Как посмотреть дамп памяти windows 10

Обновлено: 24.01.2025

В этой статье описано, как изучить небольшой файл сброса памяти. Небольшой файл сброса памяти поможет определить причину сбоя компьютера.

Применяется к: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ: 315263

Если вы ищете сведения о отладки для Windows 8 или более поздней, проверьте средства отладки для Windows (WinDbg, KD, CDB, NTSD). Дополнительные сведения о небольшой свалке памяти вы можете получить в Small Memory Dump.

Небольшие файлы сброса памяти

Если компьютер сбои, как вы можете узнать, что произошло, устранить проблему и предотвратить ее снова? В этой ситуации может оказаться полезным небольшой файл сброса памяти. Небольшой файл сброса памяти содержит наименьшее количество полезных сведений, которые помогут определить причины сбоя компьютера. Файл сброса памяти содержит следующие сведения:

Для создания файла сброса памяти Windows файл paging на томе загрузки размером не менее 2 мегабайт (МБ). На компьютерах, на которых Windows Microsoft Windows 2000 или более поздней версии Windows, каждый раз при сбое компьютера создается новый файл сброса памяти. История этих файлов хранится в папке. Если возникает вторая проблема и если Windows создает второй небольшой файл сброса памяти, Windows сохраняет предыдущий файл. Windows каждому файлу предоставляется отдельное имя файла с кодированной датой. Например, Mini022900-01.dmp — это первый файл сброса памяти, созданный 29 февраля 2000 г. Windows сохраняет список всех небольших файлов сброса памяти в %SystemRoot%\Minidump папке.

Небольшой файл сброса памяти может быть полезен при ограниченном пространстве жесткого диска. Однако из-за ограниченной информации, которая включена, ошибки, которые не были непосредственно вызваны потоком, который был запущен во время проблемы, не могут быть обнаружены при анализе этого файла.

Настройка типа сброса

Чтобы настроить параметры запуска и восстановления для использования небольшого файла сброса памяти, выполните следующие действия.

Так как существует несколько версий microsoft Windows, на вашем компьютере могут быть другие действия. Если они есть, см. документацию по продуктам для выполнения этих действий.

Дважды щелкните систему, а затем нажмите параметры advanced system.

Щелкните вкладку Advanced, а затем нажмите Параметры в статье Startup and Recovery.

В списке сведений о отладке записи нажмите кнопку Малая свалка памяти (64k).

Чтобы изменить расположение папки для небольших файлов сброса памяти, введите новый путь в поле Dump File или в поле Каталог малых свалок в зависимости от версии Windows).

Средства для чтения небольшого файла сброса памяти

Используйте утилиту проверки сброса (Dumpchk.exe) для чтения файла сброса памяти или проверки правильности создания файла.

Утилита проверки сброса не требует доступа к отладке символов. В файлах символов находятся различные данные, которые на самом деле не нужны при запуске разных файлов, но которые могут быть очень полезны в процессе отладки.

Дополнительные сведения об использовании службы проверки сброса в Windows NT, Windows 2000, Windows Server 2003 или Windows Server 2008 см. в статье Microsoft Knowledge Base 156280: How to use Dumpchk.exe to check a memory dump file.

Дополнительные сведения об использовании службы проверки сброса в Windows XP, Windows Vista или Windows 7 см. в статье Microsoft Knowledge Base 315271:как использовать Dumpchk.exe для проверки файла сброса памяти .

Или вы можете использовать средство Windows debugger (WinDbg.exe) или средство отладки ядра (KD.exe) для чтения небольших файлов сброса памяти. WinDbg и KD.exe включены в последнюю версию пакета средств отладки Windows.

Чтобы установить средства отладки, см. в странице Download and Install Debugging Tools for Windows webpage. Выберите типичную установку. По умолчанию установщик устанавливает средства отладки в следующей папке:

C:\Program Files\Debugging Tools for Windows

Эта веб-страница также предоставляет доступ к загружаемым пакетам символов для Windows. Дополнительные сведения о символах Windows см. в веб-странице Отладка с символами и веб Windows Пакеты символов.

Дополнительные сведения о параметрах файлов сброса в Windows см. в обзоре параметров файлов сброса памяти для Windows.

Откройте файл сброса

Чтобы открыть файл сброса после завершения установки, выполните следующие действия:

Изменение средств отладки для Windows папки. Для этого введите следующее в командной подсказке и нажмите кнопку ENTER:

Чтобы загрузить файл сброса в отладчик, введите одну из следующих команд и нажмите кнопку ENTER:

В следующей таблице объясняется использование держателей, используемых в этих командах.

Заполнитель	Объяснение
SymbolPath	Либо локальный путь, по котором были загружены файлы символов, либо путь сервера символов, включая папку кэша. Так как небольшой файл сброса памяти содержит ограниченные сведения, фактические двоичные файлы должны быть загружены вместе с символами для правильного чтения файла сброса.
ImagePath	Путь этих файлов. Файлы содержатся в папке I386 на Windows XP CD-ROM. Например, путь может быть C:\Windows\I386 .
DumpFilePath	Путь и имя файла для файла сброса, который вы изучаете.

Примеры команд

Чтобы открыть файл сброса, можно использовать следующие примеры команд. Эти команды предполагают следующие:

Содержимое папки I386 на Windows CD-ROM копируется в C:\Windows\I386 папку.
Ваш файл сброса называется C:\Windows\Minidump\Minidump.dmp .

Пример 2. Если вместо командной строки вы предпочитаете графическую версию отладки, введите следующую команду:

Изучение файла сброса

Существует несколько команд, которые можно использовать для сбора сведений в файле сброса, в том числе следующие команды:

Команда !analyze -show отображает код ошибки Stop и его параметры. Код ошибки Stop также известен как код проверки ошибок.
Команда !analyze -v отображает многословный вывод.
В lm N T команде перечислены указанные загруженные модули. Выход включает состояние и путь модуля.

Команда расширения !drivers отображает список всех драйверов, загруженных на компьютере назначения, а также сводную информацию об использовании их памяти. Расширение !drivers устарело в Windows XP и более поздней. Чтобы отобразить сведения о загруженных драйверах и других модулях, используйте lm команду. Команда lm N T отображает сведения в формате, аналогичном старому расширению драйверов!.

Справки по другим командам и полному синтаксису команд см. в документации по отладки средств справки. Документация о помощи средствам отладки можно найти в следующем расположении:

Если у вас есть проблемы, связанные с символами, используйте утилиту Symchk, чтобы убедиться, что правильные символы загружены правильно. Дополнительные сведения об использовании Symchk см. в рубрике Отладка с символами.

Упрощение команд с помощью пакетного файла

После определения команды, необходимой для загрузки свалок памяти, можно создать пакетный файл для проверки файла сброса. Например, создайте пакетный файл и назови его Dump.bat. Сохраните его в папке, где установлены средства отладки. Введите следующий текст в пакетный файл:

Если вы хотите изучить файл сброса, введите следующую команду, чтобы передать путь файла сброса в пакетный файл:

В подавляющем большинстве случаев синий экран смерти сигнализирует про ошибку BAD_POOL_CALLER — stop 0x000000c2. Диагностировать эту ошибку скажем прямо сложно, но возможно и мы попытаемся на примере этой ошибке описать алгоритм ваших следующих действий.

Чтобы правильно осуществить диагностику проблемы, сначала следует проанализировать специальный файл системы под названием minidump (дамп памяти). К созданию таких файлов приводит сбой в работе системы, более того, они могут нас проинформировать – что именно привело к сбою.

1. Чтобы включить такую автоматическую запись малого дампа памяти (по-умолчанию отключено) зайдите в свойства компьютера и перейдите в раздел "Дополнительные параметры системы" (такое включение предусмотрено для все систем, а не только Windows 10):

2. Далее нажимаем "Параметры" в разделе "Загрузка и восстановление" и в открывшемся окне выбираем пункт "Малый дамп памяти (256KB):

Как правило все файлы minidump при появлении синего экрана смерти (BSOD) сохраняются, а найти их можно в папке C:\Windows\Minidump. Примечательно, что в имени файла содержится текущая дата – когда он был создан, что значительно облегчает идентификацию даты возникновения ошибки, особенно учитывая, что такой файл может быть не один.

Два способа как расшифровать малый дам памяти minidump

Первый способ, заключается в использовании довольно популярной утилите BlueScreenView. Эта утилита может также стать хорошим вариантом для анализа дампа памяти. Применение этой утилиты как нельзя кстати пригодится, как способ чтобы определить проблемный драйвер.

Более того, она особенно примечательна тем, что с ее помощью возможен просмотр BSOD (синего экрана смерти) как бы в стоп-кадре, как это было, когда система крашилась. Она отображает время и дату сбоя, данные о драйвере или модуле с версией и кратким описанием. Кроме того, утилита доступна на множестве языков, включая русский. Так что утилита BlueScreenView как раз самое то, если нужно произвести быстрый анализ дампов памяти при BSOD.

Для второго способа нужно установить Debugging Tools for Windows, а также загрузить утилиту bsdos_utility. Далее после распаковки скрипта bsdos_utility.cmd следует переместить его на диск C:\ (можно создать отдельную папку, но стоит помнить, что строка адреса запуска скрипта будет отличатся от нашего примера). Затем в командной строке следует написать:

После выведения списка всех дампов из списка C:\Windows\Minidump\, после чего скрипт спросит какой именно дамп должен подвергнуться анализу. Выбрать нужный минидамп можно также самостоятельно при запуске скрипта:

Подобным образом возможно обнаружение массы ошибок Windows 10, из-за которых выпал BSOD, а также проблематичных программ .exe из-за которых случился синий экран.

Многие знакомы с "синим экраном смерти" или BlueScreen. Синий экран появляется когда в работе Windows возникает критическая ошибка, что приводит к остановке работы операционной системы. При этом операционная система создает дамп памяти, в который записывает отладочную информацию и добавляет запись в журнал событий.

В Windows существуют два типа дампа памяти - малый дамп (minidump) и полный дамп.
Minidump находится в директории C:\Windows\Minidump и его название имеет примерно такой вид Mini051819-01.dmp.
Полный дамп располагается в папке C:\Windows и называется MEMORY.DMP.

Просмотр и анализ файла минидампа.

Для просмотра минидампа достаточно перетащить файл в окно программы и тут же загрузится отладочная информация. Красным будут подсвечены модули вызвавшие ошибку. В случае представленном на скриншоте выше это был драйвер tcpip.sys.

Щелкнув по имени файла минидампа можно запустить поиск решения в Google.

Но эта программа не способна обработать полный дамп памяти Windows - memory.dmp.

Просмотр полного дампа памяти MEMORY.DMP.

Установка и настройка WinDBG.

Запускаем установку пакета Windows Software Development KIT и на этапе выбора компонентов отмечаем "Debugging Tools for Windows".

При первом запуске WinDBG необходимо выполнить настройку сервера отладочных символов.
1. Переходим в меню File > Symbol File Path и вставляем строку:

где C:\symbol_cache - это директория куда будут загружаться символы.

2. Сохраняем настройку File > Save Workspace.

Просмотр и анализ файла MEMORY.DMP.

Открываем файл MEMORY.DMP: File > Open Crash Dump. Начинается процесс загрузки отладочных символов, в этот момент внизу будет видна надпись: Debugee not connected.

По окончанию загрузки появится подсказка: "для анализа этого файла запустите !analize-v".

Щелкаем по надписи !analize-v и запускается анализ дампа. В этот момент в строке состояние будет надпись *BUSY*.

По завершении обработки файла дампа памяти Windows нам необходимо найти среди полученной информации модуль, который вызвал сбой в работе. Найти сбойный модуль можно в строках MODULE_NAME и IMAGE_NAME.

В моем случае произошел сбой в работе драйвера srv.sys. В строке MODULE_NAME имя представлено в виде ссылке, щелкнув по которому можно получить информацию о модуле.

После выявления драйвера послужившего причиной сбоя в работе Windows и появления "Синего экрана смерти" необходимо попытаться обновить его.

Большинство проблем с драйверами решаются их обновлением.

Настраиваем дамп памяти windows 10

И так, что же такое дамп памяти в операционной системе Windows 10 Redstone. Выше я вам описал, очень частую причину при которой появляется дамп памяти системы и это синие экраны смерти. Причины их появления очень обширны:

Не совместимость приложений
Не совместимость драйверов
Новые обновления Windows
Не совместимость устройств

Это лишь маленький обобщенный список, так как кодов ошибок от синих экраном, целая тьма, приведу самые последние из них.

Наша с вами задача, уметь найти эти файлы для диагностики и уметь их интерпретировать, для получения информации о проблеме.

Где настраивается аварийный дамп памяти windows 10

Для начала давайте разберемся, где производится настройка, которая отвечает за аварийный дамп памяти windows 10. Щелкаете правым кликом по кнопке пуск Windows 10 и из контекстного меню выбираете пункт Система.

В открывшемся окне Система, вы в левом верхнем углу выбираете Дополнительные параметры Системы.

Именно тут и настраивается дамп памяти windows 10. жмем пункт параметры в Загрузка и восстановление.

Из настроек, дампа памяти windows 10, хочу отметить следующие:

Запись события в системный журнал > тут информация о синем экране будет добавлена в логи операционной системы.
Выполнить автоматическую перезагрузку > чтобы продолжить после ошибки работу
Запись отладочной информации > позволяет выбрать вид дамп файла, об этом ниже.
Заменить существующий файл дампа, полезная галка, так как данные дампы могут весить десятки гигабайт, очень критично для маленьких ссд дисков.

Виды дампов памяти

Давайте рассмотрим, чем же отличаются варианты записи отладочной информации

Малый дамп памяти 256 кб: Файлы малого дампа памяти содержат следующие сведения:

– список загруженных драйверов;

– контекст процессора (PRCB), на котором произошел сбой;

– сведения о процессе и контекст ядра (EPROCESS) для процесса, вызвавшего ошибку;

– сведения о процессе и контекст ядра (ETHREAD) для потока, вызвавшего ошибку;

– стек вызовов в режиме ядра для потока, вызвавшего ошибку.

Его используют, когда у вас очень мало дискового пространства на вашем локальном диске. За счет этого мы жертвуем полезной информацией, которой может не хватить для диагностики синего экрана.

Дамп памяти ядра > записывает только память ядра. В зависимости от объема физической памяти ПК в этом случае для файла подкачки требуется от 50 до 800 МБ или одна треть физической памяти компьютера на загрузочном томе.
Полный дамп памяти > ну тут и так все понятно из названия. Пишет абсолютно все, это максимальная информация о синем экране, дает сто процентную диагностику проблемы.

Активный дамп памяти > сюда попадает активная память хостовой машины, это функция больше для серверных платформ, так как они могут использоваться для виртуализации, и чтобы в дамп не попадала информация о виртуальных машинах, придумана данная опция.

Теперь когда у вас появится синий экран, то дамп памяти windows 10, вы будите искать в папке C:\Windows.

Анализ дампа памяти windows 10

Ну и естественно давайте рассмотрим вопрос, как производится анализ дампа памяти windows 10, тут все просто, переходите по ссылке чуть выше и читаете статью Как анализировать синий экран dump memory в Windows. В которой я подробнейшим образом рассказал, как вам можно узнать причину падения и краха вашей операционной системы Windows 10. Желаю вам, чтобы экраны смерти обходили ваш компьютер стороной.

Читайте также: