В операционной системе Windows, при аварийном завершении работы ОС, автоматически создается аварийный дамп памяти, он сохраняется в системном каталоге Windows в файле MEMORY.DMP (%SystemRoot%\MEMORY.DMP). Этот файл помогает определить причину сбоя в работе операционной системы и определить процесс, ставшив возможной причиной остановки работы ОС. Файл дампа памяти может быть размером в несколько гигабайт, поэтому для его анализа требуется использование специальных инструментов.
В этой статье описываются шаги, которые следует предпринять для анализа файла аварийного дампа памяти MEMORY.DMP.
Чтобы прочитать файл MEMORY.DMP потребуется специальная утилита: Debugging Tools for Windows (WinDbg), которая входит в состав Windows 10 SDK, ее можно скачать по ссылке:
Windows 10 SDK
, как в виде инсталлятора, так и в виде ISO файла.
SDK (software development kit) — это набор средств разработки, который позволяет специалистам по программному обеспечению создавать приложения для определённого пакета программ, программного обеспечения базовых средств разработки, аппаратной платформы, компьютерной системы, игровых консолей, операционных систем и прочих платформ.
Установка утилиты Debugging Tools for Windows из набора Software Development Kit (SDK)
1. Запустить установочный файл на компьютере на котором будет проводиться анализ аварийного дампа памяти MEMORY.DMP
2. Выбрать путь установки и 2 раза нажать Next
3. Принять лицензионное соглашение
4. В окне выбора набора устанавливаемых утилит выбрать Debugging Tools for Windows (остальные пункты для анализа дампа памяти не понадобятся) и нажать Install
5. По завершении установки нажать Close
Утилита Debugging Tools for Windows установлена.
Анализ аварийного дампа памяти MEMORY.DMP
1. Запускаем установленную утилиту WinDbg и в меню File выбираем Open Crash Dump
2. В окне открытия файла переходим к пути размещения файла MEMORY.DMP и открываем его
3. После изучения заголовков переходим по кликабельной ссылке: !analyze -v или вводим эту команду вручную
4. Ожидаем некоторое время, которое потребуется утилите на чтение файла и поиск ошибок
5. Анализируем информацию о процессе, который вызвал аварийное завершение работы Windows
Используя полученную информацию, можно понять, какой из процессов вызвал аварийное завершение ОС. Если указанный процесс принадлежить производителю ПО, то можно обратиться к нему с соответствующим кейосм.
Многие знакомы с «синим экраном смерти» или BlueScreen. Синий экран появляется когда в работе Windows возникает критическая ошибка, что приводит к остановке работы операционной системы. При этом операционная система создает дамп памяти, в который записывает отладочную информацию и добавляет запись в журнал событий.
Многие знакомы с «синим экраном смерти» или BlueScreen. Синий экран появляется когда в работе Windows возникает критическая ошибка, что приводит к остановке работы операционной системы. При этом операционная система создает дамп памяти, в который записывает отладочную информацию и добавляет запись в журнал событий.
В Windows существуют два типа дампа памяти — малый дамп (minidump) и полный дамп.
Minidump находится в директории C:\Windows\Minidump и его название имеет примерно такой вид Mini051819-01.dmp.
Полный дамп располагается в папке C:\Windows и называется MEMORY.DMP.
Просмотр и анализ файла минидампа.
Для просмотра и анализа файла минидампа можно воспользоваться достаточно простой и удобной утилитой BlueScreenView от Nirsoft, которую можно скачать с официального сайта https://www.nirsoft.net/utils/blue_screen_view.html .
Для просмотра минидампа достаточно перетащить файл в окно программы и тут же загрузится отладочная информация. Красным будут подсвечены модули вызвавшие ошибку. В случае представленном на скриншоте выше это был драйвер tcpip.sys.
Щелкнув по имени файла минидампа можно запустить поиск решения в Google.
Но эта программа не способна обработать полный дамп памяти Windows — memory.dmp.
Чтобы посмотреть содержимое полного дампа памяти необходимо открыть файл MEMORY.DMP при помощи утилиты WinDBG, которая входит в пакет Microsoft Windows SDK. Скачать эту утилиту можно с официального сайта Майкрософт по этой ссылке https://developer.microsoft.com/ru-ru/windows/downloads/windows-10-sdk .
Установка и настройка WinDBG.
Запускаем установку пакета Windows Software Development KIT и на этапе выбора компонентов отмечаем «Debugging Tools for Windows».
При первом запуске WinDBG необходимо выполнить настройку сервера отладочных символов.
1. Переходим в меню File > Symbol File Path и вставляем строку:
SRV*C:\symbol_cache*http://msdl.microsoft.com/download/symbolsгде C:\symbol_cache — это директория куда будут загружаться символы.
2. Сохраняем настройку File > Save Workspace.
Просмотр и анализ файла MEMORY.DMP.
Открываем файл MEMORY.DMP: File > Open Crash Dump. Начинается процесс загрузки отладочных символов, в этот момент внизу будет видна надпись: Debugee not connected.
По окончанию загрузки появится подсказка: «для анализа этого файла запустите !analize-v».
Щелкаем по надписи !analize-v и запускается анализ дампа. В этот момент в строке состояние будет надпись *BUSY*.
По завершении обработки файла дампа памяти Windows нам необходимо найти среди полученной информации модуль, который вызвал сбой в работе. Найти сбойный модуль можно в строках MODULE_NAME и IMAGE_NAME.
IMAGE_NAME: srv.sys
MODULE_NAME: srvВ моем случае произошел сбой в работе драйвера srv.sys. В строке MODULE_NAME имя представлено в виде ссылке, щелкнув по которому можно получить информацию о модуле.
После выявления драйвера послужившего причиной сбоя в работе Windows и появления «Синего экрана смерти» необходимо попытаться обновить его.
Большинство проблем с драйверами решаются их обновлением.
C:\windows\memory.dmp — это файл дампа памяти операционной системы Windows. Он является одним из наиболее важных файлов, которые могут быть созданы при сбое операционной системы или программы.
Дамп памяти — это фиксированный снимок содержимого оперативной памяти на момент возникновения сбоя. Файл дампа памяти содержит информацию о состоянии системы, включая данные о работающих процессах, загруженных драйверах, регистрах процессора и других важных параметрах, которые могут помочь в анализе причины сбоя.
Обычно файл дампа памяти создается автоматически системой при сбое, но он также может быть создан вручную администратором системы. Для создания файла дампа необходимо иметь права администратора и включить соответствующую опцию в настройках системы.
Использование файла дампа памяти может быть необходимо для анализа и устранения проблем с работой операционной системы, например, выявления причины сбоя или поиска уязвимостей в программном обеспечении.
Содержание
- C:\windows\memory.dmp
- Определение и назначение
- Как создается C:\windows\memory.dmp?
- Как разобрать содержимое
C:\windows\memory.dmp
Файл memory.dmp является бинарным файлом и содержит данные, такие как снимок состояния работы операционной системы, запущенных процессов, информацию о загруженных драйверах и другие отладочные данные.
Обычно файл memory.dmp создается системой автоматически при возникновении критической ошибки или сбоя, таких как «синий экран смерти». Этот файл может быть использован специалистами технической поддержки для определения причины сбоя и его устранения.
Расположение файла memory.dmp на устройстве C:\windows\ указывает, что файл сохраняется в основной папке системы Windows. Обычно для доступа к данному файлу требуются права администратора.
Если вы не являетесь IT-специалистом или не имеете опыта работы с отладкой системы, то обычно вам не требуется знать о существовании файла memory.dmp или производить с ним какие-либо действия. Этот файл является вспомогательным инструментом для диагностики и решения проблем в работе операционной системы Windows.
Определение и назначение
Как создается C:\windows\memory.dmp?
Файл C:\windows\memory.dmp представляет собой дамп памяти операционной системы Windows. Он создается в том случае, когда система сталкивается с критической ошибкой, например, синим экраном смерти (BSOD). Этот файл содержит информацию о состоянии системы в момент возникновения ошибки и может быть использован для диагностики и анализа проблемы.
Дамп памяти создается операционной системой автоматически при возникновении критической ошибки. Когда система сталкивается с такой ошибкой, она сохраняет содержимое оперативной памяти и другие важные данные в файле C:\windows\memory.dmp. Этот файл может быть очень большим, в зависимости от объема занятой оперативной памяти в момент возникновения ошибки.
Создание файла дампа памяти может потребоваться для анализа проблемной ситуации и выявления причин ошибок. Этот файл можно использовать с помощью специальных программ для анализа дампа памяти, таких как WinDbg или BlueScreenView. С помощью этих программ можно анализировать содержимое дампа памяти и искать признаки возникновения ошибок или конкретные проблемные компоненты системы.
Если вам необходимо создать файл дампа памяти вручную, вы можете воспользоваться командой «kernel dump» в диспетчере задач Windows. Откройте диспетчер задач (нажмите комбинацию клавиш Ctrl+Shift+Esc), перейдите на вкладку «Подробности», найдите процесс «System» и щелкните правой кнопкой мыши на нем. В контекстном меню выберите «Память» и затем «Полный дамп памяти». Это создаст файл дампа памяти размером с объем занятой оперативной памяти и сохранит его в указанном месте.
Как разобрать содержимое
Чтобы разобрать содержимое файла «C:\windows\memory.dmp», вы можете воспользоваться дополнительными инструментами, такими как отладчик Windows или программы анализа дампа памяти, такие как WinDbg или Visual Studio Debugger.
С помощью этих инструментов вы сможете проанализировать содержимое дампа памяти, выявить ошибки или сбои, определить, какие программы и процессы вызвали проблему, а также получить подробную информацию о состоянии операционной системы и ее компонентов в момент возникновения сбоя.
Однако для проведения подробного анализа содержимого файла «C:\windows\memory.dmp» требуются знания и опыт работы с инструментами отладки и анализа дампа памяти. Поэтому для разбора содержимого этого файла рекомендуется обратиться к специалистам, которые имеют соответствующий опыт и навыки.
Это маленькая заметка о том, какие шаги необходимо выполнить для получения первичной информации об исполняемом файле, ставшем возможной причиной остановки работы операционной системы Windows — Blue Screen of Death (BSOD). По умолчанию ОС Windows настроена таким образом, что при возникновении ошибки приводящей к полной остановке работы системы, автоматически создаётся аварийный дамп памяти в виде файла MEMORY.DMP. Чтобы получить доступ к информации из этого файла, нам потребуется набор отладочных утилит Debugging tools for Windows из состава Windows Software Development Kit.
Переходим по ссылке WDK and WinDbg downloads и скачиваем онлайн-инсталлятор/загрузчик Standalone Debugging Tools for Windows (WinDbg) – файл sdksetup.exe. Запускаем инсталлятор и выбираем вариант установки…
На следующем шаге выбора компонент к установке (Select the features you want to install) отмечаем только то, что нам нужно — Debugging tools for Windows и нажимаем Install
В указанную на первом экране папку из Интернета будет загружен и установлен набор утилит.
После окончания установки находим в меню “Пуск” или на стартовом экране в группе ярлыков Windows Kits утилиту WinDbg и запускаем её с правами администратора
Если по какой-то причине ярлык найти не удалось, то можно запустить исполняемый файл из каталога установки — С:\Program Files (x86)\Windows Kits\8.1\Debuggers\x64\windbg.exe
В главном меню программы WinDbg выбираем пункты File > Symbol File Path. В открывшееся окно вставляем строку определяющую пусть к локальному каталогу символьного кэша и его онлайн-источнику:
SRV*C:\Windows\symbol_cache*http://msdl.microsoft.com/download/symbols
Сохраняем настройки, выбрав в главном меню пункты File > Save Workspace
Открываем файл дампа памяти, выбрав в меню File > Open Crash Dump…
Выбираем файл MEMORY.DMP (по умолчанию расположен в каталоге C:\Windows) и нажимаем Open
Появится информация о том, какой именно исполняемый модуль стал причиной остановки работы системы. Щёлкнув по гиперссылке !analyze-v можно получить более развернутую информацию о состоянии системы на момент возникновения стоп-ошибки.
Туже самую информацию можно получить и с помощью командной строки используя примерно следующую последовательность команд:
cd /d "C:\Program Files (x86)\Windows Kits\8.1\Debuggers\x64\"
kd -z "D:\DOWNLOADS\VM05\MEMORY.DMP"
.logopen C:\Debuglog.txt
.sympath srv*C:\Windows\symbol_cache*http://msdl.microsoft.com/download/symbols
В этом примере вся информация о разборе дампа будет выгружена в читаемом виде в файл C:\Debuglog.txt
Источники информации:
- KB315263 — Интерпретация содержимого малого дампа памяти, создаваемого Windows для отладки
- Scott Forsyth — Reading a memory.dmp or other .dmp file