Een crashdump van Windows 7 verwijderen

Een van de meest voorkomende Windows-fouten zijn systeemuitzonderingen, die de gebruiker te zien krijgt in de vorm van een “blue screen of death” (BSOD). In de regel treedt deze fatale fout op als gevolg van een storing in stuurprogramma's, hardware (meestal bij het laden van het besturingssysteem) of als gevolg van de werking van virussen en antivirusprogramma's.

Het blauwe scherm van de dood bevat informatie over de redenen die de uitzondering veroorzaakten (in de vorm van een STOP-foutcode in de vorm 0x0000007b), geheugenadressen die werden gebruikt toen een uitzondering optrad, en andere nuttige informatie. Dergelijke informatie wordt een STOP-fout genoemd, waarvan de variabele parameters precies geheugenadressen zijn. Soms bevat het ook de naam van het bestand dat de uitzondering veroorzaakte.

Al deze informatie wordt niet lang (maximaal 100 seconden) op het scherm weergegeven, waarna de computer opnieuw opstart. Gedurende deze korte tijd wordt in de regel een geheugendump gegenereerd en naar een bestand geschreven. Een van de belangrijke professionele methoden voor het diagnosticeren van fouten is de geheugendumpanalyse, die in dit artikel in detail zal worden besproken.

Wat is een puinhoop

dump (Engels) - vuilnisbelt; dumpen; gat; sloppenwijk.
dump (geheugendump) – 1) dump, waarbij de inhoud van het RAM wordt uitgevoerd om af te drukken of op het scherm te zetten; 2) een “momentopname” van RAM; gegevens verkregen als gevolg van dumping; 3) noodverwijdering, uitschakeling, reset.
dumpen - dumpen, dumpen verwijderen.

Instellingen voor het opslaan van een geheugendump worden opgeslagen in het Windows-systeemregister.

Informatie over de geheugendump in het systeemregister:

In de sectie Windows-register wordt een crashdump gedefinieerd door de volgende parameters:

– REG_DWORD-parameter AutoReboot met de waarde 0×1 (optie Automatisch het hulpvenster Boot and Restore van het dialoogvenster Systeemeigenschappen opnieuw opstarten);

– REG_DWORD-parameter CrashDumpEnabled met een waarde van 0×0, als er geen geheugendump is gemaakt; 0×1 – Volledige geheugendump; 0×2 – Kernelgeheugendump; 0x3 – Kleine geheugendump (64KB);

– REG_EXPAND_SZ DumpFile-parameter met de standaardwaarde %SystemRoot%\MEMORY.DMP (opslaglocatie van dumpbestand);

– REG_DWORD parameter LogEvent met een standaardwaarde van 0×1 (optie Loggebeurtenis naar het systeemlogboek van het Boot and Recovery-venster);

– REG_EXPAND_SZ MinidumpDir-parameter met de standaardwaarde %SystemRoot%\Minidump (optie voor kleine dumpmap in het venster Boot and Recovery);

– REG_DWORD-parameter Overschrijven met een standaardwaarde van 0×1 (optie Overschrijf bestaand dumpbestand van het Boot and Restore-venster);

– REG_DWORD-parameter SendAlert met een standaardwaarde van 0x1 (optie Stuur administratieve waarschuwing van het opstart- en herstelvenster).

Hoe het systeem een crashdumpbestand maakt

Tijdens het opstarten controleert het besturingssysteem de crashdumpinstellingen in de registersleutel. Als er ten minste één parameter is opgegeven, genereert het systeem een kaart van schijfblokken die worden ingenomen door het wisselbestand op het opstartvolume en slaat deze op in het geheugen. Het systeem bepaalt ook welk schijfapparaatstuurprogramma het opstartvolume bestuurt, berekent controlesommen voor het geheugenimage van het stuurprogramma en voor datastructuren die geheel moeten zijn voordat het stuurprogramma I/O-bewerkingen kan uitvoeren.

Na een storing controleert de systeemkernel de integriteit van de paginabestandstoewijzing, het schijfstuurprogramma en de besturingsstructuren van het schijfstuurprogramma. Als de integriteit van deze structuren niet wordt geschonden, roept de systeemkernel speciale I/O-functies van de schijfdriver aan die zijn ontworpen om het geheugenimage op te slaan na een systeemfout. Deze I/O-functies staan op zichzelf en zijn niet afhankelijk van kernelservices, omdat de programma's die verantwoordelijk zijn voor het schrijven van de crashdump geen enkele aanname kunnen doen over welke delen van de systeemkernel of apparaatstuurprogramma's beschadigd raakten toen er een crash plaatsvond. De systeemkernel schrijft gegevens uit het geheugen naar de sectorkaart van het wisselbestand (de systeemkernel hoeft geen bestandssysteemstuurprogramma's te gebruiken).

Eerst controleert de systeemkernel de status van elke component die betrokken is bij het dumpproces. Dit wordt gedaan zodat bij rechtstreeks schrijven naar schijfsectoren de gegevens buiten het paginabestand niet worden beschadigd. De grootte van het paginabestand moet 1 MB groter zijn dan de grootte van het fysieke geheugen, omdat wanneer informatie naar de dump wordt geschreven, er een header wordt gemaakt die de handtekening van de crashdump en de waarden van verschillende kritieke systeemkernelvariabelen bevat. De header is minder dan 1 MB, maar het besturingssysteem kan de grootte van het paginabestand met minimaal 1 MB vergroten (of verkleinen).

Nadat het systeem is opgestart, initialiseert Session Manager (Windows NT Session Manager; schijfadres - \WINDOWS\system32\smss.exe) de systeempaginabestanden, waarbij de eigen NtCreatePagingFile-functie wordt gebruikt om elk bestand te maken. NtCreatePagingFile bepaalt of het paginabestand dat wordt geïnitialiseerd bestaat en, zo ja, of het een dumpheader heeft. Als er een header is, stuurt NtCreatePagingFile een speciale code naar de Session Manager. Session Manager start vervolgens het Winlogon-proces (Windows NT Logon Program; schijfadres is \WINDOWS\system32\winlogon.exe), dat op de hoogte wordt gesteld van het bestaan van een crashdump. Winlogon voert het SaveDump-programma uit (Windows NT Memory Copy Program; schijfadres - \WINDOWS\system32\savedump.exe), dat de dumpheader analyseert en verdere acties in een noodsituatie bepaalt.

Als de header het bestaan van een dump aangeeft, kopieert SaveDump de gegevens van het paginabestand naar het crashdumpbestand, waarvan de naam wordt opgegeven door de parameter REG_EXPAND_SZ van de sectie DumpFile van het register. Terwijl SaveDump het dumpbestand herschrijft, gebruikt het besturingssysteem niet het deel van het paginabestand dat de crashdump bevat. Gedurende deze tijd wordt de hoeveelheid virtueel geheugen die beschikbaar is voor het systeem en de applicaties verminderd met de dumpgrootte (en er kunnen berichten op het scherm verschijnen die aangeven dat het virtuele geheugen bijna leeg is). SaveDump informeert vervolgens de geheugenbeheerder dat het opslaan van de dump is voltooid en geeft het deel van het paginabestand waarin de dump is opgeslagen vrij voor algemeen gebruik.

Na het opslaan van het dumpbestand registreert het SaveDump-programma de creatie van een crashdump in het systeemgebeurtenislogboek, bijvoorbeeld: “De computer is opnieuw opgestart na een kritieke fout: 0x100000d1 (0xc84d90a6, 0x00000010, 0x00000000, 0xc84d90a6). Geheugenkopie opgeslagen: C:\WINDOWS\Minidump\Mini060309-01.dmp".

Als de optie Beheerderswaarschuwing verzenden is ingeschakeld, stuurt SaveDump een waarschuwing naar de beheerder.

Soorten stortplaatsen

Volledige geheugendump schrijft de volledige inhoud van het systeemgeheugen wanneer er een fatale fout optreedt. Voor deze optie moet u een wisselbestand op het opstartvolume hebben, waarvan de grootte gelijk is aan de hoeveelheid al het fysieke RAM plus 1 MB. Standaard wordt een volledige geheugendump naar het bestand %SystemRoot%\Memory.dmp geschreven. Wanneer er een nieuwe fout optreedt en er een nieuw volledig geheugendumpbestand (of kernelgeheugendumpbestand) wordt gemaakt, wordt het vorige bestand vervangen (overschreven). De optie Volledige geheugendump is niet beschikbaar op pc's met een 32-bits besturingssysteem en 2 gigabyte of meer RAM.

Wanneer er een nieuwe fout optreedt en er een nieuw volledig geheugendumpbestand wordt gemaakt, wordt het vorige bestand vervangen.

Kernel-geheugendump schrijft alleen kernelgeheugen, waardoor het proces van het schrijven van gegevens naar het logboek wanneer het systeem plotseling stopt sneller verloopt. Afhankelijk van de hoeveelheid fysiek geheugen van de pc heeft het wisselbestand in dit geval 50 tot 800 MB nodig, of een derde van het fysieke geheugen van de computer op het opstartvolume. Standaard wordt de kernelgeheugendump naar het bestand %SystemRoot%\Memory.dmp geschreven.

Deze dump omvat geen niet-toegewezen geheugen of geheugen dat is toegewezen aan programma's in de gebruikersmodus. Het omvat alleen geheugen dat is toegewezen aan de kernel en hardware-afhankelijke laag (HAL) in Windows 2000 en latere versies van het systeem, evenals geheugen dat is toegewezen aan stuurprogramma's in de kernelmodus en andere programma's in de kernelmodus. In de meeste gevallen is een dergelijke dump de optie die de meeste voorkeur verdient. Het neemt veel minder ruimte in beslag dan een volledige geheugendump, terwijl alleen die geheugensectoren worden uitgesloten die hoogstwaarschijnlijk geen verband houden met de fout.
Wanneer er een nieuwe fout optreedt en er een nieuw kernelgeheugendumpbestand wordt gemaakt, wordt het vorige bestand vervangen.

Kleine geheugendump registreert de kleinste hoeveelheid nuttige informatie die nodig is om de oorzaak van het probleem te achterhalen. Om een kleine geheugendump te maken, moet de paginabestandsgrootte op het opstartvolume minimaal 2 MB zijn.

Kleine geheugendumpbestanden bevatten de volgende informatie:

Fatale foutmelding, de parameters en andere gegevens;
lijst met geladen stuurprogramma's;
de processorcontext (PRCB) waarop de fout heeft plaatsgevonden;
procesinformatie en kernelcontext (EPROCESS) voor het proces dat de fout veroorzaakte;
procesinformatie en kernelcontext (ETHREAD) voor de thread die de fout veroorzaakte;
De kernelmodusaanroepstack voor de thread die de fout heeft veroorzaakt.

Het kleine geheugendumpbestand wordt gebruikt als de ruimte op de harde schijf beperkt is. Vanwege de beperkte informatie die het bevat, kan de analyse van dit bestand echter niet altijd fouten detecteren die niet rechtstreeks werden veroorzaakt door de thread die actief was toen de fout optrad.

Wanneer de volgende fout optreedt en er een tweede klein geheugendumpbestand wordt gemaakt, wordt het vorige bestand opgeslagen. Elk extra bestand krijgt een unieke naam. De datum is gecodeerd in de bestandsnaam. Mini051509-01.dmp is bijvoorbeeld het eerste geheugendumpbestand dat op 15 mei 2009 is gemaakt. In de map wordt een lijst met alle kleine geheugendumpbestanden opgeslagen. %SysteemRoot%\Minidump.

Het Windows XP-besturingssysteem is ongetwijfeld veel betrouwbaarder dan eerdere versies, dankzij de inspanningen van zowel Microsoft-ontwikkelaars, ontwikkelaars van hardwarestuurprogramma's als ontwikkelaars van applicatiesoftware. Noodsituaties - allerlei soorten storingen en systeemcrashes - zijn echter onvermijdelijk, en of de pc-gebruiker over de kennis en vaardigheden beschikt om deze te elimineren, hangt af van de vraag of hij een paar minuten zal moeten besteden aan het oplossen van problemen (bijvoorbeeld het updaten/debuggen van een stuurprogramma of het opnieuw installeren van een applicatie) programma dat een systeemcrash veroorzaakt) - of enkele uren om het besturingssysteem en de applicatiesoftware opnieuw te installeren/configureren (wat niet de afwezigheid van fouten en crashes in de toekomst garandeert!).

Veel systeembeheerders verzuimen nog steeds de crashdumps van Windows te analyseren, omdat ze denken dat het te moeilijk is om ermee te werken. Het is moeilijk, maar het is mogelijk: zelfs als bijvoorbeeld de analyse van één op de tien dumps succesvol blijkt te zijn, zullen de inspanningen die zijn besteed aan het beheersen van de eenvoudigste technieken voor het analyseren van crashdumps niet tevergeefs zijn!

Ik zal voorbeelden geven uit mijn “sysadmin” praktijk.

Op het lokale netwerk vielen, zonder aanwijsbare reden (“de hardware is in orde, de afwezigheid van virussen is gegarandeerd, de gebruikers hebben “normale handen”), verschillende werkstations met Windows XP SP1/SP2 “aan boord” uit. Het was niet mogelijk om de computers in de normale modus op te starten - het kwam op "Groeten" - en het duurde een eeuwigheid om opnieuw op te starten. Tegelijkertijd startten de pc's op in de veilige modus.

Het bestuderen van de geheugendumps maakte het mogelijk om de oorzaak van de storing te identificeren: de boosdoener bleek Kaspersky Anti-Virus te zijn, meer bepaald nieuwe antivirusdatabases (meer precies, twee databasemodules - base372c.avc, base032c.avc) .

...Er was nog zo'n geval. Op een lokale pc met Windows XP SP3 vond een herstart plaats toen werd geprobeerd videobestanden in de formaten .avi en .mpeg te openen. Door de geheugendump te bestuderen, konden we de oorzaak van het probleem identificeren: het bestand nv4_disp.dll van het NVIDIA GeForce 6600-videokaartstuurprogramma. Na het bijwerken van het stuurprogramma was het probleem verholpen. Over het algemeen is het stuurprogramma nv4_disp.dll een van de meest onstabiele stuurprogramma's, wat vaak tot BSOD leidde.

In beide gevallen maakte het bestuderen van de crashgeheugendump het mogelijk om de tijd voor het diagnosticeren en elimineren van de storing tot een minimum te beperken (enkele minuten!).

Analyse van geheugendumps

Er zijn veel programma's voor het analyseren van crashgeheugendumps, bijvoorbeeld DumpChk, Kanalyze, WinDbg.

Laten we eens kijken naar het analyseren van crashgeheugendumps met behulp van het WinDbg-programma (onderdeel van Debugging Tools voor Windows).

Foutopsporingstools installeren

bezoek de website van Microsoft Corporation http://www.microsoft.com/whdc/devtools/debugging/default.mspx;
download Debugging Tools voor Windows, voor een 32-bits versie van Windows kunt u dit bijvoorbeeld doen op de pagina Debugging Tools for Windows downloaden;
voer na het downloaden het installatiebestand uit;
klik in het venster Debugging Tools for Windows Setup Wizard op Volgende;
selecteer in het venster met de licentieovereenkomst de schakelaar Ik ga akkoord -> Volgende;
in het volgende venster selecteert u het installatietype (standaard worden debugging tools geïnstalleerd in de map \Program Files\Debugging Tools for Windows) –> Volgende –> Installeren –> Voltooien;
Om geheugendumpbestanden te interpreteren, moet u ook de symboolpakketten voor uw versie van Windows downloaden. Ga naar de pagina Windows-symboolpakketten downloaden;
selecteer uw versie van Windows, download het installatiebestand van Symbol Packages en voer het uit;
klik in het venster met de licentieovereenkomst op Ja;
selecteer in het volgende venster de installatiemap (de standaard is \WINDOWS\Symbols) –> OK –> Ja;
Klik in het Microsoft Windows-symbolenvenster met het bericht 'Installatie is voltooid' op OK.

WinDbg gebruiken om crashdumps te analyseren

voer WinDbg uit (standaard geïnstalleerd in de map \Program Files\Debugging Tools for Windows);
selecteer menu Bestand –> Symbool Bestandspad…;
klik in het venster Symbol Search Path op de knop Bladeren...;
geef in het venster Bladeren door map de locatie van de map Symbolen op (standaard – \WINDOWS\Symbols) –> OK –> OK;
selecteer menu Bestand -> Crashdump openen... (of druk op Ctrl + D);
geef in het venster Crash Dump openen de locatie op van het Crash Dump-bestand (*.dmp) -> Openen;
vink in het venster Werkruimte met de vraag “Informatie opslaan voor werkruimte?” het vakje Niet opnieuw vragen -> Nee aan;
Het Command Dump-venster wordt geopend in het WinDbg-venster<путь_и_имя_файла_дампа>met dumpanalyse;
de geheugendumpanalyse bekijken;
in de sectie “Bugcheck Analysis” wordt de mogelijke oorzaak van de crash aangegeven, bijvoorbeeld “Waarschijnlijk veroorzaakt door: smwdm.sys (smwdm+454d5)”;
om gedetailleerde informatie te bekijken, klikt u op de link “!analyze -v” in de regel “Gebruik !analyze -v om gedetailleerde foutopsporingsinformatie te krijgen”;
sluit WinDbg;
Gebruik de verkregen informatie om de oorzaak van het probleem te elimineren.

In de volgende schermafbeelding is de oorzaak van de storing bijvoorbeeld het bestand nv4_disp.dll van het videokaartstuurprogramma.

Hallo vrienden, vandaag zullen we een interessant onderwerp bespreken dat je in de toekomst zal helpen wanneer een blue screen of death (BSoD) verschijnt.

Net als ik moesten veel andere gebruikers het uiterlijk waarnemen van een scherm met een blauwe achtergrond waarop iets was geschreven (wit op blauw). Dit fenomeen duidt op een kritiek probleem, zowel in de software, bijvoorbeeld een driverconflict, als in een fysieke storing van een computeronderdeel.

Ik kreeg onlangs weer een blauw schermprobleem in Windows 10, maar ik ben er snel vanaf en zal je er binnenkort over vertellen.

Wil je? Volg dan de link.

De meeste gebruikers zijn zich er dus niet van bewust dat BSoD kan worden geanalyseerd om later de kritieke foutproblemen te begrijpen. Voor dergelijke gevallen maakt Windows speciale bestanden op de schijf aan, en we zullen deze analyseren.

Er zijn drie soorten geheugendumps:

Volledige geheugendump– met deze functie kunt u de inhoud van het RAM-geheugen volledig opslaan. Het wordt zelden gebruikt, want stel je voor dat je 32 GB RAM hebt, met een volledige dump wordt al dit volume op schijf opgeslagen.

Kerndump– slaat informatie over de kernelmodus op.

Kleine geheugendump– slaat een kleine hoeveelheid foutinformatie en geladen componenten op die aanwezig waren op het moment dat de systeemstoring optrad. We zullen dit type dump gebruiken omdat het ons voldoende informatie over de BSoD zal geven.

De locatie van zowel de kleine als de volledige dump is verschillend. De kleine dump bevindt zich bijvoorbeeld in het volgende pad: %systemroot%\minidump.

De volledige dump is hier: %systemroot%.

Er zijn verschillende programma's voor het analyseren van geheugendumps, maar we zullen er twee gebruiken. De eerste is Microsoft Kernel Debuggers, zoals de naam al doet vermoeden, een hulpprogramma van Microsoft. Je kunt het downloaden van de officiële website. Het tweede programma is BlueScreenView, een gratis programma dat u hier kunt downloaden.

Een geheugendump analyseren met behulp van Microsoft Kernel Debuggers

Voor verschillende versies van systemen moet u een ander type hulpprogramma downloaden. Voor een 64-bits besturingssysteem is bijvoorbeeld een 64-bits programma nodig, voor een 32-bits besturingssysteem is een 32-bits versie nodig.

Dat is nog niet alles, u moet het pakket met foutopsporingssymbolen dat nodig is voor het programma downloaden en installeren. Het heet Foutopsporingssymbolen. Elke versie van dit pakket wordt ook gedownload onder een specifiek besturingssysteem. Zoek eerst uit welk systeem je hebt en download vervolgens. Zodat u deze symbolen nergens hoeft te zoeken, vindt u hier de downloadlink. De installatie dient bij voorkeur in dit pad te worden uitgevoerd: %systemroot%\symbols.

Nu kunt u onze debugger starten, waarvan het venster er als volgt uit zal zien:

Voordat we de dumps analyseren, zullen we iets in het hulpprogramma configureren. Eerst moeten we het programma vertellen waar we de foutopsporingssymbolen hebben geïnstalleerd. Om dit te doen, klikt u op de knop "Bestand", selecteert u het item "Symboolbestandspad" en geeft u vervolgens het pad naar de symbolen op.

Met het programma kun je symbolen rechtstreeks van internet halen, zodat je ze niet eens hoeft te downloaden (sorry voor degenen die ze al hebben gedownload). Ze worden van een Microsoft-server gehaald, dus alles is veilig. U moet dus opnieuw “Bestand” openen, vervolgens “Symboolbestandspad” en de volgende opdracht invoeren:

SRV*%systemroot%\symbols*http://msdl.microsoft.com/download/symbols

We hebben dus aan het programma aangegeven dat de symbolen uit het netwerk moesten worden gehaald. Zodra we dit hebben gedaan, klikt u op "Bestand" en selecteert u "Werkruimte opslaan" en klikt u vervolgens op OK.

Dat is het. We hebben het programma op de juiste manier geconfigureerd, nu beginnen we geheugendumps te analyseren. Druk in het programma op de knop "Bestand", Dan "Open crashdump" en selecteer het gewenste bestand.

Kernel Debuggers beginnen het bestand te analyseren en geven vervolgens een resultaat over de oorzaak van de fout.

In het venster dat verschijnt, kunt u opdrachten invoeren. Als we binnenkomen !analyseren –v, dan krijgen we meer informatie.

Dat is alles met dit programma. Om de debugger te stoppen, selecteert u "Debug" en het item "Debugging stoppen".

Een geheugendump analyseren met BlueScreenView

Het BlueScreenView-programma is ook geschikt voor het analyseren van verschillende fouten en BSoD's; het heeft een eenvoudige interface, dus er zouden geen problemen moeten zijn bij het beheersen ervan.

Download het programma via de bovenstaande link en installeer het. Nadat u het hulpprogramma hebt gestart, moet u het configureren. Ga naar de parameters: “Instellingen” - “Geavanceerde instellingen”. Er wordt een klein venster geopend met een paar items. In de eerste paragraaf moet u de locatie van de geheugendumps aangeven. Ze bevinden zich meestal in het pad C:\WINDOWS\Minidump. Klik vervolgens gewoon op de knop "Standaard".

Wat kun je zien in het programma? We hebben menu-items, een deel van het venster met de namen van de dumpbestanden, en het tweede deel van het venster – de inhoud van de geheugendumps.

Zoals ik aan het begin van het artikel al zei, kunnen dumps stuurprogramma's opslaan, de schermafbeelding van het 'scherm des doods' zelf en andere nuttige informatie die nuttig voor ons kan zijn.

Selecteer dus in het eerste deel van het venster, waar de dumpbestanden staan, de geheugendump die we nodig hebben. In het volgende deel van het venster bekijken we de inhoud. Stuurprogramma's in de geheugenstapel zijn gemarkeerd in een roodachtige kleur. Zij zijn precies de oorzaak van het blauwe scherm van de dood.

Op internet kunt u alles vinden over de foutcode en het stuurprogramma dat mogelijk verantwoordelijk is voor BSoD. Om dit te doen, klikt u op "Bestand" en vervolgens “Vind foutcode + stuurprogramma in Google”.

U kunt alleen de stuurprogramma's weergeven die aanwezig waren op het moment dat de fout optrad. Om dit te doen, klikt u op "Instellingen" - "Onderste venstermodus" - "Alleen stuurprogramma's gevonden in de crashstack". Of druk op de F7-toets.

Druk op F8 om de BSoD-screenshot weer te geven.

Druk op F6 om alle stuurprogramma's en bestanden weer te geven.

Nou, dat is alles. Nu weet u hoe u meer te weten kunt komen over het Blue Screen of Death-probleem, en als er iets gebeurt, kunt u een oplossing vinden op internet of op deze site. U kunt uw foutcodes opgeven, en ik zal proberen voor elk artikel te schrijven om het probleem op te lossen.

Vergeet ook niet om vragen te stellen in de reacties.

Of, zoals het ook wel wordt genoemd, BSOD kan de levensduur van zowel de computer als de server aanzienlijk verpesten, en het bleek ook een virtuele machine te zijn. Vandaag zal ik je vertellen hoe je het blauwe scherm van dumpgeheugen in Windows kunt analyseren, aangezien een correcte diagnose en het verkrijgen van de reden waarom je systeem niet werkt, 99 procent van de oplossing, vooral een systeemingenieur, eenvoudigweg verplicht is om te kunnen doe dit, en wel in de kortst mogelijke tijd. Hoe kan een bedrijf veel geld verliezen als gevolg van serviceuitval?

BSOD-decodering

Laten we eerst eens kijken wat deze afkorting betekent, BSOD uit het Engelse Blue Screen of Death of ook wel STOP-foutmodus.

Blue screen of death-fouten kunnen om verschillende redenen optreden, waaronder problemen met het stuurprogramma, een defecte applicatie of een defecte RAM-module. Zodra u in Windows een blauw scherm krijgt, maakt uw systeem automatisch een crashgeheugendumpbestand aan, dat wij zullen analyseren.

Hoe u het maken van geheugendumps configureert

Wanneer er een blauw scherm is, maakt Windows standaard een crashdumpbestand memory.dmp aan, nu zal ik laten zien hoe het is geconfigureerd en waar het is opgeslagen. Ik zal het laten zien met Windows Server 2008 R2 als voorbeeld, aangezien ik onlangs een taak om het probleem van een blauw scherm in een virtuele machine te bestuderen. Om erachter te komen waar het dumpgeheugenvenster is geconfigureerd, opent u Start, klikt u met de rechtermuisknop op het computerpictogram en selecteert u eigenschappen.

Dumpgeheugen met blauw scherm analyseren in Windows - Computereigenschappen

Hoe blauw schermdumpgeheugen te analyseren in de Windows-systeeminstellingen

Ga naar het tabblad Geavanceerd - Opstarten en herstellen. Klik op de knop Instellingen

Hoe blauw schermdumpgeheugen in Windows te analyseren - Opstarten en herstellen

Waar wordt het memory.dmp-bestand opgeslagen?

en we zien dat er allereerst een selectievakje is om automatisch opnieuw op te starten om foutopsporingsinformatie vast te leggen, Kernel-geheugendump is geselecteerd en daaronder is waar de geheugendump wordt opgeslagen: %SystemRoot%\MEMORY.DMP

Laten we naar de map c:\windows\ gaan en het bestand MEMORY.DMP zoeken. Het bevat een blauw scherm met doodscodes

Hoe blauw schermdumpgeheugen in Windows-memory.dmp te analyseren

Hoe u een minidump instelt

Blue Screen of Death-fouten worden ook vastgelegd in de kleine geheugendump die daar is geconfigureerd, u hoeft deze alleen maar te selecteren.

Het wordt opgeslagen in de map c:\windows\minidump. Het voordeel is dat het minder ruimte in beslag neemt en voor elk blauw scherm als apart bestand wordt aangemaakt. U kunt altijd de geschiedenis van blauwe schermvoorvallen bekijken.

Nu we hebben uitgezocht waar we het geheugendumpbestand moeten zoeken, moeten we leren hoe we het moeten interpreteren en de reden begrijpen waarom het blauwe scherm van de dood optreedt. Microsoft Kernel Debugger zal ons helpen dit probleem op te lossen. U kunt Microsoft Kernel Debugger downloaden van de officiële website, het belangrijkste is om de gewenste versie van het besturingssysteem te selecteren. Als iemand het kapot maakt, kunt u het via een directe link van de Yandex-schijf downloaden. Het maakt ook deel uit van ADK.

Download Microsoft Kernel Debugger, als resultaat heb je een klein bestand waarmee je alles wat je nodig hebt van internet kunt downloaden. Laten we het lanceren.

Wij nemen niet deel aan het kwaliteitsverbeteringsprogramma

Klik op Accepteren en ga akkoord met de licentie

Microsoft Kernel Debugger installeren - ga akkoord met de licentie

De installatie van Microsoft Kernel Debugger begint

Microsoft Kernel Debugger installeren - MKD-installatie

We zien dat Microsoft Kernel Debugger met succes is geïnstalleerd

Waarna we zien dat de map Debugging Tools for Windows bij het opstarten is verschenen voor zowel 32 als 64 bit systemen.

Naast het Debugging Tools for Windows-pakket zelf hebt u ook een set foutopsporingssymbolen nodig: Debugging Symbols. De set foutopsporingssymbolen is specifiek voor elk besturingssysteem waarop de BSoD is opgenomen. Daarom moet u een set symbolen downloaden voor elk besturingssysteem waarvan u de werking moet analyseren. Voor een 32-bits Windows XP is de 32-bits tekenset van Windows XP vereist; voor een 64-bits besturingssysteem is de 64-bits tekenset van Windows XP vereist. Voor andere besturingssystemen uit de Windows-familie worden tekensets volgens hetzelfde principe geselecteerd. U kunt hier foutopsporingssymbolen downloaden. Het wordt aanbevolen om ze te installeren op %systeemhoofd%\symbolen hoewel ik ze graag in aparte mappen installeer en de Windows-map niet rommelig maak.

Blue Screen-analyse in foutopsporingstools

Nadat u Debugging Symbols hebt geïnstalleerd voor het systeem met het blauwe scherm des doods, start u Debugging Tools

Microsoft Kernel Debugger installeren - Uitvoeren

Voordat u de inhoud van de geheugendump analyseert, moet u een kleine configuratie van de debugger uitvoeren. Vertel het programma specifiek waar het moet zoeken naar foutopsporingssymbolen. Om dit te doen, selecteert u Bestand > Symboolbestandspad… in het menu.

Klik op de knop Bladeren...

en de map aangeven waarin we de debug-symbolen voor de betreffende geheugendump hebben geïnstalleerd, je kunt meerdere mappen opgeven, gescheiden door komma's, en je kunt informatie over de benodigde debugging-symbolen rechtstreeks via internet opvragen vanaf een openbare Microsoft-server. Zo beschikt u over de laatste versie van de symbolen. U kunt dit als volgt doen - in het menu Bestand > Symbool Bestandspad... invoeren.

Hallo vrienden, vandaag zullen we een interessant onderwerp bespreken dat je in de toekomst zal helpen wanneer een blue screen of death (BSoD) verschijnt.

Ik kreeg onlangs weer een blauw scherm in Windows 10, maar daar ben ik snel vanaf en ik zal je er binnenkort over vertellen.

Wil je films online in goede kwaliteit bekijken? Volg dan de link.

Er zijn drie soorten geheugendumps:

Volledige geheugendump – met deze functie kunt u de inhoud van het RAM-geheugen volledig opslaan. Het wordt zelden gebruikt, want stel je voor dat je 32 GB RAM hebt, met een volledige dump wordt al dit volume op schijf opgeslagen.

Kerneldump – slaat informatie op over de kernelmodus.

Kleine geheugendump – slaat een kleine hoeveelheid informatie op over fouten en geladen componenten die aanwezig waren op het moment dat de systeemstoring optrad. We zullen dit type dump gebruiken omdat het ons voldoende informatie over de BSoD zal geven.

De locatie van zowel de kleine als de volledige dump is verschillend. De kleine dump bevindt zich bijvoorbeeld in het volgende pad: %systemroot%minidump.

De volledige dump is hier: %systemroot%.

Een geheugendump analyseren met behulp van Microsoft Kernel Debuggers

Dat is nog niet alles, u moet het pakket met foutopsporingssymbolen dat nodig is voor het programma downloaden en installeren. Het heet Foutopsporingssymbolen. Elke versie van dit pakket wordt ook gedownload onder een specifiek besturingssysteem. Zoek eerst uit welk systeem je hebt en download vervolgens. Zodat u deze symbolen nergens hoeft te zoeken, vindt u hier de downloadlink. De installatie moet bij voorkeur in dit pad worden uitgevoerd: %systemroot%symbols.

Nu kunt u onze debugger starten, waarvan het venster er als volgt uit zal zien:

SRV*%systemroot%symbols*http://msdl.microsoft.com/download/symbols

Dat is het. We hebben het programma op de juiste manier geconfigureerd, nu beginnen we geheugendumps te analyseren. Klik in het programma op de knop "Bestand", vervolgens op "Crashdump openen" en selecteer het gewenste bestand.

Kernel Debuggers beginnen het bestand te analyseren en geven vervolgens een resultaat over de oorzaak van de fout.

In het venster dat verschijnt, kunt u opdrachten invoeren. Als we!analyze –v invoeren, krijgen we meer informatie.

Dat is alles met dit programma. Om de debugger te stoppen, selecteert u "Debug" en het item "Debugging stoppen".

Een geheugendump analyseren met BlueScreenView

Download het programma via de bovenstaande link en installeer het. Nadat u het hulpprogramma hebt gestart, moet u het configureren. Ga naar de parameters: “Instellingen” - “Geavanceerde instellingen”. Er wordt een klein venster geopend met een paar items. In de eerste paragraaf moet u de locatie van de geheugendumps aangeven. Ze bevinden zich meestal in het pad C:WINDOWSMinidump. Klik vervolgens gewoon op de knop "Standaard".

Wat kun je zien in het programma? We hebben menu-items, een deel van het venster met de namen van de dumpbestanden, en het tweede deel van het venster – de inhoud van de geheugendumps.

Zoals ik aan het begin van het artikel al zei, kunnen dumps stuurprogramma's opslaan, de schermafbeelding van het 'scherm des doods' zelf en andere nuttige informatie die nuttig voor ons kan zijn.

Op internet kunt u alles vinden over de foutcode en het stuurprogramma dat mogelijk verantwoordelijk is voor BSoD. Om dit te doen, klikt u op “Bestand” en vervolgens op “Zoek foutcode + stuurprogramma in Google”.

Druk op F8 om de BSoD-screenshot weer te geven.

Druk op F6 om alle stuurprogramma's en bestanden weer te geven.

Vergeet ook niet om vragen te stellen in de reacties.

http://computerinfo.ru/analiz-dampa-pamyati/http://computerinfo.ru/wp-content/uploads/2016/08/analiz-dampa-pamyati.jpghttp://computerinfo.ru/wp-content/ uploads/2016/08/analiz-dampa-pamyati-150×150.jpg2016-08-18T13:45:42+00:00EvilSin225BlueScreenView Problemen,Microsoft Kernel Debuggers,dumpanalyse,geheugendumpanalyse,windows 10 geheugendumpanalyse,geheugendump analyse Windows 7, crashdumpanalyse, oorzaak van BSoD Hallo vrienden, vandaag zullen we kijken naar een interessant onderwerp dat je in de toekomst zal helpen wanneer een blue screen of death (BSoD) verschijnt. Net als ik moesten veel andere gebruikers het uiterlijk waarnemen van een scherm met een blauwe achtergrond waarop iets was geschreven (wit op blauw). Dit fenomeen duidt op een kritiek probleem, zoals in software bijvoorbeeld ... EvilSin225 Andrey Terekhov [e-mailadres beveiligd] Computertechnologie

Crash-dump

Wanneer er een fatale fout wordt gedetecteerd, maken alle Windows-systemen een crashdump (momentopname) van de inhoud van het RAM-geheugen en slaan deze op de harde schijf op. Er zijn drie soorten geheugendumps:

Volledige geheugendump – slaat de volledige inhoud van RAM op. De afbeeldingsgrootte is gelijk aan de grootte van RAM + 1 MB (header). Zeer zelden gebruikt, omdat op systemen met grote hoeveelheden geheugen de dumpgrootte te groot zal zijn.

Kernelgeheugendump – slaat alleen RAM-informatie op die betrekking heeft op de kernelmodus. Informatie over de gebruikersmodus wordt niet opgeslagen omdat deze geen informatie bevat over de oorzaak van de systeemcrash. De grootte van het dumpbestand is afhankelijk van de grootte van het RAM-geheugen en varieert van 50 MB (voor systemen met 128 MB RAM) tot 800 MB (voor systemen met 8 GB RAM).

Kleine geheugendump (minidump) - bevat een vrij kleine hoeveelheid informatie: een foutcode met parameters, een lijst met stuurprogramma's die in het RAM zijn geladen op het moment van de systeemcrash, enz., maar deze informatie is voldoende om het defecte stuurprogramma te identificeren . Een ander voordeel van dit type dump is de kleine bestandsgrootte.

Systeemconfiguratie

Om de driver te identificeren die het blauwe scherm veroorzaakte, hebben we alleen een kleine geheugendump nodig. Om ervoor te zorgen dat het systeem tijdens een crash een minidump opslaat, moet u de volgende stappen uitvoeren:

Nadat alle manipulaties zijn voltooid, wordt na elke BSoD een bestand met de extensie .dmp opgeslagen in de map C:WINDOWSMinidump. Ik raad u aan het materiaal 'Een map maken' te lezen. U kunt ook het selectievakje 'Bestaand dumpbestand vervangen' aanvinken. In dit geval wordt elke nieuwe crashdump over de oude geschreven. Ik raad niet aan deze optie in te schakelen.

Een crashdump analyseren met BlueScreenView

Dus nadat het Blue Screen of Death verscheen, bewaarde het systeem een nieuwe crashgeheugendump. Om de dump te analyseren, raad ik aan het BlueScreenView-programma te gebruiken. Het kan hier gratis worden gedownload. Het programma is best handig en heeft een intuïtieve interface. Nadat u het hebt geïnstalleerd, moet u eerst de locatie opgeven voor het opslaan van geheugendumps op het systeem. Ga hiervoor naar het menu-item “Opties” en selecteer “Geavanceerde opties”. Selecteer het keuzerondje “Laden uit de volgende Mini Dump-map” en geef de map op waarin de dumps zijn opgeslagen. Als de bestanden zijn opgeslagen in de map C:WINDOWSMinidump, kunt u op de knop “Standaard” klikken. Klik op OK en ga naar de programma-interface.

Het programma bestaat uit drie hoofdblokken:

Selecteer in het geheugendumplijstblok (gemarkeerd met nummer 2 in de afbeelding) de dump waarin we geïnteresseerd zijn en bekijk de lijst met stuurprogramma's die in RAM zijn geladen (gemarkeerd met nummer 3 in de afbeelding). De stuurprogramma's die op de geheugenstack stonden, zijn roze gekleurd. Zij zijn de oorzaak van BSoD. Ga vervolgens naar het hoofdmenu van de bestuurder en bepaal tot welk apparaat of programma ze behoren. Let allereerst op niet-systeembestanden, want systeembestanden worden sowieso in het RAM geladen. Het is gemakkelijk te zien dat het defecte stuurprogramma in de afbeelding myfault.sys is. Ik zal zeggen dat dit programma specifiek is gelanceerd om een Stop-fout te veroorzaken. Nadat u het defecte stuurprogramma hebt geïdentificeerd, moet u het bijwerken of van het systeem verwijderen.

Om ervoor te zorgen dat het programma een lijst met stuurprogramma's weergeeft die zich op de geheugenstack bevinden wanneer een BSoD optreedt, moet u naar het menu-item "Opties" gaan, op het menu "LowerPaneMode" klikken en "OnlyDriversFoundInStack" selecteren (of op F7 drukken (toets) en om een screenshot van de fout weer te geven, selecteert u “BlueScreeninXPStyle” (F8). Om terug te keren naar de lijst met alle chauffeurs, moet u “AllDrivers” (F6) selecteren.

Ik zou het op prijs stellen als je de knoppen gebruikt:

Crashdump-analyse van Windows

In het geval van een kritieke fout stopt het systeem met werken, wordt een blue screen of death (BSOD) weergegeven, foutinformatie en geheugeninhoud worden opgeslagen in het wisselbestand. Wanneer het systeem vervolgens wordt geladen, wordt op basis van de opgeslagen gegevens een crashdump met foutopsporingsinformatie gemaakt. Er wordt een kritieke foutinvoer aangemaakt in het systeemgebeurtenislogboek.

Als er vroeg in het opstartproces van het systeem een kritieke fout optreedt of als gevolg van de fout een schijfsubsysteemfout optreedt, wordt de crashdump niet opgeslagen.

De crashdump kan worden geanalyseerd met behulp van het BlueScreenView-hulpprogramma of de WinDbg-systeemfoutopsporing (Debugging Tools voor Windows).

Analyse van crashdumps met het hulpprogramma BlueScreenView

Het eenvoudigste hulpmiddel voor het analyseren van crashdumps is het hulpprogramma BlueScreenView van NirSoft.

Download het programma van de website van de ontwikkelaar.

BlueScreenView scant de minidump-map en geeft informatie weer over de gevonden fouten.

Voor elke fout worden de datum, foutdetails en het stuurprogramma weergegeven dat vermoedelijk de fout heeft veroorzaakt.

Onderaan het venster wordt een lijst met stuurprogramma's weergegeven die op het systeem zijn geladen. De modules die op het moment van de storing werden gebruikt, zijn in kleur gemarkeerd; er moet speciale aandacht aan worden besteed; zij kunnen de oorzaak van de storing zijn.

Dubbelklikken geeft aanvullende informatie weer.

Analyse van een crashdump met behulp van de WinDbg-foutopsporing

Met WinDbg kunt u meer gedetailleerde informatie uit een crashdump extraheren, inclusief een transcriptie van de call-stack.

Foutopsporingsprogramma's voor Windows installeren (WinDbg)

Microsoft distribueert WinDbg alleen als onderdeel van de SDK; u kunt het webinstallatieprogramma downloaden vanaf de downloadpagina van het Ontwikkelcentrum.

Er is geen SDK-installatie vereist om crashdumps te analyseren. U kunt Debugging Tools voor Windows (WinDbg) hier of hier als afzonderlijk pakket downloaden.

Download en installeer WinDbg voor uw versie van Windows. De versie voor Windows 7 werkt ook in Windows XP en Windows Vista.

Windows 10 vereist WinDbg-versie 10.0.10586.567. Download de Windows 10 Standalone SDK. Het webinstallatieprogramma wordt gedownload. Schakel tijdens de installatie alle componenten uit, behalve de debugger.

Na de installatie passen we de snelkoppeling aan om WinDbg te starten. Vink in de snelkoppelingseigenschappen het vakje aan om als beheerder uit te voeren. Stel ook als werkmap in: %SystemRoot%Minidump.

Foutopsporingssymbolen instellen

Debug-symbolen bevatten symbolische namen van functies uit de broncode. Ze zijn nodig om de crashdump te decoderen en te interpreteren.

Wanneer u WinDbg voor het eerst start, moet u het pad naar de foutopsporingssymbolen opgeven; open hiervoor het menu Bestand, Pad naar symboolbestand, of gebruik de combinatie Ctrl+S.

De volgende regel maakt het laden van foutopsporingssymbolen van het netwerk mogelijk, waarbij het lokale pad voor het opslaan van bestanden en het adres voor downloaden van internet wordt ingesteld:

srv*C:windowssymbols*http://msdl.microsoft.com/download/symbols

Als uw systeem geen verbinding heeft met internet, kan het symboolinstallatiepakket vooraf worden gedownload vanaf de Windows Symbol Packs-downloadpagina van het Microsoft Development Center.

Analyse van crashdumps

Start WinDbg.

Selecteer in het menu Bestand, Crashdump openen of druk op Ctrl+D.

Geef het pad op naar de dump %SystemRoot%MEMORY.DMP of %SystemRoot%Minidumpfile.dmp.

Om gedetailleerde informatie te verkrijgen, voert u de opdracht uit:

De debugger zal u vragen dit uit te voeren; beweeg uw muis over de link en klik.

Als resultaat krijgen we de volgende uitvoer:

**************************************** ********** ******************* * * * Bugcheck-analyse * * * *************** ********** ****************************** ******************** Fouttype: KMODE_EXCEPTION_NOT_HANDLED (1e) Bugcommentaar: Dit is een veel voorkomende bugcontrole. Meestal wijst het uitzonderingsadres de driver/functie aan die het probleem veroorzaakte. Noteer dit adres altijd, evenals de linkdatum van de driver/afbeelding die dit adres bevat. Argumenten: Foutargumenten: Arg1: 0000000000000000, De uitzonderingscode die niet is verwerkt Arg2: 0000000000000000, Het adres waarop de uitzondering heeft plaatsgevonden in Arg3: 0000000000000000, Parameter 0 van de uitzondering Arg4: 0000000000000000, Parameter 1 van de uitzondering De afluisteren Details: —— ———— UITZONDERING_CODE: (Win32) 0 (0) — . FAULTING_IP: +3332313336383065 00000000`00000000 ?? ??? EXCEPTION_PARAMETER1: 0000000000000000 EXCEPTION_PARAMETER2: 0000000000000000 ERROR_CODE: (NTSTATUS) 0 - STATUS_WAIT_0 BUGCHECK_STR: 0x1E_0 CUSTOMER_CRASH_COUNT: 1 DEFAULT_BUCKET_ID: IVER_FAULT Verwerk dat veroorzaakte de fout: PROCESS_NAME: VirtualBox.exe CURRENT_IRQL: 2 EXCEPTION_RECORD: fffff80000ba24d8 - (.exr 0xfffff80000ba24d8) ExceptionAddress: fffff800034d8a70 ( nt !DbgBreakPoint) ExceptionCode: 80000003 (uitzondering break-instructie) ExceptionFlags: 00000000 NumberParameters: 1 Parameter: 0000000000000000 TRAP_FRAME: fffff80000ba2580 — (.trap 0xfffff80000ba2580) OPMERKING: het trapframe bevat niet alles registreert. Sommige registerwaarden zijn mogelijk op nul gezet of onjuist. rax=0000000000142940 rbx=0000000000000000 rcx=fffffa80055be690 rdx=0000000000009018 rsi=000000000000000 rdi=0000000000000000 34d8a71 rsp =ffffff80000ba2718 rbp=ffffff88006fa0000 r8=0000000000002274 r9=11d0851b22c6ac61 r10=ffffff80003464000 r11=ffffff80000ba27e0 r12=00000000 00000000 r 13=0000000000000000 r14=0000000000000000 r15= 0000000000000000 iopl=0 nv up ei pl nz ac po nc nt!DbgBreakPoint+0x1: fffff800`034d8a71 c3 ret Standaardbereik opnieuw instellen LAST_CONTROL_TRANSFER: van fffff800034d85fe naar fffff800034e0c10 STACK_TEXT: Stack-oproep ov: fffff800`00ba15b8 `034d85fe: fffffa80`03c05530 00000000`ffffffff fffff800`00ba1d30 fffff800`0350c830: nt!KeBugCheck fffff800`00ba15c0 fffff800`0350c4fd: fffff800`036ea71c fffff800`03627c30 fffff800`03464000 fffff800`00ba 24d8: nt!KiKernelCalloutExceptionHandler+0xe fffff800`00ba15f0 fffff800`0350b2d5: fffff800`0362b028 fffff800`00ba1668 fffff800 ` 00ba24d8 fffff800`03464000: nt!RtlpExecuteHandlerForException+0xd fffff800`00ba1620 fffff800`0351c361: fffff800`00ba24d8 fffff800`00ba1d30 fffff800`00000000 000`00142940: nt! RtlDispatchException+0x415 fffff800`00ba1d00 fffff800`034e02c2: fffff800`00ba24d8 fffffa80`07149010 fffff800`00ba2580 00000000`00000000: nt!KiDispatchException+0x135 f ffff8 00`00ba23a0 fffff800`034de0f4: 00000000`00000016 00000000`00000001 00000000`00000001 00000000`00000000: nt ! KiExceptionDispatch+0xc2 fffff800`00ba2580 fffff800`034d8a71: fffff880`05861446 00000000`df029940 fffff880`02f45bec 00000000`deee7000: nt!KiBreakpointTrap+0xf4 ff f ff800`00ba2718 fffff880`05861446: 00000000`df029940 fffff880`02f45bec 00000000`deee7000 fffff880`01229f06: nt! DbgBreakPoint+0x1 fffff800`00ba2720 00000000`df029940: fffff880`02f45bec 00000000`deee7000 fffff880`01229f06 fffffa80`05635af8: cmudaxp+0x25446 fffff80 0` 00ba2728 fffff880`02f45bec: 00000000`deee7000 fffff880`01229f06 fffffa80`05635af8 00000000`00000000: 0xdf029940 fffff800 `00ba2730 00000000`deee7000: fffff880`01229f06 fffffa80`05635af8 00000000`00000000 00000000`00000003: VBoxDrv+0x6bec fffff800`00ba2738 fffff880`01 229f0 6: fffffa80`05635af8 00000000`00000000 00000000`00000003 fffff880`05865913: 0xdeee7000 fffff800`00ba2740 00000000`00000000 : 00000000` 00000001 00000000`00000006 00000000`00000001 fffff800`00ba2800: CLASSPNP!ClasspServiceIdleRequest+0x26 STACK_COMMAND: kb FOLLOWUP_IP: cmudaxp+25446 fffff880`05 861446 ? ??? SYMBOL_STACK_INDEX: 8 SYMBOL_NAME: cmudaxp+25446 FOLLOWUP_NAME: MachineOwner-stuurprogramma waarin de fout is opgetreden: MODULE_NAME: cmudaxp IMAGE_NAME: cmudaxp.sys DEBUG_FLR_IMAGE_TIMESTAMP: 47906a45 FAILURE_BUCKET_ID: X64_0x1E_0 _cmudaxp+25 446 BUCKET_ID: X64_0x1E_0_cmudaxp+25446 Opvolging: Machine-eigenaar ———

Informatie verkrijgen over de problematische bestuurder

Als het stuurprogramma met de fout wordt gevonden, wordt de naam van het stuurprogramma weergegeven in de velden MODULE_NAME en IMAGE_NAME.

Om het bestandspad en andere informatie te krijgen, klikt u op de link naar de module:

start einde modulenaam fffff880`0583c000 fffff880`059ef000 cmudaxp T (geen symbolen) Geladen symboolafbeeldingsbestand: cmudaxp.sys Afbeeldingspad: SystemRootsystem32driverscmudaxp.sys Afbeeldingsnaam: cmudaxp.sys Tijdstempel: vrijdag 18 januari 13:58:45 2008 (47906A45) Controlesom: 0013077F Beeldgrootte: 001B3000 Vertalingen: 0000.04b0 0000.04e4 0409.04b0 0409.04e4

Als het volledige pad naar het stuurprogramma niet is opgegeven, is de standaardmap %SystemRoot%system32drivers.

We vinden het opgegeven bestand en bestuderen de eigenschappen ervan.

We updaten het problematische stuurprogramma.

Hardwareoorzaken van kritieke fouten

De bron van kritieke fouten is vaak een storing in het schijfsubsysteem of het geheugensubsysteem.

Diagnose van schijfstoringen

In geval van fouten in het schijfsubsysteem wordt de crashdump mogelijk niet opgeslagen.

Om problemen met de schijf uit te sluiten, controleert u het systeemgebeurtenislogboek op fouten bij het lezen en schrijven naar de schijf.

We controleren de S.M.A.R.T-parameters van de harde schijf; u kunt ze bijvoorbeeld verkrijgen met behulp van het SpeedFan-programma.

We besteden speciale aandacht aan de volgende parameters: "Current Pending Sector Count" en "Uncorrigable Sector Count"; waarden die niet nul zijn, duiden op een schijffout.

Een parameterwaarde die niet nul is: “UltraDMA CRC Error Count” duidt op een probleem met de SATA-kabel.

Meer informatie over S.M.A.R.T. lees in het Wikipedia-artikel.

Diagnose van geheugenfouten

Geheugenproblemen kunnen vaak een breed scala aan problemen veroorzaken, waaronder verschillende blauwe schermen, vastlopen, programmacrashes, registerbeschadiging, bestandssysteem en gegevensbeschadiging.

U kunt geheugenproblemen identificeren met het hulpprogramma Memtest86+.

Vanaf Windows Vista heeft het systeem zijn eigen geheugentest. Om het te starten, klikt u op "Start", typt u "geheugen" in de zoekbalk en selecteert u "Windows Memory Diagnostic Tool".

Geheugenproblemen kunnen in sommige gevallen worden opgelost door het BIOS bij te werken.

Opties voor het opslaan van crashdumps configureren

Om de instellingen voor het opslaan van een crashdump te wijzigen, klikt u op de knop "Start", klikt u met de rechtermuisknop op "Computer" en selecteert u "Eigenschappen" in het contextmenu. Selecteer in het venster “Systeem” aan de linkerkant “Geavanceerde systeeminstellingen”, klik in de groep “Boot and Recovery” op de knop “Opties”.

Lees hier meer over geheugendumps.

Blue screen of death - wat u moet doen en hoe u de fout kunt identificeren

Wanneer er een catastrofale fout optreedt, informeert het Windows-besturingssysteem de gebruiker over het incident met verschillende geluids- en tekstsignalen. Dankzij hen kunt u specifieker over de fout te weten komen en deze oplossen. In de meeste gevallen herinneren pc-bezitters zich ze echter niet of weten ze gewoon niet wat ze betekenen. Het systeem daarentegen maakt een noodmomentopname van de fout, beter bekend als een dump, en slaat deze op de harde schijf op. Hierin staat alle informatie over de storing.

Soorten dumpen

Er zijn drie soorten dumpingen:

Om ervoor te zorgen dat het systeem een kleine dump kan opslaan, is het noodzakelijk om bepaalde parameters in te stellen.

Voor Windows 7 en Windows XP besturingssysteem

Klik op “Start”, klik met de rechtermuisknop op “Computer” en selecteer “Eigenschappen”.

Ga naar het gedeelte 'Geavanceerde systeeminstellingen'.

Het venster Systeemeigenschappen verschijnt. Klik op het tabblad ‘Geavanceerd’, in het gedeelte ‘Opstarten en herstellen’, op ‘Opties’.

Selecteer “Kleine geheugendump” en klik op “Ok” om de wijzigingen op te slaan.

Een kleine dump analyseren met behulp van de blauwe schermweergave

Het Blue Screen View-programma wordt hier als archief gedownload en vereist geen installatie. Om hiermee de oorzaak van de systeemstoring vast te stellen, voeren we de volgende stappen uit.

We starten een applicatie in het archief die identiek is aan de naam van het programma.

Er wordt een softwarevenster geopend. De interface is echter eenvoudig in het Engels. Allereerst geven we de locatie aan voor het opslaan van de kleine stortplaats. Klik op “Opties” en selecteer “Geavanceerde opties”.

Plaats een vinkje naast de eerste sectie “Laden vanuit de volgende Mini Dump-map” en geef de map aan waarin de foutmomentopname zich bevindt. Als aanvankelijk een kleine dump was ingesteld in de systeeminstellingen, zal het programma zelf het pad naar de momentopname C:WINDOWSMinidump aangeven. Klik op “Ok” om naar de programma-interface te gaan.

Het blok met nummer 1 is een lijst met crashdumps die door het systeem zijn gemaakt. Onder nummer 2 staan foto's en een lijst met chauffeurs.

Stuurprogramma's die systeemstoringen veroorzaken, worden in de lijst roze aangegeven.

Als u geen lijst met stuurprogramma's heeft, klikt u op "Opties". Ga naar “LowerPaneMode” en selecteer “OnlyDriversFoundInStack”.

Nadat we hebben vastgesteld welk stuurprogramma niet werkt, lossen we het probleem op.

Hoe u een geheugendump kunt gebruiken om te bepalen welk stuurprogramma de BSOD veroorzaakt

De oorzaak van kritieke Windows-fouten die gepaard gaan met blauwe schermen (BSOD) is vaak een stuurprogramma: nieuw geïnstalleerd of beschadigd. Nadat u hebt vastgesteld welk stuurprogramma de fout veroorzaakt, kunt u beginnen met het oplossen van het probleem: update het stuurprogramma, ga terug naar een eerdere versie, installeer of verwijder de toepassing waarmee het stuurprogramma is geïnstalleerd, enz. De naam van het stuurprogramma wordt niet altijd blauw weergegeven. scherm. Er is echter een heel eenvoudige manier waarmee u het problematische stuurprogramma binnen een paar minuten kunt identificeren met behulp van een geheugendump.

Stap 1 - Geheugendumpopname inschakelen

Eerst moet u ervoor zorgen dat dumpopname is ingeschakeld. Om dit te doen, opent u de systeemeigenschappen door op de toetscombinatie Win+Pauze te drukken, [klik in Vista op de link Geavanceerde systeeminstellingen], ga naar het tabblad Geavanceerd en klik ten slotte op de knop Opstarten en herstellen.

Kleine geheugendumps zouden voor onze doeleinden voldoende moeten zijn.

Let op het pad naar de map waar ze worden opgeslagen als er een kritieke fout optreedt.

Nu kunt u het bestand zippen, bijvoegen bij een bericht op het forum Problemen met kritieke Windows-fouten oplossen en wachten tot iemand u de naam van het problematische stuurprogramma vertelt :) Maar u kunt het zonder veel moeite zelf doen.

Stap 2 - Download en installeer diagnostische hulpprogramma's

Het is niet zo eng als je zou denken :)

Stap 3 - Analyse van de geheugendump

Nu komt het allemaal neer op het uitvoeren van één commando. Open een opdrachtprompt en ga naar de map waarin u kdfe.cmd hebt uitgepakt. Voer het bestand uit en geef het pad naar het geheugendumpbestand op als parameter (in het onderstaande voorbeeld heet het bestand Mini1110307-01.dmp)

kdfe.cmd "%systemroot%MinidumpMini1110307-01.dmp"

Binnen een minuut zie je het resultaat.

De bestuurder die de fout veroorzaakt, is geïdentificeerd!

Aanvullende bronnen

SYSTEEM INSTELLING

Voor Windows XP	Voor Windows 7
Mijn computer Eigenschappen Ga naar het tabblad Aanvullend; Parameters; In het veld Foutopsporingsinformatie schrijven kiezen Kleine geheugendump (64 KB).	Klik met de rechtermuisknop op het pictogram Computer selecteer in het contextmenu Eigenschappen(of de Win+Pauze-toetscombinatie); Klik in het linkermenu op het item Geavanceerde systeeminstellingen; Ga naar het tabblad Aanvullend; Klik in het veld Downloaden en herstellen op de knop Parameters; In het veld Foutopsporingsinformatie schrijven kiezen Kleine geheugendump (128 KB).

Nadat alle manipulaties zijn voltooid, wordt na elke BSoD een bestand met de extensie .dmp opgeslagen in de map C:\WINDOWS\Minidump. Ik raad u aan het materiaal 'Een map maken' te lezen. U kunt ook het vakje “ Vervang het bestaande dumpbestand" In dit geval wordt elke nieuwe crashdump over de oude geschreven. Ik raad niet aan deze optie in te schakelen.

EEN CRASHDUMP ANALYSEEREN MET BEHULP VAN HET BLUESCREENVIEW-PROGRAMMA

Dus nadat het Blue Screen of Death verscheen, bewaarde het systeem een nieuwe crashgeheugendump. Om de dump te analyseren, raad ik aan het BlueScreenView-programma te gebruiken. Het kan hier gratis worden gedownload. Het programma is best handig en heeft een intuïtieve interface. Nadat u het hebt geïnstalleerd, moet u eerst de locatie opgeven voor het opslaan van geheugendumps op het systeem. Ga hiervoor naar het menu-item “ Opties' en selecteer ' GeavanceerdOpties" Selecteer het keuzerondje “ LadenvandevolgendeMini-dumpmap' en geef de map op waarin de dumps zijn opgeslagen. Als de bestanden zijn opgeslagen in de map C:\WINDOWS\Minidump, kunt u op de knop “ Standaard" Klik op OK en ga naar de programma-interface.

Het programma bestaat uit drie hoofdblokken:

Hoofdmenublok en bedieningspaneel;
Crashdumplijstblok;
Afhankelijk van de geselecteerde parameters kan het het volgende bevatten:

een lijst met alle stuurprogramma's in RAM voordat het blauwe scherm verschijnt (standaard);
een lijst met stuurprogramma's in de RAM-stack;
BSoD-screenshot;
en andere waarden die we niet zullen gebruiken.

Om ervoor te zorgen dat het programma een lijst met stuurprogramma's weergeeft die zich op de geheugenstack bevinden wanneer een BSoD optreedt, moet u naar het menu-item " Opties“klik op menukaart” LagerPaneelModus' en selecteer ' AlleenChauffeursGevondenInStapel' (of druk op de F7-toets), en om een schermafbeelding van de fout weer te geven, selecteert u ' BlauwScherminXPStijl” (F8). Om terug te keren naar de lijst met alle chauffeurs, moet u “ AlleChauffeurs” (F6).