Восстановление файлов формата dmp

Настройка создания дампов памяти при ошибках Windows 10

Для того, чтобы включить автоматическое сохранение файла дампа памяти системных ошибок достаточно выполнить следующие простые шаги.

1. Зайдите в панель управления (для этого в Windows 10 вы можете начать набирать «Панель управления» в поиске на панели задач), если в панели управления в поле «Просмотр» включено «Категории», установите «Значки» и откройте пункт «Система».
2. В меню слева выберите пункт «Дополнительные параметры системы».
3. На вкладке «Дополнительно» в разделе «Загрузка и восстановление» нажмите кнопку «Параметры».
4. Параметры создания и сохранения дампов памяти находятся в разделе «Отказ системы». По умолчанию включены опции записи в системный журнал, автоматической перезагрузки и замены существующего дампа памяти, создается «Автоматический дамп памяти», хранящийся в %SystemRoot%MEMORY.DMP (т.е. файл MEMORY.DMP внутри системной папки Windows). Параметры для включения автоматического создания дампов памяти, используемые по умолчанию вы также можете увидеть на скриншоте ниже.

Опция «Автоматический дамп памяти» сохраняет снимок памяти ядра Windows 10 с необходимой отладочной информацией, а также память, выделенную для устройств, драйверов и ПО, работающего на уровне ядра. Также, при выборе автоматического дампа памяти, в папке C:WindowsMinidump сохраняются малые дампы памяти. В большинстве случаев этот параметр оптимален.

Помимо «Автоматический дамп памяти» в параметрах сохранения отладочной информации есть и другие варианты:

• Полный дамп памяти — содержит полный снимок оперативной памяти Windows. Т.е. размер файла дампа памяти MEMORY.DMP будет равен объему используемой (занятой) оперативной памяти на момент появления ошибки. Обычному пользователю обычно не требуется.
• Дамп памяти ядра — содержит те же данные что и «Автоматический дамп памяти», по сути это одна и та же опция, за исключением того, как Windows устанавливает размер файла подкачки в случае выбора одной из них. В общем случае вариант «Автоматический» подходит лучше (подробнее для интересующихся, на английском — здесь.)
• Малый дамп памяти — создание только мини дампов в C:WindowsMin >

В случае, если вам нужно удалить дамп памяти, вы можете сделать это вручную, удалив файл MEMORY.DMP в системной папке Windows и файлы, содержащиеся в папке Minidump. Также можно использовать утилиту «Очистка диска» Windows (нажать клавиши Win+R, ввести cleanmgr и нажать Enter). В «Очистке диска» нажмите кнопку «Очистить системные файлы», а затем в списке отметьте файла дампа памяти для системных ошибок, чтобы удалить их (при отсутствии таких пунктов можно предположить, что дампы памяти пока не создавались).

Ну и в завершение о том, почему может быть отключено создание дампов памяти (или отключаться само после включения): чаще всего причиной являются программы для очистки компьютера и оптимизации работы системы, а также софт для оптимизации работы SSD, который также может отключать их создание.

В момент критического сбоя операционная система Windows прерывает работу и показывает синий экран смерти (BSOD). Содержимое оперативной памяти и вся информация о возникшей ошибке записывается в файл подкачки. При следующей загрузке Windows создается аварийный дамп c отладочной информацией на основе сохраненных данных. В системном журнале событий создается запись о критической ошибке.

Два способа как расшифровать малый дам памяти minidump

Первый способ
, заключается в использовании довольно популярной утилите BlueScreenView . Эта утилита может также стать хорошим вариантом для анализа дампа памяти. Применение этой утилиты как нельзя кстати пригодится, как способ чтобы определить проблемный драйвер.

Более того, она особенно примечательна тем, что с ее помощью возможен просмотр BSOD (синего экрана смерти) как бы в стоп-кадре, как это было, когда система крашилась. Она отображает время и дату сбоя, данные о драйвере или модуле с версией и кратким описанием. Кроме того, утилита доступна на множестве языков, включая русский. Так что утилита BlueScreenView как раз самое то, если нужно произвести быстрый анализ дампов памяти при BSOD.

Для второго способа
нужно установить Debugging Tools for Windows , а также загрузить утилиту bsdos_utility . Далее после распаковки скрипта bsdos_utility.cmd следует переместить его на диск C:\ (можно создать отдельную папку, но стоит помнить, что строка адреса запуска скрипта будет отличатся от нашего примера). Затем в командной строке следует написать:

C:\bsdos_utility.cmd

После выведения списка всех дампов из списка C:\Windows\Minidump\, после чего скрипт спросит какой именно дамп должен подвергнуться анализу. Выбрать нужный минидамп можно также самостоятельно при запуске скрипта:

Подобным образом возможно обнаружение массы ошибок Windows 10, из-за которых выпал BSOD, а также проблематичных программ.exe из-за которых случился синий экран.

На следующем шаге выбора компонент к установке (Select the features you want to install
) отмечаем только то, что нам нужно — Debugging tools for Windows
и нажимаем Install

В указанную на первом экране папку из Интернета будет загружен и установлен набор утилит.

После окончания установки находим в меню “Пуск” или на стартовом экране в группе ярлыков Windows Kits
утилиту WinDbg
и запускаем её с правами администратора

Если по какой-то причине ярлык найти не удалось, то можно запустить исполняемый файл из каталога установки — С:\Program Files (x86)\Windows Kits\8.1\Debuggers\x64\windbg.exe

В главном меню программы WinDbg
выбираем пункты File
> Symbol File Path
. В открывшееся окно вставляем строку определяющую пусть к локальному каталогу символьного кэша и его онлайн-источнику:

SRV*C:\Windows\symbol_cache*http://msdl.microsoft.com/download/symbols

Сохраняем настройки, выбрав в главном меню пункты File
> Save Workspace

Открываем файл дампа памяти, выбрав в меню File
> Open Crash Dump
…

Выбираем файл MEMORY.DMP
(по умолчанию расположен в каталоге C:\Windows
) и нажимаем Open

Появится информация о том, какой именно исполняемый модуль стал причиной остановки работы системы. Щёлкнув по гиперссылке !analyze-v

можно получить более развернутую информацию о состоянии системы на момент возникновения стоп-ошибки.

Туже самую информацию можно получить и с помощью командной строки используя примерно следующую последовательность команд:

cd /d «C:\Program Files (x86)\Windows Kits\8.1\Debuggers\x64\
»
kd -z «D:\DOWNLOADS\VM05\MEMORY.DMP
»
.logopen C:\Debuglog.txt

.sympath srv*C:\Windows\symbol_cache*http://msdl.microsoft.com/download/symbols

В этом примере вся информация о разборе дампа будет выгружена в читаемом виде в файл C:\Debuglog.txt

Источники информации:

Добрый день уважаемые коллеги и читатели блога сайт. Сегодня я хочу вам рассказать как производится анализ дампа памяти windows 10 Redstone. Делается это в большинстве случаев когда у вас выскакивает синий экран смерти с ошибкой, после чего ваш компьютер перезагружается. И данный анализ помогает понять причину сбоя.

Small memory dump

A small memory dump records the smallest set of useful information that may help identify why your computer stopped unexpectedly. This option requires a paging file of at least 2 MB on the boot volume and specifies that Windows 2000 and later create a new file every time your computer stops unexpectedly. A history of these files is stored in a folder.

This dump file type includes the following information:

• The Stop message and its parameters and other data
• A list of loaded drivers
• The processor context (PRCB) for the processor that stopped
• The process information and kernel context (EPROCESS) for the process that stopped
• The process information and kernel context (ETHREAD) for the thread that stopped
• The Kernel-mode call stack for the thread that stopped

This kind of dump file can be useful when space is limited. However, because of the limited information included, errors that were not directly caused by the thread that was running at the time of the problem may not be discovered by an analysis of this file.

If a second problem occurs and a second small memory dump file is created, the previous file is preserved. Each additional file is given a distinct name. The date is encoded in the file name. For example, Mini022900-01.dmp is the first memory dump generated on February 29, 2000. A list of all small memory dump files is kept in the folder.

Дамп памяти Windows и Синий Экран Смерти

Итак, если компьютер внезапно перезагружается или зависает, а cиний экран смерти не появляется или появляется на долю секунды, то все равно информацию о причинах сбоя можно восстановить.

Дело в том, что операционная система в момент сбоя сохраняет содержимое оперативной памяти в так называемый дамп-файл (имеет расширение .dmp). В дальнейшем файл дампа можно будет проанализировать и получить туже самую информацию, что и на синем экране и даже чуть больше.

Но создание дампов может быть отключено в системе, поэтому стоит убедиться, что, во-первых, система создает дампы при сбоях, а, во-вторых, стоит узнать место на диске, куда они сохраняются.

Для этого нужно зайти в раздел Система.

В Windows 10 это можно сделать через поиск, а в предыдущих версиях операционной системы через Панель управления.

Далее переходим в Дополнительные параметры, а затем на вкладке Дополнительно переходим в Параметры раздела Загрузка и восстановление.

Здесь должна быть включена запись событий в системный журнал, ну а чтобы компьютер автоматически не перезагружался и отображал нам содержимое синего экрана смерти, нужно отменить автоматическую перезагрузку, если она была включена.

Также здесь отображается путь к дампам — мы видим, что дамп сохраняется в папку %SystemRoot% — это обозначение папки Windows.

Также здесь можно выбрать «малый дамп памяти», которого будет вполне достаточно для поиска кодов ошибки.

Итак, система вылетела в синий экран смерти, после чего был создан дамп памяти.

Для анализа дампов существуют специальные программы и одной из самых популярных является утилита BlueScreenView.

Программа очень проста в использовании и не требует установки — скачиваем с официального сайта и разархивируем. При этом с официального сайта можно скачать файл, с помощью которого можно русифицировать программу. Для этого данный файл нужно будет поместить в папку с разархивированной программой.

Если после запуска в программе не отображаются дампы, хотя система «срывалась» в синий экран смерти, то стоит зайти в настройки программы и убедиться, что путь к дампам памяти указан верно, то есть он должен быть таким же, как и в настройках системы.

После этого нужно обновить информацию в окне программы и все созданные в системе дампы отобразятся. Если дампов несколько, то, ориентируемся по дате сбоя. Выбираем нужный дамп, а затем появится подробная информация по нему.

Здесь выводится название ошибки, ее STOP-код с параметрами и если причиной стал драйвер, то в соответствующем поле мы обнаружим его название.

Также в нижней части окна программы розовым будут выделяться файлы, которые также могли стать причиной сбоя. Придется по порядку разбираться с каждым из них. Алгоритм здесь аналогичен рассмотренному в прошлой заметке — ищем решение в интернете, а в качестве поискового ключа используем название файла или код ошибки.

При этом не обязательно вручную вводить данные в поисковик. Если щелкнуть правой кнопкой мыши по строке дампа, то из контекстного меню можно выбрать пункт, который позволит найти в Гугле описание именно этой проблемы.

Можно выбрать поиск в Гугл по коду ошибки, по коду ошибки и названию драйвера или по коду ошибки и параметру.

Также с помощью этой утилиты можно быстро найти местоположение проблемного файла на диске.

Иногда бывает, что файл, вызвавший проблему, принадлежит какой-то программе или игре. По местоположению файла на диске можно быстро определить, к какой именно программе или игре он относится.

Ну и стоит знать, что чистильщики вроде Ccleaner удаляют дампы памяти, поэтому если вы пользуетесь подобными программами, то на время выявления причины появления синего экрана смерти, стоит воздержаться от их использования.

И последний вопрос, на который я отвечу в рамках этой заметки — что делать, если после появления синего экрана компьютер более не запускается? То есть компьютер зависает или постоянно перегружается, а значит нет возможности проанализировать дамп памяти.

Ответ логичен и прост — нужно создать загрузочную флешку, с помощью которой «вытянуть» файл дампа с жесткого диска и проанализировать его на другом компьютере. Для этого загружаемся с флешки и на жестком диске компьютера в папке Windows или в подпапке minidump находим файл дампа, который копируем на флешку. Затем на другом компьютере с помощью утилиты BlueScreenView анализируем дамп, как было рассказано в этой заметке.

Complete memory dump

A complete memory dump records all the contents of system memory when your computer stops unexpectedly. A complete memory dump may contain data from processes that were running when the memory dump was collected.

If you select the Complete memory dump option, you must have a paging file on the boot volume that is sufficient to hold all the physical RAM plus 1 megabyte (MB).

If a second problem occurs and another complete memory dump (or kernel memory dump) file is created, the previous file is overwritten.

Note

• In Windows 7, the paging file can be on a partition that differs from the partition on which the operating system is installed.
• In Windows 7, you do not have to use the DedicatedDumpFile registry entry to put a paging file onto another partition.
• The Complete memory dump option is not available on computers that are running a 32-bit operating system and that have 2 gigabytes (GB) or more of RAM. For more information, see Specify what happens when the system stops unexpectedly.

Менеджер по продажам

Ссылки

Анализ аварийного дампа отладчиком WinDbg

С помощью WinDbg из аварийного дампа можно вытащить более детальную информацию, включая расшифровку стека вызовов.

Установка Debugging Tools for Windows (WinDbg)

Microsoft распространяет WinDbg только в составе SDK, загрузить веб-установщик можно на странице загрузки центра разработки.

Для анализа аварийных дампов установка SDK не требуется. Скачать Debugging Tools for Windows (WinDbg) отдельным пакетом можно здесь или здесь.

Загружаем и устанавливаем WinDbg для вашей версии Windows. Версия для Windows 7 работает также в Windows XP и в Windows Vista.

Для Windows 10 требуется WinDbg версии 10.0.10586.567. Скачиваем Изолированный пакет SDK для Windows 10. Будет загружен веб-установщик. При установке, отключаем все компоненты, кроме отладчика.

После установки, корректируем ярлык для запуска WinDbg. В свойствах ярлыка, устанавливаем флажок запуска от имени администратора. Также, в качестве рабочей папки, задаем: %SystemRoot%Minidump.

Настройка отладочных символов

Отладочные символы содержат символические имена функций из исходного кода. Они необходимы для расшифровки и интерпретации аварийного дампа.

При первом запуске WinDbg, необходимо указать путь к отладочным символам, для этого открываем меню File, Symbol File Path, или используем комбинацию Ctrl+S.

Следующей строкой включаем загрузку отладочных символов из сети, задаем локальный путь для сохранения файлов и адрес для загрузки из интернета:

Если система не подключена к интернету, пакет для установки символов можно предварительно загрузить на странице загрузки пакетов символов Windows, центра разработки Microsoft.

Анализ аварийного дампа

В меню выбираем File, Open Crash Dump, или нажимаем Ctrl+D.

Указываем путь к дампу %SystemRoot%MEMORY.DMP или %SystemRoot%Minidumpфайл.dmp.

Загрузка отладочных символов из интернета может занять некоторое время.

Для получения детальной информации выполняем команду:

Дебаггер сам вам предложит ее выполнить, достаточно навести указатель мыши на ссылку и кликнуть.

В результате получаем следующий вывод:

Как я могу получить доступ к файлам DMP в Windows 10?

Какое расширение файла DMP обозначает?

Файлы дампа памяти Windows с расширением «.dmp» – это системные файлы, хранящиеся в двоичном формате. В случае ошибки или внезапного сбоя сторонней программы или даже функции системы эти файлы создаются автоматически.

Они хранят подробности о сбое, поэтому большинство опытных пользователей будут использовать файлы .dmp для устранения проблем с уязвимыми программами.

Если есть, скажем, BSOD (синий экран смерти), подробности о возможных причинах (драйверы или другое программное обеспечение обычно подозреваются) можно найти в автоматически сгенерированном файле .dmp.

Синий экран смерти кажется страшным? Исправьте любые ошибки BSOD с этими удивительными инструментами!

По понятным причинам они в основном называются «Memory.dmp» или «Crash.dmp» соответственно. По размеру они могут быть маленькими индивидуально.

Однако, поскольку они имеют тенденцию накапливаться с течением времени, файлы DMP могут занимать много места для хранения при объединении. Таким образом, вы можете легко очистить их с помощью утилиты очистки диска.

Проблемы с удалением всех ваших нежелательных файлов? Следуйте этому руководству, чтобы решить проблемы с очисткой диска и сохранить диск.

Как открыть файлы DMP в Windows 10?

Теперь открыть эти файлы не так просто, поскольку в Windows 10 нет встроенного инструмента. Для этого есть веская причина: редко обычный пользователь захочет получить к ним доступ в первую очередь.

Однако есть несколько сторонних утилит, которые позволят вам открывать и читать файлы DMP. Они могут выглядеть устаревшими, но в этом случае мы отдаем предпочтение эффективности, а не внешнему виду.

Первое приложение – WhoCrashed, анализатор дамп-файлов. Этот инструмент требует установки, но он довольно прост в использовании и обладает всеми необходимыми функциями

Вы даже можете симулировать сбой системы (делайте это с осторожностью) с определенными параметрами

Вы знаете, что лучше всего работает с анализатором файлов дампа? Дисковый анализатор. Проверьте этот список с лучшими из доступных.

Второе приложение – BlueScreenView. Oldtimer, который поддерживает каждую итерацию Windows на сегодняшний день. Вы должны легко использовать его.

Это портативное приложение небольшого размера, поэтому не требует установки. Как только вы получите его, просто распакуйте его и запустите файл EXE. Тем не менее, мы спешим. Во-первых, вам нужно разрешить системе создавать файлы дампа, доступные для чтения сторонним программным обеспечением.

Это должно сделать это. Если у вас есть альтернативные способы открывать и читать файлы DMP, обязательно сообщите нам об этом в разделе комментариев ниже. Мы будем рады услышать от вас.

Если вам интересно, как удалить файлы дампа памяти из-за системных ошибок в Windows 10, ознакомьтесь с этим замечательным руководством. Кроме того, если вы хотите эффективно исправить поврежденный дамп памяти, выполните простые шаги из этого полезного руководства.

Если у вас есть другие вопросы, оставьте их там же.

Настройка сервера отладочных символов в WinDBG

Отладочные символы (debug-символы или symbol files) – это блоки данных, генерируемые в процессе компиляции программы совместно с исполняемым файлом. В таких блоках данных содержится информация о именах переменных, вызываемых функциях, библиотеках и т.д. Эти данные не нужны при выполнении программы, но полезные при ее отладке. Компоненты Microsoft компилируются с символами, распространяемыми через Microsoft Symbol Server.

Настройте WinDBG на использование Microsoft Symbol Server:

• Откройте WinDBG;
• Перейдите в меню File
  –> Symbol File Path;
  
• Пропишите строку, содержащую URL для загрузки символов отладки с сайта Microsoft и папку для сохранения кэша: SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols В примере кэш загружается в папку E:\Sym_WinDBG, можете указать любую.
• Не забывайте сохранить изменения в меню File
  –> Save WorkSpace;
  

WinDBG произведет поиск символов в локальной папке и, если не обнаружит в ней необходимых символов, то самостоятельно загрузит символы с указанного сайта. Если вы хотите добавить собственную папку с символами, то можно сделать это так:

SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols;c:\Symbols

Если подключение к интернету отсутствует, то загрузите предварительно пакет символов с ресурса Windows Symbol Packages .

Параметры реестра

Раздел реестра, который определяет параметры аварийного дампа:

Параметры:

Шаг 2. Настройка пути назначения для дампа памятиStep 2: Configure the destination path for a memory dump

Вам не нужно иметь файл подкачки в разделе, где установлена операционная система.You don’t have to have the page file on the partition where the operating system is installed. Чтобы разместить файл подкачки в другом разделе, необходимо создать новую запись реестра с именем дедикатеддумпфиле.To put the page file on another partition, you must create a new registry entry named DedicatedDumpFile. Размер файла подкачки можно определить с помощью записи реестра думпфилесизе .You can define the size of the paging file by using the DumpFileSize registry entry. Чтобы создать записи реестра Дедикатеддумпфиле и Думпфилесизе, выполните следующие действия.To create the DedicatedDumpFile and DumpFileSize registry entries, follow these steps:

1. В командной строке выполните команду regedit , чтобы открыть редактор реестра.At the command prompt, run the regedit command to open the Registry Editor.

2. Найдите и щелкните следующий подраздел реестра: HKEY_LOCAL_MACHINE \Систем\куррентконтролсет\контрол\крашконтролLocate and then click the following registry subkey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

3. Щелкните изменить > новый > строковый параметр.Click Edit > New > String Value.

4. Назовите новое значение дедикатеддумпфилеи нажмите клавишу ВВОД.Name the new value DedicatedDumpFile, and then press ENTER.

5. Щелкните правой кнопкой мыши дедикатеддумпфилеи выберите пункт изменить.Right-click DedicatedDumpFile, and then click Modify.

6. В параметре тип данных ** <Drive> : \ <Dedicateddumpfile.sys> **, а затем нажмите кнопку ОК.In Value data type <Drive>:\<Dedicateddumpfile.sys>, and then click OK.

   Примечание

   Замените на <Drive> диск, на котором достаточно места на диске для файла подкачки, и замените на <Dedicateddumpfile.dmp> полный путь к выделенному файлу.Replace <Drive> with a drive that has enough disk space for the paging file, and replace <Dedicateddumpfile.dmp> with the full path to the dedicated file.

7. Щелкните изменить > создать > значение DWORD.Click Edit > New > DWORD Value.

8. Введите думпфилесизеи нажмите клавишу ВВОД.Type DumpFileSize, and then press ENTER.

9. Щелкните правой кнопкой мыши думпфилесизеи выберите пункт изменить.Right-click DumpFileSize, and then click Modify.

10. В поле изменить значение DWORDв разделе базовыйщелкните десятичный.In Edit DWORD Value, under Base, click Decimal.

11. В поле данные значениявведите соответствующее значение и нажмите кнопку ОК.In Value data, type the appropriate value, and then click OK.

    Примечание

    Размер файла дампа находится в мегабайтах (МБ).The size of the dump file is in megabytes (MB).

12. Закройте редактор реестра.Exit the Registry Editor.

Определив расположение раздела дампа памяти, настройте путь назначения для файла подкачки.After you determine the partition location of the memory dump, configure the destination path for the page file. Чтобы просмотреть текущий конечный путь к файлу подкачки, выполните следующую команду:To view the current destination path for the page file, run the following command:

По умолчанию для дебугфилепас задано значение%системрут%\мемори.ДМП.The default destination for DebugFilePath is %systemroot%\memory.dmp. Чтобы изменить текущий целевой путь, выполните следующую команду:To change the current destination path, run the following command:

Задайте <FilePath> целевой путь.Set <FilePath> to the destination path. Например, следующая команда устанавливает путь назначения дампа памяти в К:\ВИНДОВС\МЕМОРИ. DMPFor example, the following command sets the memory dump destination path to C:\WINDOWS\MEMORY.DMP: