Дамп памяти в windows

Просмотр и анализ файла мини-дампа

При выполнении операций с малым дампом можно воспользоваться доступной для любого пользователя утилитой Blue Screen View от Nirsoft. После открытия файла он четко укажет на имена этих драйверов. После нажатия на один из них появятся имена сервисов. Если юзер не может прочитать пути решения проблемы, он может воспользоваться поисковиком.

Пользователь может скачать ее с официального источника. Программа работает автономно, не требует скачивания дополнительных символов.

После запуска утилита сразу начнет сканировать директорию, где хранятся файлы дампа. Результаты анализа появятся в отдельной таблице, где будут указаны коды ошибок minidump и причины их появления. Проблемные участки будут выделены красным цветом.

Выполнение анализа и устранение ошибки:

• Для просмотра необходимо переместить файл в окно программы, после загрузится отладочная информация.
• Модули с ошибками высветятся красным цветом.

Тапнуть по имени мини-дампа, запустить поиск решения в Google, посмотреть варианты устранения проблемы.

В таких случаях среди подсвеченных проблемных драйверов находится истинный источник появления синего «экрана смерти». Для более точного анализа можно применить несколько вариантов анализа.

Step 4. Interpret the dump file

When the analysis of the dump file is finished, you can read the results to find out what caused the crash. In the Command panel, scroll until you find the Bugcheck Analysis. It should display useful information about the issues identified.

Bugcheck Analysis results in WinDbg Preview

Scroll further down and look for a field called BUGCHECK_CODE. This bug code is quite important because it can help you find out what exactly happened on your Windows 10 PC. Note it down somewhere and use Google to search for it: the results you get should be helpful.

For instance, if you’re going to do a Google search for the e2 bug code that you can see in the screenshot below, you’re going to find that we manually generated a BSOD on our test computer.

BUGCHECK_CODE shown by WinDbg Preview

In the same Command panel, you might also find some text lines called SYMBOL_NAME, MODULE_NAME, and IMAGE_NAME. These are also important when interpreting dump files, as they can often point to what drivers broke and crashed your Windows 10 PC.

The information shown by SYMBOL_NAME, MODULE_NAME, and IMAGE_NAME

If the MODULE_NAME gives you a link, click or tap on it. That shows you even more details, and you can even learn the exact driver or file that caused you troubles. For example, in the screenshot below, it’s enough to look at the Image path and FileDescription lines to see that our dump file was generated by the keyboard driver when we manually triggered a BSOD (Blue Screen of Death) using the Right Control + Scroll Lock + Scroll Lock key combination on our keyboard.

Image path and FileDescription can be useful to identify drivers that cause crashes

WinDbg Preview gives you more details about the contents of your dump file, but most of it is quite technical and therefore not easily digested by regular users. However, the information that we highlighted should give you an idea of what’s wrong.

Варианты открытия DMP

Расширение DMP зарезервировано за файлами дампов памяти: снимков состояния RAM в определённый момент работы системы или отдельного приложения, которые нужны разработчикам для последующей отладки. Такой формат используют сотни видов ПО, и рассмотреть их все в объёмах данной статьи невозможно. Наиболее же часто встречающийся тип DMP-документа – так называемый малый дамп памяти, где записаны подробности сбоя системы, который привёл к появлению синего экрана смерти, потому на нём и сосредоточимся.

Способ 1: BlueScreenView

Небольшая бесплатная утилита от разработчика-энтузиаста, основной функцией которой является предоставление возможности просмотра DMP-файлов. Не нуждается в установке на компьютер – достаточно распаковать архив в любое подходящее место.

1. Для открытия отдельного файла нажмите на кнопку с иконкой программы на панели инструментов.

В окне «Advanced Options» отметьте чекбокс «Load a single Minidump File» и нажмите «Browse».

С помощью «Проводника» перейдите к папке с DMP-файлом, выделите его и нажмите «Открыть».
По возвращении в окно «Advanced Options» нажмите «ОК».

Общие сведения о содержимом DMP можно просмотреть в нижней части основного окна BlueScreenView.
Для получения более подробной информации дважды кликните по загруженному в программу файлу.

Утилита BlueScreenView рассчитана на продвинутых пользователей, потому её интерфейс может показаться сложным для новичка. Кроме того, доступна она только на английском языке.

Способ 2: Microsoft Debugging Tools for Windows

В составе среды разработки Windows SDK распространяется инструмент для отладки, который называется Debugging Tools for Windows. Приложение, рассчитанное на разработчиков, способно открывать в том числе и DMP-файлы.

1. Для экономии места можно выбрать только Debugging Tools for Windows, отметив соответствующий пункт в процессе загрузки компонентов.

Запустить утилиту можно через «Пуск». Для этого откройте «Все программы», выберите «Windows Kits», а затем — «Debugging Tools for Windows».

Для запуска программы используйте ярлык «WinDbg».

Для открытия DMP используйте пункты «File» — «Open Crash Dump».
Затем через «Проводник» откройте местоположение нужного файла. Проделав это, выделите документ и откройте, нажатием на «Открыть».

Загрузка и чтение содержимого DMP-файла в силу особенностей утилиты может занять некоторое время, так что запаситесь терпением. По окончании процесса документ будет открыт для просмотра в отдельном окошке.

Утилита Debugging Tools for Windows ещё более сложная, чем BlueScreenView, и тоже не имеет русской локализации, однако предоставляет более подробную и точную информацию.

Заключение

Как видим, основную сложность при открытии DMP-файлов составляют сами программы, рассчитанные больше на специалистов, чем на рядовых пользователей.

Опишите, что у вас не получилось.
Наши специалисты постараются ответить максимально быстро.

Windows 10 создает только minidump файл

Термин eMMC — сокращение от «Embedded Multi-Media Controller» («Встроенный мультимедийный контроллер») и относится к пакету, состоящему из флэш-памяти и контроллера.

Если файл минидамп сохраняется в каталог %systemroot%minidump, а не в стандартное расположение C:windowsminidump. То эта проблема вызвана тем, что из-за управления питанием на устройствах SD eMMC, Windows всегда создает дамп и игнорирует параметры дампа памяти, настроенные администратором.

Чтобы переопределить сохранение по умолчанию, на устройстве должен быть настроен специальный параметр реестра.

Вы можете выполнить действия, описанные ниже, чтобы переопределить функцию энергосбережения Windows eMMC во время BugCheck (также известную как ошибка остановки или ошибка синего экрана), чтобы создать дамп памяти ядра или полный дамп памяти.

После того, как вы приняли необходимые меры предосторожности, вы можете действовать следующим образом:

1. Нажмите клавишу Windows + R. В диалоговом окне «Выполнить» введите «control system» и нажмите «Enter», открываем «Дополнительные параметры системы» > «Загрузка и восстановление». Для параметра «Запись отладочной информации» должно быть задано «Дамп памяти ядра» или «Полный дамп памяти».

2. Затем перейдите к запуску редактора реестра, чтобы создать и настроить следующий раздел реестра:ForceF0State: REG_DWORD: 0x1

Этот параметр реестра позволяет записать файл дампа.

Перейдите к пути реестра:HKLMSYSTEMCurrentControlSetservicessdbusParameters

• Затем щелкните правой кнопкой мыши в пустое место на правой панели
• Выберите «Создать» > «DWORD» (32-бита)
• С названием параметра ForceF0State
• Дважды щелкните только что созданный параметр и установите для данных значение 0x1
• Нажмите ОК.

3. Затем создайте и настройте следующий раздел реестра:

AlwaysKeepMemoryDump: REG_DWORD: 1Этот параметр реестра гарантирует, что файл дампа не будет удален при перезагрузке, даже если у вас мало свободного места на диске.

Перейдите к пути реестра:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlCrashControl

• Затем щелкните правой кнопкой мыши пустое место на правой панели
• Выберите «Создать» > «DWORD» (32-бита)
• Назовите параметр AlwaysKeepMemoryDump
• Дважды щелкните на него и установите для параметра «Значение» 1.
• Нажмите ОК.

4. Убедитесь, что максимальный размер файла подкачки больше, чем объем оперативной памяти, используемой на компьютере.

5. Перезагрузите устройство.

Шаг 2. Настройка пути назначения для дампа памятиStep 2: Configure the destination path for a memory dump

Вам не нужно иметь файл подкачки в разделе, где установлена операционная система.You don’t have to have the page file on the partition where the operating system is installed. Чтобы разместить файл подкачки в другом разделе, необходимо создать новую запись реестра с именем дедикатеддумпфиле.To put the page file on another partition, you must create a new registry entry named DedicatedDumpFile. Размер файла подкачки можно определить с помощью записи реестра думпфилесизе .You can define the size of the paging file by using the DumpFileSize registry entry. Чтобы создать записи реестра Дедикатеддумпфиле и Думпфилесизе, выполните следующие действия.To create the DedicatedDumpFile and DumpFileSize registry entries, follow these steps:

1. В командной строке выполните команду regedit , чтобы открыть редактор реестра.At the command prompt, run the regedit command to open the Registry Editor.

2. Найдите и щелкните следующий подраздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControlLocate and then click the following registry subkey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

3. Щелкните изменить > новый > строковый параметр.Click Edit > New > String Value.

4. Назовите новое значение дедикатеддумпфиле и нажмите клавишу ВВОД.Name the new value DedicatedDumpFile, and then press ENTER.

5. Щелкните правой кнопкой мыши дедикатеддумпфиле и выберите пункт изменить.Right-click DedicatedDumpFile, and then click Modify.

6. В параметре тип данных <Drive> : \ <Dedicateddumpfile.sys>, а затем нажмите кнопку ОК.In Value data type <Drive>:\<Dedicateddumpfile.sys>, and then click OK.

   Примечание

   Замените на <Drive> диск, на котором достаточно места на диске для файла подкачки, и замените на <Dedicateddumpfile.dmp> полный путь к выделенному файлу.Replace <Drive> with a drive that has enough disk space for the paging file, and replace <Dedicateddumpfile.dmp> with the full path to the dedicated file.

7. Щелкните изменить > создать > значение DWORD.Click Edit > New > DWORD Value.

8. Введите думпфилесизе и нажмите клавишу ВВОД.Type DumpFileSize, and then press ENTER.

9. Щелкните правой кнопкой мыши думпфилесизе и выберите пункт изменить.Right-click DumpFileSize, and then click Modify.

10. В поле изменить значение DWORD в разделе базовый щелкните десятичный.In Edit DWORD Value, under Base, click Decimal.

11. В поле данные значения введите соответствующее значение и нажмите кнопку ОК.In Value data, type the appropriate value, and then click OK.

    Примечание

    Размер файла дампа находится в мегабайтах (МБ).The size of the dump file is in megabytes (MB).

12. Закройте редактор реестра.Exit the Registry Editor.

Определив расположение раздела дампа памяти, настройте путь назначения для файла подкачки.After you determine the partition location of the memory dump, configure the destination path for the page file. Чтобы просмотреть текущий конечный путь к файлу подкачки, выполните следующую команду:To view the current destination path for the page file, run the following command:

По умолчанию для дебугфилепас задано значение%системрут%\мемори.ДМП.The default destination for DebugFilePath is %systemroot%\memory.dmp. Чтобы изменить текущий целевой путь, выполните следующую команду:To change the current destination path, run the following command:

Задайте <FilePath> целевой путь.Set <FilePath> to the destination path. Например, следующая команда устанавливает путь назначения дампа памяти в К:\ВИНДОВС\МЕМОРИ. DMPFor example, the following command sets the memory dump destination path to C:\WINDOWS\MEMORY.DMP:

DMP – Дамп памяти Windows (Windows Memory Dump)

В Windows: Windows Debug Tools, Windows Kernel Debug, Microsoft Visual Studio, Microsoft Dumpflop utility, Microsoft Windows, BlueScreenView

Описание расширения DMP

Популярность:

Раздел: Системные файлы

Разработчик: Microsoft

Расширение DMP связано с файлами дампа памяти Windows – это снимок содержимого оперативной памяти. DMP файлы, как правило, создается автоматически, когда Windows падает. Дамп с ошибками Windows, как правило, имеет наименование MINI000000-00.DMP размером 64 КБ. Часть 000000-00 в названии – это месяц, день, год и порядковый номер для этой даты (ммддгг-e2_).

Вы можете настроить Windows, чтобы также сохранялись дополнительные информационные сообщения для дампа файлов, например, стоп код, значения регистров процессора и содержимое стека. Три типа дапма памяти доступны:

• полный дамп памяти, который записывается в папку %SystemRoot%\Memory.dmp. Файл подкачки загрузочного тома должен быть достаточно большим, чтобы вместить всю физическую память плюс 1 МБ.

Для того, чтобы .DMP создавались, а компьютер не просто перезагружался, надо сделать следующее:1. Нажать правую кнопку мыши над «Мой компьютер» —> «Свойства».2. На вкладке «Дополнительно» в разделе «Загрузка и восстановление» нажимаем «Параметры».3. Убираем галочку «Выполнить автоматическую перезагрузку».

4. В разделе «Запись отладочной информации» можно выбрать один из трех видов дампов памяти, а так же папку, где они будут созданы.

Если компьютер уже не загружается, тогда при загрузке нажимаете на F8 и выбираете пункт меню «При отказе системы не выполнять перезагрузку». После этого вы увидите BSOD, где и будет вся информация о проблемных файлах. Для исправления ошибки необходимо или обновить файл, как правило, это файлы драйвера, или удалить из системы, если это возможно.

Примечание: Т.к. файлы .DMP могут занимать много места, то их можно удалить при необходимости.

Примечание: Вообще говоря, многие программы кроме Windows используют расширение .DMP для своих файлов дампов памяти, создаваемых при аварийной работе приложения. Они используются для решения проблем и исправления ошибок разработчиками программ. Формат таких файлов .DMP отличен от системного формата дампа памяти, используемых в Windows. Например, антивирус Касперского создает DMP файл при аварийном завершении работы антивируса, файл находится в папке C:\Documents and Settings\All Users\Application Data\Kaspersky Lab или C:\ProgramData\Kaspersky Lab\.

MIME тип: application/x-dmpHEX код: 50 41 47 45 44 55, 4D 44 4D 50 93 A7ASCII код: PAGEDU, MDMP

Другие программы, связанные с расширением DMP

1. Файл дампа ORACLE от Oracle CorporationРасширение DMP – дамп базы ORACLE, который используется для резервирования схемы и данных. DMP файл хранит данные только на момент, создания дампа. Для экспорта или импорта дампа базы данных в Oracle используются утилиты входящие в состав Oracle и находящиеся в каталоге BIN – expNN.exe и impNN.

exe, где NN зависит от версии Оракла. Так же данные можно просмотреть с использованием утилит Oracle Dump Viewer и NXTract, причем утилита NXTract позволяет конвертировать данные из .DMP в форматы баз данных CSV, Sybase, SQL Server, DB2, Excel, Access, Ingres, MySQL, Informix, Lotus 123, dBASE, Visual Basic, Foxpro Powerbuilder и любой другой версией Oracle.

Относится к разделу Файлы резервных копий.

Популярность:

1. Файл дампа клиента Steam от Valve CorporationРасширение DMP файла связано с клиентом инструмента управления Steam для Microsoft Windows и Apple Mac OS X, используемой для управления играми, приобретенные на Steam, разработанная Valve. В * DMP-файлах хранятся данных. Файлы находятся в каталоге /tmp/dumps с наименованием crash_YYYYMMDDHHMMSS_N.dmp, где YYYY – год, MM – месяц, DD – день, HH – час, MM – минута, SS – секунда, N – счетчик.

Относится к разделу Файлы резервных копий.

Популярность:

1. Файл карты Dream Maker от BYONDDMP файл создается программой Dream Maker, разработанной BYOND (Build Your Own Net Dream). .DMP – это файл карты.

Относится к разделу Графика, изображения.

Популярность:

Как я могу получить доступ к файлам DMP в Windows 10?

Какое расширение файла DMP обозначает?

Файлы дампа памяти Windows с расширением «.dmp» – это системные файлы, хранящиеся в двоичном формате. В случае ошибки или внезапного сбоя сторонней программы или даже функции системы эти файлы создаются автоматически.

Они хранят подробности о сбое, поэтому большинство опытных пользователей будут использовать файлы .dmp для устранения проблем с уязвимыми программами.

Если есть, скажем, BSOD (синий экран смерти), подробности о возможных причинах (драйверы или другое программное обеспечение обычно подозреваются) можно найти в автоматически сгенерированном файле .dmp.

Синий экран смерти кажется страшным? Исправьте любые ошибки BSOD с этими удивительными инструментами!

По понятным причинам они в основном называются «Memory.dmp» или «Crash.dmp» соответственно. По размеру они могут быть маленькими индивидуально.

Однако, поскольку они имеют тенденцию накапливаться с течением времени, файлы DMP могут занимать много места для хранения при объединении. Таким образом, вы можете легко очистить их с помощью утилиты очистки диска.

Проблемы с удалением всех ваших нежелательных файлов? Следуйте этому руководству, чтобы решить проблемы с очисткой диска и сохранить диск.

Как открыть файлы DMP в Windows 10?

Теперь открыть эти файлы не так просто, поскольку в Windows 10 нет встроенного инструмента. Для этого есть веская причина: редко обычный пользователь захочет получить к ним доступ в первую очередь.

Однако есть несколько сторонних утилит, которые позволят вам открывать и читать файлы DMP. Они могут выглядеть устаревшими, но в этом случае мы отдаем предпочтение эффективности, а не внешнему виду.

Первое приложение – WhoCrashed, анализатор дамп-файлов. Этот инструмент требует установки, но он довольно прост в использовании и обладает всеми необходимыми функциями

Вы даже можете симулировать сбой системы (делайте это с осторожностью) с определенными параметрами

Вы знаете, что лучше всего работает с анализатором файлов дампа? Дисковый анализатор. Проверьте этот список с лучшими из доступных.

Второе приложение – BlueScreenView. Oldtimer, который поддерживает каждую итерацию Windows на сегодняшний день. Вы должны легко использовать его.

Это портативное приложение небольшого размера, поэтому не требует установки. Как только вы получите его, просто распакуйте его и запустите файл EXE. Тем не менее, мы спешим. Во-первых, вам нужно разрешить системе создавать файлы дампа, доступные для чтения сторонним программным обеспечением.

Это должно сделать это. Если у вас есть альтернативные способы открывать и читать файлы DMP, обязательно сообщите нам об этом в разделе комментариев ниже. Мы будем рады услышать от вас.

Если вам интересно, как удалить файлы дампа памяти из-за системных ошибок в Windows 10, ознакомьтесь с этим замечательным руководством. Кроме того, если вы хотите эффективно исправить поврежденный дамп памяти, выполните простые шаги из этого полезного руководства.

Если у вас есть другие вопросы, оставьте их там же.

Не удается открыть файл .dmp?

Если дважды щелкнуть файл, чтобы открыть его, Windows проверяет расширение имени файла. Если Windows распознает расширение имени файла, она открывает файл в программе, связанной с этим расширением имени файла. Когда Windows не распознает расширение имени файла, вы получаете следующее сообщение:

Windows не может открыть этот файл: example.dmp Чтобы открыть этот файл, Windows должна знать, какую программу вы хотите использовать для его открытия. Windows может автоматически подключиться к Интернету, чтобы найти его, или вы можете вручную выбрать его из списка программ, установленных на вашем компьютере.

Чтобы избежать этой ошибки, вам необходимо правильно настроить ассоциацию файлов.

• Откройте Панель управления> Панель управления Главная> Программы по умолчанию> Установить связи.
• Выберите тип файла в списке и нажмите «Изменить программу».

Как настроить дамп памяти в Windows 10?

Для того чтобы настроить аварийный дамп памяти Windows 10 необходимо придерживаться следующих действий:

1. Правой кнопкой мыши кликаем на пуск Windows 10. В появившемся контекстном меню выбираем пункт «Система».

2. В окне «Система» в верхнем углу слева выбираем «Дополнительные параметры системы».

3. В окне «Свойства системы» в пункте «Загрузка и восстановление» нажимаем «Параметры».

Тут и происходит настройка аварийного дампа памяти Windows 10.

Настраивая дамп памяти можно не пренебрегать следующими рекомендациями:

— Поставить галочку на «заменить существующий файл дампа». Учитывая тот факт, что данные могут весить десятки, а то и сотни гигабайт — это очень полезно для небольших жёстких дисков;

— Запись отладочной информации. Эта функция позволит выбрать вид дамп файла;

— Выполнить автоматическую перезагрузку. Продолжение работы, после возникшей ошибки;

— Запись события в системный журнал. Информация о системном сбое будет добавлена в логи операционной системы.

Дамп памяти Windows 10 является удобным и действительно работающим методом страховки системных данных.

Зная «врага в лицо» его будет в разы проще найти и ликвидировать. Дамп памяти Windows 10 позволит выявить причину системного сбоя и скорректировать действия по ликвидации ошибки, значительно уменьшив радиус усилий и работ.

Причиной критических ошибок Windows, сопровождаемых синими экранами (BSOD), часто является драйвер — вновь установленный или поврежденный. Определив, какой именно драйвер служит причиной ошибки, можно приступать к устранению проблемы: обновить драйвер, откатиться к более ранней версии, переустановить или удалить приложение, установившее драйвер и т. д. Не всегда название драйвера отображается на синем экране. Однако существует очень простой способ, позволяющий с помощью дампа памяти определить проблемный драйвер за пару минут.

Windows Memory Dump Settings

The main advantage of “Automatic Memory Dump” is that it will allow the Session Manager sub-system process to automatically allow it to reduce the Page file to a size smaller than the size of RAM. For those who don’t know, Session Manager Subsystem is responsible for initializing the system environment and starting up services and processes needed for users to log in. It basically sets up the page files for virtual memory and starts up the winlogon.exe process.

If you want to change Automatic Memory Dump Settings here is how you can do it. Press Win + X and click on System. Next click on “Advanced System Settings”.

Under Start up and Recovery, click on Settings.

There you can see a drop-down menu where it says “Write debugging information”.

Here you can select the option you want. The options offered are:

• No memory dumps
• Small memory dump
• Kernel memory dump
• Complete memory dump
• Automatic memory dump. Added in Windows 8.
• Active Memory Dump. Added in Windows 10.

The location of the Memory Dump file is at %SystemRoot%\MEMORY.DMP.

If you are using SSD then it’s best to leave it at “Automatic Memory Dump”; but if you are in need of a crash dump file then it’s best to set it to “Small memory dump” as this way you can, if you wish, send it to someone to take a look at.

TIP: You can analyze Windows Memory Dump .dmp files with WhoCrashed.

Increase Page file size to create a complete memory dump

In some cases we may need to increase the page file size to more than that of the RAM, to fit a complete memory dump. In such cases, we can create a registry key under

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

called “LastCrashTime”.

This will automatically increase the size of the page file. To reduce it, later on, you can just delete the key.

Windows 10 introduced a new dump file type called Active Memory Dump. It contains only the essentials and is, therefore, smaller in size.

Disable automatic deletion of memory dumps on low disk space

Windows will automatically delete dump files on low disk space. But if you wish to disable automatic deletion of memory dumps on low disk space then do this,

Open System Properties > Advanced tab > Startup and Recovery settings.

Under System failure, select Disable automatic deletion of memory dumps when disk space is low option, click OK and exit.

Related reads:

1. Physical Memory Limits in Crash Dump files
2. Configure Windows 10 to create Crash Dump Files on Blue Screen
3. Control the number of Memory Dump Files, Windows creates and saves.

Необходимое пояснение

Я много лет занимаюсь компьютерами, и потому горячий сторонник формулы: «раньше сядешь — раньше выйдешь», в переиначенном смысле — изучением ПК надо заняться как можно раньше, меньше проблем будет потом… Идеальный вариант — дети должны еще со школьной скамьи знать компьютер, так же хорошо, как таблиицу умножения. https://aytishka.ru — это Айтишка — компьютерные курсы для детей от 11 лет в Набережных Челнах… кстати, информации в интернете сейчас более чем много, и одновременно знаний менее чем позволительно. Например, я уверен, что лишь один из миллиона детей сможет сказать, какое имя носил город Набережные Челны с 1982 по 1988 годы… и то, наверное — я оптимист… а вы знаете?

Как пользоваться программой WinDbg для анализа аварийных дампов памяти

– запустите WinDbg (по умолчанию устанавливается в папку \Program Files\Debugging Tools for Windows);

– выберите меню File –> Symbol File Path…;

– в окне Symbol Search Path нажмите кнопку Browse…;

– в окне Обзор папок укажите расположение папки Symbols (по умолчанию – \WINDOWS\Symbols) –> OK –> OK;

– выберите меню File –> Open Crash Dump… (или нажмите Ctrl + D);

– в окне Open Crash Dump укажите расположение Crash Dump File (*.dmp) –> Открыть;

– в окне Workspace с вопросом «Save information for workspace?», установите флажок Don’t ask again –> No;

– в окне WinDbg откроется окно Command Dump <путь_и_имя_файла_дампа> с анализом дампа;

– просмотрите анализ дампа памяти;

– в разделе «Bugcheck Analysis» будет указана возможная причина краха, например, «Probably caused by: smwdm.sys (smwdm+454d5)»;

– для просмотра детальной информации нажмите ссылку «!analyze -v» в строке «Use !analyze -v to get detailed debugging information»;

– закройте WinDbg;

– используйте полученную информацию для устранения причины неисправности.

Например, на следующем скриншоте причина неисправности – файл nv4_disp.dll драйвера видеокарты:

Примечания

1. В символьных файлах определены имена внутренних функций и переменных соответствующего модуля, – эта информация необходима для анализа аварийного дампа. По возможности следует скачать и установить все символьные файлы. Символьные файлы специфичны для конкретных версий ОС и для конкретных пакетов исправлений, поэтому необходимо убедиться, что они соответствуют версии ОС и версии SP.

2. Как правило, для выявления причины неисправности вполне достаточно даже малого дампа памяти.

3. Хотя документация Microsoft по отладке Windows постоянно совершенствуется, она всё еще ориентирована на разработчиков драйверов устройств.

Валерий Сидоров (ххх)

***

Во времена Windows 10 это более чем актуально, так как и без падения системы, можно лишиться самой ценной информации… новые времена и новые угрозы.