Где хранятся дампы памяти windows 7

Введение

Количество преступлений в сфере информационной безопасности и информационных технологий в отношении и с использованием средств мобильной связи неуклонно растет.  В этой связи стоить заметить, что большая часть современных мобильных устройств работает под управлением операционной системы Android. Для выяснения причин и последствий инцидентов возникает необходимость изучения хранящейся на них информации. Но при исследовании устройств на Android специалисты сталкиваются со следующими трудностями:

1. Имеющиеся на данный момент программы не охватывают извлечение данных из всех мобильных устройств, существующих в мире.
2. Времена, когда специалистов интересовали данные только из телефонной книги, вызовы или SMS-сообщения, извлеченные из мобильного устройства, давно прошли. Сейчас их дополнительно интересуют: история посещенных сетевых ресурсов, история программ обмена короткими сообщениями, удаленные данные, геолокационные координаты и другая криминалистически значимая информация.
3. Зачастую преступники, пытаясь скрыть информацию о совершенных ими злодеяниях, удаляют данные из памяти своих мобильных устройств.
4. Специализированные программные комплексы обычно слишком дороги для судебных лабораторий и экспертных подразделений.

Получение информацию о компьютере

Для начала надо искать информа­цию о:

• про­цес­сах;
• ис­тории бра­узе­ра;
• ис­тории запущен­ных команд в кон­соли.

Этих 3 пун­ктов хва­тит для опре­деле­ния направления даль­нейшей раз­ведки.

Процессы

Что­бы най­ти про­цес­сы, нам дос­таточ­но исполь­зовать коман­ду pstree. Есть еще pslist, но пер­вая коман­да удоб­нее, потому что показы­вает про­цес­сы в виде дерева — так нам­ного про­ще понять, на какие из них сто­ит обра­тить вни­мание.

1	$vol.py-fchallenge.vmem—profile Win10x64_18362 pstree

Ни­чего бро­сающе­гося в гла­за, вро­де pswd_manager.exe или not_a_virus.exe, не вид­но, поэто­му про­дол­жим нашу раз­ведку.

История браузера

Хоть в хин­те (см. первый скрин) и говори­лось, что «уда­лен­ный» не обя­затель­но зна­чит «бра­узер», мы про­верим этот век­тор. В Volatility есть готовый пла­гин для прос­мотра исто­рии Internet Explorer — iehistory. И не говорите, что им уже ник­то не поль­зует­ся!

1	$vol.py-fchallenge.vmem—profile Win10x64_18362 iehistory

Ко­ман­да работа­ла слиш­ком дол­го на моей машине (поряд­ка 20 минут) и завер­шать­ся не пла­ниро­вала. Это не счи­тает­ся нор­маль­ным поведе­нием для Volatility, сле­дова­тель­но, тут искать нечего.

Ес­ли вы подума­ете сос­тавлять задач­ки для CTF — имейте в виду, что задачи, в которых надо по пол­часа бру­тить извра­щен­ные пароли или искать неуло­вимый API endpoint, ник­то не любит, и сле­дующую задачу вам доверят делать еще не ско­ро.

Список команд в консоли

Есть еще одна удоб­ная фун­кция для про­вер­ки всех вве­ден­ных в кон­соль команд. Воз­можно, поль­зователь запус­кал что‑нибудь из кон­соли или хра­нил там важ­ные дан­ные (нап­ример, флаг). Про­верить все из кон­соли мож­но с помощью коман­ды cmdscan.

1	$vol.py-fchallenge.vmem—profile Win10x6_18362 cmdscan

Тут чис­то — сле­дова­тель­но, тер­минал тоже не при делах.

Полезный прием при анализе оперативной памяти

Пос­коль­ку до сих пор не наш­лось ничего инте­рес­ного — мы что‑то упус­тили. Мож­но при­менить еще один полез­ный при­ем при ана­лизе опе­ратив­ной памяти — пос­мотреть на скрин­шот рабоче­го сто­ла. Помога­ет он не силь­но час­то, но поз­воля­ет уви­деть более пол­ную кар­тину.

Сде­лать скрин­шот всех окон про­цес­сов в сис­теме мож­но с помощью коман­ды screenshot. Обя­затель­но нуж­но ука­зать сущес­тву­ющую конеч­ную дирек­торию, где будут находить­ся все сним­ки.

Важ­но понимать, что боль­шинс­тво кар­тинок будут пус­тыми: это свя­зано с тем, что не все окна вооб­ще могут отоб­ражать­ся (для луч­шего понима­ния рекомен­дую озна­комить­ся с до­кумен­таци­ей).

1	$vol.py-fchallenge.vmem—profile Win10x64_18362 screenshot-Dshot/

К сожале­нию, коман­да закан­чива­ется с ошиб­кой, так что этот трюк тоже не про­шел и нам сто­ит вер­нуть­ся к самому началу.

Что делать при появлении ошибки «dumping physical memory to disk»

Проверка целостности системных файлов и корректности работы жёсткого диска

Это стандартный алгоритм проверки работы системы, который даже если не решит основную проблему, то поможет избавиться от мелких системных сбоев.

Утилита «sfc/scannow» предназначена для выявления повреждённых и отсутствующих системных файлов, с их последующим восстановлением.

Для её активации сделайте следующее:

• Нажмите «Пуск» и в строке поиска введите «cmd.exe».
• Кликните правой кнопкой мышки по найденному результату и выберите «Запустить от имени администратора».
• В открывшейся консоли командной строки введите и выполните команду «sfc/scannow».
• Дождитесь завершения сканирования и просмотрите отчёт утилиты.

Утилита «CHKDSK» предназначена для проверки физических носителей на наличие имеющихся ошибок и их автоматического исправления:

• Аналогичным образом запустите консоль командной строки.
• Введите и выполните команду «CHKDSK f/ r/» — параметр «f/» указывает на автоматический поиск и исправление ошибок, параметр «r/» — сканирует жёсткий диск на наличие повреждённых секторов и автоматически их исправляет.
• Процесс может занять длительное время, поэтому наберитесь терпения и не прерывайте работу утилиты.

Анализ и переустановка графического драйвера

В продолжение темы физической неисправности видеокарты, следует проверить её работу на наличие программных ошибок (в виде некорректно работающих драйверов программного обеспечения).

Если версия драйвера актуальна, то, возможно, причиной возникновения сбоя «dumping physical memory to disk» стала его некорректная установка.

Проверить это можно следующим образом:

• Нажмите комбинацию клавиш «WIN+R» и выполните «devmgmt.msc».
• В открывшемся окне «Диспетчер устройств» разверните строку/раздел «Видеоадаптеры».
• Кликните правой кнопкой мышки по найденному устройству и выберите «Свойства».
• Перейдите на вкладку «Драйвер» и нажмите на кнопку «Удалить».

Здесь возможно два варианта дальнейших действий:

1. Перезагрузить компьютер и предоставить операционной системе «карт бланш» на самостоятельную установку драйвера графического адаптера.
2. Воспользоваться специализированным программным обеспечением (DriverPack или Driver Booster) для самостоятельной полуавтоматической установки необходимых драйверов.

Анализ работы оперативной памяти

Как и с работой графического адаптера, так и в работе оперативной памяти возможны ошибки, которые также необходимо выявить на программном уровне.

Делается это достаточно просто:

• Наиболее популярная и качественная программа для диагностики работы оперативной памяти является «Memtest». Для работы вам потребуется скачать и записать образ программы на загрузочный носитель, с которого и будет осуществляться тестирование.
• Далее потребуется просто загрузиться с носителя (используя «Boot Menu» или установив соответствующий приоритет загрузки в BIOS) и начать работу с «Memtest».
• После загрузки с носителя сканирование и тестирование начнётся автоматически.
• Остаётся набраться терпения, так как сканирование займёт длительное время (это часы тестирования для каждой планки оперативной памяти).

Если по завершению работы «Memtest» внизу активного окна будет предоставлено уведомление «Pass complete, no errors, press Esc to Exit», то программа не обнаружила неисправных блоков.

Если же они присутствуют, то будут наглядно выделены красным цветом, соответственно, вам придется заменить оперативную память.

С чего начать уборку диска С?

Первым делом, необходимо освободить корзину:

• наведите курсор на её иконку;
• нажмите правую кнопку мышки;
• в меню выберите «Очистить корзину».

Большие, маленькие файлы, в независимости от того, в каком разделе хранятся (диск D, E или С), после удаления отправляются в C:RECYCLER, файл «Корзина». Вследствие чего, свободное место системного раздела уменьшается. Удаление большого видеофайла или образа (например, файла iso) при дефиците лишних гигабайт, может запросто привести к переполнению диска С.

Совет! Перед тем, как очистить корзину, просмотрите рабочий стол на предмет ненужных ярлыков. Их размеры не велики, но чем меньше будет бесполезных файлов, тем лучше.

Настраиваем дамп памяти windows 10

И так, что же такое дамп памяти в операционной системе Windows 10 Redstone. Выше я вам описал, очень частую причину при которой появляется дамп памяти системы и это синие экраны смерти. Причины их появления очень обширны:

• Не совместимость приложений
• Не совместимость драйверов
• Новые обновления Windows
• Не совместимость устройств

Это лишь маленький обобщенный список, так как кодов ошибок от синих экраном, целая тьма, приведу самые последние из них.

Ошибка 0x000000d1 в Windows 10 или например ошибка STOP 0x00000050, их можно продолжать часами

Наша с вами задача, уметь найти эти файлы для диагностики и уметь их интерпретировать, для получения информации о проблеме.

Где настраивается аварийный дамп памяти windows 10

Для начала давайте разберемся, где производится настройка, которая отвечает за аварийный дамп памяти windows 10. Щелкаете правым кликом по кнопке пуск Windows 10 и из контекстного меню выбираете пункт Система.

В открывшемся окне Система, вы в левом верхнем углу выбираете Дополнительные параметры Системы.

Именно тут и настраивается дамп памяти windows 10.  жмем пункт параметры в Загрузка и восстановление.

Из настроек, дампа памяти windows 10, хочу отметить следующие:

• Запись события в системный журнал > тут информация о синем экране будет добавлена в логи операционной системы.
• Выполнить автоматическую перезагрузку > чтобы продолжить после ошибки работу
• Запись отладочной информации > позволяет выбрать вид дамп файла, об этом ниже.
• Заменить существующий файл дампа, полезная галка, так как данные дампы могут весить десятки гигабайт, очень критично для маленьких ссд дисков.

Виды дампов памяти

Давайте рассмотрим, чем же отличаются варианты записи отладочной информации

Малый дамп памяти 256 кб: Файлы малого дампа памяти содержат следующие сведения:

– сообщение о неустранимой ошибке, ее параметры и прочие данные;

– список загруженных драйверов;

– контекст процессора (PRCB), на котором произошел сбой;

– сведения о процессе и контекст ядра (EPROCESS) для процесса, вызвавшего ошибку;

– сведения о процессе и контекст ядра (ETHREAD) для потока, вызвавшего ошибку;

– стек вызовов в режиме ядра для потока, вызвавшего ошибку.

Его используют, когда у вас очень мало дискового пространства на вашем локальном диске. За счет этого мы жертвуем полезной информацией, которой может не хватить для диагностики синего экрана.

Хранится мини дамп по пути C:WindowsMinidump

• Дамп памяти ядра > записывает только память ядра. В зависимости от объема физической памяти ПК в этом случае для файла подкачки требуется от 50 до 800 МБ или одна треть физической памяти компьютера на загрузочном томе.
• Полный дамп памяти > ну тут и так все понятно из названия. Пишет абсолютно все, это максимальная информация о синем экране, дает сто процентную диагностику проблемы.

Располагается по пути C:WindowsMemory.dmp

Активный дамп памяти > сюда попадает активная память хостовой машины, это функция больше для серверных платформ, так как они могут использоваться для виртуализации, и чтобы в дамп не попадала информация о виртуальных машинах, придумана данная опция.

Я советую оставлять полный дамп памяти.

Теперь когда у вас появится синий экран, то дамп памяти windows 10, вы будите искать в папке C:Windows.

Расширение файла DMP

Updated:

11/12/2019

Как открыть файл DMP?

Отсутствие возможности открывать файлы с расширением DMP может иметь различное происхождение. С другой стороны, наиболее часто встречающиеся проблемы, связанные с файлами Windows Memory Dump, не являются сложными. В большинстве случаев они могут быть решены быстро и эффективно без помощи специалиста. Ниже приведен список рекомендаций, которые помогут вам выявить и решить проблемы, связанные с файлами.

Шаг 1. Получить Windows Debug Tools

Проблемы с открытием и работой с файлами DMP, скорее всего, связаны с отсутствием надлежащего программного обеспечения, совместимого с файлами DMP на вашем компьютере. Наиболее очевидным решением является загрузка и установка Windows Debug Tools или одной из перечисленных программ: Oracle Database, Microsoft Visual Studio. В верхней части страницы находится список всех программ, сгруппированных по поддерживаемым операционным системам. Самый безопасный способ загрузки Windows Debug Tools установлен — для этого зайдите на сайт разработчика () и загрузите программное обеспечение, используя предоставленные ссылки.

Шаг 2. Обновите Windows Debug Tools до последней версии

Вы по-прежнему не можете получить доступ к файлам DMP, хотя Windows Debug Tools установлен в вашей системе? Убедитесь, что программное обеспечение обновлено. Иногда разработчики программного обеспечения вводят новые форматы вместо уже поддерживаемых вместе с новыми версиями своих приложений. Если у вас установлена более старая версия Windows Debug Tools, она может не поддерживать формат DMP. Самая последняя версия Windows Debug Tools обратно совместима и может работать с форматами файлов, поддерживаемыми более старыми версиями программного обеспечения.

Шаг 3. Свяжите файлы Windows Memory Dump с Windows Debug Tools

Если у вас установлена последняя версия Windows Debug Tools и проблема сохраняется, выберите ее в качестве программы по умолчанию, которая будет использоваться для управления DMP на вашем устройстве. Метод довольно прост и мало меняется в разных операционных системах.

Изменить приложение по умолчанию в Windows

• Щелкните правой кнопкой мыши на файле DMP и выберите «Открыть с помощью опцией».
• Нажмите Выбрать другое приложение и затем выберите опцию Еще приложения
• Чтобы завершить процесс, выберите Найти другое приложение на этом… и с помощью проводника выберите папку Windows Debug Tools. Подтвердите, Всегда использовать это приложение для открытия DMP файлы и нажав кнопку OK .

Изменить приложение по умолчанию в Mac OS

• В раскрывающемся меню, нажав на файл с расширением DMP, выберите Информация
• Перейдите к разделу Открыть с помощью . Если он закрыт, щелкните заголовок, чтобы получить доступ к доступным параметрам.
• Выберите из списка соответствующую программу и подтвердите, нажав « Изменить для всех» .
• Наконец, это изменение будет применено ко всем файлам с расширением DMP должно появиться сообщение. Нажмите кнопку Вперед, чтобы подтвердить свой выбор.

Шаг 4. Убедитесь, что DMP не неисправен

Вы внимательно следили за шагами, перечисленными в пунктах 1-3, но проблема все еще присутствует? Вы должны проверить, является ли файл правильным DMP файлом. Вероятно, файл поврежден и, следовательно, недоступен.

DMP может быть заражен вредоносным ПО — обязательно проверьте его антивирусом.

Если файл заражен, вредоносная программа, находящаяся в файле DMP, препятствует попыткам открыть его. Немедленно просканируйте файл с помощью антивирусного инструмента или просмотрите всю систему, чтобы убедиться, что вся система безопасна. DMP файл инфицирован вредоносным ПО? Следуйте инструкциям антивирусного программного обеспечения.

Убедитесь, что файл с расширением DMP завершен и не содержит ошибок

Если файл DMP был отправлен вам кем-то другим, попросите этого человека отправить вам файл. Возможно, файл был ошибочно скопирован, а данные потеряли целостность, что исключает доступ к файлу. Если файл DMP был загружен из Интернета только частично, попробуйте загрузить его заново.

Проверьте, есть ли у пользователя, вошедшего в систему, права администратора.

Некоторые файлы требуют повышенных прав доступа для их открытия. Переключитесь на учетную запись с необходимыми привилегиями и попробуйте снова открыть файл Windows Memory Dump.

Убедитесь, что в системе достаточно ресурсов для запуска Windows Debug Tools

Операционные системы могут иметь достаточно свободных ресурсов для запуска приложения, поддерживающего файлы DMP. Закройте все работающие программы и попробуйте открыть файл DMP.

Космические миссии [ править ]

Программа НАСА « Вояджер» была, вероятно, первым аппаратом, который регулярно использовал функцию дампа ядра в сегменте дальнего космоса. Функция дампа ядра является обязательной функцией телеметрии для сегмента Deep Space, поскольку, как было доказано, минимизирует затраты на диагностику системы [ необходима цитата ] . Корабль «Вояджер» использует обычные дампы ядра, чтобы обнаружить повреждение памяти в результате космических лучей .

Системы дампа ядра Space Mission в основном основаны на существующих инструментах для целевого ЦП или подсистемы. Тем не менее, в течение миссии подсистема дампа активной зоны может быть существенно модифицирована или улучшена для конкретных нужд миссии.

Типы аварийных дампов памяти Windows

На примере актуальной операционной системы Windows 10 (Windows Server 2016) рассмотрим основные типы дампов памяти, которые может создавать система:

• Мини дамп памяти (Small memory dump) (256 КБ). Этот тип файла включает минимальный объем информации. Он содержит только сообщение об ошибке BSOD, информацию о драйверах, процессах, которые были активны в момент сбоя, а также какой процесс или поток ядра вызвал сбой.
• Дамп памяти ядра (Kernel memory dump). Как правило, небольшой по размеру — одна треть объема физической памяти. Дамп памяти ядра является более подробным, чем мини дамп. Он содержит информацию о драйверах и программах в режиме ядра, включает память, выделенную ядру Windows и аппаратному уровню абстракции (HAL), а также память, выделенную драйверам и другим программам в режиме ядра.
• Полный дамп памяти (Complete memory dump). Самый большой по объему и требует памяти, равной оперативной памяти вашей системы плюс 1MB, необходимый Windows для создания этого файла.
• Автоматический дамп памяти (Automatic memory dump). Соответствует дампу памяти ядра с точки зрения информации. Отличается только тем, сколько места он использует для создания файла дампа. Этот тип файлов не существовал в Windows 7. Он был добавлен в Windows 8.
• Активный дамп памяти (Active memory dump). Этот тип отсеивает элементы, которые не могут определить причину сбоя системы. Это было добавлено в Windows 10 и особенно полезно, если вы используете виртуальную машину, или если ваша система является хостом Hyper-V.

Папка «Temp»

Одна из главных источников засорения ОС. В ней размещают свои элементы антивирусы, драйвера, приложения, игры. Происходит это во время обновлений и инсталляций. После завершения задач, отработанные файлы так и остаются в «Temp». Конечно же, их оттуда нужно периодически убирать.

1. На диске С зайдите в папку «Пользователи». 2. Кликните папку с именем своей учётной записи (имя пользователя). 3. Затем перейдите в «AppData». 4. В директории «Local», откройте папку «Temp». 5. Полностью очистите её (отправьте все файлы/папки в корзину).

Совет! Если вы пользуетесь файловым менеджером «Total Commander»: создайте новую вкладку (сочетание клавиш «Ctrl» + «стрелочка вверх») и перейдите в папку Temp. Таким образом, у вас будет всегда на виду её содержимое.

Создаем дамп базы данных MySQL

Существует несколько способов создания дампов: через консольное окно или с помощью phpMyAdmin. Рассмотрим последовательно каждый из методов, а также попробуем восстановить БД из дампа.

Способ 1: Консольное окно MySQL

Удаленное подключение к хостингу по SSH разрешает работать с информационными хранилищами. Выбор данного протокола обусловлен его высокой безопасностью, так как вся информация передается в зашифрованном виде без возможности перехвата трафика.

Для подключения вы можете воспользоваться такими программами, как PuTTY и WinSCP – они распространяются в бесплатном доступе. Остановимся на первой утилите и посмотрим, как с ее помощью можно сделать дамп базы данных MySQL.

Обратите внимание, что если на компьютере функционирует сервер с БД, то соединение через порт 3306 будет некорректно. В таких случаях рекомендуется использовать другие значения, например, 3307, 3308 и так далее

Теперь мы можем переходить к удаленному администрированию БД: создадим дамп базы данных MySQL. Для этого введем в консоль следующий запрос:

mysqldump -uDataBase -pPASSWRD  DataBase_NAME > FileName

• -uDataBase — имя базы в формате типа -u
• -pPasswrd — пароль от базы в формате типа -p
• DataBase_NAME — имя БД
• FileName — название файла

В целях безопасности рекомендуется вообще не использовать логин и пароль. В таком случае команда примет следующий вид:

mysqldump -u -p DataBase_NAME > FileNameToSave

Для понимания можете взглянуть на пример с использованием пользователя и пароля:

mysqldump -uAdmin -p123456789 WordPressDB > WordPressDump.sql

Таким образом будет создан файл WordPressDump.sql, содержащий в себе все нужные данные для точного копирования. Посмотрим, как этот файл импортировать в проект через консоль:

mysql -uUSER -pPASSWRD -f DataBase_NAME < FileNameToEnter

Аналогично подставляем свои данные в команду и в итоге получаем:

mysql -uWordPressDB -p123456789 -f WordPressDB < WordPeressDump.sql

Также при импорте мы можем указать кодировку — для этого достаточно добавить ключ default-character-set. В итоге код преобразуется:

mysql -uAdmin -p123456789 -f --default-character-set=cp1251 WordPressDB < WordPeressDump.sql

Вот такими несложными действиями можно сделать копирование через консольное окно. Теперь давайте «покопаемся» в phpMyAdmin и выполним в нем копирование БД.

Способ 2: Инструмент phpMyAdmin

PhpMyAdmin по умолчанию предустановлен на каждой CMS. Доступ к нему осуществляется через личный кабинет пользователя на хостинге либо через локальный веб-сервер на домашнем ПК.

Подключаемся к phpMyAdmin и экспортируем БД:

1. Открываем личный кабинет хостинга, на котором установлен веб-ресурс, и переходим в phpMyAdmin. На Timeweb это выполняется через раздел «База данных MySQL». Если вы используете локальный сервер на OpenServer, то достаточно в панели задач кликнуть правой кнопкой мыши по его иконке, перейти в меню «Дополнительно» и выбрать «PhpMyAdmin».
2. Вводим логин и пароль, в результате чего попадаем в систему phpMyAdmin. В левой части выбираем БД для копирования и кликаем по ней левой кнопкой мыши.
3. Переходим в раздел «Экспорт» и выбираем метод экспорта. Первый минимизирован – получится обычная БД без особых настроек, второй разрешает вносить важные уточнения. Например, мы можем удалять таблицы, изменять кодировку, добавлять особые параметры формата и многое другое. Перед сохранением файла указываем его формат и только потом нажимаем на кнопку «Вперед».

После этого нам будет предложен выбор места сохранения файла. В последующем мы сможем его использовать через вкладку «Импорт». Для этого достаточно загрузить файл и указать подходящую для него кодировку:

В заключение стоит сказать, что дамп базы данных – это незаменимый файл, без которого не обходится ни один серверный переезд. Используйте его для переноса базы на хостинге или с локальной машины, а также для создания резервных копий. Удачи!

Вручную создать файл сброса памяти

Использование средства NotMyFault

Если во время проблемы можно войти в систему, можно использовать средство Microsoft Sysinternals NotMyFault. Для этого выполните следующие действия:

1. Скачайте средство NotMyFault.

2. Выберите Начните, а затем выберите командную подсказку.

3. В командной строке запустите следующую команду:

Примечание

Эта операция создает файл сброса памяти и ошибку остановки D1.

Использование NMI

На некоторых компьютерах нельзя использовать клавиатуру для создания файла аварийного сброса. Например, Hewlett-Packard (HP) BladeSystem из компании Hewlett-Packard разработки управляются с помощью графического пользовательского интерфейса (GUI) на основе браузера. Клавиатура не присоединена к серверу HP BladeSystem.

В этих случаях необходимо создать полный файл аварийного сбоя или файл аварийного сброса ядра с помощью переключателя NMI, который вызывает NMI на системном процессоре.

Для этого выполните следующие действия:

Важно!

Внимательно следуйте шагам в этом разделе. Неправильное изменение реестра может привести к серьезным проблемам. Перед его изменением необходимо создать реестр для восстановления в случае возникновения проблем.

Примечание

Этот ключ реестра не требуется для клиентов, работающих Windows 8 и более поздней, или серверов, работающих Windows Server 2012 и более поздней. Настройка этого ключа реестра для более поздних версий Windows не влияет.

1. В редакторе реестра найдите следующий подкай реестра:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

2. Правой кнопкой мыши CrashControl, указать на Новый, а затем нажмите значение DWORD.

3. Введите NMICrashDump и нажмите кнопку Ввод.

4. Щелкните правой кнопкой мыши NMICrashDumpи выберите Изменение.

5. В поле Значение данных введите 1, а затем выберите ОК.

6. Перезагрузите компьютер.

7. Поставщики оборудования, такие как HP, IBM и Dell, могут предоставить функцию автоматического восстановления системы (ASR). Эту функцию следует отключить во время устранения неполадок. Например, если функция ASR HP и Compaq включена в BIOS, отключим эту функцию во время устранения неполадок, чтобы создать полный файл Memory.dmp. Для точных действий обратитесь к поставщику оборудования.

8. Включите переключатель NMI в BIOS или с помощью веб-интерфейса Integrated Lights Out (iLO).

   Примечание

   Точные действия см. в справочном руководстве BIOS или обратитесь к поставщику оборудования.

9. Протестировать этот метод на сервере с помощью коммутатора NMI для создания файла сброса. Вы увидите неисправность 0x00000080 stop.

Если вы хотите запустить NMI в Microsoft Azure с помощью серийной консоли, см. в рубрике Использование серийной консоли для вызовов SysRq и NMI.

Изучение файла сброса

Существует несколько команд, которые можно использовать для сбора сведений в файле сброса, в том числе следующие команды:

• Команда !analyze -show отображает код ошибки Stop и его параметры. Код ошибки Stop также известен как код проверки ошибок.
• Команда !analyze -v отображает многословный вывод.
• В lm N T команде перечислены указанные загруженные модули. Выход включает состояние и путь модуля.

Команда расширения !drivers отображает список всех драйверов, загруженных на компьютере назначения, а также сводную информацию об использовании их памяти. Расширение !drivers устарело в Windows XP и более поздней версии. Чтобы отобразить сведения о загруженных драйверах и других модулях, используйте lm команду. Команда lm N T отображает сведения в формате, аналогичном старому расширению драйверов!.

Справки по другим командам и полному синтаксису команд см. в документации по отладки средств справки. Документация о помощи средствам отладки можно найти в следующем расположении:

C:Program FilesDebugging Tools for WindowsDebugger.chm

Если у вас есть проблемы, связанные с символами, используйте утилиту Symchk, чтобы убедиться, что правильные символы загружены правильно. Дополнительные сведения об использовании Symchk см. в рубрике Отладка с символами.

Упрощение команд с помощью пакетного файла

После определения команды, необходимой для загрузки свалок памяти, можно создать пакетный файл для проверки файла сброса. Например, создайте пакетный файл и назови его Dump.bat. Сохраните его в папке, где установлены средства отладки. Введите следующий текст в пакетный файл:

Если вы хотите изучить файл сброса, введите следующую команду, чтобы передать путь файла сброса в пакетный файл:

Windows 10 создает только minidump файл

Термин eMMC — сокращение от «Embedded Multi-Media Controller» («Встроенный мультимедийный контроллер») и относится к пакету, состоящему из флэш-памяти и контроллера.

Если файл минидамп сохраняется в каталог %systemroot%minidump, а не в стандартное расположение C:windowsminidump. То эта проблема вызвана тем, что из-за управления питанием на устройствах SD eMMC, Windows всегда создает дамп и игнорирует параметры дампа памяти, настроенные администратором.

Чтобы переопределить сохранение по умолчанию, на устройстве должен быть настроен специальный параметр реестра.

Вы можете выполнить действия, описанные ниже, чтобы переопределить функцию энергосбережения Windows eMMC во время BugCheck (также известную как ошибка остановки или ошибка синего экрана), чтобы создать дамп памяти ядра или полный дамп памяти.

После того, как вы приняли необходимые меры предосторожности, вы можете действовать следующим образом:

1. Нажмите клавишу Windows + R. В диалоговом окне «Выполнить» введите «control system» и нажмите «Enter», открываем «Дополнительные параметры системы» > «Загрузка и восстановление». Для параметра «Запись отладочной информации» должно быть задано «Дамп памяти ядра» или «Полный дамп памяти».

2. Затем перейдите к запуску редактора реестра, чтобы создать и настроить следующий раздел реестра:ForceF0State: REG_DWORD: 0x1

Этот параметр реестра позволяет записать файл дампа.

Перейдите к пути реестра:HKLMSYSTEMCurrentControlSetservicessdbusParameters

• Затем щелкните правой кнопкой мыши в пустое место на правой панели
• Выберите «Создать» > «DWORD» (32-бита)
• С названием параметра ForceF0State
• Дважды щелкните только что созданный параметр и установите для данных значение 0x1
• Нажмите ОК.

3. Затем создайте и настройте следующий раздел реестра:

AlwaysKeepMemoryDump: REG_DWORD: 1Этот параметр реестра гарантирует, что файл дампа не будет удален при перезагрузке, даже если у вас мало свободного места на диске.

Перейдите к пути реестра:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlCrashControl

• Затем щелкните правой кнопкой мыши пустое место на правой панели
• Выберите «Создать» > «DWORD» (32-бита)
• Назовите параметр AlwaysKeepMemoryDump
• Дважды щелкните на него и установите для параметра «Значение» 1.
• Нажмите ОК.

4. Убедитесь, что максимальный размер файла подкачки больше, чем объем оперативной памяти, используемой на компьютере.

5. Перезагрузите устройство.

Use Software to Remove the Memory Dump File

If you find it difficult to delete the system memory dump file using Windows’ own cleanup utilities, you could try using third-party software solutions instead.

This should be a last resort since it requires the installation of new software. However, it’s also usually the most successful at removing not only memory dump files from your system, but also temporary files and other unnecessary data stored on your hard drive and consuming excessive space. It’s good to run a utility like this frequently to ensure hard drive space is never wasted.

1. Download and install the free version of CCleaner. When you first launch it, the Easy Clean option will be selected.

2. Select the Windows tab, then select Custom Clean and make sure Memory Dumps is selected under the System section.

3. If you want to make sure system memory dumps are going to be cleaned, select Analyze. When the analysis is completed, you should see «System — Memory Dumps» in the list of files to be deleted.

4. Select Run Cleaner to have CCleaner complete the cleanup routine. This will remove all of the files that where listed in the analysis results.

Дамп памяти Windows и Синий Экран Смерти

Итак, если компьютер внезапно перезагружается или зависает, а cиний экран смерти не появляется или появляется на долю секунды, то все равно информацию о причинах сбоя можно восстановить.

Дело в том, что операционная система в момент сбоя сохраняет содержимое оперативной памяти в так называемый дамп-файл (имеет расширение .dmp). В дальнейшем файл дампа можно будет проанализировать и получить туже самую информацию, что и на синем экране и даже чуть больше.

Но создание дампов может быть отключено в системе, поэтому стоит убедиться, что, во-первых, система создает дампы при сбоях, а, во-вторых, стоит узнать место на диске, куда они сохраняются.

Для этого нужно зайти в раздел Система.

В Windows 10 это можно сделать через поиск, а в предыдущих версиях операционной системы через Панель управления.

Далее переходим в Дополнительные параметры, а затем на вкладке Дополнительно переходим в Параметры раздела Загрузка и восстановление.

Здесь должна быть включена запись событий в системный журнал, ну а чтобы компьютер автоматически не перезагружался и отображал нам содержимое синего экрана смерти, нужно отменить автоматическую перезагрузку, если она была включена.

Также здесь отображается путь к дампам — мы видим, что дамп сохраняется в папку %SystemRoot% — это обозначение папки Windows.

Также здесь можно выбрать «малый дамп памяти», которого будет вполне достаточно для поиска кодов ошибки.

Итак, система вылетела в синий экран смерти, после чего был создан дамп памяти.

Для анализа дампов существуют специальные программы и одной из самых популярных является утилита BlueScreenView.

Программа очень проста в использовании и не требует установки — скачиваем с официального сайта и разархивируем. При этом с официального сайта можно скачать файл, с помощью которого можно русифицировать программу. Для этого данный файл нужно будет поместить в папку с разархивированной программой.

Если после запуска в программе не отображаются дампы, хотя система «срывалась» в синий экран смерти, то стоит зайти в настройки программы и убедиться, что путь к дампам памяти указан верно, то есть он должен быть таким же, как и в настройках системы.

После этого нужно обновить информацию в окне программы и все созданные в системе дампы отобразятся. Если дампов несколько, то, ориентируемся по дате сбоя. Выбираем нужный дамп, а затем появится подробная информация по нему.

Здесь выводится название ошибки, ее STOP-код с параметрами и если причиной стал драйвер, то в соответствующем поле мы обнаружим его название.

Также в нижней части окна программы розовым будут выделяться файлы, которые также могли стать причиной сбоя. Придется по порядку разбираться с каждым из них. Алгоритм здесь аналогичен рассмотренному в прошлой заметке — ищем решение в интернете, а в качестве поискового ключа используем название файла или код ошибки.

При этом не обязательно вручную вводить данные в поисковик. Если щелкнуть правой кнопкой мыши по строке дампа, то из контекстного меню можно выбрать пункт, который позволит найти в Гугле описание именно этой проблемы.

Можно выбрать поиск в Гугл по коду ошибки, по коду ошибки и названию драйвера или по коду ошибки и параметру.

Также с помощью этой утилиты можно быстро найти местоположение проблемного файла на диске.

Иногда бывает, что файл, вызвавший проблему, принадлежит какой-то программе или игре. По местоположению файла на диске можно быстро определить, к какой именно программе или игре он относится.

Ну и стоит знать, что чистильщики вроде Ccleaner удаляют дампы памяти, поэтому если вы пользуетесь подобными программами, то на время выявления причины появления синего экрана смерти, стоит воздержаться от их использования.

И последний вопрос, на который я отвечу в рамках этой заметки — что делать, если после появления синего экрана компьютер более не запускается? То есть компьютер зависает или постоянно перегружается, а значит нет возможности проанализировать дамп памяти.

Ответ логичен и прост — нужно создать загрузочную флешку, с помощью которой «вытянуть» файл дампа с жесткого диска и проанализировать его на другом компьютере. Для этого загружаемся с флешки и на жестком диске компьютера в папке Windows или в подпапке minidump находим файл дампа, который копируем на флешку. Затем на другом компьютере с помощью утилиты BlueScreenView анализируем дамп, как было рассказано в этой заметке.