Astăzi vom vorbi despre ce este un memory dump. Acest fișier conține anumite date care au fost în RAM un anumit computer într-o anumită perioadă de timp. Este, de asemenea, valoros pentru specialiști și dezvoltatori de diverse software. Când are loc o descărcare a memoriei de blocare, acești oameni au ocazia să vadă în ce moment s-a întâmplat și din ce motive. Acest lucru vă permite să corectați defectele software și erorile. Ori de câte ori sistemele de operare Microsoft eșuează, se creează întotdeauna un dump de memorie.

Dacă trebuie să găsiți locația, precum și dimensiunea acest dosar, trebuie să faceți clic dreapta pe pictograma computerului. Când apare, lansați proprietățile sale și deschideți fila cu informații suplimentare. Apoi, în secțiunea de pornire și recuperare, trebuie să faceți clic pe butonul de setări. O fereastră pentru înregistrarea informațiilor de depanare va apărea în fața ta. Din lista derulantă, aveți posibilitatea de a selecta una dintre următoarele funcții.

O mică descărcare de memorie va fi egală cu șaizeci și patru de kiloocteți. ÎN în acest caz, Va înregistra doar cele mai necesare informații despre problemele apărute. Urmează descărcarea memoriei nucleului. Dimensiunea sa este de obicei de șaizeci și patru de kiloocteți. Conține date de depanare pentru nucleul sistemului dumneavoastră. Să trecem la ultimul punct. Se numește „descărcare completă” memorie Windows 7". Salvează complet toată memoria sistemului. În acest moment, sunt create fișierele necesare, a căror dimensiune este echivalentă cu memoria RAM care este instalată pe dispozitivul dvs.

De asemenea, puteți desemna independent locația în care va fi localizat acest fișier și, de asemenea, puteți modifica setarea responsabilă pentru înregistrarea superficială într-un fișier existent. Vă recomand cu tărie să nu modificați aceste setări, astfel încât să rămână așa cum au fost implicit.

De asemenea, merită remarcat faptul că puteți crea acest fișier manual. Pentru a face acest lucru, apelați meniul de pornire, porniți serviciul numit „Run” și introduceți comanda „regedit”, apoi faceți clic pe butonul „Ok”. va apărea în fața ta sistem de operare. Acolo trebuie să găsiți o cheie care arată astfel: HKEYS LOCAL MACHINES/ SYSTEMA/ CurrentControlSets / Service/ i8042prt/ Parameters.

Când îl găsiți, faceți clic dreapta pe mouse-ul în partea dreaptă a acestei ferestre și selectați Creare DWORLD. După aceasta, scrieți numele tastei „CrashOnCtrlScroll”, apoi atribuiți-i valoarea „1”. Apoi închideți acest editor și reporniți computerul sau laptopul. Pentru a fi creat fișier nou care conține o descărcare de memorie, apăsați și mențineți apăsat butonul Contral, apoi apăsați tasta de două ori

Asta e tot. Sper că informațiile de mai sus au fost prezentate într-o manieră accesibilă. Dar fără anumite motive, nu trebuie să efectuați aceste proceduri, deoarece acestea sunt resurse de sistem. Dacă faceți greșeli, pot apărea consecințe ireparabile pentru sistemul dvs. de operare.

Cauza critică erori Windows, însoțit de ecrane albastre (BSOD), este adesea un driver - nou instalat sau deteriorat. După ce ați determinat care driver provoacă eroarea, puteți începe să remediați problema: actualizați driverul, reveniți la unul mai recent. versiunea timpurie, reinstalați sau eliminați aplicația care a instalat driverul etc. Numele driverului nu este întotdeauna afișat pe ecranul albastru. Cu toate acestea, există o modalitate foarte simplă care vă permite să identificați driverul problematic în câteva minute utilizând un dump de memorie.

Pasul 1 — Activați înregistrarea de descărcare a memoriei

Mai întâi trebuie să vă asigurați că înregistrarea de descărcare este activată. Pentru a face acest lucru, deschideți proprietățile sistemului apăsând combinația de taste Win+Pauză, [în Vista faceți clic pe link Opțiuni suplimentare sisteme], accesați fila În plus, iar la final apăsați butonul.

Mic Depozitele de memorie ar trebui să fie suficiente pentru scopurile noastre.

Acordați atenție căii către folderul în care vor fi salvate dacă apare o eroare critică.

Acum puteți arhiva fișierul și îl puteți atașa la o postare pe forum Depanarea erorilor critice Windowsși așteptați până când cineva vă spune numele șoferului problematic :) Dar o puteți face singur fără prea mult efort.

Pasul 2 — Analiza depozitelor folosind utilitarul MinDumper

Veți găsi o poveste despre utilitate în acest articol.

1. Descărcați și instalați Instrumente de depanare pentru Windows. Acestea sunt incluse în programul de instalare web Windows SDK, unde după lansare trebuie să selectați Instrumente de depanare în secțiunea Utilități comune.
2. Descărcați scenariu(kdfe.cmd), care a fost scris de Alexander Sukhovey și publicat pe resursă sysadmins.ru(Din moment ce nu am putut găsi un link live acolo, îl ofer pe al meu). Dezarhivați arhiva în orice folder.
   Nota. Dacă locația folderului Fișiere program nu este standard, poate fi necesar să specificați în kdfe.cmd calea către folderul în care sunt instalate Instrumentele de depanare pentru Windows. Utilizați variabila dbgpath de pe linia 41.

Pasul 3 - Analizarea memoriei Dumpului

Acum totul se reduce la executarea unei comenzi. Deschideți un prompt de comandă și accesați folderul în care ați extras kdfe.cmd. Rulați fișierul, specificând calea către fișierul de descărcare a memoriei ca parametru (în exemplul de mai jos fișierul este numit Mini1110307-01.dmp)

La pasul următor de selectare a unei componente de instalat ( Selectați caracteristicile pe care doriți să le instalați) notăm doar ceea ce avem nevoie - Instrumente de depanare pentru Windowsși apăsați Instala

Un set de utilitare va fi descărcat și instalat de pe Internet în folderul specificat pe primul ecran.

După finalizarea instalării, găsiți-l în meniul Start sau pe ecranul de pornire din grupul de comenzi rapide Kituri Windows utilitate WinDbgși rulați-l cu drepturi de administrator

Dacă dintr-un motiv oarecare nu a putut fi găsită comanda rapidă, puteți rula fișierul executabil din directorul de instalare - C:\Program Files (x86)\Windows Kits\8.1\Debuggers\x64\windbg.exe

În meniul principal al programului WinDbg selectați articole Fişier > Calea fișierului simbol. În fereastra care se deschide, inserați o linie care definește directorul cache local de simboluri și sursa sa online:

SRV*C:\Windows\symbol_cache*http://msdl.microsoft.com/download/symbols

Salvăm setările selectând elemente din meniul principal Fişier > Salvați spațiul de lucru

Deschideți fișierul de descărcare a memoriei selectând din meniu Fişier > Deschideți Crash Dump...

Selectați un fișier MEMORY.DMP(situat în directorul C:\Windows în mod implicit) și faceți clic Deschide

Vor apărea informații despre modulul executabil care a determinat oprirea funcționării sistemului. Făcând clic pe un hyperlink !analiza-v Puteți obține informații mai detaliate despre starea sistemului la momentul în care a apărut eroarea de oprire.

Aceleași informații pot fi obținute folosind linia de comandă folosind aproximativ următoarea secvență de comenzi:

cd /d " C:\Program Files (x86)\Windows Kits\8.1\Debuggers\x64\" kd -z "D:\DOWNLOADS\VM05\MEMORY.DMP " .logopen C:\Debuglog.txt .sympath srv*C:\Windows\symbol_cache*http://msdl.microsoft.com/download/symbols

În acest exemplu, toate informațiile despre analizarea dump-ului vor fi descărcate într-o formă care poate fi citită în fișierul C:\Debuglog.txt

Surse de informare:

Dacă în fața ta apare așa-zisul ecran albastru al morții din Windows 10 și ești gata să cazi într-o comă nervoasă, trage-te și încearcă să rezolvi problema. Pentru început, merită să spunem că acest mesaj de rău augur vă semnalează o situație critică eroare de sistem. Mai mult, nu este întotdeauna posibil să prindeți momentul și să aveți timp să citiți codul de eroare atunci când Windows cade în ecranul albastru al morții și dispozitivul se repornește. Să observăm imediat că există un număr mare de soluții la această problemă, precum și motivele apariției ecran albastru. În acest articol vom încerca să luăm în considerare cauzele probabile ale ecranului albastru al fericirii, precum și solutii posibile probleme.

În marea majoritate a cazurilor, ecranul albastru al morții semnalează eroarea BAD_POOL_CALLER - stop 0x000000c2. Pentru a spune clar, este dificil să diagnosticăm această eroare, dar poate că vom încerca să folosim această eroare ca exemplu pentru a descrie algoritmul pentru următoarele acțiuni.

Pentru a diagnostica corect problema, mai întâi ar trebui să analizați un fișier de sistem special numit minidump. Crearea unor astfel de fișiere este cauzată de o defecțiune a sistemului, în plus, ele ne pot informa ce anume a dus la defecțiune.

1. Pentru a activa această înregistrare automată a unui mic dump de memorie (dezactivat implicit), accesați proprietățile computerului și accesați secțiunea „Setări avansate de sistem” (această activare este furnizată pentru toate sistemele, nu doar pentru Windows 10):

De regulă, toate fișierele minidump sunt salvate atunci când apare un ecran albastru al morții (BSOD) și le puteți găsi în folderul C:\Windows\Minidump. Este de remarcat faptul că numele fișierului conține data curentă - când a fost creat, ceea ce facilitează identificarea datei la care a apărut eroarea, mai ales având în vedere că pot exista mai multe astfel de fișiere.

Două moduri de a decripta un mic minidump de memorie

Prima cale, constă în utilizarea utilitarului destul de popular BlueScreenView. Acest utilitar poate fi, de asemenea, o opțiune bună pentru analiza unui depozit de memorie. Utilizarea acestui utilitar va fi utilă ca o modalitate de a identifica driverul problematic.

Mai mult, se remarcă mai ales prin faptul că, cu ajutorul lui, este posibil să vizualizați BSOD (ecranul albastru al morții) ca într-un cadru înghețat, așa cum a fost atunci când sistemul s-a prăbușit. Afișează ora și data defecțiunii, informații despre driver sau modul cu versiunea și scurtă descriere. În plus, utilitarul este disponibil în multe limbi, inclusiv rusă. Deci, utilitarul BlueScreenView este exact lucrul în care trebuie să analizați rapid depozitele de memorie în timpul BSOD.

Pentru a doua metodă trebuie să instalați Instrumente de depanare pentru Windows și, de asemenea, să descărcați utilitarul bsdos_utility. Apoi, după despachetarea scriptului bsdos_utility.cmd, ar trebui să-l mutați în unitatea C:\ (puteți crea un folder separat, dar merită să ne amintim că linia de adresă de lansare a scriptului va fi diferită de exemplul nostru). Apoi in linie de comandă ar trebui scris:

C:\bsdos_utility.cmd

După afișarea unei liste cu toate dumpurile din lista C:\Windows\Minidump\, după care scriptul va întreba ce dump trebuie analizat. De asemenea, puteți selecta minidump-ul necesar atunci când rulați scriptul:

Într-un mod similar, este posibil să detectați o mulțime de erori Windows 10 care au cauzat un BSOD, precum și programe .exe problematice care au provocat un ecran albastru.

Această scurtă notă își propune să arate cum puteți configura sistemul pentru a primi o urgență Descarcarea memoriei Windows, adică un dump care poate fi creat dacă apare o defecțiune critică, caracterizată prin apariția unui ecran albastru al morții (BSOD). Ce este o groapă în general, de ce avem nevoie de ea și ce este, ce probleme se intenționează să rezolve și ce informații conține?

Memory dump - conținutul memoriei de lucru a unui proces, nucleu sau întreg sistem de operare, inclusiv, pe lângă zonele de lucru, informații suplimentare despre starea registrelor procesorului, conținutul stivei și alte structuri de servicii.

De ce am putea avea nevoie de acest conținut, de ex. Descarcarea memoriei Windows? Poate că cea mai obișnuită utilizare a unui dump de memorie este studierea cauzelor unei defecțiuni a sistemului (), care a determinat oprirea completă a sistemului de operare. În plus, starea memoriei poate fi folosită și în alte scopuri. De asemenea, este important ca un dump de memorie să fie literalmente singura modalitate de a obține informații despre orice defecțiune! Și luarea (obținerea) unui dump de memorie de sistem este, de fapt, singura metodă precisă de a obține o amprentă (copie) instantanee a conținutului memorie fizică sisteme.

Cu cât conținutul gropii reflectă mai exact starea memoriei la momentul defecțiunii, cu atât vom putea analiza mai detaliat situația de urgență. Prin urmare, este extrem de important să obțineți o copie actualizată a memoriei fizice a sistemului la un moment de timp strict definit, imediat înainte de defecțiune. Și singura modalitate de a face acest lucru este să creați o descărcare completă de blocare. Motivul este destul de banal - atunci când are loc o descărcare de blocare a memoriei sistemului, fie ca urmare a unei defecțiuni, fie ca urmare a unei situații simulate artificial, sistemul în acest moment de primire a controlului funcțiilor de urgență (KeBugCheckEx) se află într-un stare absolut neschimbată (statică), prin urmare, între momentul în care se produce defecțiunea și momentul în care datele sunt scrise pe suport, nimic nu schimbă conținutul memoriei fizice și este scris pe disc în starea sa originală. Ei bine, acest lucru este în teorie, dar ocazional în viață, dar există situații în care, din cauza componentelor hardware defecte, depozitul de memorie în sine poate fi deteriorat sau stația poate îngheța în timp ce înregistrează descărcarea.

În marea majoritate a cazurilor, din momentul în care începe procesul de creare a unui dump memorie de blocare și până la sfârșitul scrierii conținutului memoriei pe disc, informațiile din memorie rămân neschimbate.

Teoretic, statica (imuabilitatea) „amprentei” memoriei se explică prin faptul că, atunci când este apelată funcția KeBugCheckEx, care afișează informații despre defecțiune și începe procesul de creare a unui dump de memorie, sistemul este deja complet oprit și conținutul memoriei fizice este scris în blocurile ocupate pe disc de fișierul de paginare, după care, în timpul încărcării ulterioare a sistemului de operare, este resetat la un fișier de pe suportul de sistem. Ei bine, aproape o dată am observat o situație în care un defect placa de baza m-a împiedicat să salvez un dump de memorie: a) înghețarea în timp ce logica de salvare a dump rulează (procesul nu a ajuns la 100%), b) deteriorarea fișierului de memorie dump (depanatorul s-a plâns de structuri), c) scrierea memoriei.dmp dump fișiere de lungime zero. Prin urmare, în ciuda faptului că sistemul este deja complet oprit în momentul în care este creată descărcarea memoriei și numai codul de urgență rulează, hardware-ul defect poate face ajustări la orice logică fără excepție în orice stadiu de funcționare.
În mod tradițional, în stadiul inițial, blocurile de disc alocate fișierului de pagină sunt folosite pentru a salva o descărcare de memorie Windows. Apoi, după un ecran albastru și repornire, datele sunt mutate într-un fișier separat, iar apoi fișierul este redenumit folosind un model în funcție de tipul de descărcare. Cu toate acestea, pornind de la versiuni Windows Vista, această stare de lucruri poate fi schimbată acum, utilizatorului i se oferă posibilitatea de a salva un dump selectat fără participarea unui fișier de schimb, plasând informații despre eșec într-un fișier temporar. Acest lucru a fost făcut pentru a elimina erorile de configurare asociate cu setările incorecte ale dimensiunii și poziției fișierului de paginare, ceea ce a dus adesea la probleme în timpul procesului de salvare a unei imagini de memorie.
Să vedem ce tipuri de depozite ne permite sistemul de operare Windows să creăm:

• Dump-ul memoriei de proces (aplicație);
• Dump memorie kernel;
• Dump memorie completă (dump a porțiunii disponibile din memoria fizică a sistemului).

Toate depozitele de accidentare pot fi împărțite în două categorii principale:

• Arhivare cu informații despre excepția care a avut loc. Creat de obicei în modul automat, când apare o excepție netratată în aplicație/kernel și, în consecință, depanatorul (încorporat) al sistemului poate fi apelat. În acest caz, informațiile despre excepție sunt înregistrate într-un dump, ceea ce facilitează determinarea tipului de excepție și unde a avut loc în timpul analizei ulterioare.
• Descarcă informații fără excepție. Creat de obicei manual de utilizator atunci când este necesar să se creeze pur și simplu un instantaneu al unui proces pentru analiza ulterioară. Această analiză nu implică determinarea tipului de excepție, deoarece nu a avut loc nicio excepție, ci o analiză cu totul diferită, de exemplu, studierea structurilor de date ale unui proces și așa mai departe.

Configurația de descărcare a memoriei kernelului

Trebuie să fii autentificat sub administrativ cont pentru a efectua pașii descriși în această secțiune.

Să trecem direct la configurarea setărilor de descărcare prin blocare Windows. Mai întâi, trebuie să mergem la fereastra cu proprietățile sistemului într-unul dintre următoarele moduri:

1. Faceți clic dreapta pe pictograma „Computerul meu” - „Proprietăți” - „Setări avansate de sistem” - „Avansate”.
2. Butonul „Start” - „Panou de control” - „Sistem” - „Setări avansate de sistem” - „Avansat”.
3. Comandă rapidă de la tastatură „Windows” + „Pauză” - „Setări avansate de sistem” - „Avansate”.
4. 
   sistem de control.cpl,3
5. Rulați pe linia de comandă (cmd):
   SystemPropertiesAdvanced

Rezultatul acțiunilor descrise este să deschideți fereastra „Proprietăți sistem” și să selectați fila „Avansat”:

După aceea, în secțiunea „Pornire și recuperare” facem clic, selectăm „Opțiuni” și, prin urmare, deschidem o nouă fereastră numită „Descărcare și recuperare”:

Toți parametrii crash dump sunt grupați într-un bloc de parametri numit „Eșec de sistem”. În acest bloc putem seta următorii parametri:

1. Scrieți evenimente în jurnalul de sistem.
2. Efectuați o repornire automată.
3. Înregistrarea informațiilor de depanare.
4. Fișier de descărcare.
5. Înlocuiți un fișier dump existent.

După cum puteți vedea, mulți dintre parametrii din listă sunt destul de banali și ușor de înțeles. Cu toate acestea, aș dori să detaliez parametrul „Dump File”. Parametrul este prezentat ca o listă derulantă și are patru valori posibile:

Mic depozit de memorie

Un mic dump de memorie (minidump) este un fișier care conține cea mai mică cantitate de informații despre defecțiune. Cea mai mică dintre toate depozitele de memorie posibile. În ciuda dezavantajelor evidente, mini-dump-urile sunt adesea folosite ca informații despre eșecul de a fi transferat către furnizori terți de drivere pentru un studiu ulterior.
Compus:

• Mesaj de eroare.
• Valoarea erorii.
• Parametrii de eroare.
• Contextul procesorului (PRCB) în care a avut loc defecțiunea.
• Informații de proces și contextul kernelului (EPROCESS) pentru procesul de blocare și toate firele sale.
• Procesează informațiile și contextul kernelului (ETHREAD) pentru firul de execuție care provoacă blocarea.
• Stiva de mod kernel pentru firul care a provocat blocarea.
• Lista driverelor încărcate.

Cazare: %SystemRoot%\Minidump\MMDDYY-XXXXX-NN.dmp. Unde MMDDYY este luna, ziua și respectiv anul, NN este numărul de serie al depozitului.
Volum: Mărimea depinde de bitness-ul sistemului de operare: sunt necesari doar 128 de kiloocteți pentru un sistem de operare pe 32 de biți și 256 de kiloocteți pentru un sistem de operare pe 64 de biți în fișierul de paginare (sau în fișierul specificat în DedicatedDumpFile). Deoarece nu putem seta o dimensiune atât de mică, o rotunjim la 1 megaoctet.

Dump memorie kernel

Acest tip de dump conține o copie a întregii memorie a nucleului la momentul accidentului.
Compus:

• Lista proceselor care rulează.
• Starea firului curent.
• Pagini de memorie în modul kernel prezente în memoria fizică la momentul accidentului: memoria driverului în modul kernel și memoria programului în modul kernel.
• Memorie la nivel dependent de hardware (HAL).
• Lista driverelor încărcate.

Din memoria kernel-ului lipsesc paginile de memorie nealocate și paginile modului utilizator. De acord, este puțin probabil ca paginile de proces în modul utilizator să fie de interes pentru noi în timpul unei erori de sistem (BugCheck), deoarece defecțiunea sistemului este de obicei inițiată de codul modului kernel.

Dimensiune: variază în funcție de dimensiunea spațiului de adrese kernel alocat de sistemul de operare și de numărul de drivere pentru modul kernel. De obicei, aproximativ o treime din memoria fizică este necesară în fișierul swap (sau în fișierul specificat în DedicatedDumpFile). Poate varia.

Dump complet de memorie

O descărcare completă a memoriei conține o copie a întregii memorie fizice (RAM) la momentul accidentului. În consecință, întregul conținut al memoriei sistemului este inclus în fișier. Acesta este atât un avantaj, cât și un dezavantaj major, deoarece dimensiunea sa poate fi semnificativă pe unele servere cu cantități mari de RAM.
Compus:

• Toate paginile memoriei fizice „vizibile”. Aceasta este aproape întreaga memorie a sistemului, cu excepția zonelor utilizate de hardware: BIOS, spațiu PCI etc.
• Date de la procesele care rulau pe sistem la momentul defecțiunii.
• Pagini de memorie fizică care nu sunt mapate la spațiul de adrese virtuale, dar care pot ajuta la investigarea cauzei defecțiunii.

În mod implicit, o descărcare completă a memoriei nu include zone de memorie fizică utilizate de BIOS.
Locație: %SystemRoot%\MEMORY.DMP . Dump-ul anterior este suprascris.
Volum: fișierul de paginare (sau fișierul specificat în DedicatedDumpFile) necesită un volum egal cu dimensiunea memoriei fizice + 257 megaocteți (acești 257 MB sunt împărțiți într-un anumit antet + date driver). De fapt, în unele sisteme de operare, pragul inferior al fișierului de paginare poate fi setat exact la valoarea dimensiunii memoriei fizice.

Evacuarea automată a memoriei

Începând cu Windows 8/Windows Server 2012, în sistem a fost introdus un nou tip de dump numit Automatic Memory Dump, care este setat ca tip implicit. În acest caz, sistemul însuși decide ce dump de memorie să înregistreze în cazul unei anumite defecțiuni. Mai mult, logica alegerii depinde de multe criterii, inclusiv de frecvența „crash-ului” a sistemului de operare.

După ce modificați configurația de descărcare a memoriei Windows, poate fi necesar să reporniți computerul.

Setări registry

Secțiunea de registry care definește parametrii de descărcare în caz de accident:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

Parametri:

Parametru	Tip	Descriere
Repornire automată	REG_DWORD	Activați/dezactivați repornirea automată când apare BSOD.
CrashDump Activat	REG_DWORD	Tipul de dump care se creează. 0 - nu creați un dump de memorie; 1 - dump complet de memorie; 2 - dump memorie kernel; 3 - depozit de memorie mic;
DumpFile	REG_EXPAND_SZ	Calea și numele depozitului de memorie kernel și dump-ului complet al memoriei.
DumpFilters	REG_MULTI_SZ	Filtrul de driver în stiva de drivere de descărcare a memoriei. Vă permite să adăugați noi funcționalități în etapa de creare a depozitelor de blocare. De exemplu, criptarea conținutului de descărcare. Modificarea valorii nu este recomandată.
LogEvent	REG_DWORD	Înregistrarea unui eveniment în jurnalul de sistem.
MinidumpDir	REG_EZPAND_SZ	Calea și numele micului depozit de memorie.
MinidumpsCount	REG_DWORD	Numărul maxim de depozite de memorie mici. Când este depășit, versiunile mai vechi încep să fie suprascrise.
Suprascrie	REG_DWORD	Înlocuiți un fișier dump existent. Numai pentru descărcarea memoriei kernel și descărcarea completă a memoriei.
IgnorePagefileSize	REG_DWORD	Ignoră fișierul de pagină standard ca loc pentru stocarea temporară (intermediară) a memoriei. Indică faptul că descărcarea memoriei trebuie scrisă într-un fișier separat. Folosit împreună cu opțiunea DedicatedDumpFile.
DedicatedDumpFile	REG_EZPAND_SZ	Calea și numele unui fișier alternativ temporar pentru înregistrarea unui depozit de memorie. În a doua trecere, datele vor fi în continuare mutate în DumpFile/MinidumpDir.

Crearea manuală a unui dump de memorie

Mai sus am descris setările pentru crearea automată a depozitelor de blocare a sistemului în cazul unei erori critice, adică o excepție netratată în codul kernelului. Dar în viața reală, pe lângă blocarea sistemului de operare, există situații în care este necesar să se obțină o descărcare a memoriei sistemului la un anumit moment în timp. Ce să faci în acest caz? Există metode pentru obținerea unui instantaneu al întregii memorie fizice, de exemplu folosind comanda .dump în depanatoarele WinDbg/LiveKD. LiveKD este un program care vă permite să rulați depanatorul Kd kernel pe un sistem care rulează în modul local. Depanatorul WinDbg are, de asemenea, o caracteristică similară. Cu toate acestea, metoda dump-ului din mers nu este exactă, deoarece dump-ul generat în acest caz este „inconsecvent”, deoarece este nevoie de timp pentru a genera dump-ul, iar în cazul utilizării depanatorului modului kernel, sistemul continuă să ruleze și să facă modificări ale paginilor de memorie.