Чем открыть файл дампа памяти Windows MEMORY.DMP

Многие знакомы с «синим экраном смерти» или BlueScreen. Синий экран появляется когда в работе Windows возникает критическая ошибка, что приводит к остановке работы операционной системы. При этом операционная система создает дамп памяти, в который записывает отладочную информацию и добавляет запись в журнал событий.

В Windows существуют два типа дампа памяти — малый дамп (minidump) и полный дамп.
Minidump находится в директории C:\Windows\Minidump и его название имеет примерно такой вид Mini051819-01.dmp.
Полный дамп располагается в папке C:\Windows и называется MEMORY.DMP.

Просмотр и анализ файла минидампа.

Для просмотра и анализа файла минидампа можно воспользоваться достаточно простой и удобной утилитой BlueScreenView от Nirsoft, которую можно скачать с официального сайта https://www.nirsoft.net/utils/blue_screen_view.html .

Для просмотра минидампа достаточно перетащить файл в окно программы и тут же загрузится отладочная информация. Красным будут подсвечены модули вызвавшие ошибку. В случае представленном на скриншоте выше это был драйвер tcpip.sys.

Щелкнув по имени файла минидампа можно запустить поиск решения в Google.

Но эта программа не способна обработать полный дамп памяти Windows — memory.dmp.

Просмотр полного дампа памяти MEMORY.DMP.

Чтобы посмотреть содержимое полного дампа памяти необходимо открыть файл MEMORY.DMP при помощи утилиты WinDBG, которая входит в пакет Microsoft Windows SDK. Скачать эту утилиту можно с официального сайта Майкрософт по этой ссылке https://developer.microsoft.com/ru-ru/windows/downloads/windows-10-sdk .

Установка и настройка WinDBG.

Запускаем установку пакета Windows Software Development KIT и на этапе выбора компонентов отмечаем «Debugging Tools for Windows».

При первом запуске WinDBG необходимо выполнить настройку сервера отладочных символов.
1. Переходим в меню File > Symbol File Path и вставляем строку:

где C:\symbol_cache — это директория куда будут загружаться символы.

2. Сохраняем настройку File > Save Workspace.

Просмотр и анализ файла MEMORY.DMP.

Открываем файл MEMORY.DMP: File > Open Crash Dump. Начинается процесс загрузки отладочных символов, в этот момент внизу будет видна надпись: Debugee not connected.

По окончанию загрузки появится подсказка: «для анализа этого файла запустите !analize-v».

Щелкаем по надписи !analize-v и запускается анализ дампа. В этот момент в строке состояние будет надпись *BUSY*.

По завершении обработки файла дампа памяти Windows нам необходимо найти среди полученной информации модуль, который вызвал сбой в работе. Найти сбойный модуль можно в строках MODULE_NAME и IMAGE_NAME.

В моем случае произошел сбой в работе драйвера srv.sys. В строке MODULE_NAME имя представлено в виде ссылке, щелкнув по которому можно получить информацию о модуле.

После выявления драйвера послужившего причиной сбоя в работе Windows и появления «Синего экрана смерти» необходимо попытаться обновить его.

Большинство проблем с драйверами решаются их обновлением.

Systemroot memory dmp windows 10 где находится

Как анализировать синий экран dump memory в Windows-01

Синий экран смерти или как его еще называют BSOD, может изрядно подпортить жизнь как компьютеру так и серверу, а еще выяснилось и виртуальной машине. Сегодня расскажу как анализировать синий экран dump memory в Windows, так как правильная диагностика и получение причины из за чего не работает ваша система, 99 процентов ее решения, тем более системный инженер, просто обязан уметь это делать, да и еще в кратчайшие сроки, так как от этого бизнес может в следствии простоя сервиса, терять кучу денег.

BSOD расшифровка

Давайте для начала разберем, что означает данная аббревиатура, BSOD от английского Blue Screen of Death или еще режим STOP ошибки.

Ошибки синего экрана смерти возникают по разным причинам, среди которых могут быть проблемы с драйверами, может быть какое то сбойное приложение, или сбойный модуль оперативной памяти. Как только у вас появился синий экран в Windows, то ваша система автоматически создаст файл crash memory dump, который мы и будем анализировать.

Как настроить создание memory dump

По умолчанию windows при синем экране создает аварийный дамп файл memory.dmp, сейчас покажу как он настраивается и где хранится, я буду показывать на примере Windows Server 2008 R2, так как у меня недавно была задача по изучению вопроса синего экрана в виртуальной машине. Для того чтобы узнать где настроен dump memory windows, открываем пуск и щелкаем правым кликом по значку Компьютер и выбираем свойства.

Как анализировать синий экран dump memory в Windows-Свойства компьютера

Далее идем в пункт Дополнительные параметры системы

Как анализировать синий экран dump memory в Windows-параметры системы

Переходим во вкладку Дополнительно-Загрузка и восстановление. Жмем кнопку Параметры

Как анализировать синий экран dump memory в Windows-Загрузка и восстановление

Где хранится файл memory.dmp

и видим, что во первых стоит галка выполнить автоматическую перезагрузку, для записи отладочной информации, выбрано Дамп памяти ядра и ниже есть пусть куда сохраняется дамп памяти %SystemRoot%\MEMORY.DMP

Как анализировать синий экран dump memory в Windows-05

Перейдем в папку c:\windows\ и найдем файл MEMORY.DMP в нем содержаться коды синего экрана смерти

Как анализировать синий экран dump memory в Windows-memory.dmp

Как настроить mini dump

В малый дамп памяти тоже записываются ошибки синего экрана смерти, настраивается он там же, нужно только его выбрать.

Как анализировать синий экран dump memory в Windows-07

Хранится он в папке c:\windows\minidump. Преимущество в том, что он занимает меньше места и на каждый синий экран создается отдельным файлом. Всегда можно просмотреть историю появлений синего экрана.

Как анализировать синий экран dump memory в Windows-08

Теперь когда мы разобрались где искать файл memory dump, нужно научиться его интерпритировать и понимать причину из за чего происходит синий экран смерти. В решении этой задачи нам поможет Microsoft Kernel Debugger. Скачать Microsoft Kernel Debugger можно с официального сайта, главное выберите нужную версию ОС если кому то влом, то можете скачать с яндекс диска по прямой ссылке. Так же он входит в состав ADK.

Как установить Microsoft Kernel Debugger

Скачиваем Microsoft Kernel Debugger, в итоге у вас будет маленький файл который позволит скачать из интернета все что вам нужно. Запускаем его.

Как установить Microsoft Kernel Debugger-01

присоединяться к программе по улучшению качества участвовать не будем

Как установить Microsoft Kernel Debugger-02

жмем Accept и соглашаемся с лицензией

Как установить Microsoft Kernel Debugger-соглашаемся с лицензией

Далее выбираем компонент и жмем install

Как установить Microsoft Kernel Debugger-04

начнется установка Microsoft Kernel Debugger

Как установить Microsoft Kernel Debugger-установка MKD

Видим, что Microsoft Kernel Debugger успешно установлен

Как установить Microsoft Kernel Debugger-06

После чего видим, что в пуске появилась папка Debugging Tools for Windows как для 32 так и для 64 битных систем.

Как установить Microsoft Kernel Debugger-07

Помимо самого пакета Debugging Tools for Windows, также понадобятся набор отладочных символов — Debugging Symbols. Набор отладочных символов специфичен для каждой ОС, на которой был зафиксирован BSoD. Потому придется загрузить набор символов для каждой ОС, анализировать работу которой Вам придется. Для 32-разрядной Windows XP потребуются набор символов для Windows XP 32-бит, для 64-разрядной ОС потребуются набор символов для Windows XP 64-бит. Для других ОС семейства Windows наборы символов подбираются сообразно такому же принципу. Загрузить отладочные символы можно отсюда . Устанавливать их рекомендуется по адресу %systemroot%\symbols хотя мне нравится устанавливать их в отдельные папки и не захламлять папку Windows.

Анализ синего экрана в Debugging Tools

После установки Debugging Symbols под систему на которой был синий экран смерти запускаем Debugging Tools

Как установить Microsoft Kernel Debugger-Запуск

Перед анализом содержимого дампа памяти, потребуется провести небольшую настройку отладчика. Конкретно — сообщить программе, по какому пути следует искать отладочные символы. Для этого выбираем в меню File > Symbol File Path…

Как установить Microsoft Kernel Debugger-09

Нажимаем кнопку Browse…

Как установить Microsoft Kernel Debugger10

и указываем папку, в которую мы установили отладочные символы для рассматриваемого дампа памяти, можно указать несколько папок через запятую и можно запрашивать информацию о требуемых отладочных символах прямо через Интернет, с публичного сервера Microsoft. Таким образом у вас будет самая новая версия символов. Сделать это можно следующим образом — в меню File > Symbol File Path… вводим:

Как установить Microsoft Kernel Debugger-11

Как анализировать синий экран смерти

Копируем с компьютера где выскочил синий экран, файл memory.dmp или minidump, и открываем его, выбираем в меню File > Open Crash Dump… и выбираем требуемый для рассмотрения файл.

Как анализировать синий экран смерти-01

Выбираем для примера minidump

Как анализировать синий экран смерти-открываем minidump

Начнется анализ минидампа, видим появилась ссылка на ошибку, щелкаем по ней для более детальной информации о синем экране.

Как анализировать синий экран смерти-03

И видим сбойное приложение которое крушит вашу систему, так же можно еще детальнее посмотреть в чем дело, ткнув ссылку.

Как анализировать синий экран смерти-04

Получите более детальную информацию по причине синего экрана.

Как анализировать синий экран смерти-05

Если открыть memory.dmp то вы получите подобную картину и видим почему синий экран у вас появился.

Как анализировать синий экран смерти-06

Ткнув по ссылке в логе вы получаете самую детальную информацию об ошибке.

Как анализировать синий экран смерти-07

Вот так вот просто диагностировать и устранить синий экран смерти.

Синий экран смерти Windows [BSOD]

Те кто пользуются компьютерами не первый год, наверняка сталкивались с BSOD — синий экран смерти.
Это когда на мониторе компьютера внезапно появляется синий экран с белыми надписями на английском языке. При этом вы ничего не можете сделать кроме как перезагрузить компьютер либо он сам автоматически перезагружается.

BSOD — синий экран смерти. Общая информация.

Синий экран смерти (англ. Blue Screen of Dead — BSoD) — сообщает пользователю о критической системной ошибке, с которой сама система не может справиться. Такая ошибка может возникнуть в любой версии Windows. Связана она чаще всего с неправильной работой какого нибудь драйвера. Это когда драйвер пытается выполнить недопустимую операцию. Помимо драйверов к синему экрану могут привести неисправности с железом, перегрев комплектующих.
Синий экран по сути предохраняет систему, железо от ещё большего ущерба, к которому может привести работа неисправной системы. При возникновении критической ошибки, система по возможности блокирует все в системе и вылетает в BSOD. При этом создаётся дамп, куда записывается имеющаяся информация по данной ошибке. Непосредственно на сам монитор также выводится сообщение с кодом ошибки, для возможного самостоятельного её устранения. В системный журнал также производится запись с параметрами ошибки.
Вот так выглядит
смерть компьютера синий экран смерти Windows 7 и 8, а также для XP. Все что написано до строчки Technical Information нас не интересует. Там всегда одно и тоже — описываются возможные причины ошибки. А вот, то, что написано ниже важно. Здесь может быть отображена следующая информация:

• код ошибки либо его символьное наименование (например C0000145, Application Error)
• 4 параметра, предназначенные для отладочного программного обеспечения (значения параметров будут различаться в зависимости от кода ошибки)
• название проблемного драйвера
• адрес ошибки (не всегда возможно его указать)

Синий экран смерти windows 10 выглядит уже иначе.
В последних версиях Windows 10, на синий экран смерти разработчики добавили qr-код, при считывании которого камерой, смартфон перекидывает на страницу техподдержки Microsoft. Также добавлен и стоп код (Stop code), который нужно сообщить специалистам техподдержки для оказания помощи пользователям в исправлении ошибки.
Примечательно, что синий экран смерти можно вызвать и вручную. Для этого нужно удерживать кнопку CTRL и дважды нажать на кнопку Scroll Lock . С помощью такого BSOD можно получить дамп памяти в определённый момент времени, например когда система начинает тормозить.

Как правильно настроить создание дампов на компьютере

Те кто встречались с синим экраном смерти, возможно сталкивались с тем, что зачастую не успеваешь сфотографировать либо записать код ошибки, так как компьютер сразу автоматически перезагружается. А не зная информации по коду ошибки сложнее будет её исправить. Поэтому нужно отключить автоматическую перезагрузку системы при возникновении ошибки. Для перехода к настройкам отладочной информации в операционной системе в Windows 10:

1. Запустите команду Пуск-Выполнить (комбинация кнопок + R ).
2. Введите команду SystemPropertiesAdvanced и выполните её нажав Enter .
3. Откроется окно Свойства системы. Здесь в разделе Загрузка и восстановление нажмите на кнопку Параметры.
4. В окне Загрузка и восстановление нужно снять галочку с пункта Выполнить автоматическую перезагрузку. Тут же в разделе Запись отладочной информации среди вариантов дампов выберите Малый дамп памяти (256kb). Можете использовать скриншот как шпаргалку для настроек. Про разницу в различных вариантах дампов напишу ниже.

Для перехода к настройкам отладочной информации в ОС Windows 7 и Windows 8 можете воспользоваться тем же способом, что и в Windows 10 либо через путь: Пуск ⇒ Панель управления ⇒ Система и безопасность ⇒ Система ⇒ Дополнительные параметры системы ⇒ вкладка Дополнительно ⇒ подраздел Загрузка и восстановление ⇒ Параметры . Для этих ОС, также как и для Windows 10 выставьте идентичные настройки.

Малый дамп памяти – либо мини дамп. Весит всего 256 Килобайт. В мини дампе хранится основная информация по BSOD и системным процессам. Если необходимо узнать причину синего экрана смерти, то малого дампа памяти как раз будет достаточно.
Дамп памяти ядра – содержится информация по памяти используемой ядром системы.
Полный дамп памяти – объем файла такого дампа будет равен размеру оперативки установленной в систему. При записи такого дампа не редко возникают проблемы, если на компьютере установлено более 4гб ОЗУ. Объём файла подкачки при таком дампе должен быть больше объёма оперативной памяти.
Автоматический дамп памяти — практически идентичен дампу памяти ядра. Единственное отличие в том, что система сама автоматически выбирает объём файла подкачки. Впервые появился в Windows 8.
Активный дамп памяти – первое появление в Windows 10. В основном используется в серверах, для записи информации по используемой активной памяти. Такой дамп например позволяет исключить информацию о памяти виртуальных машин на сервере.

Дампы хранятся по пути, которые указаны в настройках. По умолчанию это %SystemRoot%, то есть это C:\Windows\. Файлы дампа памяти хранятся в формате .dmp Малый дамп сохраняется как Minidump.dmp, а полный с именем Memory.dmp

Наиболее частые причины возникновения синего экрана смерти

• Сбои связанные с драйверами
• Деятельность вирусов
• Сбои и конфликт устройств (чаще жёсткий диск либо оперативная память)
• Конфликт программ (например: два антивируса одновременно установленных на один компьютер, в одну систему)
• Перегрев комплектующих

Напоследок

Наиболее частые причины возникновения синего экрана смерти связаны с драйверами. Установить какой именно драйвер даёт сбой сложно, если не знать, как анализировать информацию об ошибке, которую даёт нам код ошибки и малый дамп памяти. Как раз об анализе дампа памяти будет следующая статья на этом сайте. Если вы знаете в каком драйвере проблема, то нужно удалить проблемный драйвер и обновить его до более новой версии, либо откатить на более стабильную старую версию. Для обновления драйверов можно воспользоваться одной из программ, о которых говорилось в статье «Как скачать, обновить драйвера автоматически».
На втором месте BSOD связанный со сбоями HDD. Проверить жесткий диск на ошибки можно программой HDD Life.
На третьем месте ошибки связанные со сбоями оперативной памяти. Проверить оперативную память можно с помощью программы Memtest.
Ну а проверить, не является ли причиной синих экранов смерти перегрев комплектующих, можно с помощью программы HWMonitor либо Aida64.
В ближайшее время про эти программы выйдут обзоры на проекте. Не пропустите! А на сегодня пока все. Желаю вам не сталкиваться со смертью компьютера и чтоб ваш железный друг всегда был здоров.