Crash dumps что это за папка?

Crashdumps что это за папка?

Данная небольшая заметка ставит целью своей показать, каким же образом можно сконфигурировать систему, чтобы получить в своё распоряжение аварийный дамп памяти Windows, то есть дамп, который может быть создан в случае возникновения критического сбоя, характеризующегося появлением синего экрана смерти (BSOD). Что же такое дамп вообще, для чего он нам требуется и что из себя представляет, какие проблемы он призван решить и какую информацию содержит в себе?

Дамп памяти (memory dump) — содержимое рабочей памяти процесса, ядра или всей операционной системы, включающий, помимо рабочих областей, дополнительную информацию о состоянии регистров процессора, содержимом стека и прочие служебные структуры.

Для чего нам может потребоваться данное содержимое, то есть дамп памяти Windows? Пожалуй, наиболее часто дамп памяти используется для изучения причин возникновения системного сбоя (BSOD), который явился причиной полного останова операционной системы. В дополнение к этому, состояние памяти может использоваться и для других целей. Немаловажен и тот факт, что дамп памяти — это буквально единственный способ получения информации о любом сбое! А снятие (получение) дампа памяти системы — это, фактически, единственный точный метод получения мгновенного отпечатка (копии) содержимого физической памяти системы.

Чем точнее содержимое дампа будет отражать состояние памяти в момент сбоя, тем подробнее мы сможем проанализировать аварийную ситуацию. Поэтому крайне важно получить именно актуальную копию физической памяти системы в строго определенный момент времени, непосредственно предшествующий сбою. А единственный способ сделать это — создать полный аварийный дамп памяти.

Причина достаточно тривиальна — когда происходит создание аварийного дампа памяти системы, в результате ли сбоя, либо в следствии искусственно смоделированной ситуации, система в этот момент получения управления аварийными функциями (KeBugCheckEx) пребывает в абсолютно неизменном (статичном) состоянии, поэтому между моментом возникновения сбоя и моментом окончания записи данных на носитель ничто не изменяет содержимое физической памяти, и она в оригинальном состоянии записывается на диск.

Ну это в теории, а в жизни изредка, но встречаются ситуации, что по причине неисправных аппаратных компонентов, сам дамп памяти может быть поврежден, или в процессе записи дампа станция может подвиснуть.

В подавляющем большинстве случаев, с момента начала процесса создания аварийного дампа памяти, и до момента завершения записи содержимого памяти на диск, информация в памяти остается неизменной.

Ну а практически один раз наблюдал ситуацию, когда сбоящая материнская плата не давала сохранить дамп памяти: а) подвисая в процессе работы логики сохранения дампа (процесс не доходил до 100%), б) повреждая файл дампа памяти (отладчик ругался на структуры), в) записывая файлы дампов memory.dmp нулевой длины. Поэтому, не смотря на то, что система в момент создания дампа памяти уже полностью остановлена, и работает только аварийный код, сбойное железо может вносить свои коррективы в любую без исключения логику на любом этапе функционирования.

Традиционно, на начальном этапе для сохранения дампа памяти Windows используются блоки диска, выделенные файлу подкачки (pagefile). Затем, после возникновения синего экрана и перезагрузки, данные перемещаются в отдельный файл, а затем файл переименовывается по шаблону, зависящему от типа дампа. Однако, начиная с версии Windows Vista, подобное положение вещей возможно изменить, теперь пользователю дана возможность сохранять выделенный дамп без участия файла подкачки, помещая информацию о сбое во временный файл.

Сделано это для того, чтобы исключить ошибки конфигурации, связанные с неправильной настройкой размера и положения файла подкачки, что зачастую приводило к проблемам в процессе сохранения дампа памяти.
Давайте посмотрим, какие же разновидности дампов позволяет нам создавать операционная система Windows:

• Дамп памяти процесса (приложения);
• Дамп памяти ядра;
• Полный дамп памяти (дамп доступной части физической памяти системы).

Все аварийные дампы можно разделить на две основных категории:

• Аварийные дампы с информацией о возникшем исключении (crash dump). Обычно создаются отладчиком в автоматическом режиме, когда в приложении/ядре возникает [интересующее нас] исключение, в итоге становящееся необрабатываемым (unhandled exception). В этом случае информация об исключении записывается в дамп, что упрощает определение типа исключения и места возникновения при последующем анализе отладчиком в автоматическом/ручном режимах.
• Аварийные дампы без информации об исключении (hang dump). Обычно создаются пользователем в ручную, когда необходимо создать просто «мгновенный снимок» процесса после наступления какого-либо события (подвис, начал грузить ЦП), для последующего анализа. Анализ этот подразумевает не определение причины исключения (поскольку никакого исключения и не возникало), а анализ совершенно другого рода, например изучение структур данных процесса и прочее.

Конфигурация дампа памяти ядра

Вы должны быть залогинены под административной учетной записью для выполнения действий, описываемых в данном разделе.

Давайте непосредственно перейдем к конфигурированию параметров аварийного дампа памяти Windows. Для начала, нам необходимо зайти в окно свойств системы одним и приведенных способов:

1. Нажать правой кнопкой мыши на значке «Мой Компьютер» — «Свойства» — «Дополнительные параметры системы» — «Дополнительно».
2. Кнопка «Пуск» — «Панель управления» — «Система» — «Дополнительные параметры системы» — «Дополнительно».
3. Сочетание клавиш «Windows» + «Pause» — «Дополнительные параметры системы» — «Дополнительно».
4. Выполнить в командной строке (cmd):
   control system.cpl,,3
5. Выполнить в командной строке (cmd):
   SystemPropertiesAdvanced

Результатом описанных действий является открытие окна «Свойства системы» и выбор вкладки «Дополнительно»:

После этого в разделе «Загрузка и восстановление» мы нажимаем выбираем «Параметры» и тем самым открываем новое окно под названием «Загрузка и восстановление»:

Все параметры аварийного дампа сгруппированы в блоке параметров под названием «Отказ системы». В этом блоке мы можем задать следующие параметры:

1. Записать события в системный журнал.
2. Выполнить автоматическую перезагрузку.
3. Запись отладочной информации.
4. Файл дампа.
5. Заменять существующий файл дампа.

Как видите, многие параметры из списка достаточно тривиальны и просты в понимании. Однако, я бы хотел подробнее остановиться на параметре «Файл дампа». Параметр представлен в виде ниспадающего списка, и имеет четыре возможных значения:

Малый дамп памяти (Small memory dump)

Малый дамп памяти (минидамп, minidump) — это файл, который содержит наименьший объем информации о сбое. Самый маленький из всех возможных дампов памяти. Не смотря на очевидные минусы, зачастую именно минидампы используются в качестве информации о сбое для передачи поставщику сторонних драйверов с целью последующего изучения.
Состав:

• Сообщение об ошибке.
• Значение ошибки.
• Параметры ошибки.
• Контекст процессора (PRCB), на котором произошел сбой.
• Сведения о процессе и контекст ядра (EPROCESS) для процесса, являющего причиной сбоя, со всеми его потоками.
• Сведения о процессе и контекст ядра (ETHREAD) для потока, являющегося причиной сбоя.
• Стек режима ядра для потока, который явился причиной сбоя.
• Список загруженных драйверов.

Размещение: %SystemRoot%\Minidump\MMDDYY-XXXXX-NN.dmp. Где MMDDYY — месяц, день и год соответственно, NN — порядковый номер дампа.
Объем: Размер зависит от разрядности операционной системы: требуется всего-то 128 килобайт для 32-разрядной и 256 килобайт для 64-разрядной ОС в файле подкачки (либо в файле, указанном в DedicatedDumpFile). Поскольку выставить столь малый размер мы не сможем, то округляем до 1 мегабайта.

Дамп памяти ядра (Kernel memory dump)

Данный тип дампа содержит копию всей памяти ядра на момент сбоя.
Состав:

• Список исполняющихся процессов.
• Состояние текущего потока.
• Страницы памяти режима ядра, присутствующие в физической памяти в момент сбоя: память драйверов режима ядра и память программ режима ядра.
• Память аппаратно-зависимого уровня (HAL).
• Список загруженных драйверов.

В дампе памяти ядра отсутствуют нераспределенные страницы памяти и страницы пользовательского режима. Согласитесь, ведь маловероятно, что страницы процесса пользовательского режима будут нам интересны при системном сбое (BugCheck), поскольку обычно системный сбой инициируется кодом режима ядра.

Размещение: %SystemRoot%\MEMORY.DMP. Предыдущий дамп перезаписывается.
Объем: Варьируется в зависимости от размера адресного пространства ядра, выделенной операционной системой и количества драйверов режима ядра.

Обычно, требуется около трети объема физической памяти в файле подкачки (либо в файле, указанном в DedicatedDumpFile). Может варьироваться.

Полный дамп памяти (Complete memory dump)

Полный дамп памяти содержит копию всей физической памяти (ОЗУ, RAM) в момент сбоя. Соответственно, в файл попадает и все содержимое памяти системы. Это одновременно преимущество и главный недостаток, поскольку размер его на некоторых серверах с большим объемом ОЗУ может оказаться существенным.
Состав:

• Все страницы «видимой» физической памяти. Это практически вся память системы, за исключением областей, используемых аппаратной частью: BIOS, пространство PCI и прч.
• Данные процессов, которые выполнялись в системе в момент сбоя.
• Страницы физической памяти, которые не отображены на виртуальное адресное пространство, но которые могут помочь в изучении причин сбоя.

В полный дамп памяти не включаются, по-умолчанию, области физической памяти, используемой BIOS.Размещение: %SystemRoot%\MEMORY.DMP. Предыдущий дамп перезаписывается.

Объем: В файле подкачки (либо в файле, указанном в DedicatedDumpFile) требуется объем, равный размеру физической памяти + 257 мегабайт (эти 257 Мб делятся на некий заголовок + данные драйверов). На деле же, в некоторых ОС, нижний порог файла подкачки можно выставить точно в значение размера физической памяти.

Источник: https://shtz45.ru/crashdumps-chto-eto-za-papka/

Удалил всего 7 папок в Windows и освободил 42 гигабайта на диске

Система Windows содержит большое количество файлов и папок, которыми вы никогда не будете пользоваться. Обычному пользователю очень сложно отличить какие файлы являются критическими важными для системы, а какие можно свободно удалить без последствий.

Давайте рассмотрим несколько файлов и папок Windows, которые вы можете абсолютно безопасно удалить и какой эффект вас ждет от удаления. Некоторые из этих папок защищены системой, поэтому вам нужно быть внимательным при их удалении.

1. Файл спящего режима.

Расположение: C:\hiberfil.sys

Режим гибернации позволяет записать состояние системы на жесткий диск перед выключением. Допустим, если вытащить батарею из ноутбука на неделю после этого, то вы сможете продолжить работу на том моменте, где вы остановились.

Состояние системы сохраняется в отдельный файл спящего режима, который может занимать приличное пространство в несколько гигабайт. Если вы не пользуетесь спящим режимом, то его можно отключить, правда сделать это придется через командную строку.

Обратите внимание, что обычное удаление файла hiberfil.sys не поможет, Windows сразу же создаст новый файл.

Отключить спящий режим можно с помощью простой консольной команды

Кликните правой кнопкой мыши по меню “Пуск”, выберите Windows PowerShell (администратор), затем введите следующую команду для отключения спящего режима.

powercfg.exe /hibernate off

Windows автоматически удалит файл hiberfil.sys. Удаление данного файла автоматически отключает функцию быстрой загрузки в Windows 10. Однако, это небольшая потеря — данная функция часто вызывает ошибки загрузки.

На моем ПК Windows 10 удалось сэкономить 3,2 гигабайта на диске.

2. Папка Temp

Расположение: C:\Windows\Temp

Как понятно из названия, папка предназначена для временных файлов, которые после использования уже не нужны.

Удалить содержимое папки можно как вручную, выделив все объекты с помощью Ctrl + A, и нажав Delete, так и с помощью инструмента “Очистка диска”.

На моем ПК Windows 10 за счет удаления удалось сэкономить 377 мегабайт на диске.

3. Корзина

Расположение: shell:RecycleBinFolder

В техническом смысле, Корзина это не отдельная папка. Это отдельное место на диске, где хранятся файлы перед окончательным удалением или восстановлением. Если вы забываете периодически очищать корзину, то в ней может накопиться гигабайты данных.

Удалить объекты в Корзине можно щелкнув правой кнопкой мыши по контекстному меню и выбрав пункт Очистить корзину. Если вы не нашли значок, то можно ввести shell:RecycleBinFolder в адресную строку Проводника.

Пункт контекстного меню Свойства позволяет установить максимальный размер Корзины и выбрать удаление навсегда в обход корзины.

Я регулярно очищаю корзину, поэтому удалить удалось лишь несколько мегабайт.

4. Папка Windows.old

Расположение: C:\Windows.old

При обновлении Windows система сохраняет копии ваших старых файлов в папке Windows.old. Данная папка может использоваться для восстановления предыдущей версии Windows. Также вы можете вручную взять несколько файлов из старого снимка системы.

Удаление Windows.old позволило освободить больше всего пространства на диске

Windows автоматически очищает данную папку периодически, но вы можете самостоятельно удалить ее, если вам требуется свободное пространство. В меню Пуск введите “Очистка диска”. Выберите результат и в открывшейся программе нажмите “Очистить системные файлы”.

Затем запуститься сканирование диска. После его завершения выберите пункт “Предыдущие установки Windows” и нажмите “ОК”. Имейте в виду, что при удаление этих данных делает невозможным восстановление к предыдущей версии. Рекомендуем убедиться, что все работает корректно после установки новой версии Windows 10.

На моем ПК Windows 10 папка Windows.old занимала 36,8 гигабайта — очень приличное место для 256 Гб SSD.

5. Downloaded Program Files

Расположение: C:\Windows\Downloaded Program Files

Данная папка содержит файлы, используемые элементами управления ActiveX в Internet Explorer ActiveX и Java-апплетами.

На самом деле данная папка бесполезна. ActiveX — очень старая технология, которая имеет много уязвимостей безопасности, а Java очень редко используется в современном вебе.

В моем случае папка уже была пуста, но в некоторых случаях можно освободить несколько килобайт — негусто.

6. LiveKernelReports

Расположение : C:\Windows\LiveKernelReports

Файловые дампы могут занимать немало места

Папка LiveKernelReports используется при сканировании крупных файлов на ПК. Она хранит дампы файлов. Если на ПК возникнут проблемы, то вы сможете проанализировать содержимое этих файлов для диагностики и устранения неполадки.

Любые крупные файлы с расширением DMP можно безопасно удалить в данной папке.

Мне удалось освободить 1,7 гигабайта.

7. Rempl

Расположение : C:\Program Files\rempl

Папка Rempl обычно не очень крупная — она содержит несколько небольших файлов, связанных с оптимизацией доставки Windows 10.

Удаление файлов в папке не приводит к негативным последствиям, но и эффект от этого совсем мизерный.

Мне удалось освободить только несколько мегабайт.

В конечном итоге за несколько минут мне удалось освободить почти 42 гигабайта — я думаю, отличный результат. Напишите в комментарии, сколько получилось очистить у вас?

Источник: https://zen.yandex.ru/media/wallpaper/udalil-vsego-7-papok-v-windows-i-osvobodil-42-gigabaita-na-diske-5cbda09d36a7a700b369297e

Windows, Синий экран (BSOD) и борьба с его причинами

И снова всем привет.

Думаю тема в заголовке мало кому может показаться совсем незнакомой, во всяком случае большинству пользователей операционной системы Windows, понятие синий

экран смерти (Blue Screen Of Death) известно чуть ли не с пеленок с самого первого выпуска этой популярной в народе ОС.

Так называемый «синий экран» (BSOD) появляется на мониторе компьютера в тех случаях, когда операционная система выполнила недопустимую ошибку и ее работа была остановлена, а сам экран с синим фоном как правило представляет собой служебный отчет, в котором содержится краткий анализ проблемы, с выводом данных отладки о вероятных причинах системного сбоя.

Чаще всего причиной подобных сбоев являются некорректно работающие драйверы и их вероятные конфликты при использовании ресурсов компьютера, в некоторых случаях вероятно имеет место аппаратная неисправность отдельных узлов компьютера, перегрев важных устройств чипсета и т..п.Но вся сложность в определении технических подробностей о неполадках заключается в том, что данные отчета не представлены в явном виде, который был бы понятен обычному пользователю. Фактически сам синий экран не несет почтиникакой информации, кроме непосредственно кода ошибки, а также само уведомление, что система была остановлена.

Ваш капитан очевидность.

Чтобы внести ясность в этот вопрос и рассказать о путях решения подобных проблем без традиционной переустановки Windows, быласоздана статья, с которой вы можете ознакомиться ниже. Текст статьи фактически представляет собой объединенный перепост

нескольких меньших по объему статей с других ресурсов в сети, на которые в самом конце будут даны ссылки.

Часть первая — подготовка системы

Пойдем в хронологическом порядке и рассмотрим в начале те меры, которые надо принять, чтобы ваша система записывала журнал событий во время сбоев.

Далее описаны два способа настройки журналирования событий сбоев.

Первый способ (Windows XP):

Отключите автоматическую перезагрузку системы. Для этого:

• выберите Пуск-Выполнить… либо нажмите сочетание клавиш «Win»+»R»
• введите строку:

wmic recoveros set AutoReboot = False

При следующем падении системы обратите внимание на код ошибки и запишите. Код ошибки расположен после слова «STOP»

Второй способ:

• нажмите сочетание клавиш «Win» + «Pause»
• в Windows 7 и Vista щелкните ссылку «Дополнительные параметры системы»
• на вкладке Дополнительно нажмите кнопку Параметры в разделе «Загрузка и восстановление»:снимите флажок «Выполнять автоматическую перезагрузку»
• поставьте флажок «Записать события в системный журнал»
• в выпадающем списке «Запись отладочной информации» установите значение «Малый дамп памяти (256 КБ)» (для Windows 7)
• или «Малый дамп памяти (64 КБ)» (для Windows XP)

Когда вы снова столкнетесь с системной ошибкой и вовода BSOD, номер ошибки Вы увидите на синем после слова «STOP» и сможете его записать.

Дальше этот номер можно задать в качестве ключевого слова в любом интернет поисковике, и следуя результатам поиска, найти подходящий к вашему случаю вариант, из тех что ранее были описаны в сети другими людьми.

Затем вы можете прислать в службу поддержки обслуживающей организации, файл минидампа для анализа проблемы.

Для этого:

— перейдите в папку С:\Windows\Minidump\
где диск C: — диск на который установлена операционная система.

Для создания zip-архива нажмите на файл (в данном случае файл минидампа *.dmp например, 032912-19827-01.dmp) правой клавишей
мыши и в контекстном меню выберите пункт «Отправить», затем «Сжатая ZIP-папка» как показано на рисунке:

После этого в текущей папке появится ZIP-архив (например, 032912-19827-01.zip), который необходимо прикрепить к завке в службу техподдержки.

Часть вторая — анализ мини-дампа

Данная часть статьи предназначена для тех энтузиастов, которые предпочитают метод самостоятельной диагностики проблем с системой. Также приведенный метод может быть использован сотрудниками технической поддержки разнообразных сервисных служб для помощи рядовым пользователям ПК.
Ниже описан метод расшифровки файла мини-дампа с использованием специальных программных средств.

Для этого нам понадобится установить Debugging Tools for Windows и скачать утилиту непосредственно для расшифровки файла дампа

kdfe.zip (зеркало 1, зеркало 2)

Когда установили Debugging Tools, копируем kdfe.cmd в корень диска C:\
Запускаем командную строку «Пуск» -«Выполнить», вписываем команду cmd

Теперь в черном окне CMD пишем следующее:

c:\kdfe.cmd c:\Windows\Minidump\010113-19531-01.dmp

где c:\Windows\Minidump\010113-19531-01.dmp — файл мини-дампа.

Результат декодирования ошибки выглядит так:

Crash date:         Tue Jan  1 15:35:49.182 2013 (GMT+4)

— дата события

Stop error code:    0xD1

— код ошибки останова системы

Process name:       avp.exe

— имя процесса вызвавшего остановку системы

Probably caused by: L1E62x64.sys ( L1E62x64+76b8 )

— вероятный виновник остановки

Чтобы окончательно локализовать источники проблем, следуем такому комиксу:

Ищем найденный в дампе файл драйвера на системном диске:

Открываем свойства файла драйвера:

На вкладке «Подробно» в поле «Описание» и «Название продукта» видим то, что нам надо:

В меню Пуск-Мой компьютер, открываем элемент «Управление» и далее «Диспетчер устройств»:

В диспетчере устройств находим адаптер из описания драйвера:

А в диспетчере задач находим нужный процесс:

Как видно, в моем случае сбой системы был вызван процессом avp.exe при взаимодействии с файлом драйвера сетевой карты L1E62x64.sys .

Теперь осталось лишь избавиться от любого из виновников сбоя.

p.s.

Использованные источники:

p.p.s

Думаю также вам будет интересно узнать об утилите bluescreenview, которая также позволяет изучать содержимое файлов мини-дампа.

Удачи!

Запись опубликована в рубрике ЭВТ ИТ с метками blue, bsod, cmd, crash, decode, dump, error, minidump, read, screen, system, view, windows, синий, экран. Добавьте в закладки постоянную ссылку.

Источник: http://blog.apikulin.ru/2013/01/windows-bsod.html

Crash dumps что это за папка

:   / 295

647965

Все Windows-системы при обнаружении фатальной ошибки делают аварийный дамп (снимок) содержимого оперативной памяти и сохраняет его на жесткий диск. Существуют три типа дампа памяти:

Полный дамп памяти – сохраняет все содержимое оперативной памяти. Размер снимка равен размеру оперативной памяти + 1 Мб (заголовок). Используется очень редко, так как в системах с большим объемом памяти размер дампа будет слишком большим.

Дамп памяти ядра – сохраняет информацию оперативной памяти, касающуюся только режима ядра. Информация пользовательского режима не сохраняется, так как не несет в себе информации о причине краха системы. Объем файла дампа зависит от размера оперативной памяти и варьируется от 50 Мб (для систем с 128 Мб оперативной памяти) до 800 Мб (для систем с 8 Гб оперативной памяти).

Малый дамп памяти (мини дамп) – содержит довольно небольшое количество информации: код ошибки с параметрами, список драйверов загруженных в оперативную память на момент краха системы и т.д., но этих сведений достаточно, для определения сбойного драйвера. Еще одним преимуществом данного вида дампа является маленький размер файла.

Настройка системы

Для выявления драйвера вызвавшего синий экран нам достаточно будет использовать малый дамп памяти. Для того чтобы система при крахе сохраняла мини дамп необходимо выполнить следующие действия:

Для Windows Xp	Для Windows 7
Правой клавишей мыши нажать на значке Мой компьютер из контекстного меню выберите Свойства (или комбинация клавиш Win+Pause); Переходите на вкладку Дополнительно; В поле Загрузка и восстановление необходимо нажать кнопку Параметры; В поле Запись отладочной информации выбираем Малый дамп памяти (64 Кб).	Правой клавишей мыши нажать на значке Компьютер из контекстного меню выберите Свойства (или комбинация клавиш Win+Pause); В левом меню щелкаем на пункт Дополнительные параметры системы; Переходите на вкладку Дополнительно; В поле Загрузка и восстановление необходимо нажать кнопку Параметры; В поле Запись отладочной информации выбираем Малый дамп памяти (128 Кб).

Проделав все манипуляции, после каждого BSoD в папке C:\WINDOWS\Minidump будет сохраняться файл с расширение .dmp. Советую ознакомиться с материалом «Как создать папку». Также можно установить галочку на “Заменить существующий файл дампа”. В этом случае каждый новый аварийный дамп будет записываться поверх старого. Я не советую включать данную опцию.

Анализ аварийного дампа памяти с помощью программы BlueScreenView

Итак, после появления синего экрана смерти система сохранила новый аварийный дамп памяти. Для анализа дампа рекомендую использовать программу BlueScreenView. Её можно бесплатно скачать тут. Программа довольно удобная и имеет интуитивный интерфейс.

После её установки первое, что необходимо сделать – это указать место хранение дампов памяти в системе. Для этого необходимо зайти в пункт меню “Options” и выбрать “Advanced Options”. Выбираем радиокнопку “Load from the following Mini Dump folder” и указываем папку, в которой хранятся дампы.

Если файлы хранятся в папке C:\WINDOWS\Minidump можно нажатием кнопки “Default”. Нажимаем OK и попадаем в интерфейс программы.

Программа состоит из трех основных блоков:

1. Блок главного меню и панель управления;
2. Блок списка аварийных дампов памяти;
3. В зависимости от выбранных параметров может содержать в себе:

• список всех драйверов находящихся в оперативной памяти до появления синего экрана (по умолчанию);
• список драйверов находящихся в стеке оперативной памяти;
• скриншот BSoD;
• и другие значения, которые мы использовать не будем.

В блоке списка дамп памяти (на рисунке помечен цифрой 2) выбираем интересующий нас дамп и смотрим на список драйверов, которые были загружены в оперативную память (на рисунке помечен цифрой 3). Розовым цветом окрашены драйвера, которые находились в стеке памяти. Они то и являются причиной появления BSoD.

Далее переходите в Главное меню драйвера, определяйте к какому устройству или программе они принадлежат. В первую очередь обращайте внимание на не системные файлы, ведь системные файлы в любом случае загружены в оперативной памяти. Легко понять, что на изображении сбойным драйвером является myfault.sys. Скажу, что это программа была специально запущена для вызова Stop ошибки.

После определения сбойного драйвера, необходимо его либо обновить, либо удалить из системы.

Для того чтобы программа показывала список драйверов находящихся в стеке памяти во время возникновения BSoD необходимо зайти в пункт меню “Options” кликаем на меню “LowerPaneMode” и выбираем “OnlyDriversFoundInStack” (или нажмите клавишу F7), а для показа скриншота ошибки выбираем “BlueScreeninXPStyle” (F8). Что бы вернуться к списку всех драйверов, необходимо выбрать пункт “AllDrivers” (F6).

Буду признателен, если воспользуетесь кнопочками:

Источник: http://BsodStop.ru/poleznye-stati/analiz-dampa-pamyati

Проводим анализ дампа памяти или как выявить причину BSoD?

Здравствуйте друзья, сегодня разберем интересную тему, которая поможет вам в будущем при появлении синего экрана смерти (BSoD).

Как и мне, так и многим другим пользователям приходилось наблюдать появление экрана с синим фоном, на котором что-то написано (белым по синему). Данное явление говорит о критической неполадке, как в программном обеспечении, например, конфликт драйверов, так и в физической неисправности какого-то компонента компьютера.

Недавно у меня снова появился голубой экран в Windows 10, но я быстро от него избавился и скоро об этом вам расскажу.

Хотите смотреть фильмы онлайн в хорошем качестве? Тогда переходите по ссылке.

Есть три типа дампа памяти:

Полный дамп памяти – эта функция позволяет полностью сохранить содержимое оперативной памяти. Он редко используется, так как представьте, что у вас 32 Гб оперативной памяти, при полном дампе весь этот объем сохранится на диске.

Дамп ядра – сохраняет информацию о режиме ядра.

Малый дамп памяти – сохраняет небольшой объем информации о ошибках и загруженных компонентов, которые были на момент появления неисправности системы. Мы будем использовать именно этот тип дампа, потому что она даст нам достаточное количество сведений о BSoD.

Расположение, как малого, так и полного дампа отличается, например, малый дамп находится по следующему пути: %systemroot%\minidump.

Полный дамп находится здесь: %systemroot%.

Для анализа дампов памяти существуют различные программы, но мы воспользуемся двумя. Первая — Microsoft Kernel Debuggers, как понятно из названия утилита от Microsoft. Скачать ее можно с официального сайта. Вторая программа – BlueScreenView, бесплатная программка, скачиваем отсюда.

Анализ дампа памяти с помощью Microsoft Kernel Debuggers

Для разных версий систем нужно скачивать свой тип утилиты. Например, для 64-х разрядной операционной системы, нужна 64-битовая программа, для 32-х разрядной – 32-битная версия.

Это еще не все, вам нужно скачать и установить пакет отладочных символов, нужные для программы. Называется Debugging Symbols. Каждая версия данного пакета тоже скачивается под определённою ОС, для начала узнайте какая у вас система, а потом скачивайте. Дабы вам не искать где попало эти символы, вот ссылка на скачивание. Установка, желательно, должна производиться по этому пути: %systemroot%\symbols.

Теперь можно запускать наш отладчик, окно которого будет выглядеть вот так:

Прежде чем проанализировать дампы мы кое-что настроим в утилите. Во-первых, нужно указать программе, куда мы установили отладочные символы. Для этого нажимаем на кнопку «File» и выбираем пункт «Symbol File Path», потом указываем путь до символов.

Программа позволяет извлекать символы прямо из сети, поэтому вам даже не придется их скачивать (извините те, кто уже скачал). Они буду браться с сервером Microsoft, поэтому все безопасно. Итак, вам нужно снова открыть «File», потом «Symbol File Path» и ввести следующую команду:

SRV*%systemroot%\symbols*http://msdl.microsoft.com/download/symbols

Таким образом мы указали программе, что символы должны браться из сети. Как только мы это сделали нажимаем «File» и выбираем пункт «Save Workspace», потом жмем ОК.

Вот и все. Мы настроили программу на нужный лад, теперь приступаем к анализу дампов памяти.  В программе нажимаем кнопочку «File», потом «Open Crash Dump» и выбираем нужный файл.

Kernel Debuggers начнет анализ файла и после этого выведет результат о причине ошибки.

Вот и все с этой программой. Чтобы остановить работу отладчика, выберите «Debug» и пункт «Stop Debugging».

Анализ дампа памяти с помощью BlueScreenView

Для анализа различных ошибок и BSoD подойдет и программа BlueScreenView, которая имеет простой интерфейс, поэтому проблем с освоением возникнуть не должно.

Скачайте программу по указанной выше ссылке и установите. После запуска утилиты нужно ее настроить. Зайдите в параметры: «Настройки» — «Дополнительные параметры». Откроется небольшое окошко, в котором есть пару пунктов. В первом пункте нужно указать местонахождение дампов памяти. Обычно они находятся по пути C:\WINDOWS\Minidump. Тогда просто нажмите кнопку «По умолчанию».

Что можно видеть в программе? У нас есть пункты меню, часть окна с названиями файлов дампов и вторая часть окна – содержимое дампов памяти.

Итак, в первой части окна, где файлы дампов, выбираем нужный нам дамп памяти. В следующей части окна смотрим на содержимое. Красноватым цветом помечены драйвера, находившиеся в стеке памяти. Как раз они и есть причина синего экрана смерти.

В интернете можно найти все о коде ошибке и драйвере, который может быть виной BSoD. Для этого нажимаем «Файл», а потом «Найти в Google код ошибки + Драйвер».

Можно сделать показ только драйверов, которые были на момент появления ошибки. Для этого нужно нажать «Настройки» — «Режим нижнего окна» — «Только драйвера, найденные в крэш-стеке». Либо нажать клавишу F7.

Источник: https://ichudoru.com/crash-dumps-chto-eto-za-papka/

Папка WinSxS — зачем она нужна и можно ли ее удалить?

: 2 месяца назад

С необходимостью очистки системного диска сталкивается практически каждый пользователь. Со временем системные файлы занимают все больше памяти, и это может привести к различным проблемам вплоть до нестабильной работы системы. Папка WinSxS является одной из первых директорий, на которую обращают внимание пользователи, а все из-за ее размера. Что это за папка? Можно ли безопасно очистить или удалить WinSxS, и как это правильно сделать?

WinSxS — служебная папка, которая появилась еще в Windows Vista, и присутствует во всех последующих версиях операционной системы. Полный путь к папке: C:\Windows\WinSxS. Увидеть ее можно, если включить отображение скрытых файлов и папок в параметрах папок (вкладка «Вид»).

Здесь хранятся файлы обновлений, конфигурационные данные, резервные копии файлов. Это каталог хранилища компонентов Windows. Именно благодаря ему пользователь может откатить практически любые изменения системы. Например, если вышло очередное забагованное обновление или эти самые изменения чем-то не понравились. Содержимое WinSxS используется в откате операционной системы к первоначальным настройкам, а также необходимо для работы Windows.

Учитывая специфику каталога, со временем он будет интенсивно расширяться.

Обновления приходят регулярно, тем более сам пользователь часто вносит различные изменения в работу операционной системы. Если оптимизация каталога ранее не проводилась, или же процедура выполнялась давно, то размер папки легко может превысить отметки в 20 ГБ, но здесь есть один нюанс.

В папке WinSxS используются жесткие ссылки на файлы других каталогов. Иными словами, Проводник или файловые менеджеры в расчетах учитывают именно полный размер файла, хотя, по факту, его здесь нет, и место не занято.

Отсюда возникает и другой вопрос. Какой размер этой папки считается нормальным, и когда нужно всерьез задуматься об оптимизации содержимого?

Если папка WinSxS занимает свыше 10 ГБ памяти, то чистка практически наверняка нужна.

С другой стороны, освободить место можно и при более скромных объемах.

Да, удалить можно вообще любую системную папку или файл. Правда, в этом случае последствия не заставят себя ждать: уже при следующем включении или перезагрузке Windows может не запуститься, а большинство способов восстановления окажутся бесполезными.

Другие возможные последствия удаления отдельных файлов папки WinSxS:

• сбои, вылеты и перезапуск компьютера;
• проблемы с установкой обновлений;
• проблемы с откатом изменений.

Удалять саму папку WinSxS или ее содержимое, как и любой другой системной директории, настоятельно не рекомендуется, но это не означает, что пользователю нужно смириться с ситуацией. Есть возможность уменьшить занимаемый ею объем памяти.

Начнем с того, что не нужно заходить в эту папку и вручную удалять не понравившиеся файлы. Для этого существуют другие инструменты. Преимущество описанных далее методов в том, что во время оптимизации происходит очистка неиспользуемых файлов. Иными словами, происходит безопасное удаление мусора, который просто захламляет систему. Инструменты используют различные алгоритмы, поэтому эффективность методов также отличается.

Встроенное средство очистки дисков в Windows

Это самый простой и безопасный метод, который направлен на удаление неиспользуемых обновлений. Внутренняя оптимизация содержимого не происходит, поэтому, если стоит цель освободить как можно больше места на системном диске, лучше использовать другие способы. С другой стороны, это самый простой способ, которым может воспользоваться любой пользователь.

Инструкция по использованию встроенного средства очистки дисков в Windows.

1. Зайти в папку «Компьютер», кликнуть правой клавишей на системном диске (диск C), выбрать пункт «Свойства», а затем нажать кнопку «Очистка диска», где нас интересует кнопка «Очистить системные файлы». Альтернативный вариант — прописать в командной строке (открытой от имени Администратора) следующую команду cleanmgr.
2. В появившемся окне нужно поставить галочку возле пункта «Очистка файлов обновлений» и нажать «ОК».
3. Дождаться завершения процедуры и выполнить перезагрузку.

Если каталог WinSxS ранее не чистился или чистился давно, то при помощи данного метода получится освободить от нескольких сотен мегабайт до пары гигабайт места.

Этот метод актуален для ОС Windows 8.1 и Windows 10. В Windows 7 данной опции изначально нет, но она появится при установке пакета обновлений KB2852386.

Утилита DISM.exe

Этот метод предполагает использование консоли. Его эффективность выше, и в результате можно освободить больше места.

Инструкция по использованию утилиты DISM.exe для очистки папки WinSxS.

1. Открыть командную строку от имени Администратора и прописать в ней команду: Dism.exe /Online /Cleanup-Image /AnalyzeComponentStore.
2. Дождаться завершения анализа. Утилита оценит необходимость очистки директории, и в нашем примере в дальнейших действиях нет нужды, но нас, конечно же, это не остановит.
3. Инициализируем очистку каталога следующей командой: Dism.exe /online /Cleanup-Image /StartComponentCleanup.
4. Ждем, пока утилита выполняет необходимые действия.
5. Готово.

Но это еще не все, что можно сделать при помощи утилиты DISM.exe. Другие полезные действия перечислены ниже.

1. Dism.exe /online /Cleanup-Image /StartComponentCleanup /ResetBase — команда для удаления устаревших и неиспользуемых версий компонентов каталога.
2. Dism.exe /online /Cleanup-Image /SPSuperseded — команда для сжатия пакетов обновлений.

Теперь можно полюбоваться результатом, еще раз вызвав команду Dism.exe /Online /Cleanup-Image /AnalyzeComponentStore и сравнив результат с первым анализом. Кстати, данная команда не поддерживается в Windows 7.

В приведенном примере результат незначительный, что объясняется недавней глубокой чисткой системы, но он все-таки есть.

Планировщик задач

Многие пользователи забывают об огромных возможностях оптимизации, которые дает Планировщик задач Windows. Он будет полезен и в нашем случае.

Чтобы очистить папку WinSxS при помощи планировщика задач, нужно выполнить следующий порядок действий.

1. Вызвать планировщик задач в меню «Выполнить» (Win+R) или в командной строке, используя команду taskschd.msc.
2. В открывшемся окне слева открыть каталог «Microsoft», затем «Windows», и здесь найти «Servicing».
3. Выбрать «StartComponentCleanup» и в меню справа кликнуть «Выполнить».
4. В течение часа задача будет выполнена.

Преимущество метода в том, что пользователь может настроить автоматическую очистку папки WinSxS по расписанию и забыть о проблеме. Для этого нужно кликнуть правой клавишей мыши на задаче «StartComponentCleanup», выбрав пункт «Свойства», вкладку «Триггеры», а здесь настроить расписание процедуры.

Этот метод предназначен для продвинутых пользователей. Удаление компонентов может повлиять на стабильность работы системы.

В этом случае мы будем очищать неактивные компоненты. В будущем, при необходимости, их возможно восстановить.

1. В командной строке, открытой от имени Администратора, прописываем следующее: DISM.exe /Online /English /Get-Features /Format:Table.
2. Получаем список компонентов с указанием состояния (Enable / Disable).
3. Чтобы удалить компонент, необходимо прописать команду DISM.exe /Online /Disable-Feature /featurename:XXX /Remove, где XXX — название компонента для удаления.

Посмотреть активные и неактивные компоненты Windows можно в разделе «Программы и компоненты», который находится по здесь: Панель управления\Программы\Программы и компоненты. Интересующий пункт находится в левой части окна. 

Наиболее популярными вариантами очистки директории являются первые два метода, о которых снято много видеороликов для .

Воспользовавшись предложенными в статье способами, можно уменьшить размер WinSxS. Результат зависит от выбранного способа и того, как часто пользователь выполняет очистку системы от мусора. Как правило, интерес к папке WinSxS возникает при необходимости освобождения места на системном диске. А том, как это сделать можно прочитать здесь.

Источник: https://club.dns-shop.ru/blog/t-93-programmnoe-obespechenie/36072-papka-winsxs-zachem-ona-nujna-i-mojno-li-ee-udalit/

BSOD расшифровка

Давайте для начала разберем, что означает данная аббревиатура, BSOD от английского Blue Screen of Death или еще режим STOP ошибки.

Ошибки синего экрана смерти возникают по разным причинам, среди которых могут быть проблемы с драйверами, может быть какое то сбойное приложение, или сбойный модуль оперативной памяти. Как только у вас появился синий экран в Windows, то ваша система автоматически создаст файл crash memory dump, который мы и будем анализировать.

Как настроить создание memory dump

По умолчанию windows при синем экране создает аварийный дамп файл memory.dmp, сейчас покажу как он настраивается и где хранится, я буду показывать на примере Windows Server 2008 R2, так как у меня недавно была задача по изучению вопроса синего экрана в виртуальной машине. Для того чтобы узнать где настроен dump memory windows, открываем пуск и щелкаем правым кликом по значку Компьютер и выбираем свойства.

Как анализировать синий экран dump memory в Windows-Свойства компьютера

Далее идем в пункт Дополнительные параметры системы

Как анализировать синий экран dump memory в Windows-параметры системы

Переходим во вкладку Дополнительно-Загрузка и восстановление. Жмем кнопку Параметры

Как анализировать синий экран dump memory в Windows-Загрузка и восстановление

Где хранится файл memory.dmp

и видим, что во первых стоит галка выполнить автоматическую перезагрузку, для записи отладочной информации, выбрано Дамп памяти ядра и ниже есть пусть куда сохраняется дамп памяти %SystemRoot%\MEMORY.DMP

Как анализировать синий экран dump memory в Windows-05

Перейдем в папку c:\windows\ и найдем файл MEMORY.DMP в нем содержаться коды синего экрана смерти

Как анализировать синий экран dump memory в Windows-memory.dmp

Как настроить mini dump

В малый дамп памяти тоже записываются ошибки синего экрана смерти, настраивается он там же, нужно только его выбрать.

Как анализировать синий экран dump memory в Windows-07

Хранится он в папке c:\windows\minidump. Преимущество в том, что он занимает меньше места и на каждый синий экран создается отдельным файлом. Всегда можно просмотреть историю появлений синего экрана.

Как анализировать синий экран dump memory в Windows-08

Теперь когда мы разобрались где искать файл memory dump, нужно научиться его интерпритировать и понимать причину из за чего происходит синий экран смерти. В решении этой задачи нам поможет Microsoft Kernel Debugger. Скачать Microsoft Kernel Debugger можно с официального сайта, главное выберите нужную версию ОС если кому то влом, то можете скачать с яндекс диска по прямой ссылке. Так же он входит в состав ADK.

Как установить Microsoft Kernel Debugger

Скачиваем Microsoft Kernel Debugger, в итоге у вас будет маленький файл который позволит скачать из интернета все что вам нужно. Запускаем его.

Как установить Microsoft Kernel Debugger-01

присоединяться к программе по улучшению качества участвовать не будем

Как установить Microsoft Kernel Debugger-02

жмем Accept и соглашаемся с лицензией

Как установить Microsoft Kernel Debugger-соглашаемся с лицензией

Далее выбираем компонент и жмем install

Как установить Microsoft Kernel Debugger-04

начнется установка Microsoft Kernel Debugger

Как установить Microsoft Kernel Debugger-установка MKD

Видим, что Microsoft Kernel Debugger успешно установлен

Как установить Microsoft Kernel Debugger-06

После чего видим, что в пуске появилась папка Debugging Tools for Windows как для 32 так и для 64 битных систем.

Как установить Microsoft Kernel Debugger-07

Помимо самого пакета Debugging Tools for Windows, также понадобятся набор отладочных символов — Debugging Symbols. Набор отладочных символов специфичен для каждой ОС, на которой был зафиксирован BSoD. Потому придется загрузить набор символов для каждой ОС, анализировать работу которой Вам придется.

Устанавливать их рекомендуется по адресу %systemroot%\symbols хотя мне нравится устанавливать их в отдельные папки и не захламлять папку Windows.

После установки Debugging Symbols под систему на которой был синий экран смерти запускаем Debugging Tools

Как установить Microsoft Kernel Debugger-Запуск

Перед анализом содержимого дампа памяти, потребуется провести небольшую настройку отладчика. Конкретно — сообщить программе, по какому пути следует искать отладочные символы. Для этого выбираем в меню File > Symbol File Path…

Как установить Microsoft Kernel Debugger-09

Нажимаем кнопку Browse…

Как установить Microsoft Kernel Debugger10

SRV*%systemroot%\symbols*http://msdl.microsoft.com/download/symbols

Как установить Microsoft Kernel Debugger-11

Как анализировать синий экран смерти

Копируем с компьютера где выскочил синий экран, файл memory.dmp или minidump, и открываем его, выбираем в меню File > Open Crash Dump… и выбираем требуемый для рассмотрения файл.

Как анализировать синий экран смерти-01

Выбираем для примера minidump

Как анализировать синий экран смерти-открываем minidump

Начнется анализ минидампа, видим появилась ссылка на ошибку, щелкаем по ней для более детальной информации о синем экране.

Как анализировать синий экран смерти-03

И видим сбойное приложение которое крушит вашу систему, так же можно еще детальнее посмотреть в чем дело, ткнув ссылку.

Как анализировать синий экран смерти-04

Получите более детальную информацию по причине синего экрана.

Как анализировать синий экран смерти-05

Если открыть memory.dmp то вы получите подобную картину и видим почему синий экран у вас появился.

Как анализировать синий экран смерти-06

Ткнув по ссылке в логе вы получаете самую детальную информацию об ошибке.

Как анализировать синий экран смерти-07

Вот так вот просто диагностировать и устранить синий экран смерти.

Материал сайта pyatilistnik.org

Источник: http://pyatilistnik.org/kak-analizirovat-siniy-ekran-dump-memory-v-windows/