Ili, kako ga još zovu, BSOD, može značajno pokvariti život i računalu i poslužitelju, a pokazalo se i virtualni stroj. Danas ću vam reći kako analizirati plavi ekran dump memorije u sustavu Windows, budući da ispravna dijagnoza i dobivanje razloga zašto vaš sustav ne radi, 99 posto njegovog rješenja, posebno inženjer sustava, jednostavno je dužan moći učiniti to, i to u najkraćem mogućem vremenu, pa Kako tvrtka može izgubiti mnogo novca zbog prekida usluge?
BSOD dešifriranje
Pogledajmo prvo što znači ova kratica, BSOD od engleskog Blue Screen of Death ili također STOP error mode.
Pogreške plavog ekrana smrti pojavljuju se iz različitih razloga, uključujući probleme s upravljačkim programima, neispravnu aplikaciju ili neispravan RAM modul. Čim imate plavi ekran u sustavu Windows, vaš sustav će automatski stvoriti datoteku ispisa memorije o padu koju ćemo analizirati.
Kako konfigurirati stvaranje dumpa memorije
Prema zadanim postavkama, Windows stvara crash dump datoteku memory.dmp kada postoji plavi ekran, sada ću vam pokazati kako je konfigurirana i gdje je pohranjena, pokazat ću vam na primjeru Windows poslužitelj 2008 R2, jer sam nedavno imao zadatak istražiti problem plavog ekrana u virtualnom stroju. Kako biste saznali gdje su konfigurirani prozori dump memorije, otvorite Start i desnom tipkom miša kliknite ikonu Računalo i odaberite svojstva.
Kako analizirati dump memoriju plavog ekrana u sustavu Windows - Svojstva računala
Kako analizirati dump memoriju plavog ekrana u postavkama sustava Windows
Idite na karticu Napredno - Pokretanje i oporavak. Pritisnite gumb Postavke
Kako analizirati dump memoriju plavog ekrana u sustavu Windows - Pokretanje i oporavak
Gdje je pohranjena datoteka memory.dmp?
i vidimo da prije svega postoji potvrdni okvir za izvođenje automatskog ponovnog pokretanja radi snimanja informacija o otklanjanju pogrešaka, odabran je kernel memorijski dump, a ispod se nalazi mjesto gdje se memorijski dump sprema %SystemRoot%\MEMORY.DMP
Idemo u mapu c:\windows\ i pronađimo datoteku MEMORY.DMP ona sadrži plavi ekran šifri smrti
Kako analizirati dump memoriju plavog ekrana u Windows-memory.dmp
Kako postaviti mini dump
Pogreške s plavim zaslonom smrti također se bilježe u maloj memoriji; on je tamo konfiguriran, samo ga trebate odabrati.
Pohranjen je u mapi c:\windows\minidump. Prednost je što zauzima manje prostora i kreira se kao posebna datoteka za svaki plavi ekran. Uvijek možete pogledati povijest pojavljivanja plavog ekrana.
Sada kada smo shvatili gdje tražiti datoteku ispisa memorije, moramo naučiti kako je protumačiti i razumjeti razlog zašto se pojavljuje plavi ekran smrti. Microsoft Kernel Debugger će nam pomoći riješiti ovaj problem. Microsoft Kernel Debugger možete preuzeti sa službene web stranice, glavno je odabrati željenu verziju OS-a, ako je netko pokvari, možete je preuzeti s Yandex diska putem izravne veze. Također je dio ADK.
Preuzmite Microsoft Kernel Debugger, kao rezultat ćete imati malu datoteku koja će vam omogućiti preuzimanje svega što vam je potrebno s Interneta. Pokrenimo ga.
Nećemo sudjelovati u programu poboljšanja kvalitete
Pritisnite Prihvati i složite se s licencom
Kako instalirati Microsoft Kernel Debugger - prihvatite licencu
Započet će instalacija programa Microsoft Kernel Debugger
Kako instalirati Microsoft Kernel Debugger - MKD instalacija
Vidimo da je Microsoft Kernel Debugger uspješno instaliran
Nakon toga vidimo da se mapa Alati za otklanjanje pogrešaka za Windows pojavila u pokretanju i za 32 i za 64 bitne sustave.
Osim samog paketa Debugging Tools for Windows, trebat će vam i set simbola za ispravljanje pogrešaka - Debugging Symbols. Skup simbola za otklanjanje pogrešaka specifičan je za svaki OS na kojem je snimljen BSoD. Stoga ćete morati preuzeti skup simbola za svaki OS čiji ćete rad morati analizirati. 32-bitni Windows XP će zahtijevati 32-bitni skup znakova Windows XP; 64-bitni OS će zahtijevati 64-bitni skup znakova Windows XP. Za ostale operacijske sustave obitelji Windows skupovi znakova odabiru se prema istom principu. Odavde možete preuzeti simbole za otklanjanje pogrešaka. Preporuča se instalirati ih na %systemroot%\symboli iako ih volim instalirati u zasebne mape i izbjeći pretrpavanje Windows mape.
Analiza plavog ekrana u alatima za otklanjanje pogrešaka
Nakon instaliranja Debugging Symbols za sustav koji je imao plavi ekran smrti, pokrenite Debugging Tools
Kako instalirati Microsoft Kernel Debugger - Pokreni
Prije analize sadržaja ispisa memorije, morat ćete napraviti malu konfiguraciju programa za ispravljanje pogrešaka. Točnije, recite programu gdje da traži simbole za otklanjanje pogrešaka. Da biste to učinili, odaberite File > Symbol File Path… iz izbornika.
Kliknite gumb Pregledaj...
i označite mapu u koju smo instalirali simbole za otklanjanje pogrešaka za dotičnu memoriju, možete navesti nekoliko mapa odvojenih zarezima i možete zatražiti informacije o potrebnim simbolima za uklanjanje pogrešaka izravno putem interneta, s javnog Microsoft poslužitelja. Ovako ćete imati najviše nova verzija likovi. To možete učiniti na sljedeći način - u izbornik File > Symbol File Path… unesite:
SRV*%systemroot%\symbols*http://msdl.microsoft.com/download/symbols
Kako analizirati plavi ekran smrti
Kopiramo memory.dmp ili minidump datoteku s računala na kojem je iskočio plavi ekran, otvorimo je, iz izbornika odaberemo File > Open Crash Dump... i odaberemo datoteku potrebnu za razmatranje.
Kako analizirati plavi ekran smrti-01
Na primjer, odaberite minidump
Kako analizirati plavi ekran smrti - otvorite minidump
Započet će analiza minidumpa, vidimo da se pojavljuje poveznica do pogreške, kliknite na nju za detaljnije informacije o plavom ekranu.
Kako analizirati plavi ekran smrti-03
I vidimo neispravnu aplikaciju koja uništava vaš sustav, također možete vidjeti što nije u redu s još više detalja klikom na poveznicu.
Kako analizirati plavi ekran smrti-04
Dobijte detaljnije informacije o uzroku plavog ekrana.
Kako analizirati plavi ekran smrti-05
Ako otvorite memory.dmp, dobit ćete sličnu sliku i vidjeti zašto ste dobili plavi ekran.
Kako analizirati plavi ekran smrti-06
Ovako je lako dijagnosticirati i ukloniti plavi ekran smrti.
U sljedećem koraku odabira komponente za instaliranje ( Odaberite značajke koje želite instalirati) označavamo samo ono što nam treba - Alati za otklanjanje pogrešaka za Windows i pritisnite Instalirati
Skup uslužnih programa bit će preuzet i instaliran s interneta u mapu navedenu na prvom zaslonu.
Nakon dovršetka instalacije pronađite ga u izborniku Start ili na početnom zaslonu u grupi prečaca Windows kompleti korisnost WinDbg i pokrenite ga s administratorskim pravima
Ako se iz nekog razloga prečac ne može pronaći, možete pokrenuti izvršnu datoteku iz instalacijskog direktorija - C:\Program Files (x86)\Windows Kits\8.1\Debuggers\x64\windbg.exe
U glavnom izborniku programa WinDbg odaberite stavke Datoteka > Put do datoteke simbola. U prozoru koji se otvori umetnite redak koji definira lokalni direktorij predmemorije simbola i njegov online izvor:
SRV*C:\Windows\symbol_cache*http://msdl.microsoft.com/download/symbolsPostavke spremamo odabirom stavki u glavnom izborniku Datoteka > Spremi radni prostor
Otvorite datoteku ispisa memorije odabirom iz izbornika Datoteka > Otvorite Crash Dump...
Odaberite datoteku MEMORIJA.DMP(prema zadanom se nalazi u direktoriju C:\Windows) i kliknite Otvoren
Pojavit će se informacija o tome koji je izvršni modul uzrokovao prestanak rada sustava. Klikom na hipervezu !analizirati-v Možete dobiti detaljnije informacije o stanju sustava u trenutku kada je došlo do greške zaustavljanja.
Iste informacije mogu se dobiti pomoću naredbenog retka korištenjem približno sljedećeg niza naredbi:
cd /d " C:\Program Files (x86)\Windows Kits\8.1\Debuggers\x64\" kd -z "D:\DOWNLOADS\VM05\MEMORY.DMP " .logopen C:\Debuglog.txt .sympath srv*C:\Windows\symbol_cache*http://msdl.microsoft.com/download/symbolsU ovom primjeru, sve informacije o raščlanjivanju dumpa bit će preuzete u čitljivom obliku u datoteku C:\Debuglog.txt
Izvori informacija:
Uzrok kritičnih Windows grešaka praćenih plavim ekranom (BSOD) često je upravljački program - tek instaliran ili oštećen. Nakon što ste utvrdili koji upravljački program uzrokuje pogrešku, možete početi rješavati problem: ažurirajte upravljački program, vratite se na prethodnu verziju, ponovno instalirajte ili uklonite aplikaciju koja je instalirala upravljački program itd. Naziv upravljačkog programa nije uvijek prikazan na plavoj zaslon. Međutim, postoji vrlo jednostavan način koji vam omogućuje da identificirate problematični upravljački program u nekoliko minuta pomoću ispisa memorije.
Korak 1 — Omogućite snimanje dumpa memorije
Najprije morate biti sigurni da je snimanje dumpa omogućeno. Da biste to učinili, otvorite svojstva sustava pritiskom na kombinaciju tipki Pobjeda + pauza, [u Visti kliknite vezu Napredne postavke sistema], idite na karticu Dodatno, i na kraju pritisnite tipku.
Mali Izpisi memorije trebali bi biti dovoljni za naše potrebe.
Obratite pozornost na put do mape u koju će biti spremljeni ako dođe do kritične pogreške.
Sada možete arhivirati datoteku i priložiti je postu na forumu Rješavanje kritičnih grešaka u sustavu Windows i pričekajte dok vam netko ne kaže ime problematičnog vozača :) Ali to možete učiniti sami bez puno truda.
Korak 2 — Analiza ispisa pomoću uslužnog programa MinDumper
U ovom ćete članku pronaći priču o uslužnom programu.
- Preuzmite i instalirajte alate za uklanjanje pogrešaka za Windows. Oni su uključeni u Windows SDK web instalaciju, gdje nakon pokretanja morate odabrati Alati za otklanjanje pogrešaka u odjeljku Common Utilities.
- preuzimanje datoteka scenarij(kdfe.cmd), koji je napisao Alexander Sukhovey i objavljen na izvoru sysadmins.ru(budući da tamo nisam mogao pronaći link uživo, nudim svoj). Raspakirajte arhivu u bilo koju mapu.
Bilješka. Ako je lokacija mape Program Files nestandardna, možda ćete morati navesti u kdfe.cmd put do mape u kojoj su instalirani Alati za otklanjanje pogrešaka za Windows. Koristite varijablu dbgpath na liniji 41.
Korak 3 - Analiza ispisa memorije
Sada se sve svodi na izvršavanje jedne naredbe. Otvorite naredbeni redak i idite u mapu u koju ste izdvojili kdfe.cmd. Pokrenite datoteku, navodeći put do datoteke ispisa memorije kao parametar (u donjem primjeru datoteka se zove Mini1110307-01.dmp)
Plavi ekran smrti(eng. Blue Screen of Death, Blue Screen of Doom, BSoD) - poruke o kritičnoj grešci sustava u operativnim sustavima Microsoft Windows. Mnogi koji se susreću s plavim ekranom smrti na računalu/prijenosnom računalu kao jedino rješenje vide ponovnu instalaciju operativnog sustava. Ali ponekad OS nema veze s tim, nego je problem u hardveru. Da ne pogađate - zašto se pojavio plavi ekran smrti, morate koristiti informacije koje ste dali operacijski sustav u obliku cjepanica. U ovom ću članku opisati korak po korak kako saznati uzrok plavog ekrana smrti.
Dakle, pojava plavog ekrana smrti uvijek je neočekivana i u krivo vrijeme, pa mnogi jednostavno nemaju vremena vidjeti što je napisano, a tu se (iako ne baš eksplicitno) moraju navesti razlozi za neuspjeh. Prije svega, predlažem da postavite svoje računalo/prijenosno računalo tako da se ne pokreće odmah nakon kvara sustava, već vam daje priliku vidjeti uzrok kvara, ako ti podaci nisu dovoljni, trebate pogledati istovariti datoteka koja sadrži informacije: šifru greške s parametrima, popis upravljačkih programa učitanih u RAM u trenutku pada sustava itd., ali te su informacije dovoljne za prepoznavanje neispravnog upravljačkog programa.
Postavke koje se odnose na ponovno pokretanje nakon kvara sustava mogu se odrediti desnim klikom na prečac Moje računalo/Računalo (prikladno za Windows XP, Windows7, Windows8), odabirom " Svojstva", ili pritisnite kombinaciju tipki
Na "kartici" Dodatno"odaberite u polju Boot and Recovery" Mogućnosti".
Odznači " Izvršite automatsko ponovno pokretanje", kako biste imali vremena vidjeti sve što piše plavi ekran smrti. Red Dump file označava stazu na kojoj će datoteka biti spremljena, što će pokazati razloge neuspjeha.
Sada možete pažljivo proučiti informacije kada se pojavi plavi ekran smrti. Ako se vaše računalo više ne pokreće i ne možete promijeniti ove postavke, u ovom slučaju, prilikom pokretanja pritisnite F8 na tipkovnici i odaberite stavku izbornika "Ako sustav ne uspije, nemojte ponovno pokretati."
Ako tamo navedene informacije nisu dovoljne, možete upotrijebiti dump ( dmp datoteka). Da biste to učinili, možete koristiti alat microsoft-microsoft alat za ispravljanje pogrešaka, ali je težak i zahtijeva instalaciju i framework 4.5. Možete proći uz manje žrtava ako koristite program BlueScreenView . Po mom mišljenju, vrlo zgodan program koji ne zahtijeva instalaciju i na ruskom (dodajte datoteku u programsku mapu). Pokretanjem datoteke BlueScreenView.exe otvorit će se programsko sučelje u kojem će dump ovog računala već biti učitan (zadana staza je C:\Windows\MiniDump, ako odete na Settings-Advanced Settings, možete odrediti drugu put ako ste kopirali dump na drugo mjesto).
Pogreške se vrlo često pojavljuju u Windows OS-u, čak iu slučaju "čistog" sustava. Ako se obične programske pogreške mogu riješiti (pojavljuje se poruka o nedostatku komponente), tada će kritične pogreške biti mnogo teže popraviti.
Što je ispis memorije u sustavu Windows
Za rješavanje problema sa sustavom obično se koristi ispis memorije o padu - ovo je fotografija dijela ili cijelog RAM-a i postavljanje na trajni medij ( HDD). Drugim riječima, sadržaj RAM-a se u potpunosti ili djelomično kopira na medij, a korisnik može analizirati memorijski dump.
Postoji nekoliko vrsta ispisa memorije:
Malo smetlište(Small Memory Dump) – sprema minimalnu količinu RAM-a, koja sadrži informacije o kritičnim pogreškama (BSoD) i komponente koje su učitane tijekom rada sustava, na primjer, upravljački programi, programi. MiniDump pohranjuje se na stazi C:\Windows\Minidump.
Puno smeće(Complete Memory Dump) – spremljena je puna količina RAM-a. To znači da će veličina datoteke biti jednaka količini RAM-a. Ako ima malo prostora na disku, bit će problematično uštedjeti, na primjer, 32 GB. Također postoje problemi sa stvaranjem datoteke dumpa memorije veće od 4 GB. Ova vrsta se koristi vrlo rijetko. Pohranjeno na C:\Windows\MEMORY.DMP.
Istovariti kernel memorija– spremaju se samo informacije koje se odnose na jezgru sustava.
Kada korisnik počne analizirati grešku, treba samo koristiti minidamp (mali dump). Ali prije toga mora biti uključen, inače se problem neće prepoznati. Također, za učinkovitiju identifikaciju pada, poželjno je koristiti snimku pune memorije.
Podaci u registru
Ako pogledate u Windows registar, možete pronaći neke korisne postavke snimke. Pritisnite kombinaciju tipki Win+R i unesite naredbu regedit i otvoriti sljedeće grane:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl
U ovoj grani korisnik će pronaći sljedeće parametre:
- Automatsko ponovno pokretanje– omogućite ili onemogućite ponovno pokretanje nakon stvaranja plavog ekrana smrti (BSoD).
- DumpFile– naziv vrste odlagališta i mjesto.
- CrashDumpEnabled– broj datoteke koja se stvara, na primjer, broj 0 – dump se ne stvara; 1 – stvaranje punog odlagališta; 2 – stvaranje deponije jezgre; 3 – stvaranje malog odlagališta.
- DumpFilters– opcija vam omogućuje dodavanje novih funkcija prije izrade snimke. Na primjer, šifriranje datoteke.
- MinidumpDir– naziv malog odlagališta i mjesto na kojem se nalazi.
- LogEvent– aktivacija snimanja informacija u dnevniku sustava.
- MinidumpsCount– postavite broj malih odlagališta koja će se stvoriti. (Prekoračenje ovog broja uništit će stare datoteke i zamijeniti ih).
- Prebrisati– funkcija za puni ili ispis sustava. Prilikom izrade nove fotografije, prethodna će uvijek biti zamijenjena novom.
- DedicatedDumpFile– stvaranje alternativne slikovne datoteke i navođenje njezine staze.
- IgnorePagefileSize– koristi se za privremenu lokaciju snimke, bez korištenja swap datoteke.
Kako radi
Ako dođe do kvara, sustav potpuno zaustavlja svoj rad, a ako je dumping aktivan, bit će zapisan u datoteku koja se nalazi na disku. informacije o nastalom problemu. Ako se nešto dogodilo fizičkim komponentama, tada će raditi šifra za hitne slučajeve, a hardver koji nije uspio izvršit će neke promjene, što će se sigurno odraziti na snimku.
Tipično je datoteka pohranjena u bloku dodijeljenom za swap datoteku tvrdi disk, nakon što se pojavi BSoD, datoteka se prebriše u vrsti koju je korisnik sam konfigurirao (mali, puni ili core dump). Iako, u modernim operativnim sustavima, sudjelovanje stranične datoteke nije potrebno.
Kako omogućiti ispise
U Windows 7:
U Windows 8 i 10:
Ovdje je postupak malo sličan, možete ući u informacije o sustavu na isti način kao u sustavu Windows 7. U "Deset" svakako otvorite " Ovo računalo", desnom tipkom miša kliknite na slobodni prostor i odaberite " Svojstva" Drugi način da tamo dođete je putem upravljačke ploče.
Druga opcija za Windows 10:
Treba napomenuti da su se u novim verzijama sustava Windows 10 pojavile nove stavke koje nisu bile u "sedam":
- Malo smetlište memorija 256 KB - minimalni podaci o kvaru.
- Aktivni dump- pojavio se u desetoj verziji sustava i sprema samo aktivnu memoriju računala, jezgre sustava i korisnika. Preporuča se za korištenje na poslužiteljima.
Kako izbrisati dump
Samo idite u direktorij u kojem su pohranjene snimke memorije i jednostavno ih izbrišite. Ali postoji još jedan način da ga uklonite - pomoću uslužnog programa za čišćenje diska:
Ako nisu pronađene stavke, ispisi možda nisu omogućeni.
Čak i ako ste ih jednom omogućili, neki uslužni programi za optimizaciju sustava koje koristite lako mogu onemogućiti neke funkcije. Često se puno stvari isključi tijekom korištenja SSD diskovi, jer ponavljani postupci čitanja i pisanja uvelike štete zdravlju ovog diska.
Analiza dumpa memorije pomoću WinDbg
Preuzmite sa službenog Microsoftovog web mjesta ovaj program u koraku 2, gdje je opisano " MontažaWDK" - https://docs.microsoft.com/en-us/windows-hardware/drivers/download-the-wdk. 
Za rad s programom trebat će vam i poseban paket simbola za otklanjanje pogrešaka. To se zove Simboli za otklanjanje pogrešaka, prije se moglo preuzeti s Microsoftove stranice, no sada su odustali od te ideje i morat ćete koristiti funkciju programa File - “ Put do datoteke simbola", gdje trebate unijeti sljedeći redak i kliknuti OK:
postavite _NT_SYMBOL_PATH=srv*DownstreamStore*https://msdl.microsoft.com/download/symbols
Ako ne radi, pokušajte ovu naredbu:
SRV*%systemroot%\symbols*http://msdl.microsoft.com/download/symbols
Ponovno kliknite "Datoteka" i odaberite opciju "Spremi radni prostor".
Uslužni program je konfiguriran. Sve što preostaje je navesti stazu do datoteka ispisa memorije. Da biste to učinili, kliknite Datoteka i kliknite opciju " OolovkaSudarIstovariti" Lokacija svih odlagališta navedena je na početku članka.
Nakon odabira, analiza će završiti i problematična komponenta će biti automatski istaknuta. Da biste dobili više informacija u istom prozoru, možete unijeti sljedeću naredbu: !analizirati –v 
Analiza pomoću BlueScreenView
Alat možete besplatno preuzeti s ove stranice - http://www.nirsoft.net/utils/blue_screen_view.html. Instalacija ne zahtijeva nikakve vještine. Koristi se samo na Windows 7 i novijim.
Pokrećemo i konfiguriramo. Kliknite “Opcije” – “ Dodatne mogućnosti"(Napredne opcije). Odaberite prvu stavku " Učitajte MiniDumps iz ove mape"i označi imenik - C:\WINDOWS\Minidump. Iako možete jednostavno kliknuti gumb "Zadano". Pritisnite OK.
Dump datoteke bi se trebale pojaviti u glavnom prozoru. Može biti jedan ili nekoliko. Da biste ga otvorili, samo kliknite na njega mišem. 
Donji dio prozora prikazat će komponente koje su bile pokrenute u vrijeme kvara. Osoba odgovorna za nesreću bit će označena crvenom bojom.
Sada kliknite "Datoteka" i odaberite, na primjer, stavku " Pronađite u Google kod greške + upravljački program" Ako pronađete upravljački program koji vam je potreban, instalirajte i ponovno pokrenite računalo. Možda će greška nestati.
