Как да четете файлове с дъмп на паметта в Windows 10

Ако компютърът ви наскоро се е сринал, трябва да сте се сблъскали със синия екран(Blue Screen) на смъртта(Death) ( BSOD ), който изброява причината за срива и след това внезапното изключване на компютъра. Сега BSOD екранът се показва само за няколко секунди и в този момент не е възможно да се анализира причината за срива. За щастие, когато Windows се срине, се създава файл за срива ( .dmp ) или паметта, за да се запази информация за срива точно преди изключване на Windows .

Как да четете файлове с дъмп на паметта в Windows 10

Веднага след като се покаже BSOD екранът, Windows изхвърля информацията за срива от паметта в малък файл, наречен "MiniDump", който обикновено се записва в папката на Windows . И тези .dmp файлове могат да ви помогнат да отстраните причината за грешката, но трябва да анализирате дъмп файла. Тук става трудно и Windows не използва нито един предварително инсталиран инструмент, за да анализира този файл с дъмп на паметта.

Сега има различен инструмент, който може да ви помогне да отстраните грешки във файла .dmp , но ние ще говорим за два инструмента, които са BlueScreenView и Windows Debugger инструменти. BlueScreenView може бързо да анализира какво се е объркало с компютъра, а инструментът за отстраняване на грешки на Windows (BlueScreenView)може(Windows Debugger) да се използва за получаване на по-разширена информация. Така че, без да губим време, нека да видим как да четем файловете с дъмп на паметта(Memory Dump Files) в Windows 10 с помощта на изброеното по-долу ръководство.

Как да четете файлове с дъмп на паметта(Memory Dump Files) в Windows 10

Не забравяйте  да създадете точка за възстановяване(create a restore point) само в случай, че нещо се обърка.

Метод 1: Анализирайте файловете с дъмп на паметта с помощта на BlueScreenView(Method 1: Analyze Memory Dump Files using BlueScreenView)

1. От уебсайта на NirSoft изтегля най-новата версия на BlueScreenView( NirSoft Website downloads the latest version of BlueScreenView) според вашата версия на Windows .

2. Извлечете zip файла, който изтегляте, и след това щракнете двукратно върху BlueScreenView.exe , за да стартирате приложението.

BlueScreenView | Как да четете файлове с дъмп на паметта в Windows 10

3. Програмата автоматично ще търси MiniDump файловете на местоположението по подразбиране, което е C:\Windows\Minidump.

4. Сега, ако искате да анализирате конкретен .dmp файл,( .dmp file,) плъзнете и пуснете този файл в приложението BlueScreenView и програмата лесно ще прочете минидумп файла.

Плъзнете и пуснете конкретен .dmp файл за анализ в BlueScreenView

5. Ще видите следната информация в горната част на BlueScreenView :

  • Името на файла Minidump : 082516-12750-01.dmp. Тук 08 е месецът, 25 е датата, а 16 е годината на дъмп файла.
  • Времето(Time) на катастрофата е, когато се случва катастрофата: 26-08-2016 02:40:03
  • Низът за проверка(Bug Check String) на грешки е кодът на грешката: DRIVER_VERIFIER_IOMANAGER_VIOLATION
  • Кодът за проверка(Bug Check Code) на грешки е СТОП(STOP) грешка: 0x000000c9
  • След това ще има параметри на кода за проверка на грешки(Bug Check Code)
  • Най-важният раздел е причинен от драйвер(Driver) : VerifierExt.sys

6. В долната част на екрана ще бъде маркиран драйверът, причинил грешката.(the driver who caused the error will be highlighted.)

Драйверът, който е причинил грешката, ще бъде маркиран

7. Сега имате цялата информация за грешката, можете лесно да търсите в мрежата за следното:

Bug Check String + причинен от драйвер(Driver) , напр. DRIVER_VERIFIER_IOMANAGER_VIOLATION VerifierExt.sys Низ за проверка на (DRIVER_VERIFIER_IOMANAGER_VIOLATION VerifierExt.sys)
Bug Check String + Bug Check Code за проверка на грешки, напр.: DRIVER_VERIFIER_IOMANAGER_VIOLATION 0x000000c9

Сега имате цялата информация за грешката, можете лесно да потърсите в мрежата низ за проверка на грешки + причинен от драйвер

8. Или можете да щракнете с десния бутон върху минидумп файла вътре в BlueScreenView и да щракнете върху „ Google Search – Bug Check + Driver –”.

Щракнете с десния бутон върху файла minidump вътре в BlueScreenView и щракнете върху "Google Търсене - Проверка на грешки + Драйвер"

9. Използвайте тази информация, за да отстраните причината и да отстраните грешката. И това е краят на ръководството Как да четете файлове с дъмп на паметта в Windows 10 с помощта на BlueScreenView.(How to Read Memory Dump Files in Windows 10 using BlueScreenView.)

Метод 2: Анализирайте файловете с дъмп на паметта с помощта на Windows Debugger(Method 2: Analyze Memory Dump Files Using Windows Debugger)

1. Изтеглете Windows 10 SDK от тук(Download Windows 10 SDK from here) .

Забележка:(Note:) Тази програма съдържа програма WinDBG(WinDBG program) , която ще използваме за анализ на .dmp файловете.

2. Стартирайте файла sdksetup.exe и посочете местоположението за инсталиране или използвайте по подразбиране.

Стартирайте файла sdksetup.exe и посочете местоположението за инсталиране или използвайте по подразбиране

3. Приемете лицензионното(Accept License) споразумение, след което на екрана „ Изберете функциите, които искате да инсталирате(Select the features you want to install) “, изберете само опцията Инструменти за отстраняване на грешки за Windows(select only the Debugging Tools for Windows option) и след това щракнете върху Инсталиране.

На екрана Изберете функциите, които искате да инсталирате, изберете само опцията Инструменти за отстраняване на грешки за Windows

4. Приложението ще започне да изтегля програмата WinDBG , така че изчакайте да бъде инсталирана на вашата система.

5. Отворете командния ред(Command Prompt) . Потребителят може да извърши тази стъпка, като потърси ‘cmd’(‘cmd’) и след това натиснете Enter.

Отворете командния ред. Потребителят може да извърши тази стъпка, като потърси ‘cmd’ и след това натиснете Enter. | Как да четете файлове с дъмп на паметта в Windows 10

6. Въведете следната команда в cmd и натиснете Enter :

cd\Program Files (x86)\Windows Kits\10\Debuggers\x64\

Забележка:(Note:) Посочете правилната инсталация на програмата WinDBG .

7. Сега, след като сте в правилната директория, въведете следната команда, за да свържете WinDBG с .dmp файлове:

windbg.exe -IA

Посочете правилната инсталация на програмата WinDBG

8. Веднага след като въведете горната команда, ще се отвори нов празен екземпляр на WinDBG с известие за потвърждение, което можете да затворите.

Ще се отвори нов празен екземпляр на WinDBG с известие за потвърждение, което можете да затворите

9. Въведете windbg в Windows Search, след което щракнете върху WinDbg (X64).

Въведете windbg в Windows Search, след което щракнете върху WinDbg (X64)

10. В панела WinDBG щракнете върху File, след което изберете Symbol File Path.(click on File, then select Symbol File Path.)

В панела WinDBG щракнете върху Файл и след това изберете Symbol File Path

11. Копирайте и поставете следния адрес в полето Symbol Search Path :

SRV*C:\SymCache*http://msdl.microsoft.com/download/symbols

SRV*C:\SymCache*http://msdl.microsoft.com/download/symbols | Как да четете файлове с дъмп на паметта в Windows 10

12. Щракнете върху OK и след това запишете пътя на символа, като щракнете върху File > Save Workspace.

13. Сега намерете дъмп файла, който искате да анализирате, можете да използвате файла MiniDump , който се намира в C:\Windows\Minidump или да използвате файла за дъмп на паметта , намерен в (Memory)C:\Windows\MEMORY.DMP.

Сега намерете дъмп файла, който искате да анализирате, след което просто щракнете двукратно върху .dmp файла

14. Щракнете двукратно върху .dmp файла и WinDBG трябва да стартира и да започне да обработва файла.

Папка, наречена Symcache, се създава в C устройство

Забележка:(Note:) Тъй като това е първият .dmp файл, който се чете във вашата система, WinDBG изглежда бавен, но не прекъсва процеса, тъй като тези процеси се извършват във фонов режим:

A folder called Symcache is being created in C:
Symbols are being downloaded and saved to C:\Symcache

След като символите бъдат изтеглени и дъмпът е готов за анализ, ще видите съобщението Followup: MachineOwner в долната част на текста на дъмпа.(MachineOwner at the dump text’s bottom.)

След като символите бъдат изтеглени, ще видите MachineOwner в долната част

15. Освен това следващият .dmp файл е обработен, той ще бъде по-бърз, тъй като вече ще е изтеглил необходимите символи. С течение на времето C:\Symcache folder ще нараства с добавянето на повече символи.

16. Натиснете Ctrl + F , за да отворите Find, след което въведете “ Вероятно причинено от(Probably caused by) †(без кавички) и натиснете Enter . Това е най-бързият начин да откриете причината за катастрофата.

Отворете Find, след което въведете Вероятно причинено от след това натиснете Find Next

17. Над реда Вероятно(Probably) причинено от, ще видите код на BugCheck, напр. 0x9F( BugCheck code, e.g., 0x9F) . Използвайте този код и посетете Microsoft Reference Code(Microsoft Bug Check Code Reference)(Microsoft Bug Check Code Reference) за проверка на грешки, за да проверите справката за проверка на грешки.

Препоръчва се:(Recommended:)

Това е всичко, което успешно научихте как да четете файлове за изхвърляне на паметта в Windows 10(How to Read Memory Dump Files in Windows 10) , но ако все още имате въпроси относно тази публикация, не се колебайте да ги попитате в секцията за коментари.



Тихомир Златков

About the author

„Аз съм експерт по Windows и Office на свободна практика. Имам над 10 години опит в работата с тези инструменти и мога да ви помогна да извлечете максимума от тях. Моите умения включват: работа с Microsoft Word, Excel, PowerPoint и Outlook; създаване на уеб страници и приложения; и помагане на клиентите да постигнат своите бизнес цели."


Related posts