Чтобы исправить синий экран смерти необходимо выявить причину его появления. Для этого нужно проанализировать аварийный файл дампа памяти. Анализ аварийного дампа можно провести различными способами. Об этом как раз и поговорим в этой статье.
В предыдущей статье на сайте мы уже писали про причины, которые чаще всего приводят к синему экрану смерти. Также показали как правильно настроить создание аварийных дампов памяти и рассказали где хранится этот самый файл дампа
. Мельком коснулись того, что по стоп коду и по информации из дамп файла можно путём анализа точнее выяснить причину приведшую к BSOD
.
Осталось узнать как и с помощью чего можно проанализировать информацию из дамп файла. Рассмотрим несколько способов, включающих как инструмент анализа от самих разработчиков Windows так и сторонние инструменты.
Microsoft Kernel Debugger
- специальная утилита для анализа крэш дампов. Скачать саму утилиту, а также необходимые для её работы компоненты можно с сайта Microsoft
- Debugging tools. Версия пакета Debugging Tools for Windows
должна соответствовать разрядности операционной системы. Подробно про то где и как скачать эту утилиту писал .
Вместе с самим отладчиком необходимо ещё скачать набор отладочных символов - Debugging Symbols
. Набор символов, также различается для каждой версии Windows, включая и по разрядности. Таким образом, для 32-х разрядной Windows 7 необходимо скачать пакет символов Windows 7 x32
, а для 64-х битной Windows 7 набор символов Windows 7 x64
. Таким же образом нужно выбирать набор символов и для других версий Windows (widows 10, XP и т.д.). Нужный набор символов также можно скачать в самом отладчике, но об этом ниже.
После установки утилиты и набора отладочных символов, можно запустить сам отладчик. После запуска необходимо в его настройках указать ему путь до отладочных символов. Для этого:
Нажмите на кнопку File
⇒ Symbol File Path...
Далее нажмите кнопку Browse
и укажите папку куда сохранили набор символов.
Скачать самую новую версию символов можно с помощью самой утилиты. Для этого в поле File
⇒ Symbol File Path...
введите:
SRV*C:\symbols*http://msdl.microsoft.com/download/symbols 
Далее нажмите на File
⇒ Save workspace
и затем нажмите на ОК.
Таким образом утилита запросит информацию об отладочных символах через интернет напрямую с сервера Microsoft
.
Для того, чтобы приступить к анализу нажмите на File
> Open Crash Dump…
и укажите требуемый файл дампа памяти (малый дамп памяти).
Система проведёт анализ дампа и по результатам выдаст возможную причину ошибки.
Кликнув по гиперссылке !analyse-v
откроется более расширенная информация по ошибке.
Завершить отладку можно с помощью пункта меню Debug
> Stop Debugging
.
BlueScreenView
это бесплатная утилита для анализа файла малого аварийного дампа памяти. Данная утилита имеет поддержку русского языка. Основным плюсом данной программы является то, что для её работы не нужно скачивать отладочные символы. Это делает эту утилиту полностью автономной и независимой. Еще одним плюсом данной программы является наличие портабельной версии, то есть версии, которую не нужно устанавливать в систему. Автором программы является Nier Sofer
. Скачать можно с официального сайта автора
. Портабельную версию программы можно скачать по ссылке на официальной странице, в названии которого, в скобках указано in Zip file
.
При скачивании важно учитывать разрядность вашей ОС.
Пролистав чуть ниже можно скачать файл русификации - BlueScreenView_lng.ini
, который нужно просто закинуть в папку с самой программой. Я подготовил для скачивания программу с уже настроенным языком. Вот прямые ссылки:
А теперь непосредственно про процедуру анализа.
После запуска программа сразу сканирует стандартную директорию хранения файла дампа - %SystemRoot%\Minidump . Директорию можно изменить в дополнительных параметрах программы. Интерфейс окна программы условно можно поделить на 3 области:
Данные анализа выводятся в табличном виде. Перечислю наиболее важные из столбцов средней области интерфейсного окна программы (в скобках наименование из англ. версии):
Теперь перечислю наиболее важные столбцы из нижней области:
Для анализа выделяем нужный файл дампа в средней области окна утилиты. При выделении нижняя область сразу заполняется данными. Смотрим в таблице данные из основных столбцов, которые я привёл выше. В нижней области окна вероятные проблемные драйвера либо модули выделяются красным цветом. Редко, бывают случаи, когда указанный программой в средней области окна драйвер не является источником BSOD ошибки. В таких случаях, среди подсвеченных красным цветом ниже, проблемных драйверов, наверняка присутствует истинный источник синего экрана смерти. В моём случае это: E1G6032E.sys
и ntoskrnl.exe
. Кстати, оба являются довольно таки распространёнными причинами BSOD.
Если найденные программой источники ошибки вам ни о чём не говорят, то можно просто в поисковике ввести наименование проблемных драйверов и там наверняка найдёте как их побороть.
Для более точного определения проблемных драйверов и модулей можно воспользоваться несколькими способами анализа. Благо в данной статье мы разобрали два наиболее популярных. Следите за публикациями и в дальнейшем выйдет ещё статья про анализ дампов.
Любая современная операционная система – очень сложный набор различных программных модулей, которые работают в связке в разных сочетаниях. В них могут быть ошибки или они могут конфликтовать между собой или с запущенной программой. В итоге происходит сбой, и Windows прекращает работу, показывая всем известный «синий экран смерти ». Почему это произошло, поможет понять дамп памяти Windows 10, да и в других версиях это тоже работает. По умолчанию они обычно не создаются, поэтому их надо включить, а для изучения использовать специальные программы, которые извлекут полезную информацию в понятном виде.
Настройка дампа памяти.
По сути, это «снимок» оперативной памяти , её содержимое в момент, когда произошёл сбой. Это содержимое записывается в отдельный файл, который и называется дампом. Анализируя его, можно понять, что пошло не так, и в какой части программы случилась проблема. Когда всё нормально и никаких сбоев не происходит, система е создаёт никаких файлов с содержимым памяти. Поэтому на производительность эта функция никак не влияет. Но стоит случиться фатальной ошибке, которая вызывает появление «синего экрана», как создаётся такой файл. Это специальное средство, которое помогает разработчикам устранять такие проблемы. Обычные пользователи тоже могут воспользоваться этим, чтобы узнать, какие программы вызывают сбой системы. Но имейте в виду, что для этого надо иметь некоторые познания по работе компьютеров и программного обеспечения, иначе вся эта информация окажется совершенно бесполезной. Рядовой пользователь уровня «умею включить-печатать-выключить» в ней просто ничего не поймёт.
Чтобы посмотреть и настроить, например, увеличить дамп памяти Windows, рассмотрим 7-ю версию – она продолжает оставаться популярной. Да и в других версиях это делается подобным образом. Для этого можно кликнуть правой кнопкой мыши по значку «Мой компьютер» и выбрать «Свойства». Можно пойти другим путём – зайти в «Панель управления» и выбрать «Система». В любом случае откроется одно и то же окно. Далее выберите слева пункт «Дополнительные параметры системы», и в появившемся маленьком окне перейдите на вкладку «Дополнительно». Здесь в разделе «Загрузка и восстановление» кликните по кнопке «Параметры».
В Windows более новых версий есть режим «Автоматический дамп памяти» – можно выбрать его, и этого будет вполне достаточно. Как видите, настроить дамп памяти в Windows 7 несложно. Он будет записываться только при сбоях, и на работу системы никак не влияет.
Когда случится сбой и будет создан новый файл с отчётом о проблеме, надо еще как-то его открыть и узнать, что в нём записано. Файл имеет расширение dmp, но встроенные средства для его открытия неудобны и добраться до них можно из командной строки. Кстати, система сохраняет этот файл в своей папке. Чем открыть файл дампа памяти с расширением dmp? Для этого существуют различные утилиты, в том числе и от Microsoft, например, Microsoft Kernel Debuggers. Её можно скачать совершенно бесплатно с официального сайта, но надо учитывать, 32-битная или 64-битная версия нужна. В этой программе можно открыть файлы дампа памяти, которые находятся в системной папке и смотреть их содержимое в виде расшифровки. Конечно, информация сугубо специфичная и рассчитана на специалистов.
Есть и другая популярная утилита – BlueScreenView. Она очень простая и пользоваться ею легко. Но выводимую информацию не так просто понять, но при наличии некоторых технических познаний вполне можно. Красным цветом программа выделяет в списке проблемные части кода, вызвавшие «синий экран», например, определённые драйвера . Это сильно облегчает работу по анализу.
Можно ли вообще их удалять? Да, они представляют собой просто служебную информацию для дальнейшего анализа. Если их уже просмотрели или они не нужны, то их можно удалить самым простым способом – в корзину. Иначе они постепенно накапливаются и начинают занимать немало места на винчестере, особенно если снимается полная копия оперативной памяти. Конечно, искать вручную и удалять все эти файлы – занятие не очень приятное. Поэтому можно воспользоваться любой утилитой очистки диска, даже встроенной в Windows, отметив там «Удалять системные файлы». Когда она отработает, все дампы будут тоже удалены. Сама система этими файлами не пользуется и их удаление совершенно безопасно.
В момент критического сбоя операционная система Windows прерывает работу и показывает синий экран смерти (BSOD). Содержимое оперативной памяти и вся информация о возникшей ошибке записывается в файл подкачки. При следующей загрузке Windows создается аварийный дамп c отладочной информацией на основе сохраненных данных. В системном журнале событий создается запись о критической ошибке.
Внимание! Аварийный дамп не создается, если отказала дисковая подсистема или критическая ошибка возникла на начальной стадии загрузки Windows.
На примере актуальной операционной системы Windows 10 (Windows Server 2016) рассмотрим основные типы дампов памяти, которые может создавать система:
С помощью Win+Pause откройте окно с параметрами системы, выберите «Дополнительные параметры системы » (Advanced system settings). Во вкладке «Дополнительно » (Advanced), раздел «» (Startup and Recovery) нажмите кнопку «Параметры » (Settings). В открывшемся окне настройте действия при отказе системы. Поставьте галку в чек-боксе «Записать события в системный журнал » (Write an event to the system log), выберите тип дампа, который должен создаваться при сбое системы. Если в чек-боксе «Заменять существующий файл дампа » (Overwrite any existing file) поставить галку, то файл будет перезаписываться при каждом сбое. Лучше эту галку снять, тогда у вас будет больше информации для анализа. Отключите также автоматическую перезагрузку системы (Automatically restart).
В большинстве случаев для анализа причины BSOD вам будет достаточно малого дампа памяти.
Теперь при возникновении BSOD вы сможете проанализировать файл дампа и найти причину сбоев. Мини дамп по умолчанию сохраняется в папке %systemroot%\minidump. Для анализа файла дампа рекомендую воспользоваться программой WinDBG (Microsoft Kernel Debugger ).
Утилита WinDBG входит в «Пакет SDK для Windows 10 » (Windows 10 SDK). .
Файл называется winsdksetup.exe , размер 1,3 МБ.
Запустите установку и выберите, что именно нужно сделать – установить пакет на этот компьютер или загрузить для установки на другие компьютеры. Установим пакет на локальный компьютер.
Можете установить весь пакет, но для установки только инструмента отладки выберите Debugging Tools for Windows .
После установки ярлыки WinDBG можно найти в стартовом меню.
Для того, чтобы открывать файлы дампов простым кликом, сопоставьте расширение.dmp с утилитой WinDBG.
Отладочные символы (debug-символы или symbol files) – это блоки данных, генерируемые в процессе компиляции программы совместно с исполняемым файлом. В таких блоках данных содержится информация о именах переменных, вызываемых функциях, библиотеках и т.д. Эти данные не нужны при выполнении программы, но полезные при ее отладке. Компоненты Microsoft компилируются с символами, распространяемыми через Microsoft Symbol Server.
Настройте WinDBG на использование Microsoft Symbol Server:
WinDBG произведет поиск символов в локальной папке и, если не обнаружит в ней необходимых символов, то самостоятельно загрузит символы с указанного сайта. Если вы хотите добавить собственную папку с символами, то можно сделать это так:
SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols;c:\Symbols
Если подключение к интернету отсутствует, то загрузите предварительно пакет символов с ресурса Windows Symbol Packages .
Отладчик WinDBG открывает файл дампа и загружает необходимые символы для отладки из локальной папки или из интернета. Во время этого процесса вы не можете использовать WinDBG. Внизу окна (в командной строке отладчика) появляется надпись Debugee not connected.
Команды вводятся в командную строку, расположенную внизу окна.
Самое главное, на что нужно обратить внимание – это код ошибки, который всегда указывается в шестнадцатеричном значении и имеет вид 0xXXXXXXXX (указываются в одном из вариантов — STOP: , 02.07.2019 0008F, 0x8F). В нашем примере код ошибки 0х139.
Отладчик предлагает выполнить команду!analyze -v, достаточно навести указатель мыши на ссылку и кликнуть. Для чего нужна эта команда?
Основные моменты, на которые вы должны обратить внимание при анализе после выполнения команды!analyze –v (листинг неполный).
1: kd> !analyze -v
* *
* Bugcheck Analysis *
* *
*****************************************************************************
Символическое имя STOP-ошибки (BugCheck)
KERNEL_SECURITY_CHECK_FAILURE (139)
Описание ошибки (Компонент ядра повредил критическую структуру данных. Это повреждение потенциально может позволить злоумышленнику получить контроль над этой машиной):
A kernel component has corrupted a critical data structure. The corruption could potentially allow a malicious user to gain control of this machine.
Аргументы ошибки:
Arguments:
Arg1: 0000000000000003, A LIST_ENTRY has been corrupted (i.e. double remove).
Arg2: ffffd0003a20d5d0, Address of the trap frame for the exception that caused the bugcheck
Arg3: ffffd0003a20d528, Address of the exception record for the exception that caused the bugcheck
Arg4: 0000000000000000, Reserved
Debugging Details:
------------------
Счетчик показывает сколько раз система упала с аналогичной ошибкой:
CUSTOMER_CRASH_COUNT: 1
DEFAULT_BUCKET_ID: FAIL_FAST_CORRUPT_LIST_ENTRY
Код STOP-ошибки в сокращенном формате:
BUGCHECK_STR: 0x139
Процесс, во время исполнения которого произошел сбой (не обязательно причина ошибки, просто в момент сбоя в памяти выполнялся этот процесс):
PROCESS_NAME: sqlservr.exe
Расшифровка кода ошибки: В этом приложении система обнаружила переполнение буфера стека, что может позволить злоумышленнику получить контроль над этим приложением.
ERROR_CODE: (NTSTATUS) 0xc0000409 - The system detected an overrun of a stack-based buffer in this application. This overrun could potentially allow a malicious user to gain control of this application.
EXCEPTION_CODE: (NTSTATUS) 0xc0000409 - The system detected an overrun of a stack-based buffer in this application. This overrun could potentially allow a malicious user to gain control of this application.
Последний вызов в стеке:
LAST_CONTROL_TRANSFER: from fffff8040117d6a9 to fffff8040116b0a0
Стек вызовов в момент сбоя:
STACK_TEXT:
ffffd000`3a20d2a8 fffff804`0117d6a9: 00000000`00000139 00000000`00000003 ffffd000`3a20d5d0 ffffd000`3a20d528: nt!KeBugCheckEx
ffffd000`3a20d2b0 fffff804`0117da50: ffffe000`f3ab9080 ffffe000`fc37e001 ffffd000`3a20d5d0 fffff804`0116e2a2: nt!KiBugCheckDispatch+0x69
ffffd000`3a20d3f0 fffff804`0117c150: 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000: nt!KiFastFailDispatch+0xd0
ffffd000`3a20d5d0 fffff804`01199482: ffffc000`701ba270 ffffc000`00000001 000000ea`73f68040 fffff804`000006f9: nt!KiRaiseSecurityCheckFailure+0x3d0
ffffd000`3a20d760 fffff804`014a455d: 00000000`00000001 ffffd000`3a20d941 ffffe000`fcacb000 ffffd000`3a20d951: nt! ?? ::FNODOBFM::`string"+0x17252
ffffd000`3a20d8c0 fffff804`013a34ac: 00000000`00000004 00000000`00000000 ffffd000`3a20d9d8 ffffe001`0a34c600: nt!IopSynchronousServiceTail+0x379
ffffd000`3a20d990 fffff804`0117d313: ffffffff`fffffffe 00000000`00000000 00000000`00000000 000000eb`a0cf1380: nt!NtWriteFile+0x694
ffffd000`3a20da90 00007ffb`475307da: 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000: nt!KiSystemServiceCopyEnd+0x13
000000ee`f25ed2b8 00000000`00000000: 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000: 0x00007ffb`475307da
Участок кода, где возникла ошибка:
FOLLOWUP_IP:
nt!KiFastFailDispatch+d0
fffff804`0117da50 c644242000 mov byte ptr ,0
FAULT_INSTR_CODE: 202444c6
SYMBOL_STACK_INDEX: 2
SYMBOL_NAME: nt!KiFastFailDispatch+d0
FOLLOWUP_NAME: MachineOwner
Имя модуля в таблице объектов ядра. Если анализатору удалось обнаружить проблемный драйвер, имя отображается в полях MODULE_NAME и IMAGE_NAME:
MODULE_NAME: nt
IMAGE_NAME: ntkrnlmp.exe
1: kd> lmvm nt
Browse full module list
Loaded symbol image file: ntkrnlmp.exe
Mapped memory image file: C:\ProgramData\dbg\sym\ntoskrnl.exe\5A9A2147787000\ntoskrnl.exe
Image path: ntkrnlmp.exe
Image name: ntkrnlmp.exe
InternalName: ntkrnlmp.exe
OriginalFilename: ntkrnlmp.exe
ProductVersion: 6.3.9600.18946
FileVersion: 6.3.9600.18946 (winblue_ltsb_escrow.180302-1800)
В приведенном примере анализ указал на файл ядра ntkrnlmp.exe. Когда анализ дампа памяти указывает на системный драйвер (например, win32k.sys) или файл ядра (как в нашем примере ntkrnlmp.exe), вероятнее всего данный файл не является причиной проблемы. Очень часто оказывается, что проблема кроется в драйвере устройства, настройках BIOS или в неисправности оборудования.
Если вы увидели, что BSOD возник из-за стороннего драйвера, его имя будет указано в значениях MODULE_NAME и IMAGE_NAME.
Например:
Image path: \SystemRoot\system32\drivers\cmudaxp.sys
Image name: cmudaxp.sys
Откройте свойсва файла драйвера и проверьте его версию. В большинстве случаев проблема с драйверами решается их обнвовлением.
Если перед вами появился так называемый синий экран смерти в Windows 10 и вы уже готовы впасть в нервное коматозное состояние, возьмите себя в руки и попробуйте решить возникшую проблему. Для начала стоит сказать, что это зловещее сообщение сигнализирует вам о критической системной ошибке. Более того, далеко не всегда можно словить момент и успеть прочитать код ошибки, когда Windows вывалится в синий экран смерти и произойдет перезагрузка устройства. Сразу отметим, что существует огромное количество решений этой проблемы, как и причин появления синего экрана. В этой статье мы попробуем рассмотреть вероятные причины появления синего экрана счастья, а также о возможных решениях проблемы.
В подавляющем большинстве случаев синий экран смерти сигнализирует про ошибку BAD_POOL_CALLER - stop 0x000000c2. Диагностировать эту ошибку скажем прямо сложно, но возможно и мы попытаемся на примере этой ошибке описать алгоритм ваших следующих действий.
Чтобы правильно осуществить диагностику проблемы, сначала следует проанализировать специальный файл системы под названием minidump (дамп памяти). К созданию таких файлов приводит сбой в работе системы, более того, они могут нас проинформировать – что именно привело к сбою.
1. Чтобы включить такую автоматическую запись малого дампа памяти (по-умолчанию отключено) зайдите в свойства компьютера и перейдите в раздел "Дополнительные параметры системы" (такое включение предусмотрено для все систем, а не только Windows 10):
Как правило все файлы minidump при появлении синего экрана смерти (BSOD) сохраняются, а найти их можно в папке C:\Windows\Minidump. Примечательно, что в имени файла содержится текущая дата – когда он был создан, что значительно облегчает идентификацию даты возникновения ошибки, особенно учитывая, что такой файл может быть не один.
Первый способ , заключается в использовании довольно популярной утилите BlueScreenView . Эта утилита может также стать хорошим вариантом для анализа дампа памяти. Применение этой утилиты как нельзя кстати пригодится, как способ чтобы определить проблемный драйвер.
Более того, она особенно примечательна тем, что с ее помощью возможен просмотр BSOD (синего экрана смерти) как бы в стоп-кадре, как это было, когда система крашилась. Она отображает время и дату сбоя, данные о драйвере или модуле с версией и кратким описанием. Кроме того, утилита доступна на множестве языков, включая русский. Так что утилита BlueScreenView как раз самое то, если нужно произвести быстрый анализ дампов памяти при BSOD.
Для второго способа нужно установить Debugging Tools for Windows , а также загрузить утилиту bsdos_utility . Далее после распаковки скрипта bsdos_utility.cmd следует переместить его на диск C:\ (можно создать отдельную папку, но стоит помнить, что строка адреса запуска скрипта будет отличатся от нашего примера). Затем в командной строке следует написать:
C:\bsdos_utility.cmd
После выведения списка всех дампов из списка C:\Windows\Minidump\, после чего скрипт спросит какой именно дамп должен подвергнуться анализу. Выбрать нужный минидамп можно также самостоятельно при запуске скрипта:
Подобным образом возможно обнаружение массы ошибок Windows 10, из-за которых выпал BSOD, а также проблематичных программ.exe из-за которых случился синий экран.
Сегодня мы поговорим о том, что такое дамп памяти. Этот файл содержит в себе определенные данные, которые находились в оперативной памяти какого-то конкретного компьютера в определенный период времени. Он также представляет собой ценный для специалистов и разработчиков различного программного обеспечения. Когда происходит аварийный дамп памяти, данные люди имеют возможность посмотреть, в какой момент это произошло и по каким причинам. Это позволяет исправлять недоработки и баги софта. При любом сбое операционных систем компании Майкрософт дамп памяти всегда создается.
Если вам необходимо найти месторасположение, а также размер данного файла, вы должны щелкнуть правой кнопкой мыши по иконке компьютера. Когда выйдет запустите его свойства и откройте вкладку с дополнительной информацией. Затем в разделе загрузки и восстановления нужно нажать на кнопку настроек. Перед вами появится окно записи отладочной информации. Из раскрывшегося списка у вас есть возможность выбора одной из следующих функций.
Малый дамп памяти будет равняться шестидесяти четырем килобайтам. В данном случае в него будет записываться только самая необходимая информация о возникших проблемах. Далее идет дамп памяти ядра. Его размер, как правило, также составляет шестьдесят четыре килобайта. Он содержит в себе отладочные данные для вашего системного ядра. Переходим к последнему пункту. Он называется "полный дамп памяти Windows 7". В него происходит полное сохранение всей системной памяти. В этот момент создаются необходимые файлы, размер которых составляет эквивалент оперативной памяти, которая установлена на вашем устройстве.
Также стоит отметить, что этот файл вы можете создавать самостоятельно вручную. Для этого вызовите стартовое меню, запустите службу, которая называется «Выполнить», и в ней введите команду «regedit», после чего нажмите кнопку «Ок». Перед вами появится операционной системы. Там необходимо найти такой ключ, который выглядит следующим образом: HKEYS LOCAL MACHINES/ SYSTEMA/ CurrentControlSets / Service/ i8042prt/ Parametres.
Когда вы его найдете, щелкните правой кнопкой вашего манипулятора по правой части этого окна и выберете создание DWORLD. После этого напишите название ключа «CrashOnCtrlScroll», после чего присвойте ему значение «1». Затем закройте этот редактор и перезагрузите свой компьютер или ноутбук. Для того чтобы создался новый файл, содержащий дамп памяти, нажмите и удерживайте кнопку Контрал, после чего дважды надавите на клавишу
Это все. Я надеюсь, вышеописанная информация была представлена в доступной форме. Но без определенных причин не нужно выполнять указанные процедуры, поскольку это системные ресурсы. Если вы допустите ошибки, могут наступить непоправимые последствия для вашей операционной системы.
