Pokud je v zaškrtávacím políčku „ Vyměňte stávající soubor výpisu"(Přepsat existující soubor) zaškrtněte políčko, pak bude soubor přepsán při každém selhání. Je lepší toto zaškrtávací políčko odstranit, pak budete mít k dispozici další informace k analýze. Zakažte také automatické restartování systému (Automaticky restartovat).
Ve většině případů bude k analýze příčiny BSOD stačit malý výpis paměti.
Nyní, pokud dojde k BSOD, můžete analyzovat soubor s výpisem a najít příčinu selhání. Minidump je ve výchozím nastavení uložen ve složce% systemroot% \\ minidump. Chcete-li analyzovat soubor výpisu, doporučuji použít program WinDBG(Microsoft Kernel Debugger).
Instalace WinDBG na Windows
Užitečnost WinDBG zahrnut v " Windows 10 SDK"(Windows 10 SDK). ...
Soubor se nazývá winsdksetup.exe, velikost 1,3 MB.
Spusťte instalaci a vyberte, co přesně chcete udělat - nainstalujte balíček do tohoto počítače nebo si jej stáhněte pro instalaci do jiných počítačů. Nainstalujte balíček do místního počítače.
Můžete nainstalovat celý balíček, ale chcete-li nainstalovat pouze ladicí nástroj, vyberte Ladicí nástroje pro Windows.
Po instalaci najdete zástupce WinDBG v nabídce Start.
Nastavení přidružení souborů .dmp k WinDBG
Chcete-li otevřít soubory výpisu pouhým kliknutím, přiřaďte příponu .dmp k nástroji WinDBG.
- Otevřete příkazový řádek jako správce a spusťte příkazy pro 64bitový systém: cd C: \\ Program Files (x86) \\ Windows Kits \\ 10 \\ Debuggers \\ x64
windbg.exe –IA
pro 32bitový systém:
C: \\ Program Files (x86) \\ Windows Kits \\ 10 \\ Debuggers \\ x86
windbg.exe –IA - Ve výsledku budou typy souborů: .DMP, .HDMP, .MDMP, .KDMP, .WEW - přidruženy k WinDBG.
Nastavení serveru se symboly ladění ve WinDBG
Symboly ladění (symboly ladění nebo soubory symbolů) jsou bloky dat generovaných během kompilace programu společně se spustitelným souborem. Takové datové bloky obsahují informace o názvech proměnných, které se nazývají funkce, knihovny atd. Tato data nejsou nutná při provádění programu, ale jsou užitečná při ladění. Součásti společnosti Microsoft jsou kompilovány se symboly distribuovanými prostřednictvím serveru Microsoft Symbol Server.
Nakonfigurujte WinDBG pro použití serveru Microsoft Symbol Server:
- Otevřete WinDBG;
- Přejděte do nabídky Soubor –> Cesta k souboru symbolu;
- Přidejte řádek obsahující adresu URL pro stažení symbolů ladění z webu společnosti Microsoft a složku pro uložení mezipaměti: SRV * E: \\ Sym_WinDBG * http: //msdl.microsoft.com/download/symbols V příkladu je načtena mezipaměť do složky E: \\ Sym_WinDBG můžete zadat libovolné.
- Nezapomeňte uložit změny do nabídky Soubor–> Uložit WorkSpace;
WinDBG vyhledá symboly v místní složce a pokud v ní nenajde potřebné symboly, automaticky stáhne symboly ze zadaného webu. Chcete-li přidat vlastní složku se symboly, můžete to udělat takto:
SRV * E: \\ Sym_WinDBG * http: //msdl.microsoft.com/download/symbols; c: \\ Symboly
Pokud nemáte připojení k internetu, nejprve si stáhněte balíček symbolů z prostředku Windows Symbol Packages.
Crash dump analysis ve WinDBG
Ladicí program WinDBG otevře soubor výpisu a stáhne potřebné symboly ladění z místní složky nebo z Internetu. Během tohoto procesu nemůžete použít WinDBG. Ve spodní části okna (v příkazovém řádku debuggeru) se zobrazí nápis Debugee není připojen.
Příkazy se zadávají do příkazového řádku v dolní části okna.
Nejdůležitější věcí, které je třeba věnovat pozornost, je chybový kód, který je vždy uveden v hexadecimální hodnotě a vypadá takto 0xXXXXXXXX (uvedeno v jedné z možností - STOP :, 02.07.2019 0008F, 0x8F). V našem příkladu je chybový kód 0x139.
Ladicí program vás vyzve ke spuštění příkazu! Analyze -v, jednoduše umístěte kurzor na odkaz a klikněte. K čemu je tento příkaz?
- Provádí předběžnou analýzu výpisu paměti a poskytuje podrobné informace pro zahájení analýzy.
- Tento příkaz zobrazí STOP kód a symbolický název chyby.
- Zobrazuje zásobník volání příkazů, které vedly k abnormálnímu ukončení.
- Kromě toho se zde zobrazují poruchy IP adresy, procesů a registrů.
- Tým může poskytnout hotová doporučení k řešení problému.
Hlavní body, kterým byste měli věnovat pozornost při analýze po spuštění příkazu! Analyze –v (výpis je neúplný).
1: kd\u003e! Analyzovat -v
* *
* Analýza chyb *
* *
*****************************************************************************
Symbolický název chyby STOP (BugCheck)
KERNEL_SECURITY_CHECK_FAILURE (139)
Popis chyby (Komponenta jádra poškodila kritickou datovou strukturu. Toto poškození by mohlo potenciálně umožnit útočníkovi získat kontrolu nad tímto strojem):
Komponenta jádra poškodila kritickou datovou strukturu. Poškození by potenciálně mohlo uživateli se zlými úmysly umožnit získat kontrolu nad tímto strojem.
Argumenty chyby:
Argumenty:
Arg1: 0000000000000003, LIST_ENTRY byl poškozen (tj. Dvojité odebrání).
Arg2: ffffd0003a20d5d0, adresa rámce depeše pro výjimku, která způsobila kontrolu chyby
Arg3: ffffd0003a20d528, adresa záznamu výjimky pro výjimku, která způsobila kontrolu chyby
Arg4: 0000000000000000, vyhrazeno
Detaily ladění:
------------------
Počítadlo ukazuje, kolikrát systém havaroval s podobnou chybou:
CUSTOMER_CRASH_COUNT: 1
DEFAULT_BUCKET_ID: FAIL_FAST_CORRUPT_LIST_ENTRY
Chybový kód STOP ve zkráceném formátu:
BUGCHECK_STR: 0x139
Proces, při jehož provádění došlo k selhání (nemusí to být nutně příčina chyby, právě v době selhání paměti, ve kterém byl tento proces spuštěn):
PROCESS_NAME: sqlservr.exe
Dešifrování kódu chyby: Systém detekoval přetečení vyrovnávací paměti zásobníku v této aplikaci, což by mohlo umožnit útočníkovi převzít kontrolu nad touto aplikací.
ERROR_CODE: (NTSTATUS) 0xc0000409 - Systém detekoval překročení vyrovnávací paměti založené na zásobníku v této aplikaci. Toto překročení by potenciálně mohlo uživateli se zlými úmysly umožnit získat kontrolu nad touto aplikací.
EXCEPTION_CODE: (NTSTATUS) 0xc0000409 - Systém detekoval překročení vyrovnávací paměti založené na zásobníku v této aplikaci. Toto překročení by potenciálně mohlo uživateli se zlými úmysly umožnit získat kontrolu nad touto aplikací.
Poslední hovor na zásobníku:
LAST_CONTROL_TRANSFER: od fffff8040117d6a9 do fffff8040116b0a0
Zásobník volání v době selhání:
STACK_TEXT:
ffffd000`3a20d2a8 fffff804`0117d6a9: 00000000`00000139 00000000`00000003 ffffd000`3a20d5d0 ffffd000`3a20d528: nt! KeBugCheckEx
ffffd000`3a20d2b0 fffff804`0117da50: ffffe000`f3ab9080 ffffe000`fc37e001 ffffd000`3a20d5d0 fffff804`0116e2a2: nt! KiBugCheckDispatch + 0x69
ffffd000`3a20d3f0 fffff804`0117c150: 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000: nt! KiFastFailDispatch + 0xd0
ffffd000`3a20d5d0 fffff804`01199482: ffffc000`701ba270 ffffc000`00000001 000000ea`73f68040 fffff804`000006f9: nt! KiRaiseSecurityCheckFailure + 0x3d0
ffffd000`3a20d760 fffff804`014a455d: 00000000`00000001 ffffd000`3a20d941 ffffe000`fcacb000 ffffd000`3a20d951: nt! ?? :: FNODOBFM :: `string '+ 0x17252
ffffd000`3a20d8c0 fffff804`013a34ac: 00000000`00000004 00000000`00000000 ffffd000`3a20d9d8 ffffe001`0a34c600: nt! IopSynchronousServiceTail + 0x379
ffffd000`3a20d990 fffff804`0117d313: ffffffff`fffffffe 00000000`00000000 00000000`00000000 000000eb`a0cf1380: nt! NtWriteFile + 0x694
ffffd000`3a20da90 00007ffb`475307da: 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000: nt! KiSystemServiceCopyEnd + 0x13
000000ee`f25ed2b8 00000000`00000000: 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000: 0x00007ffb`475307da
Část kódu, kde došlo k chybě:
FOLLOWUP_IP:
nt! KiFastFailDispatch + d0
fffff804`0117da50 c644242000 mov byte ptr, 0
FAULT_INSTR_CODE: 202444c6
SYMBOL_STACK_INDEX: 2
SYMBOL_NAME: nt! KiFastFailDispatch + d0
FOLLOWUP_NAME: MachineOwner
Název modulu v tabulce objektů jádra. Pokud analyzátor zjistí problémový ovladač, zobrazí se název v polích MODULE_NAME a IMAGE_NAME:
MODULE_NAME: nt
IMAGE_NAME: ntkrnlmp.exe
1: kd\u003e lmvm nt
Procházet celý seznam modulů
Načtený soubor obrázku symbolu: ntkrnlmp.exe
Soubor mapované paměti: C: \\ ProgramData \\ dbg \\ sym \\ ntoskrnl.exe \\ 5A9A2147787000 \\ ntoskrnl.exe
Cesta k obrázku: ntkrnlmp.exe
Název obrázku: ntkrnlmp.exe
InternalName: ntkrnlmp.exe
OriginalFilename: ntkrnlmp.exe
Verze produktu: 6.3.9600.18946
Verze souboru: 6.3.9600.18946 (winblue_ltsb_escrow.180302-1800)
Ve výše uvedeném příkladu analýza ukázala na soubor jádra ntkrnlmp.exe. Když analýza výpisu paměti ukazuje na systémový ovladač (například win32k.sys) nebo soubor jádra (například ntkrnlmp.exe v našem příkladu), tento soubor pravděpodobně není příčinou problému. Velmi často se ukazuje, že problém spočívá v ovladači zařízení, nastavení systému BIOS nebo poruše hardwaru.
Pokud zjistíte, že BSOD je způsoben ovladačem jiného výrobce, jeho název bude uveden v hodnotách MODULE_NAME a IMAGE_NAME.
Například:
Cesta k obrázku: \\ SystemRoot \\ system32 \\ drivers \\ cmudaxp.sys
Název obrázku: cmudaxp.sys
Otevřete soubor ovladače a zkontrolujte jeho verzi. Ve většině případů je problém s ovladači vyřešen jejich aktualizací.
Nebo jak se také nazývá BSOD, může do značné míry zkazit život počítače i serveru a ukázalo se, že jde o virtuální stroj. Dnes vám řeknu, jak analyzovat modrou obrazovku výpisu paměti v systému Windows, protože správná diagnóza a získání důvodu, proč váš systém nefunguje, 99 procent jeho řešení, zejména systémový inženýr, to prostě musí být schopen , a to i v nejkratším možném čase, tak jak z toho může podnik přijít o spoustu peněz v důsledku výpadku služby.
BSOD dešifrování
Nejprve analyzujme, co tato zkratka znamená, BSOD z anglické modré obrazovky smrti nebo chybový režim STOP.
Modrá obrazovka chyb smrti se objevuje z různých důvodů, mezi které mohou patřit problémy s ovladači, může existovat nějaký druh vadné aplikace nebo vadný modul RAM. Jakmile máte v systému Windows modrou obrazovku, váš systém automaticky vytvoří soubor s výpisem stavu paměti, který analyzujeme.
Jak konfigurovat vytváření výpisu paměti
Ve výchozím nastavení Windows s modrou obrazovkou vytváří soubor s výpisem paměti memory.dmp, nyní ukážu, jak je nakonfigurován a kde je uložen, ukážu to na příkladu Windows Server 2008 R2, protože jsem nedávno měl úkol studovat problém s modrou obrazovkou na virtuálním stroji. Chcete-li zjistit, kde jsou nakonfigurována okna paměti výpisu, otevřete start a klikněte pravým tlačítkem na ikonu Počítač a vyberte vlastnosti.
Jak analyzovat výpisy paměti modré obrazovky ve Windows - Vlastnosti počítače
Jak analyzovat výpis z paměti modré obrazovky v nastavení systému Windows
Přejděte na kartu Advanced-Boot and Recovery. Klikněte na tlačítko Možnosti
Jak analyzovat modrou obrazovku výpisu paměti v systému Windows - spuštění a obnovení
Kde je uložen soubor memory.dmp
a vidíme, že nejprve je zaškrtávací políčko k provedení automatického restartu, k zápisu informací o ladění, je vybrán výpis paměti jádra a níže je uložen výpis paměti% SystemRoot% \\ MEMORY.DMP
Pojďme do složky c: \\ windows \\ a najděte soubor MEMORY.DMP, který obsahuje modrou obrazovku kódů smrti
Jak analyzovat modrou obrazovku výpisu paměti ve Windows-memory.dmp
Jak nastavit mini skládku
Chyby modré obrazovky smrti jsou také zaznamenány na malém výpisu paměti, tam je nakonfigurován, stačí jej vybrat.
Je uložen ve složce c: \\ windows \\ minidump. Výhodou je, že zabírá méně místa a vytváří samostatný soubor pro každou modrou obrazovku. Historii výskytů modré obrazovky můžete kdykoli zobrazit.
Nyní, když jsme zjistili, kde najít soubor s výpisem paměti, musíme se naučit, jak jej interpretovat a pochopit důvod modré obrazovky smrti. Při řešení tohoto problému nám pomůže Microsoft Kernel Debugger. Microsoft Kernel Debugger si můžete stáhnout z oficiálních webových stránek, hlavní je vybrat požadovanou verzi OS, pokud se někdo zlomil, můžete si ji stáhnout z disku Yandex pomocí přímého odkazu. Je také součástí ADK.
Stáhněte si Microsoft Kernel Debugger, na konci budete mít malý soubor, který vám umožní stáhnout vše, co potřebujete, z Internetu. Spouštíme to.
nebudeme se účastnit programu zlepšování kvality
klikněte na Přijmout a souhlaste s licencí
Jak nainstalovat Microsoft Kernel Debugger - souhlasíme s licencí
bude zahájena instalace Microsoft Kernel Debugger
Jak nainstalovat Microsoft Kernel Debugger - Nainstalujte MKD
Vidíme, že Microsoft Kernel Debugger je úspěšně nainstalován
Poté vidíme, že se při spuštění pro 32bitové i 64bitové systémy objevila složka Debugging Tools for Windows.
Kromě samotného balíčku Debugging Tools for Windows budete také potřebovat sadu symbolů pro ladění - Debugging Symbols. Sada symbolů ladění je specifická pro každý OS, na kterém byl BSoD opraven. Proto si budete muset stáhnout sadu symbolů pro každý operační systém, který budete muset analyzovat. 32bitový Windows XP bude vyžadovat 32bitovou znakovou sadu Windows XP, 64bitový OS vyžaduje 64bitovou znakovou sadu Windows XP. U ostatních operačních systémů rodiny Windows se znakové sady vybírají podle stejného principu. Zde si můžete stáhnout symboly pro ladění. Doporučuje se instalovat je na % kořenová_složka_systému% \\ symbolyi když je rád instaluji do samostatných složek a nepřeplňuji složku Windows.
Analýza modré obrazovky v ladicích nástrojích
Po instalaci Debugging Symbols pod systémem, na kterém byla modrá obrazovka smrti, spusťte Debugging Tools
Jak nainstalovat Microsoft Kernel Debugger-Run
Před analýzou obsahu výpisu paměti musíte provést nějakou konfiguraci debuggeru. Konkrétně řekněte programu, která cesta má hledat symboly ladění. Chcete-li to provést, vyberte Soubor\u003e Cesta k souboru symbolu ...
Klikněte na tlačítko Procházet ...
a označte složku, do které jsme nainstalovali symboly ladění pro dotyčný výpis paměti, můžete určit několik složek oddělených čárkami a informace o požadovaných symbolech ladění můžete požadovat přímo z Internetu, z veřejného serveru Microsoftu. Tímto způsobem budete mít nejnovější verzi symbolů. To lze provést následovně - v nabídce Soubor\u003e Cesta k souboru symbolu ... zadejte:
SRV *% systemroot% \\ symbols * http: //msdl.microsoft.com/download/symbols
Jak analyzovat modrou obrazovku smrti
Zkopírujte soubor memory.dmp nebo minidump z počítače, kde se objevila modrá obrazovka, a otevřete jej, v nabídce vyberte File\u003e Open Crash Dump ... a vyberte požadovaný soubor.
Jak analyzovat modrou obrazovku smrti 01
Vezměme si například minidump
Jak analyzovat modrou obrazovku smrti - otevřete minidump
Spustí se analýza minidumpu, zobrazí se odkaz na chybu, kliknutím na ni zobrazíte podrobnější informace o modré obrazovce.
Jak analyzovat modrou obrazovku smrti-03
A vidíme vadnou aplikaci, která zhroutí váš systém, můžete také kliknout na odkaz a podívat se podrobněji, co se děje.
Jak analyzovat modrou obrazovku smrti-04
Získejte podrobnější informace o důvodu modré obrazovky.
Jak analyzovat modrou obrazovku smrti-05
Pokud otevřete soubor memory.dmp, dostanete podobný obrázek a uvidíte, proč se zobrazila modrá obrazovka.
Jak analyzovat modrou obrazovku smrti-06
Takto snadno lze diagnostikovat a eliminovat modrou obrazovku smrti.
Všechny systémy Windows po zjištění závažné chyby provedou výpis stavu paměti (snímek) obsahu paměti RAM a uloží jej na pevný disk. Existují tři typy výpisů paměti:
Výpis plné paměti - uloží veškerý obsah hlavní paměti. Velikost snímku se rovná velikosti hlavní paměti + 1 MB (záhlaví). Toto se používá zřídka, protože velikost výpisu bude v systémech se spoustou paměti příliš velká.
Výpis paměti jádra - Ukládá informace z hlavní paměti, které jsou specifické pouze pro režim jádra. Informace o uživatelském režimu se neukládají, protože neobsahují informace o příčině selhání systému. Velikost souboru výpisu závisí na velikosti RAM a pohybuje se od 50 MB (pro systémy se 128 MB RAM) do 800 MB (pro systémy s 8 GB RAM).
Malý výpis paměti (mini výpis) - obsahuje poměrně malé množství informací: chybový kód s parametry, seznam ovladačů načtených do paměti RAM v době havárie systému atd., Ale tyto informace stačí k identifikaci chybného ovladače . Další výhodou tohoto typu výpisu je malá velikost souboru.
Nastavení systému
K identifikaci ovladače, který jej nazval, bude stačit použít malý výpis paměti. Aby systém během havárie uložil mini výpis, musíte provést následující kroky:
| Pro Windows Xp | Pro Windows 7 |
|
|
Po provedení všech manipulací se po každém BSoD uloží soubor s příponou .dmp do složky C: \\ WINDOWS \\ Minidump. Doporučuji vám přečíst si materiál „“. Můžete také zaškrtnout políčko „ Vyměňte stávající soubor výpisu“. V takovém případě přepíše každý nový výpis havárie starý. Tuto možnost nedoporučuji povolit.
Crash Dump Analysis using BlueScreenView
Poté, co se objevila modrá obrazovka smrti, systém uložil novou skládku havárií. K analýze skládky doporučuji použít program BlueScreenView. Lze jej stáhnout zdarma. Program je velmi uživatelsky přívětivý a má intuitivní rozhraní. Po instalaci je nejprve třeba určit umístění výpisů paměti v systému. Chcete-li to provést, přejděte na položku nabídky „ Možnosti"A vyberte" PokročilýMožnosti“. Výběr přepínače „ ZatíženízthenásledujícíMini skládkasložku„A uveďte složku, kde jsou skládky uloženy. Pokud jsou soubory uloženy ve složce C: \\ WINDOWS \\ Minidump, můžete kliknout na „ Výchozí“. Klikněte na OK a přejděte do rozhraní programu.
Program se skládá ze tří hlavních bloků:
- Blok hlavní nabídky a ovládací panel;
- Blok seznamu výpisů paměti při selhání;
- V závislosti na vybraných parametrech může obsahovat:
- seznam všech ovladačů v paměti RAM před zobrazením modré obrazovky (ve výchozím nastavení);
- seznam ovladačů v zásobníku RAM;
- snímek obrazovky BSoD;
- a další hodnoty, které nebudeme používat.
V bloku seznamu výpisu paměti (na obrázku je označen číslem 2) vyberte výpis, který nás zajímá, a podívejte se na seznam ovladačů, které byly načteny do paměti RAM (na obrázku je označen číslo 3). Ovladače, které byly v zásobníku paměti, jsou barevně růžové. Jsou důvodem pro vznik BSoD. Poté přejděte do hlavní nabídky ovladače a určete, ke kterému zařízení nebo programu patří. Nejprve věnujte pozornost nesystémovým souborům, protože systémové soubory se stejně načítají do paměti RAM. Je snadno vidět, že vadný ovladač v obraze je myfault.sys. Řeknu, že tento program byl speciálně spuštěn, aby zavolal chybu Stop. Po identifikaci vadného ovladače jej musíte buď aktualizovat, nebo odebrat ze systému.
Chcete-li, aby program zobrazoval seznam ovladačů umístěných v zásobníku paměti v době výskytu BSoD, přejděte na položku nabídky „ Možnosti„Klikněte na nabídku“ DolníPodoknoRežim"A vyberte" PouzeŘidičiNalezenovZásobník„(Nebo stiskněte klávesu F7) a pro zobrazení snímku obrazovky s chybou vyberte“ ModrýObrazovkavXPStyl“(F8). Chcete-li se vrátit do seznamu všech ovladačů, vyberte položku „ VšechnoŘidiči“(F6).
Pokud ve Windows 10 uvidíte takzvanou modrou obrazovku smrti a jste již připraveni upadnout do nervového kómatu, přitáhněte se k sobě a pokuste se vyřešit vzniklý problém. Pro začátečníky stojí za to říci, že tato zlověstná zpráva vás signalizuje o kritické chybě systému. Navíc není vždy možné zachytit okamžik a mít čas na přečtení chybového kódu, když Windows spadnou na modrou obrazovku smrti a zařízení se restartuje. Okamžitě si všimneme, že existuje obrovské množství řešení tohoto problému, stejně jako důvody pro vzhled modré obrazovky. V tomto článku se pokusíme zvážit pravděpodobné příčiny modré obrazovky štěstí a možná řešení problému.
V naprosté většině případů modrá obrazovka smrti signalizuje chybu BAD_POOL_CALLER - stop 0x000000c2. Přiznejme si to, je obtížné diagnostikovat tuto chybu, ale možná se pokusíme popsat algoritmus pro vaše další akce pomocí této chyby jako příklad.
Abyste správně diagnostikovali problém, musíte nejprve analyzovat speciální systémový soubor s názvem minidump (výpis paměti). Porucha systému vede k vytvoření takových souborů, navíc nás mohou informovat - co přesně způsobilo poruchu.
1. Chcete-li povolit takové automatické nahrávání malého výpisu paměti (ve výchozím nastavení zakázáno), přejděte do vlastností počítače a přejděte do části „Pokročilá nastavení systému“ (toto povolení je k dispozici pro všechny systémy, nejen pro Windows 10):
Všechny soubory minidump se zpravidla ukládají, když se objeví modrá obrazovka smrti (BSOD), a najdete je ve složce C: \\ Windows \\ Minidump. Je pozoruhodné, že název souboru obsahuje aktuální datum - kdy byl vytvořen, což usnadňuje identifikaci data chyby, zejména s ohledem na to, že může existovat více než jeden takový soubor.
Dva způsoby, jak dešifrovat minidump paměti malých dám
První způsob, je použít poměrně populární nástroj BlueScreenView. Tento nástroj může být také dobrou volbou pro analýzu výpisu paměti. Použití tohoto nástroje se bude hodit jako způsob identifikace problémového ovladače.
Navíc je obzvláště pozoruhodné, že s jeho pomocí je možné zobrazit BSOD (modrá obrazovka smrti), jako by byl v pozastaveném snímku, jako tomu bylo při havárii systému. Zobrazuje čas a datum poruchy, informace o ovladači nebo modulu s verzí a krátký popis. Tento nástroj je navíc k dispozici v mnoha jazycích, včetně ruštiny. Takže nástroj BlueScreenView je právě to, co potřebujete k rychlé analýze výpisů paměti v případě BSOD.
Pro druhou cestou musíte si nainstalovat Debugging Tools for Windows a stáhnout si nástroj bsdos_utility. Po rozbalení skriptu bsdos_utility.cmd byste jej měli přesunout na jednotku C: \\ (můžete vytvořit samostatnou složku, ale nezapomeňte, že řádek adresy pro spuštění skriptu se bude od našeho příkladu lišit). Na příkazový řádek byste měli napsat:
C: \\ bsdos_utility.cmd
Po výpisu všech výpisů ze seznamu C: \\ Windows \\ Minidump \\, poté se skript zeptá, který výpis má být analyzován. Při spuštění skriptu můžete také vybrat požadovaný minidump:
Podobně je možné detekovat spoustu chyb systému Windows 10, kvůli kterým BSOD vypadl, stejně jako problematické programy, kvůli kterým došlo k modré obrazovce.
Ve Windows 8 představila společnost Microsoft nový výpis paměti - možnost automatického výpisu paměti. Tento parametr je ve výchozím nastavení nastaven v operačním systému. Windows 10 představil nový typ souboru výpisu - výpis aktivní paměti. Pro ty, kteří to nevědí, máme v systému Windows 7 malý výpis, výpis jádra a úplný výpis paměti. Možná se divíte, proč se Microsoft rozhodl vytvořit toto nové nastavení výpisu paměti? Podle Roberta Simpkinse, vedoucího podpory, může automatický výpis paměti vytvořit podporu pro „systémovou“ stránku v konfiguračním souboru.
Systém správy konfigurace stránkovacího souboru je zodpovědný za správu velikosti stránkovacího souboru - vyhnete se tak zbytečnému odkládacímu prostoru nebo velikosti. Tato možnost byla zavedena hlavně pro počítače, které běží na SSD, které mají tendenci mít menší velikost, ale obrovské množství paměti RAM.
Možnosti výpisu paměti
Hlavní výhodou funkce Auto Dump paměti je, že umožňuje relaci subsystému v nástroji Process Manager automaticky zmenšit stránkovací soubor na méně, než je velikost paměti RAM. Pro ty, kteří to nevědí, je relace správce subsystému zodpovědná za inicializaci systému, spouštěcího prostředí pro služby a procesy, které jsou vyžadovány pro přihlášení uživatele do systému. V podstatě nastaví stránku se soubory na virtuální paměť a spustí proces winlogon.exe.
Pokud chcete změnit nastavení automatického výpisu paměti, postupujte takto. Stiskněte klávesu Windows + X a vyberte - Systém. Poté klikněte na tlačítko „Pokročilé nastavení systému - Záloha Systém Nastavení”.
Klikněte na tlačítko Upřesnit nastavení systému.
Zde můžete vidět rozbalovací nabídku, kde je uvedeno „Více“.
Zde můžete vybrat požadovanou možnost. Navrhované možnosti:
Žádné výpisy paměti.
Malý výpis paměti.
Výpis paměti jádra.
Kompletní výpis paměti.
Automatický výpis paměti. Přidáno ve Windows 8.
Výpis aktivní paměti. Přidáno do Windows 10.
Umístění souboru s výpisem paměti je v souboru% SystemRoot% \\ MEMORY.DMP.
Pokud používáte jednotku SSD, je nejlepší ji nechat na „Automatickém výpisu paměti“; ale pokud potřebujete soubor s výpisem stavu paměti, je nejlepší nastavit jej na „malý výpis paměti“, pomocí kterého jej můžete někomu poslat, pokud se na něj chcete podívat.
V některých případech možná budete muset zvětšit velikost stránkovacího souboru většího než RAM, aby se do něj vešel celý výpis paměti. V takových případech musíte vytvořit klíč registru:
HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ CrashControl
jmenuje se „LastCrashTime“.
Tím se automaticky zvětší velikost stránkovacího souboru. Chcete-li to později snížit, můžete tento klíč jednoduše odstranit.
Windows 10 představil nový soubor výpisu stavu paměti s aktivní pamětí. Obsahuje pouze to podstatné a je proto menší.
Nemám způsob, jak to otestovat, ale vygeneroval jsem tento klíč a sledoval velikost stránkovacího souboru. Vím, že dříve nebo později dostanu kritickou chybu. Pak to zkontroluji.
Můžete analyzovat výpis paměti souborů Windows.dmp pomocí WhoCrashed. Obslužný program WhoCrashed Home je zdarma a obsahuje ovladače, které byly do vašeho počítače vloženy jediným kliknutím. Ve většině případů dokáže identifikovat poškozený ovladač, který způsobuje utrpení vašeho počítače. Toto je výpis stavu systému z analýzy systému, výpis paměti a všechny shromážděné informace jsou zde uvedeny v přístupné formě.
Ladicí sada nástrojů obvykle otevře analýzu výpisu stavu při selhání. S tímto nástrojem nepotřebujete žádné znalosti a ladění, abyste zjistili, které ovladače způsobují problémy ve vašem počítači.
WhoCrashed spoléhá na ladicí balíček společnosti Microsoft (programy windbg). Pokud tento balíček není nainstalován, WhoCrashed vám tento balíček stáhne a automaticky extrahuje. Stačí spustit program a kliknout na tlačítko Analýza. Pokud máte v systému nainstalován program WhoCrashed a pokud se neočekávaně resetuje nebo zavře, program vás upozorní, pokud je ve vašem počítači povolen výpis chyb, a nabídne vám návrhy, jak je povolit.