###
  • Програми
  • Безпека
  • Новини
  • Цікаве
  • Поради
  • Новини
  • Огляди

    • Навіщо потрібен файл дампа пам'яті. Аварійний дамп пам'яті Windows. Встановлення засобів налагодження

    18.05.2020 Безпека

    Будь-яка сучасна операційна система – дуже складний набір різних програмних модулів, які працюють у зв'язці в різних поєднаннях. Вони можуть бути помилки або вони можуть конфліктувати між собою або з запущеною програмою. У результаті відбувається збій, і Windows припиняє роботу, показуючи всім відомий синій екран смерті. Чому це сталося, допоможе зрозуміти дамп пам'яті Windows 10, та й в інших версіях це також працює. За замовчуванням вони зазвичай не створюються, тому їх треба увімкнути, а для вивчення використовувати спеціальні програми, які отримують корисну інформацію у зрозумілому вигляді.

    Налаштування дампи пам'яті.

    По суті, це "знімок" оперативної пам'яті, її вміст у момент, коли стався збій. Цей вміст записується в окремий файл, який називається дампом. Аналізуючи його, можна зрозуміти, що пішло не так, і в якій частині програми виникла проблема. Коли все нормально і ніяких збоїв не відбувається, система створює жодних файлів з вмістом пам'яті. Тому на продуктивність ця функція аж ніяк не впливає. Але варто статися фатальною помилкою, яка викликає появу. синього екрану», як створюється такий файл. Це спеціальний засіб, який допомагає розробникам усунути такі проблеми. Звичайні користувачітакож можуть скористатися цим, щоб дізнатися, які програми викликають збій системи. Але майте на увазі, що для цього треба мати деякі знання щодо роботи комп'ютерів та програмного забезпечення, інакше вся ця інформація виявиться абсолютно марною. Пересічний користувач рівня «умію включити-друкувати-вимкнути» в ній просто нічого не зрозуміє.

    Налаштування створення дампів пам'яті при помилках Windows

    Щоб подивитися та налаштувати, наприклад, збільшити дамп пам'яті Windows, розглянемо 7 версію – вона продовжує залишатися популярною. Та й в інших версіях це робиться так. Для цього можна клацнути правою кнопкою миші по значку "Мій комп'ютер" і вибрати "Властивості". Можна піти іншим шляхом – зайти до «Панель управління» та вибрати «Система». У будь-якому випадку відкриється те саме вікно. Далі виберіть зліва пункт « Додаткові параметрисистеми», і в маленькому вікні, що з'явилося, перейдіть на вкладку «Додатково». Тут у розділі «Завантаження та відновлення» натисніть на кнопку «Параметри».

    1. Малий дамп - обсяг його всього 256 кб, там записується лише найзагальніша інформація.
    2. Дамп пам'яті ядра – тут записується стан різних програм на момент збою одного ядра процесора. Об'єм файлу – близько 33% від обсягу всієї наявної оперативної пам'яті. Тут є корисна інформація, що дозволяє виявити причину збою, але її дуже багато.
    3. Повний дамп - це копія всієї оперативної пам'яті, і розмір файлу дорівнюватиме її обсягу. Тут можна знайти за бажання що завгодно. Такий дамп створюється і при переході в режим глибокого сну - весь вміст оперативної пам'яті просто зберігається на вінчестер, і при включенні комп'ютера він продовжує працювати з того ж місця.

    У Windows новіших версій є режим «Автоматичний дамп пам'яті» – можна вибрати його, і цього буде цілком достатньо. Як бачите, налаштувати дамп пам'яті у Windows 7 нескладно. Він записуватиметься тільки при збоях, і на роботу системи ніяк не впливає.

    Як і чим відкрити файл дампа пам'яті

    Коли станеться збій і буде створено новий файлЗі звітом про проблему, треба ще якось його відкрити і дізнатися, що в ньому записано. Файл має розширення dmp, але вбудовані засоби для його відкриття незручні і дістатися до них можна з командного рядка. До речі, система зберігає цей файл у своїй папці. Чим відкрити файл дампа з розширенням dmp? Для цього існують різні утиліти, у тому числі і від Microsoft, наприклад Microsoft Kernel Debuggers. Її можна скачати абсолютно безкоштовно з офіційного сайту, але треба враховувати, 32-бітна або 64-бітна версія потрібна. У цій програмі можна відкрити файли дампа пам'яті, які знаходяться в системній папці, і дивитися їх вміст у вигляді розшифровки. Звичайно, інформація суто специфічна та розрахована на фахівців.

    Є й інша популярна утиліта – BlueScreenView. Вона дуже проста і користуватися нею легко. Але інформацію, що виводиться, не так просто зрозуміти, але за наявності деяких технічних знань цілком можна. Червоним кольором програма виділяє у списку проблемні частини коду, що викликали синій екран, наприклад, певні драйвера . Це дуже полегшує роботу з аналізу.

    Як видалити файл дампа пам'яті

    Чи можна взагалі їх видаляти? Так, вони є просто службовою інформацією для подальшого аналізу. Якщо їх уже переглянули або вони не потрібні, їх можна видалити самим простим способом- В кошик. Інакше вони поступово накопичуються та починають займати чимало місця на вінчестері, особливо якщо знімається повна копія. оперативної пам'яті. Звичайно, шукати вручну та видаляти всі ці файли – заняття не дуже приємне. Тому можна скористатися будь-якою утилітою очищення диска, навіть вбудованою у Windows, зазначивши там «Видаляти системні файли». Коли вона відпрацює, всі дампи також будуть видалені. Сама система цими файлами не користується та їх видалення абсолютно безпечно.

    Усі Windows-системи при виявленні фатальної помилкироблять аварійний дамп (знімок) вмісту оперативної пам'яті та зберігає його на жорсткий диск. Існують три типи дампи пам'яті:

    Повний дамп пам'яті зберігає весь вміст оперативної пам'яті. Розмір знімка дорівнює розміру оперативної пам'яті + 1 Мб (заголовок). Використовується дуже рідко, оскільки в системах з великим обсягом пам'яті розмір дампи буде занадто великим.

    Дамп пам'яті ядра – зберігає інформацію оперативної пам'яті, що стосується лише режиму ядра. Інформація режиму користувача не зберігається, оскільки не несе в собі інформації про причину краху системи. Об'єм файлу дампа залежить від розміру оперативної пам'яті та варіюється від 50 Мб (для систем із 128 Мб оперативної пам'яті) до 800 Мб (для систем із 8 Гб оперативної пам'яті).

    Малий дамп пам'яті (міні дамп) містить досить невелику кількість інформації: код помилки з параметрами, список драйверів завантажених в оперативну пам'ять на момент краху системи і т.д., але цих відомостей достатньо, для визначення збійного драйвера. Ще однією перевагою цього виду дампа є невеликий розмір файлу.

    Налаштування системи

    Для виявлення драйвера, що викликав, нам достатньо буде використовувати малий дамп пам'яті. Для того, щоб система при краху зберігала міні дамп необхідно виконати такі дії:

    Для Windows XP Для Windows 7
    1. Мій комп'ютер Властивості
    2. Перейдіть на вкладку Додатково;
    3. Параметри;
    4. В полі Запис налагоджувальної інформаціїобираємо Малий дамп пам'яті (64 Кб).
    1. Правою клавішею миші натиснути на піктограму Комп'ютерз контекстного менюВиберіть Властивості(або комбінація клавіш Win + Pause);
    2. У лівому меню клацаємо на пункт Додаткові параметри системи;
    3. Перейдіть на вкладку Додатково;
    4. У полі Завантаження та відновлення необхідно натиснути кнопку Параметри;
    5. В полі Запис налагоджувальної інформаціїобираємо Малий дамп пам'яті (128 Кб).

    Зробивши всі маніпуляції, після кожного BSoD у папці C:\WINDOWS\Minidump буде зберігатися файл з розширенням.dmp. Раджу ознайомитись із матеріалом " ". Також можна встановити галочку на “ Замінити існуючий файл дампа”. У цьому випадку кожен новий аварійний дамп буде записуватися поверх старого. Я не раджу включати цю опцію.

    Аналіз аварійної дампи пам'яті за допомогою програми BlueScreenView

    Отже, після появи синього екрану смерті, система зберегла новий аварійний дамп пам'яті. Для аналізу дампа рекомендую використовувати програму BlueScreenView. Її можна безкоштовно скачати. Програма досить зручна та має інтуїтивний інтерфейс. Після її встановлення перше, що потрібно зробити - це вказати місце зберігання дампів пам'яті в системі. Для цього необхідно зайти до пункту меню “ Options” та вибрати “ AdvancedOptions”. Вибираємо радіокнопку “ LoadfromthefollowingMini Dumpfolder” та вказуємо папку, в якій зберігаються дампи. Якщо файли зберігаються в папці C:\WINDOWS\Minidump можна натисканням кнопки “ Default”. Натискаємо OK та потрапляємо в інтерфейс програми.

    Програма складається із трьох основних блоків:

    1. Блок головного меню та панель управління;
    2. Блок списку аварійних дампів пам'яті;
    3. Залежно від вибраних параметрів може містити:
    • список усіх драйверів, що знаходяться в оперативній пам'яті до появи синього екрана (за замовчуванням);
    • список драйверів, що знаходяться в стеку оперативної пам'яті;
    • скріншот BSoD;
    • та інші значення, які ми не будемо використовувати.

    У блоці списку дамп пам'яті (на малюнку позначений цифрою 2) вибираємо дамп, що цікавить нас, і дивимося на список драйверів, які були завантажені в оперативну пам'ять (на малюнку позначений цифрою 3). Рожевим кольором забарвлені драйвера, які перебували у стеку пам'яті. Вони і є причиною появи BSoD. Далі переходьте в Головне меню драйвера, визначайте, до якого пристрою чи програми вони належать. Насамперед звертайте увагу на не системні файли, адже системні файли у будь-якому випадку завантажені в оперативній пам'яті. Легко зрозуміти, що зображення збійним драйвером є myfault.sys. Скажу, що цю програму було спеціально запущено для виклику Stop помилки. Після визначення збійного драйвера необхідно його або оновити, або видалити з системи.

    Для того, щоб програма показувала список драйверів, що знаходяться в стеку пам'яті під час виникнення BSoD, необхідно зайти в пункт меню “ Options” клацаємо на меню “ LowerPaneMode” і вибираємо “ OnlyDriversFoundInStack” (або натисніть клавішу F7), а для показу скріншота помилки вибираємо “ BlueScreeninXPStyle” (F8). Щоб повернутися до списку всіх драйверів, необхідно вибрати пункт “ AllDrivers” (F6).

    Сьогодні ми поговоримо про те, що таке дамп пам'яті. Цей файл містить у собі певні дані, які перебували в оперативній пам'яті якогось конкретного комп'ютера за певний період. Він також є цінним для фахівців та розробників різного програмного забезпечення. Коли відбувається аварійний дамп пам'яті, ці люди мають можливість подивитися, в який момент це сталося і з яких причин. Це дозволяє виправляти недоробки та баги софту. За будь-якого збою операційних систем компанії Майкрософт дамп пам'яті завжди створюється.

    Якщо вам необхідно знайти місцезнаходження, а також розмір даного файлуВи повинні клацнути правою кнопкою миші на значок комп'ютера. Коли вийде запустіть його властивості та відкрийте вкладку з додатковою інформацією. Потім у розділі завантаження та відновлення потрібно натиснути кнопку налаштувань. Перед вами з'явиться вікно запису налагоджувальної інформації. З списку, що розкрився, у вас є можливість вибору однієї з наступних функцій.

    Малий дамп пам'яті дорівнюватиме шістдесяти чотирьох кілобайтам. В даному випадку в нього записуватиметься лише сама необхідна інформаціяпро проблеми, що виникли. Далі йде дамп пам'яті ядра. Його розмір, як правило, також становить шістдесят чотири кілобайти. Він містить у собі налагоджувальні дані для вашого системного ядра. Переходимо до останнього пункту. Він називається "повний дамп пам'яті Windows 7". У нього відбувається повне збереження всієї системної пам'яті. У цей момент створюються необхідні файли, розмір яких становить еквівалент оперативної пам'яті, встановлену на вашому пристрої.


    Ви також можете самостійно призначити місце, де буде знаходитись цей файл, а також змінити налаштування, що відповідає за поверхневий запис у існуючий файл. Настійно рекомендую ці параметри не змінювати, щоб вони залишалися такими, якими були за промовчанням.

    Також варто зазначити, що цей файл можна створювати самостійно вручну. Для цього викличте стартове меню, запустіть службу, яка називається «Виконати», і введіть команду «regedit», після чого натисніть кнопку «Ок». Перед вами з'явиться операційної системи. Там необхідно знайти такий ключ, який виглядає так: HKEYS LOCAL MACHINES/ SYSTEMA/ CurrentControlSets / Service/ i8042prt/ Parametres.

    Коли ви його знайдете, клацніть правою кнопкою вашого маніпулятора праворуч цього вікна і оберіть створення DWORLD. Після цього напишіть назву ключа CrashOnCtrlScroll, після чого надайте йому значення 1. Потім закрийте цей редактор і перезавантажте комп'ютер або ноутбук. Щоб створити новий файл, що містить дамп пам'яті, натисніть і утримуйте кнопку Контрал, після чого двічі натисніть клавішу

    Це все. Я сподіваюся, що вищеописана інформація була представлена ​​в доступній формі. Але без певних причин не потрібно виконувати зазначені процедури, оскільки це є системні ресурси. Якщо ви допустите помилки, можуть виникнути непоправні наслідки для вашої операційної системи.

    Всі Windows-системи при виявленні фатальної помилки роблять аварійний дамп (знімок) вмісту оперативної пам'яті та зберігає його на жорсткому диску. Існують три типи дампи пам'яті:

    Повний дамп пам'яті зберігає весь вміст оперативної пам'яті. Розмір знімка дорівнює розміру оперативної пам'яті + 1 Мб (заголовок). Використовується дуже рідко, оскільки в системах з великим обсягом пам'яті розмір дампи буде занадто великим.

    Дамп пам'яті ядра – зберігає інформацію оперативної пам'яті, що стосується лише режиму ядра. Інформація режиму користувача не зберігається, оскільки не несе в собі інформації про причину краху системи. Об'єм файлу дампа залежить від розміру оперативної пам'яті та варіюється від 50 Мб (для систем із 128 Мб оперативної пам'яті) до 800 Мб (для систем із 8 Гб оперативної пам'яті).

    Малий дамп пам'яті (міні дамп) містить досить невелику кількість інформації: код помилки з параметрами, список драйверів завантажених в оперативну пам'ять на момент краху системи і т.д., але цих відомостей достатньо, для визначення збійного драйвера. Ще однією перевагою цього виду дампа є невеликий розмір файлу.

    НАЛАШТУВАННЯ СИСТЕМИ

    Для виявлення драйвера, що викликав синій екран, нам достатньо буде використовувати малий дамп пам'яті. Для того, щоб система при краху зберігала міні дамп необхідно виконати такі дії:

    Для Windows XP Для Windows 7
    1. Мій комп'ютер Властивості
    2. Перейдіть на вкладку Додатково;
    3. Параметри;
    4. В полі Запис налагоджувальної інформаціїобираємо Малий дамп пам'яті (64 Кб).
    1. Правою клавішею миші натиснути на піктограму Комп'ютерз контекстного меню виберіть Властивості(або комбінація клавіш Win + Pause);
    2. У лівому меню клацаємо на пункт Додаткові параметри системи;
    3. Перейдіть на вкладку Додатково;
    4. У полі Завантаження та відновлення необхідно натиснути кнопку Параметри;
    5. В полі Запис налагоджувальної інформаціїобираємо Малий дамп пам'яті (128 Кб).

    Зробивши всі маніпуляції, після кожного BSoD у папці C:\WINDOWS\Minidump буде зберігатися файл з розширенням.dmp. Раджу ознайомитись із матеріалом «Як створити папку». Також можна встановити галочку на “ Замінити існуючий файл дампа”. У цьому випадку кожен новий аварійний дамп буде записуватися поверх старого. Я не раджу включати цю опцію.

    АНАЛІЗ АВАРІЙНОГО ДАМПА ПАМ'ЯТІ ЗА ДОПОМОГОЮ ПРОГРАМИ BLUESCREENVIEW

    Отже, після появи синього екрану смерті, система зберегла новий аварійний дамп пам'яті. Для аналізу дампа рекомендую використовувати програму BlueScreenView. Її можна безкоштовно завантажити тут. Програма досить зручна та має інтуїтивний інтерфейс. Після її встановлення перше, що потрібно зробити - це вказати місце зберігання дампів пам'яті в системі. Для цього необхідно зайти до пункту меню “ Options” та вибрати “ AdvancedOptions”. Вибираємо радіокнопку “ LoadfromthefollowingMini Dumpfolder” та вказуємо папку, в якій зберігаються дампи. Якщо файли зберігаються в папці C:\WINDOWS\Minidump можна натисканням кнопки “ Default”. Натискаємо OK та потрапляємо в інтерфейс програми.

    Програма складається із трьох основних блоків:

    1. Блок головного меню та панель управління;
    2. Блок списку аварійних дампів пам'яті;
    3. Залежно від вибраних параметрів може містити:
    • список усіх драйверів, що знаходяться в оперативній пам'яті до появи синього екрана (за замовчуванням);
    • список драйверів, що знаходяться в стеку оперативної пам'яті;
    • скріншот BSoD;
    • та інші значення, які ми не будемо використовувати.

    У блоці списку дамп пам'яті (на малюнку позначений цифрою 2) вибираємо дамп, що цікавить нас, і дивимося на список драйверів, які були завантажені в оперативну пам'ять (на малюнку позначений цифрою 3). Рожевим кольором забарвлені драйвера, які перебували у стеку пам'яті. Вони і є причиною появи BSoD. Далі переходьте в Головне меню драйвера, визначайте, до якого пристрою чи програми вони належать. Насамперед звертайте увагу на не системні файли, адже системні файли у будь-якому випадку завантажені в оперативній пам'яті. Легко зрозуміти, що зображення збійним драйвером є myfault.sys. Скажу, що цю програму було спеціально запущено для виклику Stop помилки. Після визначення збійного драйвера необхідно його або оновити, або видалити з системи.

    Для того, щоб програма показувала список драйверів, що знаходяться в стеку пам'яті під час виникнення BSoD, необхідно зайти в пункт меню “ Options” клацаємо на меню “ LowerPaneMode” і вибираємо “ OnlyDriversFoundInStack” (або натисніть клавішу F7), а для показу скріншота помилки вибираємо “ BlueScreeninXPStyle” (F8). Щоб повернутися до списку всіх драйверів, необхідно вибрати пункт “ AllDrivers” (F6).

    В розділі аварійний дамп пам'яті визначається такими параметрами:

    REG_DWORD-параметр AutoRebootзі значенням 0x1(опція Виконати автоматичне перезавантаженнядопоміжного вікна вікна Властивості системи);

    REG_DWORD-параметр CrashDumpEnabledзі значенням 0x0якщо дамп пам'яті не створюється; 0x1Повний дамп пам'яті; 0x2Дамп пам'яті ядра; 0x3Малий дамп пам'яті (64КБ);

    REG_EXPAND_SZ-параметр DumpFileзі значенням %SystemRoot%\MEMORY.DMP(Місце зберігання файлу дампа);

    REG_DWORD-параметр LogEventзі значенням 0x1(опція Записати подію у журналвікна);

    REG_EXPAND_SZ-параметр MinidumpDirзі значенням %SystemRoot%\Minidump(Опція);

    REG_DWORD-параметр Overwriteзі значенням 0x1(опція Замінювати існуючий файлвікна);

    REG_DWORD-параметр SendAlertзі значенням 0x1(опція Надіслати адміністративне сповіщеннявікна).

    Як система створює файл аварійної пам'яті

    Під час завантаження операційна система перевіряє параметри створення аварійного у розділі реєстру . Якщо вказано хоча б один параметр, система генерує карту блоків диска, займаних на завантажувальному томі, і зберігає їх у пам'яті. Система також визначає, який дисковий пристрій керує завантажувальним томом, обчислює контрольні суми для образу. у пам'яті та структур даних, які мають бути цілими, щоб міг виконувати операції введення/виведення.

    Після збою ядро ​​системи перевіряє цілісність карти сторінкового файлу, дискового та керуючих структур.. Якщо цілісність цих структур не порушена, то ядро ​​системи викликає спеціальні функції вводу/виводу дискового. призначені для збереження образу пам'яті після збою. Ці функції вводу/виводу самодостатні і не покладаються на служби ядра системи, оскільки в програмах, які відповідають за запис аварійного дампа, не можна робити жодних припущень про те, які частини ядра системи або пристроїв були пошкоджені. Ядро системи записує дані з пам'яті по карті секторів файлу підкачки (при цьому йому не доводиться використовуватифайлової системи).

    Спочатку ядро ​​системи перевіряє стан кожного компонента, задіяного у процесі збереження дампа. Це робиться для того, щоб під час прямого запису в сектори диска не пошкодити дані, що лежать поза файлом. Розмір файлу має бути на 1 МБбільше розміру фізичної пам'яті, тому що при записі інформації створюється заголовок, в якому містяться сигнатура аварійного і значення декількох найважливіших змінних ядра системи. Заголовок займає менше 1 МБ, але операційна система може збільшувати (або зменшувати) розмір файлу підкачки не менше ніж на 1 МБ.

    Після завантаження системи Session Manager (Диспетчер сеансу Windows NT; дискова адреса – \WINDOWS\system32\smss.exe) ініціалізує файли системи, використовуючи для створення кожного файлу власну функцію NtCreatePagingFile. NtCreatePagingFileвизначає, чи існує файл, що ініціалізується, і якщо так, то є в ньому заголовок . Якщо заголовок є, то NtCreatePagingFileпосилає в Session Managerспеціальний код. Після цього Session Managerзапускає процес Winlogon (Програма входу в систему Windows NT; дискова адреса – \WINDOWS\system32\winlogon.exe), який повідомляється про існування аварійного . Winlogonзапускає програму SaveDump (Програма збереження копії пам'яті Windows NT; дискова адреса – \WINDOWS\system32\savedump.exe), яка аналізує заголовок та визначає подальші діїв аварійній ситуації

    Якщо заголовок свідчить про існування , то SaveDumpкопіює дані з файлу до аварійного файлу , ім'я якого задано REG_EXPAND_SZ-параметром DumpFileрозділу . Бувай SaveDumpпереписує файл , операційна система не задіє ту частину сторінкового файлу, в якій міститься аварійний . У цей час обсяг віртуальної пам'яті, доступної для системи та додатків, зменшується на розмір (при цьому на екрані можуть з'явитися повідомлення, що вказують на нестачу віртуальної пам'яті). Потім SaveDumpінформує диспетчер пам'яті про завершення збереження , і той вивільняє ту частину файлу, в якому зберігається для загального користування.

    Зберігши файл , програма SaveDumpробить запис про створення аварійного у журналі подій , наприклад: «Комп'ютер був перезавантажений після критичної помилки: 0x100000d1 (0xc84d90a6, 0x00000010, 0x00000000, 0xc84d90a6). Копію пам'яті збережено: C:\WINDOWS\Minidump\Mini060309-01.dmp» .

    Повний дамп пам'ятізаписує весь вміст пам'яті при виникненні непереборної помилки. Для цього варіанта необхідно мати на завантажувальному томі файл підкачки, розмір якого дорівнює обсягу всієї фізичної оперативної пам'яті плюс 1 МБ. За замовчуванням повний пам'яті записується у файл %SystemRoot%\Memory.dmp. У разі виникнення нової помилкита створення нового файлу повногопам'яті (або пам'яті ядра) попередній файлзамінюється (перезаписується). Параметр Повний дамп пам'ятінедоступний на , на яких встановлена ​​32-бітна операційна система та 2 або більше оперативної пам'яті.

    При виникненні нової помилки та створенні нового файлу повного пам'яті попередній файл замінюється.

    Дамп пам'яті ядразаписує лише пам'ять ядра, завдяки чому процес запису даних у журнал при раптовій зупинці системи протікає швидше. Залежно від обсягу фізичної пам'ятіу цьому випадку для файлу підкачки потрібно від 50 до 800 МБабо третина фізичної пам'яті на завантажувальному томі. пам'яті ядра записується у файл %SystemRoot%\Memory.dmp.

    Цей не включає нерозподілену пам'ять або пам'ять, виділену для програм режиму. Він включає тільки пам'ять, виділену для ядра та апаратно-залежного рівня ( HAL) в Windows 2000та пізніших версіях системи, а також пам'ять, виділену для режиму ядра та інших програм режиму ядра. У більшості випадків такий є найкращим варіантом. Він займає набагато менше місця порівняно з повним пам'яті, при цьому виключаючи лише ті сектори пам'яті, які, швидше за все, не пов'язані з помилкою.

    У разі виникнення нової помилки та створення нового файлу пам'яті ядра попередній файл замінюється.

    Малий дамп пам'ятізаписує найменший обсяг корисної інформації, необхідної визначення причини неполадок. Для створення малого пам'яті необхідно, щоб розмір файлу підкачки становив щонайменше 2 МБна завантажувальному томі.

    Файли малого пам'яті містять такі відомості:

    – повідомлення про непереборної помилки, її параметри та інші дані;

    - Список завантажених;

    - контекст ( PRCB), у якому стався збій;

    EPROCESS) для процесу, що спричинив помилку;

    – відомості про процес та контекст ядра ( ETHREAD) для потоку, що спричинив помилку;

    – стек дзвінків у режимі ядра для потоку, що спричинив помилку.

    Файл малого пам'яті використовується для обмеженого простору жорсткого диска. Однак через обмеженість відомостей, що містяться в ньому, в результаті аналізу цього файлу не завжди вдається виявити помилки, які не були безпосередньо викликані потоком, що виконувався в момент її виникнення.

    При виникненні наступної помилки та створенні другого файлу малого пам'яті попередній файл зберігається. кожному додатковий файлдається унікальне ім'я. Дата закодована на ім'я файлу. Наприклад, Mini051509-01.dmp- це перший файл пам'яті, створений 15 травня 2009 р. Список усіх файлів малого пам'яті зберігається в папці %SystemRoot%\Minidump.

    Операційна система , безсумнівно, значно надійніше за попередні версії, – завдяки зусиллям як розробників Microsoft, так і розробників апаратного , так і розробників прикладного програмного . Однак аварійні ситуації – усілякі збої та крахи системи – неминучі, і від того, чи володієзнаннями та навичками у їх усуненні, залежить, чи доведеться йому витратити кілька хвилин на пошук та усунення несправності (наприклад, на оновлення/налагодження або переустановку прикладної програми, що викликає збій), – або кілька годин на переустановку/налаштування операційної системи та прикладного програмного (що не гарантує відсутності збоїв та крахів надалі!).

    Багато адміністраторів нехтують аналізом аварійних дампів Windows Вважаючи, що працювати з ними занадто важко. Важко, але можна: навіть якщо, наприклад, аналіз одного з десяти виявиться успішним, - зусилля, витрачені на освоєння найпростіших прийомів аварійних аналізу , будуть не марні!