Главная Обновление Как расшифровать BSOD с помощью дампа памяти. BSoD: Анализ дампов памяти Синий экран смерти и анализ дампов самостоятельно

Как расшифровать BSOD с помощью дампа памяти. BSoD: Анализ дампов памяти Синий экран смерти и анализ дампов самостоятельно

Нередко причиной возникновения ошибок при загрузке, или работе Windows (так называемый BSOD, или синий экран смерти) является ошибка в работе свежеустановленного, или поврежденного драйвера. Решить проблему возникновения ошибки (BSODа) можно, но для этого необходимо выяснить драйвер какого же устройства работает неправильно, или какое, вновь установленное, приложение поставило неисправный драйвер. Но название драйвера не всегда отображается в тексте ошибки BSOD. На самом деле нечего невозможного нет, поэтому и в случае проблемы с синим экрапом есть способ, с помощью которого можно за пару минут выяснить какой же именно драйвер неисправен и переходить к восстановлению системы.

1. Как включить дамп памяти.

Первое, что на нужно, это убедиться, что дамп памяти включен. Для этого необходимо перейти в свойства системы нажав Win+Pause (в Vista нажать ссылку Дополнительные параметры системы), далее переходим на вкладку дополнительно и нажимаем "Загрузка и восстановление".

"Small Memory Damp 64k" для нас должно быть более чем предостаточно.

Обязательно обратите внимание на путь к папке где храниться информация о дампе памяти, эти файлы Вам помогут в дальнейшем получать информацию о поврежденных драйверах в системе.

Теперь Вы сможете в любой момент сделать архив файлов из папки minidamp прикрепить архив к сообщению и отправить на форум по решению компьютерных проблем. А дальше ждать пока Вам кто то не скажет название проблемного драйвера. Но также, ненапрягаясь, Вы можете самостоятельно узнать название драйвера.

2. Установка средств диагностики.

установите Debugging Tools For Windows
загрузите KDFE.CMD . Извлеките файлы из архива в папку на компьютере.

Примечание. В случае нестандартного расположения папки Program Files вам может потребоваться указать в kdfe.cmd путь к папке, в которую установлены средства Debugging Tools for Windows. Используйте переменную dbgpath в строке 41.

3. Анализ дампа памяти

Последним шагом все сводится к выполнению одной команды. Откройте командную строку и перейдите в папку, в которую был распакован kdfe.cmd. Запустите файл, указав в качестве параметра путь к файлу дампа памяти (в примере ниже файл называется Mini1110307-01.dmp)

kdfe.cmd "%systemroot%\Minidump\Mini1110307-01.dmp"

Теперь вы увидите результат.

Это и есть драйвер, послуживший причиной ошибки!

Синий экран смерти или BSOD (The blue screen of death) - это всегда очень тревожный симптом проблем с компьютером. Данный экран появляется, когда Windows обнаруживает критическую ошибку, которую система не в состоянии исправить самостоятельно. В результате запрашивается перезагрузка компьютера, и очень часто это приводит к потере всех несохраненных изменений.

Синий экран смерти - это худшая ошибка, с которой может столкнуться пользователь компьютера. В отличие от сбоев приложений, критическое падение с BSOD нарушает работоспособность всей системы. Обычно синий экран смерти появляется в результате сбоев программного обеспечения низкого уровня или проблем аппаратных компонентов компьютера.

Причины появления BSOD

Обычно синие экраны смерти вызваны неисправностью оборудования компьютера или драйверами. Обычные приложения не должны вызывать BSOD. В случаи падения сторонние программы не вызывают нарушение работоспособности операционной системы. Самые частые причины BSOD - аппаратные сбои или проблемы с программным обеспечением уровня ядра Windows. Бывают падения, связанные с обновлениями антивирусов.

Синий экран обычно появляется, когда Windows обнаруживает “STOP-ошибку”. Данное критическое падение приводит к остановке работы системы Windows. В этом случае остается только принудительно выключить компьютер и перезагрузить его. Данная процедура может привести к потере несохраненных данных, потому что у приложений фактически нет шансов для сохранения изменений. В идеальном сценарии программы должны регулярно сохранять прогресс работы, чтобы BSOD или другие ошибки не привели к потере данных.

При появлении синего экрана смерти Windows автоматически создает и сохраняет на диск файл дампа памяти “minidump”, который содержит информацию о критическом сбое. Пользователи могут просматривать информацию в дампах - она может помочь идентифицировать причину падения с BSOD.

По умолчанию, Windows автоматически перезагружает компьютер при появлении синего экрана смерти. Если ваш компьютер перезагружается без видимой причины, то возможно, это связано с синим экраном.

Если вы хотите ознакомиться с детальной информацией при появлении синего экрана, то следует отключить автоматическую перезагрузку в панели управления Windows.

Кликните по значку “Мой компьютер”.
Нажмите правой кнопкой мыши и выбери пункт “Свойства”.
В левом навигационном меню выберите опцию “Дополнительные параметры системы”.
Перейдите на вкладку “Дополнительно” и в секции “Загрузка и восстановление” нажмите кнопку “Параметры”.
В секции “Отказ системы” снимите галочку с опции “Выполнить автоматическую перезагрузку”.

Приложение BlueScreenView предлагает простой способ для просмотра информации о BSOD. Программа автоматически сканирует все файлы дампа памяти и отображает данные о сбоях.

Аналогичную информацию можно посмотреть с помощью встроенного в систему классического приложения “Просмотр событий”. Правда в этом случае сообщения BSOD будут отображаться в одном списке с падениями приложений и другими сообщениями системного журнала.

Для разработчиков или продвинутых пользователей больше подойдет мощный отладчик дампов WinDbg от Microsoft.

Поиск и устранение уязвимостей

В Windows 7 и в более новых версиях Windows, информация о BSOD также отображается в центре действия. Если вы столкнулись с ошибкой BSOD, то можете открыть Центр действия и проверить доступные решения. Windows проанализирует BSOD и другие типы ошибок на компьютере и предоставить рекомендации по устранению проблемы.

Часто можно получить дополнительную информацию об ошибке синего экрана, при поиске конкретного сообщения об ошибке - например, “Driver_IRQL_not_less_or_equal”. Новые экраны BSOD в системах Windows сами побуждают пользователей выполнить поиск в Интернете, чтобы подробно ознакомиться с возможными проблемами.

Используйте мастер восстановления системы. Если система недавно начала испытывать сбои с BSOD, используйте функцию восстановления системы, чтобы вернуть систему в предыдущее стабильное состояние. Если это поможет, то вероятно, проблема была вызвана ошибками программного обеспечения.
Проверьте систему на наличие вредоносных программ . Угрозы, которые проникают глубоко в ядро Windows могут вызвать проблемы стабильности системы. Выполните сканирование компьютера на наличие вредоносных программ, чтобы убедиться, что сбой системы не вызван коварными зловредами.
Установите обновления драйверов. Некорректно установленный или неисправный драйвер может приводить к падениям. Загрузите и установите новейшие драйвера для компонентов компьютера с официального сайта производителя - это может помочь справиться с BSOD.
Выполните загрузку в безопасном режиме . Если ваш компьютер постоянно выдает сбои с BSOD, то попытайтесь загрузиться в безопасном режиме. В безопасном режиме Windows загружает только самые основные драйвера. Если синий экран смерти появляется из-за установленного драйвера, то в безопасном режиме критической ошибки не будет, и вы сможете исправить проблему.
Выполните диагностику аппаратных компонентов. Синие экраны могут быть вызваны неисправным оборудованием. Попробуйте выполнить тестирование памяти на предмет ошибок и проконтролируйте температуру отдельных элементов ПК, чтобы убедиться, что он не перегревается.
Переустановите Windows. Чистая установка системы является радикальным действием, но она позволит избавиться от возможных проблем установленных программ. Если после переустановки системы, ошибки BSOD продолжаются, что, скорее всего, они связаны с оборудованием.

Даже, абсолютно исправный компьютер в редких случаях может испытывать падения с BSOD без видимой причины - из-за ошибок драйверов, установленных приложений или аппаратных компонентов.

Если вы очень редко сталкиваетесь с BSOD (скажем, раз в два года), то нет причин для беспокойства. Если ошибки с BSOD выскакивают регулярно, то нужно искать причину и устранять проблему.

Как часто Вам приходится лицезреть экран смерти Windows (BSoD)? BSoD может возникать в разных случаях: как уже при работе с системой, так и в процессе загрузки операционной системы. Как же определить, чем вызвано появление BSoD и устранить эту проблему? Операционная система Windows способна сохранять дамп памяти при появлении ошибки, чтобы системный администратор мог проанализировать данные дампа и найти причину возникновения BSoD.

Существует два вида дампов памяти - малый (minidump) и полный. В зависимости от настроек операционной системы, система может сохранять полный или малый дампы, либо не предпринимать никаких действий при возникновении ошибки.

Малый дамп располагается по пути %systemroot%\minidump и имеет имя вроде Minixxxxxx-xx.dmp
Полный дамп располагается по пути %systemroot% и имеет имя вроде Memory.dmp

Для анализа содержимого дампов памяти следует применять специальную утилиту - Microsoft Kernel Debugger.
Получить программу и компоненты, необходимые для ее работы, можно напрямую с сайта Microsoft - Debugging Tools

При выборе отладчика следует учитывать версию операционной системы, на которой Вам придется анализировать дампы памяти. Для 32-разрядной ОС необходима 32-битовая версия отладчика, а для 64-разрядной ОС предпочтительно использовать 64-битовую версию отладчика.

Помимо самого пакета Debugging Tools for Windows, также понадобятся набор отладочных символов - Debugging Symbols. Набор отладочных символов специфичен для каждой ОС, на которой был зафиксирован BSoD. Потому придется загрузить набор символов для каждой ОС, анализировать работу которой Вам придется. Для 32-разрядной Windows XP потребуются набор символов для Windows XP 32-бит, для 64-разрядной ОС потребуются набор символов для Windows XP 64-бит. Для других ОС семейства Windows наборы символов подбираются сообразно такому же принципу. Загрузить отладочные символы можно отсюда . Устанавливать их рекомендуется по адресу %systemroot%\symbols

После установки отладчика и отладочных символов, запускаем отладчик. Окно отладчика после запуска выглядит следующим образом.

Перед анализом содержимого дампа памяти, потребуется провести небольшую настройку отладчика. Конкретно - сообщить программе, по какому пути следует искать отладочные символы. Для этого выбираем в меню File > Symbol File Path… Нажимаем кнопку Browse… и указываем папку, в которую мы установили отладочные символы для рассматриваемого дампа памяти.

Можно запрашивать информацию о требуемых отладочных символах прямо через Интернет, с публичного сервера Microsoft. Таким образом у вас будет самая новая версия символов. Сделать это можно следующим образом - в меню File > Symbol File Path… вводим: SRV*%systemroot%\symbols*http://msdl.microsoft.com/download/symbols

После указания пути к отладочным символам, выбираем в меню File > Save workspace и подтверждаем действие нажатием на кнопку OK.

Чтобы приступить к анализу дампа памяти, выбираем в меню File > Open Crash Dump… и выбираем требуемый для рассмотрения файл.

Система проведет анализ содержимого, по окончанию которого выдаст результат о предполагаемой причине ошибки.

Команда!analyze -v, данная отладчику в командной строке, выведет более детальную информацию.

Завершить отладку можно выбором пункта меню Debug > Stop Debugging

Таким образом, используя пакет Debugging Tools for Windows, всегда можно получить достаточно полное представление о причинах возникновения системных ошибок.

Отказ системы из-за критической ошибки (BSOD) чаще всего возникает по причине неправильной работы или повреждения драйвера, за исключением случаев неполадок в аппаратной части компьютера.

В этой статье мы рассмотрим базовые действия, которые помогут вам самостоятельно определить причину возникновения BSOD и, как следствие, устранить ее.

Проводить анализ дампов памяти мы будем при помощи отладчика WinDBG, поэтому, прежде чем начать, вам потребуется установить отладчик и настроить его.
Как это сделать вы узнаете из статьи

Интерфейс WinDBG

Когда вы откроете файл дампа памяти, то увидите такое окно:

Стоит отметить, что окно команд по умолчанию независимо от основного окна отладчика, поэтому вы можете изменить его размер, переместить или вписать в окно отладчика перетянув мышью его верхнюю границу к нижней границе панели инструментов, а также развернуть его на весь экран.

Когда вы откроете файл дампа отладчику потребуется некоторое время для подключения к интернету и загрузки необходимых символов для отладки. В процессе загрузки отладочных символов в командной строке отладчика появляется надпись Debugee not connected , в это время вы не сможете использовать отладчик.

После того как символы будут загружены и отладчик будет готов к анализу файла дампа вы увидите сообщение Followup: MachineOwner в нижней части текстового окна.

Теперь все готово для начала анализа дампа памяти. Все команды вводятся в командную строку, расположенную в нижней части окна.

Анализ дампа памяти

Первое на что нужно обратить внимание при открытии файла дампа - это код ошибки, который в значительной степени определяет основное направление возникновения ошибки и методологию анализа.

Коды ошибок всегда указываются в шестнадцатеричном значении и имеют вид 0xXXXXXXXX . Указываются же коды ошибок одним из следующих вариантов:

STOP: 0x0000009F
03.06.2015 0009F

Справочник по кодам ошибок: Windows Dev Center Bug Check Code Reference

Команда!thread и анализ драйверов

Самая распространенная причина возникновения BSOD - это сторонние драйверы (производителей устройств). Для того, чтобы увидеть фигурирует ли драйвер устройства в дампе нам понадобится просмотреть стек.
Выполните команду ! thread и найдите в результатах ее выполнения Base и Limit , и их шестнадцатеричные значения.
В рассматриваемом примере они такие:
Base fffff80000b9b000 Limit fffff80000b95000

В командной строке напечатайте dps затем через пробел шестнацатеричное значение Limit , а за ним значение Base . В данном случае важен порядок указания значений - он должен быть обратным отображаемому в результате выполнения команды!thread.

dps fffff80000b95000 fffff80000b9b000

Когда стек будет загружен вы увидите множество строк с текстом и значениями. Среди результатов выполнения команды поищите сообщения об ошибках с указанием на драйверы. В рассматриваемом примере это драйвер igdkmd64.sys и iaStorA.sys а в отладчике это выглядит так:

Поищите на компьютере указанные драйверы. Это не обязательно, но желательно сделать т.к. после удаления драйвера из диспетчера устройств или при помощи программы удаления производителя устройства драйвер может быть не удален, в таком случае его можно будет удалить вручную. Вторая причина заключается в том, что это может быть файл вредоносной программы (вирус, троян, майнер и т.д.), и в таких случаях драйвер как правило располагается в необычных для этого папках.
Для упрощения процедуры выполните в командной строке, запущенной от имени администратора следующую команду:

driverquery /v > "%USERPROFILE%\Desktop\drivers.txt"

После выполнения команды на рабочем столе будет создан файл drivers.txt, содержащий подробную информацию обо всех установленных в системе драйверах, с их описанием и путями расположения файла драйвера.

В рассматриваемом примере вероятными виновниками возникновения BSOD оказались драйверы видеокарты Intel (igdkmd64.sys) и SATA/AHCI-контроллера (iaStorA.sys).

Стоит отметить, что не всегда причиной возникновения BSOD являются драйверы, это также может быть следствием неисправности оборудования, но если код ошибки указывает на проблему с драйвером, то рекомендуется воспользоваться средством проверки драйверов Windows .

Команда!analyze -v

Команда!analyze отображает информацию о текущем исключении или код ошибки, а параметр -v формирует подробный вывод данных. В рассматриваемом случае нам понадобятся данные о заблокированных IRP пакетах в значении Arg4 , и значения FAILURE_ BUCKET_ ID и BUCKET_ ID .

Выполните команду !irp добавив значение из Arg4

!irp ffffe001eb781600

В результате выполнения команды был определен проблемный драйвер - Rt630x64.sys

В данном случае драйвер Rt630x64.sys относится к сетевому адаптеру и вызывает ошибку DRIVER_POWER_STATE_FAILURE при завершении работы системы.
Для получения подробных сведений о файле драйвера выполните команду

Как видите дата драйвера довольно старая и стоит его обновить для устранения проблемы.

Заключение

Цель этой статьи рассказать об алгоритме анализа дампа памяти для выявления причины BSOD. В рамках одной статьи невозможно рассмотреть все варианты анализа, а многие тонкости приходят только с опытом. Был рассмотрен всего один код ошибки т.к. последовательность ее анализа показалась мне наиболее интересной, в отличие от ошибки 0x124, например, которая в подавляющем большинстве случаев говорит об аппаратной неполадке, или 0x116, свидетельствующей о проблеме с драйвером видео или неполадке видеокарты в 95% случаев.

Если у вас не получилось выяснить причину BSOD или попросту нужна быстрая и квалифицированная помощь в анализе проблемы, вы всегда можете обратиться в форум

Blue screen of death, он же BSOD и синий экран смерти, - это реакция Windows на критические ошибки в работе компьютера. На экране внезапно появляются белые надписи на синем фоне, после чего устройство обычно перезагружается, зависает или выключается.

После перезапуска система какое-то время работает нормально. Но потом, если не устранить ошибку, BSOD появляется снова.

Иногда к такому состоянию приводят ошибки в драйверах или выход из строя аппаратных частей компьютера. Причины также могут быть в сбое системных настроек, вирусах или даже установленных программах.

Что делать, если появился синий экран смерти

Вам могут помочь специальные службы, встроенные в операционную систему.

Если у вас Windows 10, откройте раздел «Пуск» → «Параметры» (шестерёнка) → «Обновление и безопасность» → «Устранение неполадок». Прокрутите список доступных служб в самый конец и выберите «Синий экран». Кликните «Запустить средство устранения неполадок» и следуйте подсказкам системы.

Если у вас более старая версия ОС или упомянутое выше средство не сработало, откройте «Панель управления» Windows и перейдите в раздел «Центр безопасности и обслуживания». В некоторых версиях ОС этот путь может выглядеть так: «Панель управления» → «Система и безопасность» → «Центр поддержки».

Разверните вкладку «Обслуживание» и проверьте, отображаются ли здесь рекомендации по решению проблем Windows. Если да, воспользуйтесь предложенными советами.

Если ничего не помогает, переходите к следующему пункту.

У появления синего экрана смерти могут быть сотни различных причин и у каждой - свои пути решения. Узнав причину BSOD на своём компьютере, вы сможете найти оптимальный способ устранить проблему.

На экране смерти Windows отображает код вызвавшей его ошибки. Он может выглядеть как набор чисел и букв (0x0000000F) или комбинация различных слов, написанных в верхнем регистре и часто связанных символами подчёркивания (SPIN_LOCK_ALREADY_OWNED).

Вам нужно ввести код ошибки в поисковике и найти таким образом индивидуальную инструкцию по исправлению. На синем экране может даже присутствовать специальный QR-код. Отсканировав его через мобильное устройство, вы попадёте на сайт Microsoft с интерактивным помощником по решению проблемы.

Если сразу после появления синего экрана компьютер перезагружается и вы не успеваете записать код ошибки, отключите автоматический перезапуск. Для этого кликните правой кнопкой мыши по значку «Этот компьютер» и выберите «Свойства» → «Дополнительные параметры системы». В открывшемся окне перейдите на вкладку «Дополнительно», нажмите «Параметры» и снимите флажок «Выполнить автоматическую перезагрузку».

Если вы не хотите искать нужную инструкцию и вникать в неё или найденное в Сети решение не помогает, воспользуйтесь перечисленными ниже способами.

3. Попробуйте простые универсальные меры

ichip.ru

Эти общие меры влияют на многие параметры системы и помогают восстановить её нормальную работу. В том числе они могут исправить ошибки, которые приводят к синему экрану смерти.

В настройках системы перейдите в «Центр обновления Windows» и проверьте наличие обновлений. Если они доступны, установите их.
Проверьте систему с помощью

Настройка и оптимизация операционных систем