Аварійний дамп пам`яті

Загальні відомості про аварійний дампі пам`яті

Всі Windows-системи для виявлення фатальної помилки роблять аварійний дамп (знімок) вмісту оперативної пам`яті і зберігає його на жорсткий диск. Існують три типи дампа пам`яті:

Повний дамп пам`яті - зберігає весь вміст оперативної пам`яті. Розмір знімка дорівнює розміру оперативної пам`яті + 1 Мб (заголовок). Використовується дуже рідко, так як в системах з великим об`ємом пам`яті розмір дампа буде занадто великим.

Дамп пам`яті ядра - зберігає інформацію оперативної пам`яті, що стосується тільки режиму ядра. Інформація для користувача режиму не зберігається, так як не несе в собі інформації про причини краху системи. Обсяг файлу дампа залежить від розміру оперативної пам`яті і варіюється від 50 Мб (для систем з 128 Мб оперативної пам`яті) до 800 Мб (для систем з 8 Гб оперативної пам`яті).

Малий дамп пам`яті (міні дамп) - містить досить невелика кількість інформації: код помилки з параметрами, список драйверів завантажених в оперативну пам`ять на момент краху системи і т.д., але цих відомостей достатньо, для визначення збійного драйвера. Ще однією перевагою даного виду дампа є маленький розмір файлу.

Налаштування системи

Для виявлення драйвера викликав синій екран нам досить буде використовувати малий дамп пам`яті. Для того щоб система при краху зберігала міні дамп необхідно виконати наступні дії:

Проробивши всі маніпуляції, після кожного BSoD в папці C: WINDOWS Minidump буде зберігатися файл з розширення .dmp. Раджу ознайомитися з матеріалом "Як створити папку". Також можна встановити галочку на"Замінити існуючий файл дампа". У цьому випадку кожен новий аварійний дамп буде записуватися поверх старого. Я не раджу включати дану опцію.

Аналіз аварійного дампа пам`яті за допомогою програми BlueScreenView

Отже, після появи синього екрану смерті система зберегла новий аварійний дамп пам`яті. Для аналізу дампа рекомендую використовувати програму BlueScreenView. Її можна безкоштовно завантажити тут. Програма досить зручна і має інтуїтивний інтерфейс. Після її установки перше, що необхідно зробити - це вказати місце зберігання дампов пам`яті в системі. Для цього необхідно зайти в пункт меню "Options"І вибрати"Advanced Options". Вибираємо радіокнопку "Load from the following Mini Dump folder"І вказуємо папку, в якій зберігаються дампи. Якщо файли зберігаються в папці C: WINDOWS Minidump можна натисканням кнопки "Default". Натискаємо OK і потрапляємо в інтерфейс програми.

Програма складається з трьох основних блоків:

1. Блок головного меню і панель управління;
2. Блок списку аварійних дампів пам`яті;
3. Залежно від обраних параметрів може містити в собі:

• список всіх драйверів знаходяться в оперативній пам`яті до появи синього екрану (за замовчуванням);
• список драйверів знаходяться в стеку оперативної пам`яті;
• скріншот BSoD;
• і інші значення, які ми використовувати не будемо.

У блоці списку дамп пам`яті (на малюнку позначено цифрою 2) вибираємо цікавить нас дамп і дивимося на список драйверів, які були завантажені в оперативну пам`ять (на малюнку позначено цифрою 3). Рожевим кольором пофарбовані драйвера, які перебували в стеці пам`яті. Вони то і є причиною появи BSoD. Далі переходите до Головного меню драйвера, визначайте до якого пристрою або програмі вони належать. В першу чергу звертайте увагу на несистемно файли, адже системні файли в будь-якому випадку завантажені в оперативній пам`яті. Легко зрозуміти, що на зображенні збійних драйвером є myfault.sys. Скажу, що це програма була спеціально запущена для виклику Stop помилки. Після визначення збійного драйвера, необхідно його або оновити, або видалити з системи.

Для того щоб програма показувала список драйверів знаходяться в стеку пам`яті під час виникнення BSoD необхідно зайти в пункт меню "Options"Натискаємо на меню"LowerPaneMode"І вибираємо"OnlyDriversFoundInStack"(Або натисніть клавішу F7), а для показу скріншота помилки вибираємо"BlueScreeninXPStyle"(F8). Що б повернутися до списку всіх драйверів, необхідно вибрати пункт "AllDrivers"(F6).

Буду вдячний, якщо скористаєтеся кнопочками: