Автор Владимир!
Привет друзья! Недавно на нашем сайте вышла статья о Синем экране смерти в Windows 10. В ней мы подробно описали как восстановить ОС, в случае появления BSOD. Вся сложность восстановления системы после критической ошибки на синем экране состоит в том, что Windows перестаёт нормально загружаться и необходим загрузочный LiveCD с программой BlueScreenView, чтобы определить некорректные системные файлы или драйвера, вызвавшие ошибку. В сегодняшней статье я хочу рассказать ещё об одном инструменте под названием «Анализатор сбоев», с помощью которого можно проанализировать аварийные дампы памяти и установить причину появления в вашей Windows синего экрана. Чем примечателен этот инструмент? Дело в том, что находится он на загрузочном диске спасения MSDaRT 10, на котором имеется ещё с десяток полезных утилит для восстановления ОС после серьёзного сбоя. Из ISO-образа MSDaRT можно сделать загрузочную флешку, затем загрузить с неё компьютер и установить причину появления BSOD. Читаем подробности.
Как узнать причину возникновения синего экрана смерти (BSOD) в случае, если Windows 10 не загружается. Или как пользоваться инструментом «Анализатор сбоев» загрузочного диска восстановления Microsoft Diagnostic and Recovery Toolset 10 x64 (MSDaRT)
Microsoft Diagnostics and Recovery Toolset или сокращённо MSDaRT — знаменитейший LiveCD для аварийного восстановления Windows, появившийся в далёком 2006 году и называвшийся тогда ERD Commander. С помощью него можно было запросто восстановить Windows XP после серьёзного сбоя. В том же году идея была приобретена Microsoft и до сих пор постоянно усовершенствуется, надо сказать, диск и сегодня довольно актуален среди профессиональных системных администраторов. Для Windows 10 используется версия MSDaRT 10. С помощью LiveCD можно подключится к незагружающейся Win 10 и произвести различные манипуляции для её восстановления, к примеру: отредактировать реестр и автозагрузку, восстановить удалённые файлы и др. Также диск содержит «Мастер решений», способный подсказать вам, какой именно инструмент выбрать в той или иной критической ситуации. Ещё MSDaRT 10 имеет «Анализатор сбоев», с помощью которого можно произвести анализ аварийных дампов памяти и сегодня я покажу вам, как это можно сделать.
К большому сожалению MSDaRT 10 входит в состав платного пакета Microsoft Desktop Optimization Pack 2015. Как скачать данный пакет и создать с помощью него MSDaRT читайте в этой статье. Не удивлюсь и предположу, что многие пользователи не будут заморачиваться и скачают уже готовый ISO-образ MSDaRT на торренте, из которого потом сделают загрузочную флешку программой WinSetupFromUSB.
Итак, думаю для вас не составило труда раздобыть DaRT 10 и создать из него загрузочную флешку.
Загружаем с флешки наш компьютер с ошибкой синего экрана.
Мне не нужен интернет и я жму «Нет».
Раскладка клавиатуры «Русская».
«Поиск и устранение неисправностей»
Microsoft Diagnostics and Recovery Toolset.
В главном окне диска видим все доступные инструменты.
Выбираем «Анализатор сбоев (Анализ аварийных дампов)»
Далее.
Обзор.
В появившемся проводнике выбираем диск MSDaRT (буква диска — Boot (X:), затем Program Files и Debugging Tools for Windows.
ОК.
Далее.
У вас автоматически должен быть отмечен пункт «Загрузить файлы символов в эту папку» C:\symbols.
Далее.
Место расположения файла аварийного дампа памяти MEMORY.DMP должно быть выбрано автоматически — C:\Windows.
Далее.
Происходит анализ аварийного дампа.
Смотрим результат анализа сбоя, с указанием виновного драйвера.
Также рассмотрим расширенные данные об ошибке BSOD. Жмём на кнопку «Сведения»
На вкладке «Сообщение о сбое» указывается драйвер причины BSOD.
На вкладке «Загруженные драйверы» указывается установленные на момент сбоя драйвера.
На вкладке «Дополнительно» содержание лога с полной информацией о сбое системы.
Для различных событий и ошибок системы и приложений Windows ведёт журналы событий, которые можно просмотреть и получить дополнительную информацию, которая может быть полезной при решении проблем с компьютером.
В этой инструкции для начинающих — способы открыть просмотр событий Windows 11/10 и дополнительная информация на тему, которая может пригодиться. На близкую тему: Как отключить журнал событий в Windows.
Контекстное меню кнопки Пуск и поиск
Самый быстрый способ перейти к просмотру журналов событий в Windows 11 и 10 — нажать правой кнопкой мыши по кнопке «Пуск» или нажать клавиши Win+X на клавиатуре и выбрать пункт «Просмотр событий» в открывшемся меню.
Ещё один простой и в большинстве случаев работающий способ открыть какой-либо системный инструмент, расположение которого вам неизвестно — использовать поиск в панели задач.
Начните вводить «Просмотр событий» в поиске, после чего запустите найденный результат:
Почему не «Журнал событий» или «Журнал ошибок», которые пользователи обычно ищут? Причина в том, что сами журналы — это файлы на диске в папках
C:\Windows\System32\winevt\Logs C:\Windows\System32\LogFiles
Пользователи, задавая вопрос о том, где журнал событий в Windows, обычно имеют в виду именно системный инструмент «Просмотр событий» для удобного просмотра соответствующих журналов.
Команда «Выполнить»
Самый быстрый и часто используемый метод запуска просмотра журналов событий Windows — использование команды «Выполнить»:
- Нажмите клавиши Win+R на клавиатуре, либо нажмите правой кнопкой мыши по кнопке «Пуск» и выберите пункт «Выполнить».
- Введите eventvwr.msc (или просто eventvwr) и нажмите Enter.
- Откроется «Просмотр событий».
Эту же команду можно использовать для создания ярлыка или для открытия журнала событий в командной строке. Возможно, вам пригодится информация о других полезных командах «Выполнить».
Обычно описанных выше вариантов бывает достаточно для открытия просмотра журналов событий и ошибок в Windows, но есть и другие подходы:
Помимо просмотра журнала событий, в Windows присутствует ещё один полезный инструмент — Монитор стабильности системы, позволяющий наглядно получить информацию о работе вашей системы по дням на основании данных из журнала событий.
Has your computer with Windows 10 operating system just crashed suddenly and you are right now searching for a way to view crash logs in Windows 10 then you have come to the right place. This is where we can guide you on how you can check crash logs in Windows 10.
Table of Contents
Windows crash may be because of a lot of reasons like overheating of the system or some fault in the driver installed. This is where the crash logs option comes in use for you can see what has caused the crash and other info like the name of the log and the EventID.
What Causes Windows 10 to Crash?
The users that face this kind of crash the first time may think that the reason behind this might be confusing and it will not be worth it to know. But the point to focus on here is the fault might not be with the components of Windows 10 and there must be an external reason that you can check in Windows crash report.
- Issue in RAM: There is a high possibility that your computer RAM is not working at the optimum level and that is what causes your PC trouble in retrieving data from memory whensoever you are trying to do so.
- Overheated System: With low RAM size or any other compatibility issue in the motherboard you may face an overheating of the system that is causing your PC to crash or freeze.
- Incompatible Driver: It is a common habit to install new drivers for our system when our pre-installed drivers get outdated and start to make any function of the PC lag. But these drivers may in all possibility contain some viruses or bugs that can potentially harm and cause our system to crash.
- Issue with Hard Drive: Hard drives contain most of the data in your PC and any fault can create a situation that most probably will lead to a crash where a Windows 10 blue screen log is.
Microsoft’s investigation identifies the following as the primary reasons why Windows crashes:
- 70% of accidents are the result of rogue driver code.
- 10% of the total is accounted for by hardware issues.
- 15% of the cases include unknown causes.
- 5% of the issues are the result of Microsoft code.
You can check our guide to Fix Windows 10 Crashing Randomly.
Here, we have listed the ways to check crash logs in Windows 10.
Method 1: Through Event Viewer
Event viewer is an inbuilt app to view crash logs in Windows 10. You may view the event logs on your computer using the Event Viewer component of the Windows operating system. Application and system messages, such as informative messages, errors, warnings, etc., are logged by Event Viewer. You may identify the specific reasons why your computer crashes using Event Viewer and it is one of the easiest ways to get Windows crash reports.
1. Go to the Windows Cortana Search box and type Event Viewer. Click on Open.
2. Click on Windows log. This is where you will get all logs including Windows 10 blue screen log.
3. Then, choose System from the drop-down menu.
4. On the event list, click Error. Then you can view all the information about Windows crash reports.
Also Read: How to Clear All Event Logs in Event Viewer in Windows 10
Method 2: Through Reliability Monitor
There is another tool to get reliable information and view crash logs in Windows 10. It is called a Reliability Monitor and as the name suggests, it is a great choice to depend on in case your Windows 10 PC crashes. Below are the steps that will help you guide on how to use this to check crash logs in Windows 10.
1. Again, go to Windows 10 Cortana search box and type Reliability Monitor, and click on Open.
2. You will see on the interface Reliability Monitor is generating the report Please wait.
3. You will see Stability Index.
It assesses your overall system stability on a scale from 1 to 10. You can select any week or any day to review specific hardware or software problems that troubled your system. The horizontal line in blue will show you the score.
Note: stability index does not take into account warning and informational events when it calculates the stability score from 1 to 10.
The report records 3 failures which are application failure, Windows failure, and miscellaneous failure. Moreover, it records informational events and warnings. The table below shows how these failures, informational events, and warnings.
| Icon | Information it shows |
| Blue info icon | Informational events |
| Red cross icon | 3 failures |
| Yellow exclamation icon | Warning |
4. Then out of all these crash dates if you want any information about a particular date what you got to do is just, click on that date’s column. This will open a new window displaying all the information.
5. Click on View all problem reports.
Now, you will see all crash log details.
Also Read: Fix The Procedure Entry Point Error on Windows
Method 3: Through Windows PowerShell
Third and the final method to check cash logs in Windows 10 is using the Power Shell tool. Power Shell is a great application that is used in automating the management system with the use of a scripting language. Read below to understand how you can use this application to view crash logs in Windows 10.
1. Go to the Windows 10 Cortana search box and type PowerShell. Click on Open after finding the top search result.
2. Type the following command into the command box. The crash logs will be retrieved together with their Index, Time, EntryType, Source, InstanceID, and Description using this command.
Get-EventLog -Log system | where {$_.entryType -match "Error"}
3. Get the most recent crash logs up to the specified number by using the Newest argument. Run the following command to collect the 20 most recent crash logs:
Get-EventLog -LogName System -Newest 20 -EntryType Error
Frequently Asked Questions (FAQs)
Q1. Where do I find information about my computer crashing?
Ans. You can use Event viewer which is an in-built app in Windows 10, you can also use reliability monitor which is a user-friendly application and you can also use PowerShell application which is an open-source CLI tool.
Q2. What are the most frequent crashes in Windows 10?
Ans. The three most frequent crashes in Windows OS are fault at the application level, the software hangs unexpected restart and shutdown. There are other reasons also but these are common reasons as per Microsoft investigation.
Q3. Where can I find crash log in Windows 11?
Ans. You can use Event Viewer to see the crash logs in Windows 11. In the event viewer app, move to the Windows log. Then search error and tap on the error. Detailed information will be shown for the error.
Q4. Why does my PC keep crashing and freezing?
Ans. There are a number of reasons for crashes and freezing. Some common reasons are overheating, issues with memory, faulty hardware and software, malicious files, corrupted system registry files, and too little available memory.
Recommended:
- Fix Windows Does Not Have Enough Information to Verify This Certificate Solutions
- Why is my Computer Making Funny Noises?
- Fix Hard Disk Problems in Windows 10
- Fix Event 1000 Application Error in Windows 10
The Windows PCs are designed in a way that they can store all the crash log information in your crash log so you can at any time view crash log information in Windows 10. We hope that these methods might have helped you to view crash logs in Windows 10.
На чтение5 мин
Опубликовано
Обновлено
Средство отладки Microsoft — это мощный инструмент, предоставляемый компанией Microsoft, который позволяет пользователям настраивать и отлаживать различные компоненты операционной системы Windows 10. Оно может использоваться для настройки папки Windows 10, чтобы улучшить ее производительность и функциональность.
Папка Windows 10 — это основное хранилище системных файлов и программ для операционной системы Windows 10. Она содержит файлы, необходимые для запуска и работы операционной системы, а также приложения и драйверы. Настройка папки Windows 10 может быть полезной, если вы хотите оптимизировать ее работу или решить проблемы, возникающие при ее использовании.
С помощью Средства отладки Microsoft вы можете проводить детальный анализ папки Windows 10, идентифицировать проблемные файлы и компоненты, а также применять различные настройки для их устранения. Вы можете установить точки останова, чтобы проанализировать, какие файлы вызывают проблемы, а также использовать другие функции отладки для определения и исправления ошибок в папке Windows 10.
Однако перед использованием Средства отладки Microsoft для настройки папки Windows 10 необходимо быть осторожным. Неправильное использование этого инструмента может привести к нежелательным последствиям, таким как повреждение операционной системы или потеря данных. Поэтому важно следовать документации и руководствам по использованию Средства отладки Microsoft и быть осторожным при изменении настроек папки Windows 10.
В целом, использование Средства отладки Microsoft для настройки папки Windows 10 может быть полезным, если вам нужно улучшить производительность, устранить проблемы или настроить различные компоненты операционной системы. Тем не менее, перед использованием этого инструмента рекомендуется создать резервные копии важных данных и ознакомиться с документацией, чтобы избежать возможных проблем и потери информации.
Средство отладки Microsoft для настройки папки Windows 10
С помощью средства отладки Microsoft можно выполнить следующие действия:
1. Анализ файлов и папок
Средство отладки Microsoft предоставляет возможность анализировать содержимое папки Windows и находить потенциальные проблемы, такие как ошибочно именованные файлы или дубликаты. Вы можете легко просмотреть информацию о каждом файле, включая его расположение, время создания и размер.
2. Управление доступом к файлам и папкам
С помощью средства отладки Microsoft вы можете легко управлять разрешениями для файлов и папок в папке Windows. Вы можете добавлять новые аккаунты пользователей, изменять разрешения на чтение, запись и выполнение, а также удалять существующие разрешения.
3. Импорт и экспорт настроек папки Windows
Средство отладки Microsoft позволяет экспортировать настройки папки Windows в файл и импортировать их обратно в систему. Это удобно, когда вы хотите передать настройки на другой компьютер или создать резервную копию настроек.
4. Мониторинг и регистрация системных событий
Средство отладки Microsoft позволяет отслеживать и регистрировать системные события, связанные с папкой Windows. Вы можете узнать, когда файл был создан или изменен, а также какие процессы или приложения взаимодействуют с ним.
Вероятно, SamLib.dll не является действительной папкой Windows или содержит ошибку
Средство отладки Microsoft предоставляет множество возможностей для настройки и оптимизации папки Windows 10. Оно является неотъемлемым инструментом для разработчиков и администраторов, помогая им повышать производительность и надежность операционной системы.
Установка Средства отладки Microsoft
Для использования Средства отладки Microsoft для настройки папки в Windows 10, сначала необходимо установить это средство на компьютер. Вот как это сделать:
Шаг 1: Перейдите на официальный сайт Microsoft и найдите страницу загрузки Средства отладки.
Шаг 2: Выберите версию Средства отладки, соответствующую вашей операционной системе (например, Windows 10).
Шаг 3: Нажмите на ссылку для загрузки Средства отладки.
Шаг 4: Запустите загруженный файл установки Средства отладки и следуйте инструкциям на экране для завершения установки.
Шаг 5: После завершения установки, Средство отладки Microsoft будет доступно на вашем компьютере и готово к использованию.
После установки Средства отладки Microsoft вы сможете использовать его для настройки папки в Windows 10 и исправления проблем, связанных с этой папкой.
Примечание: Если у вас возникли проблемы с установкой Средства отладки Microsoft, вы можете обратиться в службу поддержки Microsoft для получения дополнительной помощи.
Основные функции Средства отладки Microsoft
- Отслеживание ошибок кода: С помощью Средства отладки Microsoft разработчики могут анализировать и исправлять ошибки в программном коде, такие как сбои, исключения и некорректное поведение.
- Профилирование приложений: Инструменты профилирования, предоставляемые Средством отладки Microsoft, позволяют разработчикам изучать производительность и использование ресурсов приложений, чтобы оптимизировать их работу.
- Анализ памяти: Средство отладки Microsoft позволяет анализировать использование памяти в приложениях, выявлять и устранять утечки памяти и другие проблемы, связанные с управлением памятью.
- Отслеживание вызовов функций: С помощью инструментов для трассировки, предоставленных Средством отладки Microsoft, разработчики могут отслеживать вызовы функций в коде и анализировать последовательность их выполнения.
- Подключение к удаленному или локальному процессу: Средство отладки Microsoft позволяет разработчикам подключаться к процессам на удаленных или локальных компьютерах для настройки и отладки кода.
- Осуществление пошаговой отладки кода: Разработчики могут использовать Средство отладки Microsoft для пошаговой отладки кода, выполнять его по одной инструкции или по участкам, анализировать значения переменных и состояние вашего кода.
Использование Средства отладки Microsoft позволяет разработчикам оптимизировать свой код, обнаруживать и исправлять ошибки, а также повышать производительность и функциональность своих приложений для операционных систем Windows 10.
Поиск и исправление ошибок в папке Windows 10
Папка Windows 10 может иногда столкнуться с различными ошибками, которые могут привести к неправильной работе операционной системы. Ошибка может быть вызвана различными факторами, включая поврежденные файлы, неправильные настройки или воздействие вирусов.
Для поиска и исправления ошибок в папке Windows 10 вы можете использовать Средство отладки Microsoft. Это инструмент, который позволяет исследовать и анализировать проблемы, происходящие в операционной системе, и настраивать их в соответствии с потребностями.
Для начала процесса поиска и исправления ошибок откройте Средство отладки Microsoft и выберите опцию «Сканировать папку Windows 10 на ошибки». Программа автоматически просканирует папку Windows 10 и выдаст отчет о найденных проблемах.
После того, как Средство отладки Microsoft найдет ошибки, вы можете приступить к их исправлению. Программа предоставит вам несколько вариантов действий, которые могут помочь вам в решении проблемы. Вы можете выбрать опцию «Исправить ошибки автоматически», чтобы программа автоматически исправила все найденные проблемы.
Однако, если вы предпочитаете управлять процессом исправления ошибок самостоятельно, вы можете выбрать опцию «Исправить ошибки вручную». Это позволит вам проверить каждую найденную ошибку и принять решение о ее исправлении.
После завершения процесса исправления ошибок, рекомендуется перезапустить компьютер, чтобы изменения вступили в силу. Если после перезапуска ошибка все еще проявляется, вы можете повторить процесс поиска и исправления ошибок в папке Windows 10 снова.
Использование Средства отладки Microsoft для поиска и исправления ошибок в папке Windows 10 может помочь вам улучшить работу операционной системы, устранить неполадки и повысить ее производительность. Регулярное поддержание папки Windows 10 в хорошем состоянии поможет вам избежать проблем и сохранить стабильность работы вашего компьютера.
В момент критического сбоя операционная система Windows прерывает работу и показывает синий экран смерти (BSOD). Содержимое оперативной памяти и вся информация о возникшей ошибке записывается в файл подкачки. При следующей загрузке Windows создается аварийный дамп c отладочной информацией на основе сохраненных данных. В системном журнале событий создается запись о критической ошибке.
Внимание! Аварийный дамп не создается, если отказала дисковая подсистема или критическая ошибка возникла на начальной стадии загрузки Windows.
Содержание:
- Типы аварийных дампов памяти Windows
- Как включить создание дампа памяти в Windows?
- Установка WinDBG в Windows
- Настройка ассоциации .dmp файлов с WinDBG
- Настройка сервера отладочных символов в WinDBG
- Анализ аварийного дампа памяти в WinDBG
Типы аварийных дампов памяти Windows
На примере актуальной операционной системы Windows 10 (Windows Server 2016) рассмотрим основные типы дампов памяти, которые может создавать система:
- Мини дамп памяти (Small memory dump) (256 КБ). Этот тип файла включает минимальный объем информации. Он содержит только сообщение об ошибке BSOD, информацию о драйверах, процессах, которые были активны в момент сбоя, а также какой процесс или поток ядра вызвал сбой.
- Дамп памяти ядра (Kernel memory dump). Как правило, небольшой по размеру — одна треть объема физической памяти. Дамп памяти ядра является более подробным, чем мини дамп. Он содержит информацию о драйверах и программах в режиме ядра, включает память, выделенную ядру Windows и аппаратному уровню абстракции (HAL), а также память, выделенную драйверам и другим программам в режиме ядра.
- Полный дамп памяти (Complete memory dump). Самый большой по объему и требует памяти, равной оперативной памяти вашей системы плюс 1MB, необходимый Windows для создания этого файла.
- Автоматический дамп памяти (Automatic memory dump). Соответствует дампу памяти ядра с точки зрения информации. Отличается только тем, сколько места он использует для создания файла дампа. Этот тип файлов не существовал в Windows 7. Он был добавлен в Windows 8.
- Активный дамп памяти (Active memory dump). Этот тип отсеивает элементы, которые не могут определить причину сбоя системы. Это было добавлено в Windows 10 и особенно полезно, если вы используете виртуальную машину, или если ваша система является хостом Hyper-V.
Как включить создание дампа памяти в Windows?
С помощью Win+Pause откройте окно с параметрами системы, выберите «Дополнительные параметры системы» (Advanced system settings). Во вкладке «Дополнительно» (Advanced), раздел «Загрузка и восстановление» (Startup and Recovery) нажмите кнопку «Параметры» (Settings). В открывшемся окне настройте действия при отказе системы. Поставьте галку в чек-боксе «Записать события в системный журнал» (Write an event to the system log), выберите тип дампа, который должен создаваться при сбое системы. Если в чек-боксе «Заменять существующий файл дампа» (Overwrite any existing file) поставить галку, то файл будет перезаписываться при каждом сбое. Лучше эту галку снять, тогда у вас будет больше информации для анализа. Отключите также автоматическую перезагрузку системы (Automatically restart).
В большинстве случаев для анализа причины BSOD вам будет достаточно малого дампа памяти.
Теперь при возникновении BSOD вы сможете проанализировать файл дампа и найти причину сбоев. Мини дамп по умолчанию сохраняется в папке %systemroot%\minidump. Для анализа файла дампа рекомендую воспользоваться программой WinDBG (Microsoft Kernel Debugger).
Установка WinDBG в Windows
Утилита WinDBG входит в «Пакет SDK для Windows 10» (Windows 10 SDK). Скачать можно здесь.
Файл называется winsdksetup.exe, размер 1,3 МБ.
WinDBG для Windows7 и более ранних систем включен в состав пакета «Microsoft Windows SDK for Windows 7 and .NET Framework 4». Скачать можно здесь.
Запустите установку и выберите, что именно нужно сделать – установить пакет на этот компьютер или загрузить для установки на другие компьютеры. Установим пакет на локальный компьютер.
Можете установить весь пакет, но для установки только инструмента отладки выберите Debugging Tools for Windows.
После установки ярлыки WinDBG можно найти в стартовом меню.
Настройка ассоциации .dmp файлов с WinDBG
Для того, чтобы открывать файлы дампов простым кликом, сопоставьте расширение .dmp с утилитой WinDBG.
- Откройте командную строку от имени администратора и выполните команды для 64-разрядной системы:
cd C:\Program Files (x86)\Windows Kits\10\Debuggers\x64
windbg.exe –IA
для 32-разрядной системы:
C:\Program Files (x86)\Windows Kits\10\Debuggers\x86
windbg.exe –IA - В результате типы файлов: .DMP, .HDMP, .MDMP, .KDMP, .WEW – будут сопоставлены с WinDBG.
Настройка сервера отладочных символов в WinDBG
Отладочные символы (debug-символы или symbol files) – это блоки данных, генерируемые в процессе компиляции программы совместно с исполняемым файлом. В таких блоках данных содержится информация о именах переменных, вызываемых функциях, библиотеках и т.д. Эти данные не нужны при выполнении программы, но полезные при ее отладке. Компоненты Microsoft компилируются с символами, распространяемыми через Microsoft Symbol Server.
Настройте WinDBG на использование Microsoft Symbol Server:
- Откройте WinDBG;
- Перейдите в меню File –> Symbol File Path;
- Пропишите строку, содержащую URL для загрузки символов отладки с сайта Microsoft и папку для сохранения кэша:
SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols
В примере кэш загружается в папку E:\Sym_WinDBG, можете указать любую. - Не забывайте сохранить изменения в меню File –> Save WorkSpace;
WinDBG произведет поиск символов в локальной папке и, если не обнаружит в ней необходимых символов, то самостоятельно загрузит символы с указанного сайта. Если вы хотите добавить собственную папку с символами, то можно сделать это так:
SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols;c:\Symbols
Если подключение к интернету отсутствует, то загрузите предварительно пакет символов с ресурса Windows Symbol Packages.
Анализ аварийного дампа памяти в WinDBG
Отладчик WinDBG открывает файл дампа и загружает необходимые символы для отладки из локальной папки или из интернета. Во время этого процесса вы не можете использовать WinDBG. Внизу окна (в командной строке отладчика) появляется надпись Debugee not connected.
Команды вводятся в командную строку, расположенную внизу окна.
Самое главное, на что нужно обратить внимание – это код ошибки, который всегда указывается в шестнадцатеричном значении и имеет вид 0xXXXXXXXX (указываются в одном из вариантов — STOP: 0x0000007B, 02.07.2019 0008F, 0x8F). В нашем примере код ошибки 0х139.
Полный справочник ошибок можно посмотреть здесь.
Отладчик предлагает выполнить команду !analyze -v, достаточно навести указатель мыши на ссылку и кликнуть. Для чего нужна эта команда?
- Она выполняет предварительный анализ дампа памяти и предоставляет подробную информацию для начала анализа.
- Эта команда отобразит STOP-код и символическое имя ошибки.
- Она показывает стек вызовов команд, которые привели к аварийному завершению.
- Кроме того, здесь отображаются неисправности IP-адреса, процессов и регистров.
- Команда может предоставить готовые рекомендации по решению проблемы.
Основные моменты, на которые вы должны обратить внимание при анализе после выполнения команды !analyze –v (листинг неполный).
1: kd>
!analyze -v
*****************************************************************************
* *
* Bugcheck Analysis *
* *
*****************************************************************************
Символическое имя STOP-ошибки (BugCheck)
KERNEL_SECURITY_CHECK_FAILURE (139)
Описание ошибки (Компонент ядра повредил критическую структуру данных. Это повреждение потенциально может позволить злоумышленнику получить контроль над этой машиной):
A kernel component has corrupted a critical data structure. The corruption could potentially allow a malicious user to gain control of this machine.
Аргументы ошибки:
Arguments:
Arg1: 0000000000000003, A LIST_ENTRY has been corrupted (i.e. double remove).
Arg2: ffffd0003a20d5d0, Address of the trap frame for the exception that caused the bugcheck
Arg3: ffffd0003a20d528, Address of the exception record for the exception that caused the bugcheck
Arg4: 0000000000000000, Reserved
Debugging Details:
------------------
Счетчик показывает сколько раз система упала с аналогичной ошибкой:
CUSTOMER_CRASH_COUNT: 1
Основная категория текущего сбоя:
DEFAULT_BUCKET_ID: FAIL_FAST_CORRUPT_LIST_ENTRY
Код STOP-ошибки в сокращенном формате:
BUGCHECK_STR: 0x139
Процесс, во время исполнения которого произошел сбой (не обязательно причина ошибки, просто в момент сбоя в памяти выполнялся этот процесс):
PROCESS_NAME: sqlservr.exe
CURRENT_IRQL: 2
Расшифровка кода ошибки: В этом приложении система обнаружила переполнение буфера стека, что может позволить злоумышленнику получить контроль над этим приложением.
ERROR_CODE: (NTSTATUS) 0xc0000409 - The system detected an overrun of a stack-based buffer in this application. This overrun could potentially allow a malicious user to gain control of this application.
EXCEPTION_CODE: (NTSTATUS) 0xc0000409 - The system detected an overrun of a stack-based buffer in this application. This overrun could potentially allow a malicious user to gain control of this application.
Последний вызов в стеке:
LAST_CONTROL_TRANSFER: from fffff8040117d6a9 to fffff8040116b0a0
Стек вызовов в момент сбоя:
STACK_TEXT:
ffffd000`3a20d2a8 fffff804`0117d6a9 : 00000000`00000139 00000000`00000003 ffffd000`3a20d5d0 ffffd000`3a20d528 : nt!KeBugCheckEx
ffffd000`3a20d2b0 fffff804`0117da50 : ffffe000`f3ab9080 ffffe000`fc37e001 ffffd000`3a20d5d0 fffff804`0116e2a2 : nt!KiBugCheckDispatch+0x69
ffffd000`3a20d3f0 fffff804`0117c150 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiFastFailDispatch+0xd0
ffffd000`3a20d5d0 fffff804`01199482 : ffffc000`701ba270 ffffc000`00000001 000000ea`73f68040 fffff804`000006f9 : nt!KiRaiseSecurityCheckFailure+0x3d0
ffffd000`3a20d760 fffff804`014a455d : 00000000`00000001 ffffd000`3a20d941 ffffe000`fcacb000 ffffd000`3a20d951 : nt! ?? ::FNODOBFM::`string'+0x17252
ffffd000`3a20d8c0 fffff804`013a34ac : 00000000`00000004 00000000`00000000 ffffd000`3a20d9d8 ffffe001`0a34c600 : nt!IopSynchronousServiceTail+0x379
ffffd000`3a20d990 fffff804`0117d313 : ffffffff`fffffffe 00000000`00000000 00000000`00000000 000000eb`a0cf1380 : nt!NtWriteFile+0x694
ffffd000`3a20da90 00007ffb`475307da : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13
000000ee`f25ed2b8 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x00007ffb`475307da
Участок кода, где возникла ошибка:
FOLLOWUP_IP:
nt!KiFastFailDispatch+d0
fffff804`0117da50 c644242000 mov byte ptr [rsp+20h],0
FAULT_INSTR_CODE: 202444c6
SYMBOL_STACK_INDEX: 2
SYMBOL_NAME: nt!KiFastFailDispatch+d0
FOLLOWUP_NAME: MachineOwner
Имя модуля в таблице объектов ядра. Если анализатору удалось обнаружить проблемный драйвер, имя отображается в полях MODULE_NAME и IMAGE_NAME:
MODULE_NAME: nt
IMAGE_NAME: ntkrnlmp.exe
Если кликнете по ссылке модуля (nt), то увидите подробную информацию о пути и других свойствах модуля. Находите указанный файл, и изучаете его свойства.
1: kd>
lmvm nt
Browse full module list
Loaded symbol image file: ntkrnlmp.exe
Mapped memory image file: C:\ProgramData\dbg\sym\ntoskrnl.exe\5A9A2147787000\ntoskrnl.exe
Image path: ntkrnlmp.exe
Image name: ntkrnlmp.exe
InternalName: ntkrnlmp.exe
OriginalFilename: ntkrnlmp.exe
ProductVersion: 6.3.9600.18946
FileVersion: 6.3.9600.18946 (winblue_ltsb_escrow.180302-1800)
В приведенном примере анализ указал на файл ядра ntkrnlmp.exe. Когда анализ дампа памяти указывает на системный драйвер (например, win32k.sys) или файл ядра (как в нашем примере ntkrnlmp.exe), вероятнее всего данный файл не является причиной проблемы. Очень часто оказывается, что проблема кроется в драйвере устройства, настройках BIOS или в неисправности оборудования.
Если вы увидели, что BSOD возник из-за стороннего драйвера, его имя будет указано в значениях MODULE_NAME и IMAGE_NAME.
Например:
Image path: \SystemRoot\system32\drivers\cmudaxp.sys
Image name: cmudaxp.sys
Откройте свойсва файла драйвера и проверьте его версию. В большинстве случаев проблема с драйверами решается их обнвовлением.
