Как открыть дамп памяти windows 10. Проводим анализ дампа памяти или как выявить причину BSoD

Когда происходит сбой операционной системы Windows 10, система создает файл дампа памяти, содержащий информацию о возникновения ошибки, которая может помочь определить причину проблемы. В статье покажу, как открыть и анализировать .dmp файл в Windows 10.

Содержание

Что такое файл DMP?

Файл «.dmp» содержит сообщение об ошибке, список драйверов, загруженных во время сбоя, а также сведения о ядре, процессоре и процессах.

Windows 10 создает файлы дампа автоматически, но в самой ОС нет никаких встроенных инструментов, которые смогли бы откырть файл дампа. Чтобы открыть dmp-файл мы воспользуемся программой Microsoft WinDbg.

РЕКОМЕНДУЕМ: Удаленная установка Windows

WinDbg (отладка Windows) — это инструмент, который был разработан для отладки кода в режиме ядра и в режиме пользователя, проверки реестров процессора и анализа аварийных дампов.

В этом руководстве по Windows 10 мы покажем вам, как открыть файл дампа, чтобы попытаться выяснить, что вызвало сбой, чтобы решить проблему на вашем компьютере.

Как открыть файл дампа с помощью WinDbg

В Windows 10 вы можете найти несколько способов открыть и просмотреть файл с ошибкой дампа, но самый простой способ — использовать инструмент WinDbg, доступный в Microsoft Store.

Установка WinDbg

Чтобы установить инструмент WinDbg в Windows 10, выполните следующие действия:

  1. Перейдите на страницу загрузки WinDbg.
  2. Нажмите кнопку «Получить».
  3. Нажмите кнопку «Открыть».
  4. Нажмите кнопку «Установить».

После того, как вы выполните эти шаги, приложение будет установлено, и оно будет доступно в меню «Пуск».

Анализ файла DMP

Чтобы открыть и проанализировать файл дампа, созданный в результате сбоя в Windows 10, выполните следующие действия:

Шаг 1: Откройте Пуск.

Шаг 2: Нажмите на иконку поиска, введите WinDbg и нажав правым кликом по WinDbg выберите параметр «Запуск от имени администратора».

Шаг 3: В меню программы откройте пункт «Файл».

Шаг 4: Нажмите «Начать отладку».

Шаг 5: Выберите «Открыть дамп файл».

Шаг 6: Выберите файл дампа в папке, например:

<</span>strong>%SystemRoot%Minidump<</span>/strong>

Шаг 7: Нажмите кнопку «Открыть».

Шаг 8: Дождитесь окончания (это может занять некоторое время).

Шаг 9: Введите следующую команду в команде запуска и нажмите Enter:

<</span>strong>!analyzev<</span>/strong>

Совет: вы также можете щелкнуть ссылку! Анализировать -v, если она доступна, в основной области, если она доступна после загрузки файла дампа.

Шаг 10: Проверяйте индикатор выполнения, пока анализ не будет завершен (это может занять много времени в зависимости от размера данных).

После того, как вы выполните эти шаги, приложение вернет анализ файла дампа, который вы затем сможете просмотреть, чтобы определить причину проблемы, чтобы помочь вам решить проблему.

Информация будет разной в зависимости от проблемы. Например, этот тестовый файл дампа показывает информацию о синем экране смерти (BSoD), также известном как проверка ошибок.

Результат указывает на то, что это был сбой, инициированный вручную с кодом ошибки «e2», что является правильным, поскольку в целях данного руководства мы используем эти инструкции для принудительного выполнения BSoD. WinDbg даже отлично описывает сбой на языке, понятном любому (пользователь вручную инициировал этот аварийный дамп).

Продолжая просматривать файл дампа, вы также найдете дополнительную информацию, такую ​​как «FAILURE_BUCKET_ID» и «MODULE_NAME», которые могут указывать на причину проблемы.

Информация может быть огромной, поскольку она не предназначена для обычных пользователей.

Заключение

Если ваш компьютер продолжает давать сбой, вы можете использовать этот инструмент, чтобы понять проблему. Если вы не можете понять это, вы можете использовать подсказки в отчете для поиска в Интернете дополнительной информации.

Если у вас накопитель малой емкости или почти не хватает места, вы можете удалить файлы дампа памяти, чтобы освободить место.

Когда вы получаете синий экран смерти (BSOD) на вашем ПК с Windows 10, ОС создает файлы памяти и мини-дампа. Однако, например, файлы могут занимать много места на вашем ограниченном SSD. И вы можете время от времени удалять их. Итак, вот как это сделать.

Файлы дампа памяти

Файлы дампа памяти и «минидампа» являются результатом ошибок BSOD. Он генерирует файл сбоя, который содержит много системной информации, такой как запущенные приложения, активные драйверы, отметки времени событий и многое другое. Файлы обычно хранятся в локальной системной папке, и она перезаписывается каждый раз, когда вы получаете BSOD. В нем содержится информация, которая может быть полезна разработчикам и ИТ-администраторам, но средний человек может получить значительное дисковое пространство, очистив их.

Файлы минидампа меньше по размеру и содержат меньше ошибок BSOD. Но, опять же, если вы не планируете использовать их для устранения неполадок своего ПК, обычный человек может безопасно удалить их, чтобы освободить место на диске.

Примечание: Если в вашей системе много ошибок BSOD, не удаляйте эти файлы. Они могут быть неоценимы при устранении проблемы.

Удалить файлы дампа памяти

Нажмите кнопку «Пуск», нажмите клавишу Windows на клавиатуре и откройте «Настройки». В качестве альтернативы вы можете использовать сочетание клавиш Клавиша Windows + I , чтобы открыть Настройки.

На главном экране нажмите Система.

Затем на следующем экране щелкните значок Место хранения вариант из списка слева. Затем на правой панели нажмите на Временные файлы параметры.

Когда появится следующий экран, установите флажок «Файлы дампа памяти при системной ошибке» и нажмите кнопку «Удалить файлы». Вот и все. Windows удалит файлы дампа памяти системной ошибки из вашей системы.

Имейте в виду, что пока вы находитесь в разделе «Системное хранилище» в настройках, вы можете вручную запустить Storage Sense, чтобы очистить еще больше ненужных файлов в вашей системе.

Используйте классический инструмент очистки диска

Вы по-прежнему можете использовать традиционный (а теперь и классический) инструмент очистки диска для достижения тех же результатов. Нажмите клавишу Windows и тип: очистка диска и запустите приложение из результатов вверху.

Выберите свой локальный диск — обычно это (C 🙂 и нажмите ОК.

Подождите секунду, пока программа очистки диска не обнаружит ненужные файлы. Затем нажмите кнопку Очистить системные файлы кнопка.

Как только это будет сделано, прокрутите вниз и установите флажки «Файлы дампа памяти системной ошибки» и «Файлы мини-дампа системной ошибки» и нажмите OK.

Вот и все. Выбранные файлы будут удалены из вашей системы. Обратите внимание, что во время очистки диска вы можете выбрать другие элементы, такие как «Очистка Центра обновления Windows», и очистить старые файлы ОС после серьезного обновления.

Например, на изображении выше вы можете увидеть, что я могу сэкономить почти 10 ГБ на диске, проверив все. Восстановление дискового пространства полезно на твердотельных накопителях малой емкости и других компьютерах, на которых заканчивается хранилище. Кроме того, не забудьте прочитать о семи способах увеличения объема памяти на устройствах с Windows 10.

Поэтому поставленный вопрос вполне закономерен и естественен — можно ли удалять файлы дампов и если можно, то как это правильно делать? Ответ на этот вопрос — да, файлы дампов можно удалять, это никак не повредит системе и установленным на компьютере программам. Более того, вы вообще можете отключить создание дампов, по крайней мере тех, которые создаются операционной системой при критических сбоях. 

↑ Типы дампов

Windows поддерживается несколько типов системных дампов: полный, памяти ядра и малый дамп памяти. Полный дамп содержит всю физическую память системы, дамп памяти ядра — только ту часть ОЗУ, которая используется ядром, малый дамп содержит сведения об ошибках, загруженных драйверах и прочую служебную информацию. «Большие» дампы сохраняются в каталоге %SystemRoot% (Windows), под хранение минидампов в системе отведена папка %SystemRoot%Minidump. Дампы сторонних программ обычно хранятся в папках профиля пользователя. Существуют также дампы отдельных процессов, создать такой дамп можно из Диспетчера задач или с помощью небезызвестной утилиты Process Explorer.  

↑ Удаление дампов вручную

Этот способ сводится к поиску всех файлов в формате DMP и их удалению. Как уже было сказано, системные файлы дампов располагаются в папках C:Windows и C:WindowsMinidump, для обнаружения дампов, созданных другими программами можно задействовать встроенный поиск Windows или сторонние утилиты, например, MasterSeeker. Запустите утилиту и вставьте в поле поиска запрос «.dmp» без кавычек, и утилита тут же выведет список всех имеющихся на жёстком диске файлов дампов. Чтобы удалить дампы, выделите их кликом левой кнопкой мыши с зажатой Shift и нажмите Shift + Del или выберите опцию «Delete Permanently» в контекстном меню. 

↑ Удаление дампов в приложении Параметры

В Windows 10 удалить файлы дампов можно через приложение Параметры. Открыв последнее, перейдите в раздел Система → Память → Временные файлы, отметьте флажком пункт «Файлы дампа памяти и системных ошибок» и нажмите кнопку «Удалить файлы».

Более универсальным способом очистки (работает в Windows 10, 8.1 и 7) является использование классической утилиты cleanmgr. Запустите ее одноименной командой через диалоговое окошко «Выполнить», выберите очищаемый диск C и нажмите в открывшемся окне очистки диска кнопку «Очистить системные файлы». 

Опять выберите системный раздел, нажмите «OK» и дождитесь завершения сканирования. Отметьте в открывшемся окошке флажками пункты файлов дампов, нажмите «OK» и подтвердите действие.  

↑ Удаление дампов в сторонних чистильщиках

Наконец, для удаления временных файлов дампов можно использовать сторонние программы-чистильщики, ту же CCleaner. Кстати, по умолчанию этот чистильщик уже настроен на удаление дампов памяти, в чём вы сами можете убедиться, внимательно изучив список удаляемых данных в категории «Система» на вкладке «Система». Примечательно, что CCleaner обнаруживает дампы, созданные не только Windows, но и другими программами, в частности, браузером Google Chrome. 

Приводить инструкцию по использованию чистильщика здесь не будем, программа достаточно известная, отметим лишь, что по сравнению с ручным поиском она выводит меньше результатов, но она же предлагает и более безопасное решение проблемы.

Ctrl Enter Заметили ошЫбку Выделите и нажмите Ctrl+Enter

Комментарии (3)

Если на компьютере включена запись отладочной информации, при падении системы в BSOD содержимое рабочей памяти будет записано в особый файл MEMORY.DMP, который затем можно будет проанализировать с помощью специальных утилит. Но необходимость создания дампа памяти может возникнуть и по другим причинам, например, с целью обнаружения в системе следов вирусного заражения и при форензике — проведении криминалистической экспертизы.

Последние случаи подразумевают создания слепка памяти в рабочей системе и последующем его изучении на другом ПК, но как создаются такие слепки и какими инструментами анализируются?

Обычно для этих целей используются специализированные утилиты вроде DumpIt или Belkasoft RAM Capturer, на худой конец сойдет и Process Explorer — инструмент более чем известный среди системных администраторов и программистов.

Создание дампа процессов в Process Explorer

Процедура создания слепка памяти в Process Explorer не отличается особой сложностью. Запустив утилиту от имени администратора, зайдите в меню View и убедитесь, что опция “Show Processes From All Users” отмечена галкой. Затем в левой колонке с древовидной структурой процессов кликните ПКМ по выбранному разделу, выберите в меню опцию «Create Dump» и укажите путь к сохраняемому файлу DMP.

Правда, в Windows 7 и еще в большей мере в 8.1 и 10 с этим могут возникнуть проблемы, поскольку системные процессы в этих ОС имеют более высокий приоритет, чем процессы программ, пусть даже запущенных от имени администратора. Частичное решение проблемы могут предложить утилиты ExecTI и DevxExec, позволяющие запускать исполняемые файлы от имени Системы и TrustedInstaller, но опять же без гарантии. К тому же при использовании ExecTI может возникнуть ошибка «Расположение недоступно».

Создание дампа ОЗУ Belkasoft RAM Capturer

Тогда как Process Explorer подходит больше для создания дампов процессов с низким приоритетом, узкоспециализированная утилита Belkasoft RAM Capturer, активно используемая компьютерными криминалистами, сохраняет в дамп больше данных.

Чтобы создать в ней снимок памяти, достаточно запустить ее с правами администратора и нажать кнопку «Capture!».

Утилита сохраняет данные памяти в MEM-образ, открыть который можно с помощью программы от того же разработчика Belkasoft Evidence Center.

Инструмент этот платный и более чем дорогостоящий, пробной версии нет, разве что вам удастся найти его в свободном доступе.

Есть менее удобный, но зато совершенно бесплатный парсер MEM-образов Volatility, если интересно, можете поискать о нём информацию в интернете.

Форензика занятие увлекательное, так что дерзайте.

Как принудительно запустить BSOD и создать дамп памяти в Windows 10

Когда в Windows 10 происходит неустранимая ошибка, которую система не в состоянии обработать, работа компьютера аварийно завершается, при этом создавая дамп памяти и выводя на экран информацию о причине ошибке. Этот экран называют синим экраном смерти (Blue Screen of Dead, BSOD). Но иногда BSOD необходимо вызвать специально, чтобы создать дамп памяти. Расскажу, как это сделать.

Как принудительно запустить BSOD и создать дамп памяти в Windows 10

1. Откройте редактор реестра: нажмите «Windows+R», наберите «regedit» и нажмите «ОК».

2. Создайте резервную копию реестра: «Файл» > «Экспорт».

3. Перейдите к следующим ключам:

Для USB клавиатуры:

HKLMSYSTEMCurrentControlSetServiceskbdhidParameters

Для PS2 клавиатуры:

HKLMSYSTEMCurrentControlSetServicesi8042prtParameters

4. Создайте параметр типа DWORD с именем CrashOnCtrlScroll:

5. Зайдите в CrashOnCtrlScroll и измените значения с 0 на 1.

6. Нажмите «ОК» и «Перезапустите систему», чтобы применить изменения.

Для отключения ручного вывода BSOD можно изменить параметр  CrashOnCtrlScroll на 0 или просто удалить его.

Как вызвать BSOD

После перезагрузки достаточно удерживать клавишу Ctrl и дважды нажать Scroll Lock. После этого система выпадет в синий экран.

Как принудительно запустить BSOD и создать дамп памяти в Windows 10 3

Примечание. Для того, чтобы отключить автоматическую перезагрузку при BSOD, надо зайти в ветку:

HKLMSYSTEMCurrentControlSetControlCrashControl

И установить параметру AutoReboot значение 0.

Спасибо, что читаете! Подписывайтесь на мои каналы в Telegram, Яндекс.Мессенджере и Яндекс.Дзен. Только там последние обновления блога и новости мира информационных технологий.

Также читайте меня в социальных сетях: Facebook, Twitter, VK и OK.

Хотите больше постов? Узнавать новости технологий? Читать обзоры на гаджеты? Для всего этого, а также для продвижения сайта, покупки нового дизайна и оплаты хостинга, мне необходима помощь от вас, преданные и благодарные читатели. Подробнее о донатах читайте на специальной странице.

Есть возможность стать патроном, чтобы ежемесячно поддерживать блог донатом, или воспользоваться Яндекс.Деньгами, WebMoney, QIWI или PayPal:

Заранее спасибо! Все собранные средства будут пущены на развитие сайта. Поддержка проекта является подарком владельцу сайта.

Оцените статью
Рейтинг автора
4,8
Материал подготовил
Егор Новиков
Наш эксперт
Написано статей
127
А как считаете Вы?
Напишите в комментариях, что вы думаете – согласны
ли со статьей или есть что добавить?
Добавить комментарий