O, como también se le llama, BSOD, puede arruinar significativamente la vida útil tanto de la computadora como del servidor, y también resultó ser una máquina virtual. Hoy te contaré cómo analizar la pantalla azul de volcado de memoria en Windows, desde un diagnóstico correcto y obteniendo el motivo por el cual tu sistema no funciona, el 99 por ciento de su solución, especialmente un ingeniero de sistemas, simplemente está obligado a poder Haga esto, y en el menor tiempo posible, entonces ¿Cómo puede una empresa perder mucho dinero debido a la caída del servicio?
descifrado BSOD
Veamos primero qué significa esta abreviatura, BSOD del inglés Blue Screen of Death o también modo de error STOP.
Los errores de pantalla azul de la muerte ocurren por varias razones, incluidos problemas con el controlador, una aplicación defectuosa o un módulo RAM defectuoso. Tan pronto como tenga una pantalla azul en Windows, su sistema creará automáticamente un archivo de volcado de memoria de falla, que analizaremos.
Cómo configurar la creación de volcados de memoria
Por defecto, Windows crea un archivo de volcado de memoria memoria.dmp cuando hay una pantalla azul, ahora te mostraré cómo se configura y dónde se almacena, te lo mostraré con un ejemplo. Servidor de windows 2008 R2, ya que recientemente tuve la tarea de investigar el problema de una pantalla azul en una máquina virtual. Para saber dónde está configurada la ventana de volcado de memoria, abra Inicio, haga clic derecho en el ícono de Computadora y seleccione Propiedades.
Cómo analizar la memoria de volcado de pantalla azul en Windows - Propiedades de la computadora
Cómo analizar la memoria de volcado de pantalla azul en la configuración del sistema de Windows
Vaya a la pestaña Avanzado: Arranque y recuperación. Haga clic en el botón Configuración
Cómo analizar la memoria de volcado de pantalla azul en Windows - Arranque y recuperación
¿Dónde se almacena el archivo Memory.dmp?
y vemos que primero que nada hay un checkbox para realizar un reinicio automático para registrar información de depuración, se selecciona Volcado de memoria del Kernel y debajo es donde se guarda el volcado de memoria %SystemRoot%\MEMORY.DMP
Vayamos a la carpeta c:\windows\ y busquemos el archivo MEMORY.DMP que contiene la pantalla azul de los códigos de muerte.
Cómo analizar la memoria de volcado de pantalla azul en Windows-memory.dmp
Cómo configurar un mini volcado
La pantalla azul de los errores de muerte también se registra en el pequeño volcado de memoria, allí se configura, solo necesitas seleccionarla.
Se almacena en la carpeta c:\windows\minidump. La ventaja es que ocupa menos espacio y se crea como un archivo independiente para cada pantalla azul. Siempre puedes ver el historial de apariciones de pantalla azul.
Ahora que hemos descubierto dónde buscar el archivo de volcado de memoria, debemos aprender a interpretarlo y comprender la razón por la que aparece la pantalla azul de la muerte. Microsoft Kernel Debugger nos ayudará a resolver este problema. Puede descargar Microsoft Kernel Debugger desde el sitio web oficial, lo principal es seleccionar la versión del sistema operativo deseada, si alguien lo rompe, puede descargarlo desde el disco Yandex mediante un enlace directo. También es parte de ADK.
Descarga Microsoft Kernel Debugger, como resultado tendrás un pequeño archivo que te permitirá descargar todo lo que necesitas de Internet. Lancemoslo.
No participaremos en el programa de mejora de la calidad.
Haga clic en Aceptar y acepte la licencia.
Cómo instalar Microsoft Kernel Debugger: acepte la licencia
Comenzará la instalación del Microsoft Kernel Debugger
Cómo instalar el depurador del kernel de Microsoft: instalación de MKD
Vemos que Microsoft Kernel Debugger se ha instalado correctamente
Después de lo cual vemos que la carpeta Herramientas de depuración para Windows ha aparecido en el inicio tanto para sistemas de 32 como de 64 bits.
Además del paquete de herramientas de depuración para Windows, también necesitará un conjunto de símbolos de depuración: símbolos de depuración. El conjunto de símbolos de depuración es específico de cada sistema operativo en el que se registró el BSoD. Por tanto, tendrás que descargar un conjunto de símbolos para cada SO cuyo funcionamiento tendrás que analizar. Un Windows XP de 32 bits requerirá el juego de caracteres de 32 bits de Windows XP; un sistema operativo de 64 bits requerirá el juego de caracteres de 64 bits de Windows XP. Para otros sistemas operativos de la familia Windows, los juegos de caracteres se seleccionan según el mismo principio. Puede descargar símbolos de depuración desde aquí. Se recomienda instalarlos en %raízdelsistema%\símbolos aunque me gusta instalarlos en carpetas separadas y evitar saturar la carpeta de Windows.
Análisis de pantalla azul en herramientas de depuración
Después de instalar los símbolos de depuración para el sistema que tenía la pantalla azul de la muerte, inicie las herramientas de depuración
Cómo instalar Microsoft Kernel Debugger - Ejecutar
Antes de analizar el contenido del volcado de memoria, deberá realizar una pequeña configuración del depurador. Específicamente, indique al programa dónde buscar símbolos de depuración. Para hacer esto, seleccione Archivo > Ruta del archivo de símbolos… en el menú.
Haga clic en el botón Examinar...
e indicar la carpeta en la que instalamos los símbolos de depuración para el volcado de memoria en cuestión, puede especificar varias carpetas separadas por comas y puede solicitar información sobre los símbolos de depuración requeridos directamente a través de Internet, desde un servidor público de Microsoft. De esta manera tendrás la mayor cantidad una nueva version caracteres. Puede hacer esto de la siguiente manera: en el menú Archivo > Ruta del archivo de símbolos…, ingrese:
SRV*%systemroot%\symbols*http://msdl.microsoft.com/download/symbols
Cómo analizar la pantalla azul de la muerte
Copiamos el archivo Memory.dmp o minivolcado de la computadora donde apareció la pantalla azul y lo abrimos, seleccionamos Archivo > Abrir volcado de memoria... en el menú y seleccionamos el archivo requerido para su consideración.
Cómo analizar la pantalla azul de la muerte-01
Por ejemplo, elija minivolcado
Cómo analizar la pantalla azul de la muerte - abrir minivolcado
Comenzará el análisis del minivolcado, vemos aparecer un enlace al error, pulsamos sobre él para obtener información más detallada sobre la pantalla azul.
Cómo analizar la pantalla azul de la muerte-03
Y vemos una aplicación defectuosa que está destruyendo su sistema; también puede ver qué está mal con más detalle haciendo clic en el enlace.
Cómo analizar la pantalla azul de la muerte-04
Obtenga información más detallada sobre la causa de la pantalla azul.
Cómo analizar la pantalla azul de la muerte-05
Si abre Memory.dmp, obtendrá una imagen similar y verá por qué tiene una pantalla azul.
Cómo analizar la pantalla azul de la muerte-06
Así de fácil es diagnosticar y eliminar la pantalla azul de la muerte.
En el siguiente paso de seleccionar un componente para instalar ( Seleccione las funciones que desea instalar) marcamos solo lo que necesitamos - Herramientas de depuración para Windows y presione Instalar
Se descargará e instalará un conjunto de utilidades desde Internet en la carpeta especificada en la primera pantalla.
Una vez completada la instalación, búsquela en el menú Inicio o en la pantalla de inicio en el grupo de accesos directos. Kits de Windows utilidad WinDbg y ejecutarlo con derechos de administrador
Si por alguna razón no se pudo encontrar el acceso directo, puede ejecutar el archivo ejecutable desde el directorio de instalación: C:\Archivos de programa (x86)\Windows Kits\8.1\Debuggers\x64\windbg.exe
En el menú principal del programa. WinDbg Seleccionar articulos Archivo > Ruta del archivo de símbolos. En la ventana que se abre, inserte una línea que defina el directorio de caché de símbolos local y su fuente en línea:
SRV*C:\Windows\symbol_cache*http://msdl.microsoft.com/download/symbolsGuardamos la configuración seleccionando elementos en el menú principal. Archivo > Guardar espacio de trabajo
Abra el archivo de volcado de memoria seleccionando en el menú Archivo > Abrir volcado de memoria...
Seleccione un archivo MEMORIA.DMP(ubicado en el directorio C:\Windows de forma predeterminada) y haga clic en Abierto
Aparecerá información sobre qué módulo ejecutable provocó que el sistema dejara de funcionar. Al hacer clic en un hipervínculo !analizar-v Puede obtener información más detallada sobre el estado del sistema en el momento en que se produjo el error de detención.
La misma información se puede obtener usando la línea de comando usando aproximadamente la siguiente secuencia de comandos:
cd /d " C:\Archivos de programa (x86)\Windows Kits\8.1\Debuggers\x64\" kd -z "D:\DOWNLOADS\VM05\MEMORY.DMP " .logopen C:\Debuglog.txt .sympath srv*C:\Windows\symbol_cache*http://msdl.microsoft.com/download/symbolsEn este ejemplo, toda la información sobre el análisis de volcados se descargará en formato legible en el archivo C:\Debuglog.txt.
Fuentes de información:
La causa de los errores críticos de Windows acompañados de pantallas azules (BSOD) suele ser un controlador recién instalado o dañado. Una vez determinado qué controlador está causando el error, puede comenzar a solucionar el problema: actualice el controlador, retroceda a una versión anterior, reinstale o elimine la aplicación que instaló el controlador, etc. El nombre del controlador no siempre se muestra en azul pantalla. Sin embargo, existe una forma muy sencilla que le permite identificar el controlador problemático en un par de minutos mediante un volcado de memoria.
Paso 1: habilite la grabación de volcado de memoria
Primero debe asegurarse de que la grabación de volcado esté habilitada. Para hacer esto, abra las propiedades del sistema presionando la combinación de teclas Ganar+Pausa, [en Vista haga clic en el enlace Configuración avanzada del sistema], ir a la pestaña Además y finalmente presione el botón.
Pequeño Los volcados de memoria deberían ser suficientes para nuestros propósitos.
Preste atención a la ruta a la carpeta donde se guardarán si ocurre un error crítico.
Ahora puedes archivar el archivo y adjuntarlo a una publicación del foro. Solución de problemas de errores críticos de Windows y espera hasta que alguien te diga el nombre del controlador problemático :) Pero puedes hacerlo tú mismo sin mucho esfuerzo.
Paso 2: Analizar volcados usando la utilidad MinDumper
Encontrará una historia sobre la utilidad en este artículo.
- Descargue e instale herramientas de depuración para Windows. Se incluyen en el instalador web del SDK de Windows, donde, después del inicio, debe seleccionar Herramientas de depuración en la sección Utilidades comunes.
- Descargar guión(kdfe.cmd), escrito por Alexander Sukhovey y publicado en el recurso sysadmins.ru(Como no pude encontrar un enlace en vivo allí, ofrezco el mío). Descomprima el archivo en cualquier carpeta.
Nota. Si la ubicación de la carpeta Archivos de programa no es estándar, es posible que deba especificar en kdfe.cmd la ruta a la carpeta donde están instaladas las herramientas de depuración para Windows. Utilice la variable dbgpath en la línea 41.
Paso 3: analizar el volcado de memoria
Ahora todo se reduce a ejecutar un comando. Abra un símbolo del sistema y vaya a la carpeta donde extrajo kdfe.cmd. Ejecute el archivo, especificando la ruta al archivo de volcado de memoria como parámetro (en el ejemplo siguiente, el archivo se llama Mini1110307-01.dmp)
Pantalla azul de muerte(ing. Pantalla azul de la muerte, Pantalla azul de la perdición, BSOD): mensajes sobre un error crítico del sistema en los sistemas operativos Microsoft Windows. Muchos de los que encuentran una pantalla azul de la muerte en su computadora/portátil ven que la única solución es reinstalar el sistema operativo. Pero a veces el sistema operativo no tiene nada que ver, sino que el problema está en el hardware. Para no adivinar ¿Por qué apareció la pantalla azul de la muerte? necesitas usar la información que proporcionas Sistema operativo en forma de troncos. En este artículo, describiré paso a paso cómo descubrir la causa de la pantalla azul de la muerte.
Entonces, la aparición de la pantalla azul de la muerte siempre es inesperada y en el momento equivocado, por lo que muchos simplemente no tienen tiempo de ver lo que está escrito, y hay que decir allí (aunque no de forma muy explícita) los motivos de la falla. En primer lugar, le sugiero configurar su computadora/portátil para que no se reinicie inmediatamente después de una falla del sistema, pero le brinde la oportunidad de ver la causa de la falla; si esta información no es suficiente, debe buscar vertedero un archivo que contiene información: un código de error con parámetros, una lista de controladores cargados en la RAM en el momento de la falla del sistema, etc., pero esta información es suficiente para identificar el controlador defectuoso.
Las configuraciones relacionadas con el reinicio después de una falla del sistema se pueden especificar haciendo clic derecho en el acceso directo Mi PC/Computadora (adecuado para Windows XP, Windows7, Windows8), seleccionando " Propiedades", o presione la combinación de teclas
En la "pestaña" Además"seleccione en el campo Arranque y recuperación" Opciones".
Desmarque " Realizar reinicio automático", para tener tiempo de ver todo lo que escribe la pantalla azul de la muerte. La línea Volcar archivo indica la ruta donde se guardará el archivo, lo que indicará los motivos del fallo.
Ahora puedes estudiar detenidamente la información cuando aparezca una pantalla azul de muerte. Si su computadora ya no arranca y no puede cambiar estas configuraciones, en este caso, al iniciar, presione F8 en el teclado y seleccione el elemento del menú "Si el sistema falla, no reinicie".
Si la información allí indicada no es suficiente, puedes utilizar un dump ( archivo dmp). Para ello puedes utilizar la herramienta microsoft-microsoft herramienta de depuración, pero pesa mucho y requiere instalación y framework 4.5. Podrás arreglártelas con menos sacrificios si utilizas el programa Vista de pantalla azul . En mi opinión, un programa muy conveniente que no requiere instalación y en ruso (agregue el archivo a la carpeta del programa). Al ejecutar el archivo BlueScreenView.exe, se abrirá la interfaz del programa en la que ya estará cargado el volcado de esta computadora (la ruta predeterminada es C:\Windows\MiniDump, si va a Configuración-Configuración avanzada, puede especificar una diferente ruta si copió el volcado en otra ubicación).
Los errores ocurren muy a menudo en el sistema operativo Windows, incluso en el caso de un sistema "limpio". Si los errores habituales del programa se pueden solucionar (aparece un mensaje sobre un componente faltante), los errores críticos serán mucho más difíciles de solucionar.
¿Qué es un volcado de memoria en Windows?
Para resolver problemas con el sistema, generalmente se usa un volcado de memoria por falla: esto es una foto parte o toda la RAM y colocándola en un medio no volátil ( disco duro). En otras palabras, el contenido de la RAM se copia total o parcialmente al medio y el usuario puede analizar el volcado de memoria.
Existen varios tipos de volcados de memoria:
Pequeño vertedero(Volcado de memoria pequeña): guarda una cantidad mínima de RAM, que contiene información sobre errores críticos (BSoD) y componentes que se cargaron durante el funcionamiento del sistema, por ejemplo, controladores, programas. Minivolcado se almacena en la ruta C:\Windows\Minidump.
volcado completo(Volcado de memoria completo): se guarda la cantidad total de RAM. Esto significa que el tamaño del archivo será igual a la cantidad de RAM. Si hay poco espacio en disco, será problemático guardar, por ejemplo, 32 GB. También existen problemas al crear un archivo de volcado de memoria de más de 4 GB. Este tipo se utiliza muy raramente. Almacenado en C:\Windows\MEMORY.DMP.
Vertedero memoria del núcleo– sólo se guarda la información relacionada con el núcleo del sistema.
Cuando el usuario llega a analizar el error, solo necesita usar minidamp (pequeño volcado). Pero antes de esto es necesario encenderlo; de lo contrario, no se reconocerá el problema. Además, para identificar de forma más eficaz un fallo, es preferible utilizar una instantánea de la memoria completa.
Información en el registro
Si busca en el registro de Windows, puede encontrar algunas configuraciones de instantáneas útiles. Haga clic en la combinación de teclas Win+R e ingrese el comando regedit y abrir las siguientes sucursales:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl
En esta rama el usuario encontrará los siguientes parámetros:
- Reinicio automático– habilitar o deshabilitar el reinicio después de crear una pantalla azul de la muerte (BSoD).
- Archivo de volcado– nombre de los tipos de volcado y ubicación.
- CrashDump habilitado– el número del archivo que se está creando, por ejemplo, el número 0 – el volcado no se crea; 1 – crear un volcado completo; 2 – crear un volcado de memoria; 3 – creando un pequeño vertedero.
- Filtros de volcado– la opción le permite agregar nuevas funciones antes de crear una instantánea. Por ejemplo, cifrado de archivos.
- MinivolcadoDir– el nombre del pequeño vertedero y su ubicación.
- Evento de registro– activación de la grabación de información en el registro del sistema.
- Recuento de minivolcados– establecer el número de pequeños volcados que se crearán. (Exceder este número destruirá los archivos antiguos y los reemplazará).
- Sobrescribir– función para un volcado completo o del sistema. Al crear una nueva foto, la anterior siempre será reemplazada por una nueva.
- Archivo de volcado dedicado– crear un archivo de imagen alternativo y especificar su ruta.
- Ignorar tamaño de archivo de página– utilizado para la ubicación temporal de instantáneas, sin utilizar un archivo de intercambio.
Cómo funciona
Si ocurre una falla, el sistema detiene completamente su funcionamiento y, si el volcado está activo, se escribirá en un archivo colocado en el disco. información sobre el problema que ha surgido. Si algo sucedió con los componentes físicos, entonces funcionará un código de emergencia y el hardware que falló realizará algunos cambios, que seguramente se reflejarán en la instantánea.
Normalmente, el archivo se almacena en un bloque asignado para el archivo de intercambio. disco duro, después de que aparece el BSoD, el archivo se sobrescribe en el tipo que el propio usuario configuró (pequeño, completo o volcado de núcleo). Aunque, en los sistemas operativos modernos, la participación del archivo de paginación no es necesaria.
Cómo habilitar volcados
EN ventana 7:
EN ventanas 8 y 10:
Aquí el proceso es un poco similar, puedes acceder a la información del sistema de la misma manera que en Windows 7. En "Diez", asegúrate de abrir " Este computador", haga clic en el espacio libre con el botón derecho del ratón y seleccione " Propiedades" Otra forma de llegar es a través del Panel de control.
Segunda opción para Wisconsinventanas 10:
Cabe señalar que en las nuevas versiones de Windows 10 han aparecido nuevos elementos que no estaban en los “siete”:
- Pequeño vertedero memoria 256 KB - datos mínimos de falla.
- Volcado activo- apareció en la décima versión del sistema y guarda solo la memoria activa de la computadora, el núcleo del sistema y el usuario. Recomendado para uso en servidores.
Cómo eliminar un volcado
Simplemente vaya al directorio donde están almacenadas las instantáneas de la memoria y simplemente elimínelas. Pero hay otra forma de eliminarlo: utilizando la utilidad Liberador de espacio en disco:
Si no se encontraron elementos, es posible que los volcados no se hayan habilitado.
Incluso si alguna vez las habilitó, algunas utilidades de optimización del sistema que utiliza pueden fácilmente desactivar algunas funciones. Muchas veces muchas cosas se apagan durante el uso. unidades SSD, ya que los procedimientos repetidos de lectura y escritura dañan enormemente la salud de este disco.
Análisis de volcado de memoria usando WinDbg
Descargar desde el sitio web oficial de Microsoft este programa en el paso 2, donde se describe “ InstalaciónWDK" - https://docs.microsoft.com/en-us/windows-hardware/drivers/download-the-wdk. 
Para trabajar con el programa también necesitarás un paquete especial de símbolos de depuración. Se llama Símbolos de depuración, anteriormente se podía descargar del sitio web de Microsoft, pero ahora han abandonado esta idea y tendrás que usar la función del programa Archivo - “ Ruta del archivo de símbolos", donde deberás ingresar la siguiente línea y hacer clic en Aceptar:
establecer _NT_SYMBOL_PATH=srv*DownstreamStore*https://msdl.microsoft.com/download/symbols
Si no funciona, prueba este comando:
SRV*%systemroot%\symbols*http://msdl.microsoft.com/download/symbols
Haga clic en "Archivo" nuevamente y seleccione la opción "Guardar espacio de trabajo".
La utilidad está configurada. Todo lo que queda es especificar la ruta a los archivos de volcado de memoria. Para hacer esto, haga clic en Archivo y haga clic en la opción “ ohbolígrafoChocarVertedero" La ubicación de todos los vertederos se indica al principio del artículo.
Después de la selección, el análisis finalizará y el componente problemático se resaltará automáticamente. Para obtener más información en la misma ventana, puede ingresar el siguiente comando: !analizar –v 
Análisis con BlueScreenView
Puede descargar la herramienta de forma gratuita desde este sitio: http://www.nirsoft.net/utils/blue_screen_view.html. La instalación no requiere ninguna habilidad. Sólo se utiliza en Windows 7 y superior.
Lanzamos y configuramos. Haga clic en “Opciones” – “ Opciones adicionales"(Opciones avanzadas). Seleccione el primer elemento " Cargue MiniDumps desde esta carpeta"e indique el directorio - C:\WINDOWS\Minivolcado. Aunque puede simplemente hacer clic en el botón "Predeterminado". Haga clic en Aceptar.
Los archivos de volcado deberían aparecer en la ventana principal. Puede ser uno o varios. Para abrirlo, simplemente haga clic en él con el mouse. 
La parte inferior de la ventana mostrará los componentes que estaban ejecutándose en el momento de la falla. El responsable del accidente estará resaltado en rojo.
Ahora haga clic en "Archivo" y seleccione, por ejemplo, el elemento " Buscar en Gocódigo de error de ogle + controlador" Si encuentra el controlador que necesita, instálelo y reinicie su computadora. Quizás el error desaparezca.
