Hogar
Elección 
¿Qué son los volcados de memoria? Volcado de memoria de Windows. Analizando un volcado de memoria usando BlueScreenView

¿Qué son los volcados de memoria? Volcado de memoria de Windows. Analizando un volcado de memoria usando BlueScreenView

En Windows 8, Microsoft introdujo un nuevo volcado de memoria: una opción de volcado de memoria automático. Esta configuración está configurada de forma predeterminada en el sistema operativo. Windows 10 introdujo un nuevo tipo de archivo de volcado: el volcado de memoria activa. Para aquellos que no lo saben, en Windows 7 tenemos un volcado pequeño, un volcado de núcleo y un volcado de núcleo completo. Quizás se pregunte por qué Microsoft decidió crear esta nueva opción de volcado de memoria. Según Robert Simpkins, ingeniero senior de soporte, un volcado de memoria automático puede crear soporte para la página "sistema" en el archivo de configuración.
El sistema de gestión de configuración del archivo de paginación es responsable de gestionar el tamaño del archivo de paginación; esto evita un espacio libre o un tamaño de archivo de paginación innecesarios. Esta opción se introduce principalmente para PC que funcionan con unidades SSD, que suelen ser más pequeñas pero tienen una gran cantidad de RAM.

Opciones de volcado de memoria

La principal ventaja del "volcado de memoria automático" es que permitirá que la sesión del subsistema en el administrador de procesos reduzca automáticamente el archivo de página a un tamaño menor que el tamaño de la RAM. Para aquellos que no lo saben, la sesión del administrador del subsistema es responsable de la inicialización del sistema, el entorno de inicio de los servicios y procesos necesarios para que el usuario inicie sesión en el sistema. Básicamente instala una página de archivos en la memoria virtual e inicia el proceso winlogon.exe.

Si desea cambiar la configuración del volcado automático de memoria, aquí le explicamos cómo hacerlo. Hacer clic Teclas de Windows+ X y seleccione - Sistema. A continuación, haga clic en “ Opciones adicionales sistemas - Avance Sistema Ajustes”.

Haga clic en el botón Configuración avanzada del sistema.

Aquí puedes ver un menú desplegable donde dice “Avanzado”.

Aquí podrás seleccionar la opción que desees. Opciones sugeridas:

Sin volcados de memoria.
Pequeño volcado de memoria.
Volcado de memoria del kernel.
Volcado de memoria completo.
Volcado automático de memoria. Agregado a Windows 8.
Volcado de memoria activa. Agregado a Windows 10.
La ubicación del archivo de volcado de memoria se encuentra en el archivo %SystemRoot%\MEMORY.DMP.

Si estas usando unidad SSD, entonces es mejor dejarlo en “Volcado de memoria automático”; pero si necesita un archivo de volcado de memoria, entonces es mejor configurarlo como “volcado de memoria pequeño”, con él puede, si lo desea, enviárselo a alguien para que pueda echarle un vistazo.

En algunos casos, es posible que necesite aumentar el tamaño del archivo de página más que la RAM para que quepa en un volcado de memoria completo. En tales casos, es necesario crear una clave de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

se llama "LastCrashTime".

Esto aumentará automáticamente el tamaño del archivo de intercambio. Para reducirlo más adelante, simplemente puede eliminar esta clave.

En Windows 10 introducido. nuevo archivo volcar volcado de memoria activa. Contiene sólo lo esencial y, por tanto, es de menor tamaño.

No tengo forma de probarlo, pero creé esta clave y supervisé el tamaño del archivo de paginación. Sé que tarde o temprano recibiré un error crítico. Entonces lo comprobaré.

Puedes analizar el volcado. memoria de windows Archivos .dmp a través de WhoCrashed. WhoCrashed Home es una utilidad gratuita que proporciona controladores que se han instalado en su computadora con un solo clic. En la mayoría de los casos, puede identificar un controlador defectuoso que está causando problemas a su computadora. Este es un volcado de análisis del sistema, volcados de memoria y toda la información recopilada se presenta aquí en un formulario accesible.

Normalmente, el kit de herramientas de depuración abrirá un volcado de análisis. Con esta utilidad, no necesita ningún conocimiento ni habilidad de depuración para descubrir qué controladores están causando problemas en su computadora.

WhoCrashed se basa en un paquete de depuración (el programa windbg) de Microsoft. Si este paquete no está instalado, WhoCrashed lo descargará y lo extraerá automáticamente. Simplemente ejecute el programa y haga clic en el botón Analizar. Cuando tenga WhoCrashed instalado en su sistema y si falla o se cierra inesperadamente, el programa le informará si el volcado de fallas está habilitado en su computadora y le ofrecerá sugerencias sobre cómo habilitarlo.

Buenas tardes, queridos colegas y lectores del blog. Hoy quiero contaros cómo analizar un volcado de memoria de Redstone de Windows 10. Esto se hace en la mayoría de los casos cuando obtiene un pantalla azul muere con un error, después de lo cual su computadora se reinicia. Y este análisis ayuda a comprender la causa del fallo.

Configurar un volcado de memoria de Windows 10

Entonces, ¿qué es un volcado de memoria en el sistema operativo Windows 10 Redstone? Arriba, les describí una razón muy común por la que aparece un volcado de memoria del sistema y estas son pantallas azules de la muerte. Los motivos de su aparición son muy extensos:

  • Incompatibilidad de aplicaciones
  • Incompatibilidad de controladores
  • Nuevo actualizaciones de windows
  • Los dispositivos no son compatibles

Esta es solo una pequeña lista generalizada, dado que hay muchos códigos de error de pantallas azules, daré los más recientes.

Nuestra tarea es poder encontrar estos archivos para diagnóstico y poder interpretarlos para obtener información sobre el problema.

¿Dónde se configura un volcado de memoria de Windows 10?

Primero, averigüemos dónde se realiza la configuración, que es responsable del volcado de memoria de falla de Windows 10. Haga clic derecho en el botón de inicio de Windows 10 y desde. menú contextual seleccione Sistema.

En la ventana Sistema que se abre, en la esquina superior izquierda, seleccione Configuración avanzada del sistema.

Aquí es donde se configura el volcado de memoria de Windows 10. Haga clic en el elemento Configuración en Arranque y recuperación.

De la configuración del volcado de memoria de Windows 10, me gustaría señalar lo siguiente:

  • Grabar un evento en el registro del sistema > aquí se agregará información sobre la pantalla azul a los registros del sistema operativo.
  • Ejecutar reinicio automático> continuar trabajando después de un error
  • Grabar información de depuración > le permite seleccionar el tipo de archivo de volcado, más sobre eso a continuación.
  • Reemplazar un archivo de volcado existente, una casilla de verificación útil, ya que estos volcados pueden pesar decenas de gigabytes, lo cual es muy crítico para unidades SSD pequeñas.

Tipos de volcados de memoria

Veamos las diferencias entre las opciones para registrar información de depuración.

  • Volcado de memoria pequeña 256 KB: Los archivos de volcado de memoria pequeña contienen la siguiente información:

– mensaje sobre un error fatal, sus parámetros y otros datos;

– lista de controladores cargados;

– contexto del procesador ( PRCB) en el que ocurrió la falla;

PROCESO) para el proceso que causó el error;

– información del proceso y contexto del núcleo ( hilo) para el hilo que causó el error;

– Pila de llamadas en modo kernel para el subproceso que provocó el error.

Se utiliza cuando tienes muy poco espacio en disco en tu disco local. Debido a esto, sacrificamos información útil, que puede no ser suficiente para diagnosticar una pantalla azul.

El minivolcado se almacena en la ruta C:\Windows\Minidump

  • Volcado de memoria del kernel > registra solo la memoria del kernel. Dependiendo del volumen memoria fisica La PC en este caso requiere de 50 a 800 para el archivo de paginación. MEGABYTE o un tercio de la memoria física de la computadora en el volumen de arranque.
  • Volcado de memoria completa > bueno, todo queda claro por el nombre. Escribe absolutamente todo, esta es la máxima información sobre la pantalla azul, da un diagnóstico cien por cien del problema.

Ubicado en C:\Windows\Memoria.dmp

  • Volcado de memoria activa > aquí llega la memoria activa de la máquina host, esta función es más para plataformas de servidor, ya que se pueden usar para virtualización, y para que la información sobre las máquinas virtuales no entre en el volcado, se inventó esta opción.

Uno de los fallos más comunes. operación de ventanas- excepciones del sistema que el usuario ve en forma de "pantalla azul de la muerte" (BSOD). Como regla general, este error fatal ocurre debido a un mal funcionamiento de los controladores, del hardware (generalmente al cargar el sistema operativo) o debido a la acción de virus y antivirus.

La pantalla azul de la muerte contiene información sobre las razones que causaron la excepción (en forma de un código de error STOP del tipo 0x0000007b), direcciones en la memoria cuando se accedió, se produjo una excepción, etc. información útil. Esta información se denomina error STOP, cuyos parámetros variables son precisamente direcciones de memoria. A veces también contiene el nombre del archivo que provocó la excepción.

Toda esta información no se muestra en la pantalla por mucho tiempo (hasta 100 segundos), después de lo cual la computadora se reinicia. Durante este corto tiempo, generalmente se genera un volcado de memoria y se escribe en un archivo. Uno de los métodos profesionales importantes para diagnosticar fallas es el análisis de volcado de memoria, que se discutirá en detalle en este artículo.

que es un basurero

  • dump (inglés) – montón de basura; vertedero; agujero; barrio bajo.
  • volcado (volcado de memoria) – 1) volcado, que envía el contenido de la RAM a la impresión o pantalla; 2) una “instantánea” de RAM; datos obtenidos como resultado del dumping; 3) remoción de emergencia, apagado, reinicio.
  • dumping – dumping, eliminación de vertederos.

Las configuraciones para guardar un volcado de memoria se almacenan en registro del sistema Ventanas.

Información sobre el volcado de memoria en el Registro del sistema:

en la sección Registro de Windows se detecta un volcado de memoria los siguientes parámetros:

– Parámetro REG_DWORD AutoReboot con el valor 0×1 (opción Reiniciar automáticamente la ventana auxiliar Arranque y restauración del cuadro de diálogo Propiedades del sistema);

– Parámetro REG_DWORD CrashDumpEnabled con un valor de 0×0, si no se crea un volcado de memoria; 0×1 – Volcado de memoria completo; 0×2 – Volcado de memoria del kernel; 0x3: volcado de memoria pequeño (64 KB);

– Parámetro REG_EXPAND_SZ DumpFile con el valor predeterminado %SystemRoot%\MEMORY.DMP (ubicación de almacenamiento del archivo de volcado);

– Parámetro REG_DWORD LogEvent con un valor predeterminado de 0×1 (opción Registrar evento en el registro del sistema de la ventana de Arranque y Recuperación);

– Parámetro REG_EXPAND_SZ MinidumpDir con el valor predeterminado %SystemRoot%\Minidump (opción de carpeta de volcado pequeña de la ventana de arranque y recuperación);

– Parámetro REG_DWORD Sobrescribir con un valor predeterminado de 0×1 (opción Sobrescribir el archivo de volcado existente de la ventana de Arranque y Restauración);

– Parámetro REG_DWORD SendAlert con un valor predeterminado de 0x1 (opción Enviar alerta administrativa de la ventana de Arranque y Recuperación).

Cómo crea el sistema un archivo de volcado de memoria

Mientras carga Sistema operativo comprueba la configuración del volcado de memoria en la clave de registro. Si se especifica al menos un parámetro, el sistema genera un mapa de bloques de disco ocupados por el archivo de paginación en el volumen de inicio y lo almacena en la memoria. El sistema también determina qué controlador de dispositivo de disco controla el volumen de arranque, calcula sumas de verificación para la imagen de memoria del controlador y para las estructuras de datos que deben ser números enteros para que el controlador realice operaciones de E/S.

Después de una falla, el núcleo del sistema verifica la integridad del mapa del archivo de página, el controlador de disco y las estructuras de control del controlador de disco. Si no se viola la integridad de estas estructuras, entonces el núcleo del sistema llama a funciones de E/S especiales del controlador de disco diseñadas para guardar la imagen de la memoria después de una falla del sistema. Estas funciones de E/S son independientes y no dependen de los servicios del kernel porque los programas responsables de escribir el volcado de memoria no pueden hacer suposiciones sobre qué partes del kernel del sistema o los controladores de dispositivo se dañaron cuando ocurrió una falla. El núcleo del sistema escribe datos desde la memoria en el mapa del sector del archivo de paginación (no es necesario utilizar controladores del sistema de archivos).

Primero, el núcleo del sistema verifica el estado de cada componente involucrado en el proceso de volcado. Esto se hace para que al escribir directamente en sectores del disco no se dañen los datos ubicados fuera del archivo de página. El tamaño del archivo de página debe ser 1 MB mayor que el tamaño de la memoria física, porque cuando se escribe información en el volcado, se crea un encabezado que contiene la firma del volcado de falla y los valores de varias variables críticas del kernel del sistema. El encabezado tiene menos de 1 MB, pero el sistema operativo puede aumentar (o disminuir) el tamaño del archivo de página en al menos 1 MB.

Después de que se inicia el sistema, Session Manager (Windows NT Session Manager; dirección de disco: \WINDOWS\system32\smss.exe) inicializa los archivos de páginas del sistema, utilizando su propia función NtCreatePagingFile para crear cada archivo. NtCreatePagingFile determina si el archivo de página que se está inicializando existe y, de ser así, si tiene un encabezado de volcado. Si hay un encabezado, NtCreatePagingFile envía un código especial al Administrador de sesiones. Luego, Session Manager inicia el proceso Winlogon (programa de inicio de sesión de Windows NT; la dirección del disco es \WINDOWS\system32\winlogon.exe), al que se le notifica la existencia de un volcado de memoria. Winlogon ejecuta el programa SaveDump (Programa de copia de memoria de Windows NT; dirección de disco: \WINDOWS\system32\savedump.exe), que analiza el encabezado del volcado y determina acciones adicionales en emergencia.

Si el encabezado indica la existencia de un volcado, SaveDump copia los datos del archivo de página al archivo de volcado de emergencia, cuyo nombre se especifica mediante el parámetro REG_EXPAND_SZ de la sección DumpFile del Registro. Mientras SaveDump reescribe el archivo de volcado, el sistema operativo no utiliza la parte del archivo de página que contiene el volcado de memoria. En este momento el volumen memoria virtual, disponible para el sistema y las aplicaciones, se reduce según el tamaño del volcado (al mismo tiempo, pueden aparecer mensajes en la pantalla indicando una falta de memoria virtual). SaveDump luego informa al administrador de memoria que el volcado ha terminado de guardarse y libera la parte del archivo de página en el que está almacenado el volcado para uso general.

Después de guardar el archivo de volcado, el programa SaveDump registra la creación de un volcado de memoria en el registro de eventos del sistema, por ejemplo: "La computadora se reinició después de error crítico: 0x100000d1 (0xc84d90a6, 0x00000010, 0x00000000, 0xc84d90a6). Copia de memoria guardada: C:\WINDOWS\Minidump\Mini060309-01.dmp".

Si la opción Enviar alerta administrativa está habilitada, SaveDump envía una alerta al administrador.

Tipos de vertederos

  • Volcado de memoria completa registra todos los contenidos memoria del sistema cuando ocurre un error fatal. Para esta opción, debe tener un archivo de paginación en el volumen de inicio, cuyo tamaño sea igual a la cantidad de toda la RAM física más 1 MB. De forma predeterminada, se escribe un volcado de memoria completo en el archivo %SystemRoot%\Memory.dmp. Cuando sea nuevo error y al crear un nuevo archivo de volcado de memoria completa (o volcado de memoria del kernel), el archivo anterior se reemplaza (sobrescribe). La opción de volcado de memoria completa no está disponible en PC que tengan un sistema operativo de 32 bits y 2 gigabytes o más de RAM.

Cuando se produce un nuevo error y se crea un nuevo archivo de volcado de memoria completa, se reemplaza el archivo anterior.

  • Volcado de memoria del kernel escribe solo en la memoria del kernel, lo que hace que el proceso de escribir datos en el registro cuando el sistema se detiene repentinamente sea más rápido. Dependiendo de la cantidad de memoria física de la PC, en este caso el archivo de paginación requiere de 50 a 800 MB o un tercio de la memoria física de la computadora en el volumen de arranque. De forma predeterminada, el volcado de memoria del kernel se escribe en el archivo %SystemRoot%\Memory.dmp.

Este volcado no incluye memoria no asignada ni memoria asignada a programas en modo de usuario. Incluye sólo la memoria asignada al kernel y la capa dependiente del hardware (HAL) en Windows 2000 y versiones posteriores del sistema, así como la memoria asignada a los controladores en modo kernel y otros programas en modo kernel. En la mayoría de los casos, este tipo de volcado es la opción más preferible. Ocupa mucho menos espacio que un volcado de memoria completa y excluye solo aquellos sectores de memoria que probablemente no estén relacionados con el error.
Cuando ocurre un nuevo error y se crea un nuevo archivo de volcado de memoria del kernel, se reemplaza el archivo anterior.

  • Pequeño volcado de memoria registra la menor cantidad de información útil necesaria para determinar la causa del problema. Para crear un volcado de memoria pequeño, el tamaño del archivo de página debe ser de al menos 2 MB en el volumen de inicio.

Los archivos de volcado de memoria pequeños contienen la siguiente información:

  • Mensaje de error fatal, sus parámetros y otros datos;
  • lista de controladores cargados;
  • el contexto del procesador (PRCB) en el que ocurrió la falla;
  • información del proceso y contexto del kernel (EPROCESS) para el proceso que causó el error;
  • información del proceso y contexto del kernel (ETHREAD) para el hilo que causó el error;
  • La pila de llamadas en modo kernel para el hilo que causó el error.

Se utiliza un archivo de volcado de memoria pequeño cuando el espacio es limitado disco duro. Sin embargo, debido a la información limitada que contiene, es posible que el análisis de este archivo no siempre detecte errores que no fueron causados ​​directamente por el hilo que se estaba ejecutando cuando ocurrió el error.

Cuando ocurre el siguiente error y se crea un segundo archivo pequeño de volcado de memoria, se guarda el archivo anterior. a todos archivo adicional se da un nombre único. La fecha está codificada en el nombre del archivo. Por ejemplo, Mini051509-01.dmp es el primer archivo de volcado de memoria creado el 15 de mayo de 2009. En la carpeta se almacena una lista de todos los archivos de volcado de memoria pequeños. %SystemRoot%\Minivolcado.

sala de operaciones sistema windows XP es sin duda mucho más confiable versiones anteriores, – gracias a los esfuerzos de los desarrolladores de Microsoft y de los desarrolladores de controladores hardware y desarrolladores de aplicaciones software. Sin embargo, las situaciones de emergencia (todo tipo de fallas y fallas del sistema) son inevitables, y si el usuario de la PC tiene el conocimiento y las habilidades para eliminarlas depende de si tendrá que dedicar unos minutos a solucionar problemas y solucionar problemas (por ejemplo, actualizar/depurar un controlador o reinstalar programa de aplicación provocando un fallo del sistema) - o varias horas para reinstalar/configurar el sistema operativo y el software de la aplicación (¡lo que no garantiza la ausencia de fallos y caídas en el futuro!).

Muchos administradores de sistemas Todavía descuido el análisis de los volcados de memoria de Windows, creyendo que trabajar con ellos es demasiado difícil. Es difícil, pero es posible: incluso si, por ejemplo, el análisis de un volcado de cada diez resulta exitoso, los esfuerzos invertidos en dominar las técnicas más simples para analizar los volcados de emergencia no serán en vano.

Daré ejemplos de mi práctica de "administrador de sistemas".

EN red local sin razón aparente(“el hardware” está en orden, la ausencia de virus está garantizada, los usuarios tienen “manos normales”) varias estaciones de trabajo con Windows XP SP1/SP2 “a bordo” murieron. No fue posible iniciar las computadoras en modo normal (llegó a "Saludos") y el reinicio tardó una eternidad. Al mismo tiempo, las PC se iniciaron en modo seguro.

El estudio de los volcados de memoria permitió identificar la causa del mal funcionamiento: el culpable resultó ser Kaspersky Anti-Virus, más precisamente, bases de datos antivirus nuevas (más precisamente, dos módulos de bases de datos: base372c.avc, base032c.avc) .

...Hubo otro caso similar. En una PC local que ejecuta Windows XP SP3, se produjo un reinicio al intentar abrir archivos de video en formatos .avi y .mpeg. El estudio del volcado de memoria nos permitió identificar la causa del problema: el archivo del controlador nv4_disp.dll tarjetas de video nvidia GeForce 6600. Después de actualizar el controlador, el problema se resolvió. En general, el controlador nv4_disp.dll es uno de los más inestables, lo que a menudo provoca BSOD.

En ambos casos, el estudio del volcado de memoria de fallo permitió reducir al mínimo (¡varios minutos!) el tiempo de diagnóstico y eliminación del mal funcionamiento.

Análisis de volcado de memoria

Existen muchos programas para analizar volcados de memoria por fallas, por ejemplo, DumpChk, Kanalyze, WinDbg.

Veamos el análisis de volcados de memoria por fallas usando el programa WinDbg (parte de las herramientas de depuración para Windows).

Instalación de herramientas de depuración

  • visite el sitio web de Microsoft Corporation http://www.microsoft.com/whdc/devtools/debugging/default.mspx;
  • descargar herramientas de depuración para Windows, por ejemplo, para una versión de 32 bits de Windows, esto se puede hacer en la página Descargar herramientas de depuración para Windows;
  • después de descargar, ejecutar archivo de instalación;
  • en la ventana del Asistente de configuración de herramientas de depuración de Windows, haga clic en Siguiente;
  • en la ventana con acuerdo de licencia configure el interruptor Acepto -> Siguiente;
  • en la siguiente ventana, seleccione el tipo de instalación (de forma predeterminada, las herramientas de depuración se instalan en la carpeta \Archivos de programa\Herramientas de depuración para Windows) –> Siguiente –> Instalar –> Finalizar;
  • Para interpretar los archivos de volcado de memoria, también debe descargar los paquetes de símbolos para su versión de Windows; vaya a la página Descargar paquetes de símbolos de Windows;
  • elige el tuyo versión de Windows, descargue y ejecute el archivo de instalación de paquetes de símbolos;
  • en la ventana con el acuerdo de licencia, haga clic en Sí;
  • en la siguiente ventana, seleccione la carpeta de instalación (la predeterminada es \WINDOWS\Symbols) –> Aceptar –> Sí;
  • en la ventana Windows Símbolos con el mensaje "La instalación está completa", haga clic en Aceptar.

Uso de WinDbg para analizar volcados de memoria

  • ejecute WinDbg (instalado en la carpeta \Archivos de programa\Herramientas de depuración para Windows de forma predeterminada);
  • seleccione el menú Archivo –> Ruta del archivo de símbolos…;
  • en la ventana Ruta de búsqueda de símbolos, haga clic en el botón Examinar…;
  • en la ventana Examinar carpeta, especifique la ubicación de la carpeta Símbolos (por defecto – \WINDOWS\Symbols) –> Aceptar –> Aceptar;
  • seleccione el menú Archivo –> Abrir volcado de memoria... (o presione Ctrl + D);
  • en la ventana Abrir volcado por caída, especifique la ubicación del archivo de volcado por caída (*.dmp) –> Abrir;
  • en la ventana del Espacio de trabajo con la pregunta "¿Guardar información para el espacio de trabajo?", marque la casilla No volver a preguntar -> No;
  • La ventana de volcado de comandos se abrirá en la ventana de WinDbg.<путь_и_имя_файла_дампа>con análisis de volcado;
  • revisar el análisis del volcado de memoria;
  • en la sección “Análisis de comprobación de errores” se indicará posible razón bloqueo, por ejemplo, “Probablemente causado por: smwdm.sys (smwdm+454d5)”;
  • para ver información detallada, haga clic en el enlace "!analyze -v" en la línea "Usar !analyze -v para obtener información de depuración detallada";
  • cerrar WinDbg;
  • Utilice la información obtenida para eliminar la causa del problema.

Por ejemplo, en la siguiente captura de pantalla, la causa del mal funcionamiento es el archivo nv4_disp.dll del controlador de la tarjeta de video.

Hola amigos, hoy miraremos. tema interesante, que te ayudará en el futuro cuando aparezca una pantalla azul de la muerte (BSoD).

Como yo, muchos otros usuarios tuvieron que observar la aparición de una pantalla con un fondo azul en el que había algo escrito (blanco sobre azul). Este fenómeno indica un problema crítico, tanto en el software, por ejemplo, un conflicto de controladores, como en un mal funcionamiento físico de algún componente de la computadora.

Recientemente volví a tener un problema de pantalla azul en Windows 10, pero lo solucioné rápidamente y te lo contaré pronto.

Por lo tanto, la mayoría de los usuarios no saben que BSoD se puede analizar para luego comprender los problemas de error críticos. Para tales casos, Windows crea en el disco. archivos especiales– luego los analizaremos.

Hay tres tipos de volcado de memoria:

Volcado de memoria completa– esta función le permite guardar completamente el contenido de la RAM. Rara vez se usa, porque imagina que tienes 32 GB de RAM, con un volcado completo, todo este volumen se almacenará en el disco.

Volcado de memoria– guarda información del modo kernel.

Pequeño volcado de memoria– guarda una pequeña cantidad de información de error y componentes cargados que estaban presentes en el momento en que ocurrió el mal funcionamiento del sistema. Usaremos este tipo de volcado porque nos dará suficiente información sobre el BSoD.

La ubicación del volcado pequeño y completo es diferente; por ejemplo, el volcado pequeño se encuentra en la siguiente ruta: %systemroot%\minidump.

El volcado completo está aquí: %systemroot%.

Existen varios programas para analizar volcados de memoria, pero usaremos dos. El primero es Microsoft Kernel Debuggers, como su nombre indica, una utilidad de Microsoft. Puedes descargarlo desde el sitio web oficial. El segundo programa es BlueScreenView, un programa gratuito, descárgalo desde aquí.

Análisis de un volcado de memoria utilizando los depuradores del kernel de Microsoft

Para diferentes versiones sistemas necesita descargar su propio tipo de utilidad. Por ejemplo, para un sistema operativo de 64 bits, necesitará un programa de 64 bits, para un sistema operativo de 32 bits, necesitará una versión de 32 bits.

Eso no es todo, necesitas descargar e instalar el paquete de símbolos de depuración necesarios para el programa. Se llama Símbolos de depuración. Cada versión de este paquete También se descarga en un sistema operativo específico, primero averigüe qué sistema tiene y luego descárguelo. Para que no tengas que buscar estos símbolos por ningún lado, aquí te dejamos el enlace de descarga. La instalación debe realizarse preferentemente en esta ruta: %systemroot%\symbols.

Ahora puedes iniciar nuestro depurador, cuya ventana se verá así:

Antes de analizar los volcados, configuraremos algo en la utilidad. Primero, debemos decirle al programa dónde instalamos los símbolos de depuración. Para hacer esto, haga clic en el botón "Archivo" y seleccione el elemento "Ruta del archivo de símbolos", luego especifique la ruta a los símbolos.


El programa te permite extraer símbolos directamente de la web, por lo que ni siquiera tienes que descargarlos (perdón por aquellos que ya los descargaron). ellos tomarán servidor microsoft, para que todo esté seguro. Por lo tanto, debe abrir "Archivo" nuevamente, luego "Ruta del archivo de símbolo" e ingresar el siguiente comando:

SRV*%systemroot%\symbols*http://msdl.microsoft.com/download/symbols


Así, le indicamos al programa que los símbolos debían tomarse de la red. Una vez que hayamos hecho esto, haga clic en "Archivo" y seleccione "Guardar espacio de trabajo", luego haga clic en Aceptar.

Eso es todo. Hemos configurado el programa de la forma correcta, ahora comenzamos a analizar los volcados de memoria. En el programa, presione el botón "Archivo", Entonces "Abrir volcado de emergencia" y seleccione el archivo deseado.

Los depuradores del kernel comenzarán a analizar el archivo y luego generarán un resultado sobre la causa del error.


En la ventana que aparece, puede ingresar comandos. si entramos !analizar –v, entonces obtendremos más información.

Eso es todo con este programa. Para detener el depurador, seleccione "Depurar" y el elemento "Detener depuración".

Analizando un volcado de memoria usando BlueScreenView

El programa BlueScreenView también es adecuado para analizar varios errores y BSoD; tiene una interfaz sencilla, por lo que no debería haber problemas para dominarlo;

Descargue el programa desde el enlace de arriba e instálelo. Después de iniciar la utilidad, debe configurarla. Vaya a los parámetros: “Configuración” - “Configuración avanzada”. Se abrirá una pequeña ventana con un par de elementos. En el primer párrafo, debe indicar la ubicación de los volcados de memoria. Suelen estar ubicados en la ruta C:\WINDOWS\Minidump. Luego simplemente haga clic en el botón "Predeterminado".


¿Qué puedes ver en el programa? Tenemos elementos de menú, parte de la ventana con los nombres de los archivos de volcado y la segunda parte de la ventana: el contenido de los volcados de memoria.


Como dije al principio del artículo, los volcados pueden almacenar controladores, la captura de pantalla de la propia “pantalla de la muerte” y otra información útil que nos puede resultar útil.

Entonces, en la primera parte de la ventana, donde están los archivos de volcado, seleccione el volcado de memoria que necesitamos. En la siguiente parte de la ventana miramos el contenido. Los controladores ubicados en la pila de memoria están marcados en color rojizo. Son precisamente los causantes de la pantalla azul de la muerte.

En Internet puede encontrar todo sobre el código de error y el controlador que puede ser el culpable del BSoD. Para hacer esto, haga clic en "Archivo" y luego "Encontrar en código de google errores + Controlador".


Puede mostrar solo los controladores que estaban presentes en el momento en que ocurrió el error. Para hacer esto, haga clic en "Configuración" - "Modo de ventana inferior" - "Solo se encuentran controladores en la pila de fallas". O presione la tecla F7.

Para mostrar la captura de pantalla de BSoD, presione F8.

Para mostrar todos los controladores y archivos, presione F6.

Bueno, eso es todo. Ahora ya sabe cómo averiguar sobre el problema de la pantalla azul de la muerte y, si sucede algo, busque una solución en Internet o en este sitio. Puede ofrecer sus códigos de error e intentaré escribir para cada artículo para resolver el problema.

Además, no olvides hacer preguntas en los comentarios.

Cualquier sistema operativo moderno es un conjunto muy complejo de diferentes módulos de software, que funcionan juntos en diferentes combinaciones. Pueden contener errores o entrar en conflicto entre sí o con programa en ejecución. Como resultado, se produce un bloqueo y Windows deja de funcionar, mostrando la conocida “pantalla azul de la muerte”. Un volcado de memoria de Windows 10 le ayudará a comprender por qué sucedió esto y también funciona en otras versiones. Por defecto no suelen crearse, por lo que hay que habilitarlos y utilizarlos para estudiar. programas especiales, que extraerá información útil de forma comprensible.

Configurar un volcado de memoria.

Básicamente, se trata de una "instantánea" de la RAM, su contenido en el momento en que ocurrió la falla. Este contenido está escrito para archivo separado, que se llama volcado. Al analizarlo, puedes entender qué salió mal y en qué parte del programa ocurrió el problema. Cuando todo es normal y no se producen fallos, el sistema no crea ningún archivo con el contenido de la memoria. Por lo tanto, esta función no afecta el rendimiento de ninguna manera. Pero tan pronto como ocurre un error fatal que provoca la aparición de una "pantalla azul", se crea dicho archivo. Esta es una herramienta especial que ayuda a los desarrolladores a solucionar este tipo de problemas. Usuarios habituales También puede utilizar esto para descubrir qué programas están provocando que el sistema falle. Pero ten en cuenta que para ello es necesario tener algunos conocimientos de cómo funcionan las computadoras y el software, de lo contrario toda esta información será completamente inútil. Un usuario normal del nivel "Puedo encenderlo, escribir, apagarlo" simplemente no entenderá nada al respecto.

Configuración de volcados de memoria para errores de Windows

Para ver y configurar, por ejemplo, para aumentar el volcado de memoria de Windows, considere la versión 7: sigue siendo popular. Sí, y en otras versiones esto se hace de forma similar. Para hacer esto, puede hacer clic derecho en el icono "Mi PC" y seleccionar "Propiedades". Puede ir al revés: vaya al "Panel de control" y seleccione "Sistema". En cualquier caso, se abrirá la misma ventana. A continuación, seleccione "Configuración avanzada del sistema" a la izquierda y, en la pequeña ventana que aparece, vaya a la pestaña "Avanzadas". Aquí, en la sección "Arranque y recuperación", haga clic en el botón "Opciones".

  1. Pequeño volcado: su volumen es de solo 256 kb, allí solo se registra la información más general.
  2. Volcado de memoria central: registra el estado de varios programas en el momento de la falla de un núcleo de procesador. El tamaño del archivo es aproximadamente el 33% de la RAM total disponible. Aquí hay información útil que le permite identificar la causa de la falla, pero no hay mucha.
  3. Un volcado completo es una copia de toda la RAM y el tamaño del archivo será igual a su capacidad. Aquí podrás encontrar todo lo que quieras. Este volcado también se crea al cambiar al modo de hibernación: todo el contenido de la RAM simplemente se guarda en el disco duro y, cuando se enciende la computadora, continúa funcionando desde el mismo lugar.

En las versiones más nuevas de Windows hay un modo de "volcado de memoria automático"; puede seleccionarlo y esto será suficiente. Como puede ver, configurar un volcado de memoria en Windows 7 no es difícil. Sólo se registrará durante fallas y no afectará el funcionamiento del sistema de ninguna manera.

Cómo y con qué abrir un archivo de volcado de memoria

Cuando ocurre una falla y se crea un nuevo archivo con un informe de problema, aún necesita abrirlo de alguna manera y descubrir qué está escrito en él. El archivo tiene una extensión dmp, pero las herramientas integradas para abrirlo son inconvenientes y se puede acceder a ellas desde línea de comando. Por cierto, el sistema guarda este archivo en su propia carpeta. ¿Cómo abrir un archivo de volcado de memoria con extensión dmp? Existen varias utilidades para esto, incluidas las de Microsoft, por ejemplo, Microsoft Kernel Debuggers. Se puede descargar de forma totalmente gratuita desde el sitio web oficial, pero hay que tener en cuenta si se necesita una versión de 32 o 64 bits. En este programa, puede abrir archivos de volcado de memoria que se encuentran en la carpeta del sistema y ver su contenido en forma de descifrado. Por supuesto, la información es muy específica y está destinada a especialistas.

Existe otra utilidad popular: BlueScreenView. Es muy simple y fácil de usar. Pero la información que se muestra no es tan fácil de entender, pero con algunos conocimientos técnicos es bastante posible. En rojo, el programa resalta en la lista las partes problemáticas del código que causaron la pantalla azul, por ejemplo, ciertos controladores. Esto simplifica enormemente el trabajo de análisis.

Cómo eliminar un archivo de volcado de memoria

¿Es posible eliminarlos? Sí, son simplemente información de servicio para su posterior análisis. Si ya los ha visto o no los necesita, puede eliminarlos usted mismo. de una manera sencilla- añadir a la cesta. De lo contrario, se acumulan gradualmente y comienzan a ocupar mucho espacio en el disco duro, especialmente si se toma una copia completa de la RAM. Por supuesto, buscar manualmente y eliminar todos estos archivos no es una tarea muy agradable. Por lo tanto, puede utilizar cualquier utilidad de limpieza de disco, incluso la integrada en Windows, marcando "Eliminar archivos del sistema" Cuando funcione, también se eliminarán todos los volcados. El sistema en sí no utiliza estos archivos y eliminarlos es completamente seguro.

Elección 

También te puede gustar