Acasă Windows 8

Pentru ce este un fișier dump de memorie? Analizați o descărcare de memorie sau cum să identificați cauza BSoD? Vedeți ce este „Dump” în alte dicționare

18.06.2024

O descărcare de memorie este o înregistrare a conținutului memoriei unui computer atunci când a apărut o eroare gravă. Poate include toată memoria de sistem sau doar porțiunea care a fost utilizată de programul care a încetat să funcționeze. Poate include și alte date relevante, cum ar fi starea procesorului, conținutul registrului și informații despre procesele care rulează. Dezvoltatorii de software folosesc adesea depozite cu programe de depanare și alte utilitare pentru a analiza și a remedia erorile computerului. Un dump de bază poate fi folosit și pentru a transfera un proces de lucru de la un procesor la altul în timpul funcționării normale.
Termenul de „descărcare” își are originea probabil în anii 1960, când primele computere foloseau nuclee de memorie magnetică. Când un program care rulează a încetat să ruleze, toate datele și întregul wireframe au fost tipărite pe hârtie pentru a ajuta la depanare. Aceste date de tipărire constau de obicei din puțin mai mult decât adrese de memorie și date în format octal sau hexazecimal. Ca tehnologii de stocare a datelor, depozitele pot fi stocate pe disc, pe bandă magnetică amovibilă sau pe memorie nevolatilă. Capacitate mai mare de stocare a informațiilor de stare, împreună cu progresele în depanarea software-ului, au făcut ca diagnosticarea erorilor să fie mai eficientă.

Cauzele tipice ale depozitelor sunt aplicațiile scrise prost sau software-ul de sistem. Destul de des, codul programului presupune că pointerii și indicii matricei se referă întotdeauna la o structură de date validă. Dacă oricare dintre ele depășește limitele constructelor originale, de exemplu, poate apărea o descărcare de memorie. Problemele de accesare a fișierelor de date de pe un dispozitiv de stocare sau de citire a datelor corupte pot provoca, de asemenea, o descărcare. Problemele hardware, inclusiv memoria, hard disk-ul sau procesorul defecte, pot provoca, de asemenea, o descărcare.

Există două tipuri de gropi. Un tip este atunci când un proces sau un program sau o aplicație care rulează iese și returnează controlul sistemului de operare. În acest caz, restul sistemului continuă să funcționeze normal, deoarece doar programul ofensator a fost oprit. De obicei, este generat un fișier dump mare, care poate fi apoi încărcat într-un depanator. Dacă eroarea este într-un program pentru care sunt disponibile simboluri și codul sursă, acestea pot fi încărcate în depanator.

Un alt tip de dump mai grav, numit și panică kernel, este un mesaj care indică o eroare critică în nucleul sistemului de operare. Acest tip de resetare oprește întregul sistem pentru a preveni complicațiile ulterioare și coruperea datelor. Pe sistemele Windows®, acest tip de problemă apare de obicei sub forma familiară a „ecranului albastru al morții”. O eroare critică a nucleului sistemului de operare este de obicei mai dificil de depanat și este adesea rezultatul unor probleme hardware sau de sistem.

Salutare prieteni, astăzi vom discuta un subiect interesant care vă va ajuta pe viitor când apare un ecran albastru al morții (BSoD).

La fel ca mine, mulți alți utilizatori au fost nevoiți să observe aspectul unui ecran cu fundal albastru pe care era scris ceva (alb pe albastru). Acest fenomen indică o problemă critică, atât în ​​software, de exemplu, un conflict de driver, cât și într-o defecțiune fizică a unei componente ale computerului.

Recent, am avut din nou o problemă cu ecranul albastru în Windows 10, dar am scăpat rapid de ea și vă voi spune despre asta în curând.

Vreau să ? Apoi urmați linkul.

Deci, majoritatea utilizatorilor nu știu că BSoD poate fi analizat pentru a înțelege mai târziu problemele de eroare critice. Pentru astfel de cazuri, Windows creează fișiere speciale pe disc și le vom analiza.

Există trei tipuri de dump de memorie:

Memorie completă– această funcție vă permite să salvați complet conținutul RAM. Este rar folosit, deoarece imaginați-vă că aveți 32 GB de RAM, cu un dump complet, tot acest volum va fi stocat pe disc.

Halda de miez– salvează informațiile despre modul kernel.

Mic depozit de memorie– salvează o cantitate mică de informații despre eroare și componente încărcate care erau prezente în momentul în care a apărut defecțiunea sistemului. Vom folosi acest tip de dump pentru că ne va oferi suficiente informații despre BSoD.

Locația atât a depozitului mic, cât și a completului este diferită, de exemplu, depozitul mic este situat în următoarea cale: %systemroot%\minidump.

Dump-ul complet este aici: %systemroot%.

Există diverse programe pentru analiza depozitelor de memorie, dar vom folosi două. Primul este Microsoft Kernel Debuggers, după cum sugerează și numele, un utilitar de la Microsoft. Îl puteți descărca de pe site-ul oficial. Al doilea program este BlueScreenView, un program gratuit, descărcat de aici.

Analizarea unei imagini de descărcare a memoriei utilizând programele de depanare Microsoft Kernel

Pentru diferite versiuni de sisteme, trebuie să descărcați un alt tip de utilitar. De exemplu, pentru un sistem de operare pe 64 de biți este nevoie de un program pe 64 de biți, pentru un sistem de operare pe 32 de biți este necesară o versiune pe 32 de biți.

Asta nu este tot, trebuie să descărcați și să instalați pachetul de simboluri de depanare necesare programului. Se numește simboluri de depanare. Fiecare versiune a acestui pachet este descărcată și sub un anumit sistem de operare, mai întâi aflați ce sistem aveți, apoi descărcați. Pentru a nu trebui să cauți nicăieri aceste simboluri, aici este linkul de descărcare. Instalarea ar trebui să se facă de preferință în această cale: %systemroot%\symbols.

Acum puteți lansa depanatorul nostru, a cărui fereastră va arăta astfel:

Înainte de a analiza depozitele, vom configura ceva în utilitar. În primul rând, trebuie să spunem programului unde am instalat simbolurile de depanare. Pentru a face acest lucru, faceți clic pe butonul „Fișier” și selectați elementul „Calea fișierului simbol”, apoi indicați calea către simboluri.


Programul vă permite să extrageți simboluri direct de pe web, astfel încât nici măcar nu trebuie să le descărcați (scuze celor care le-au descărcat deja). Vor fi preluate de pe un server Microsoft, deci totul este securizat. Deci, trebuie să deschideți din nou „Fișier”, apoi „Calea fișierului simbol” și să introduceți următoarea comandă:

SRV*%systemroot%\symbols*http://msdl.microsoft.com/download/symbols


Astfel, am indicat programului că simbolurile ar trebui luate din rețea. După ce am făcut acest lucru, faceți clic pe „Fișier” și selectați „Salvare spațiu de lucru”, apoi faceți clic pe OK.

Asta e tot. Am configurat programul în modul corect, acum începem să analizăm depozitele de memorie. În program, apăsați butonul "Fişier", Apoi „Deschideți crash Dump”și selectați fișierul dorit.

Kernel Debuggers va începe să analizeze fișierul și apoi va afișa un rezultat despre cauza erorii.


În fereastra care apare, puteți introduce comenzi. Daca intram !analiza –v, atunci vom obține mai multe informații.

Asta e tot cu acest program. Pentru a opri depanarea, selectați „Depanare” și elementul „Oprire depanare”.

Analizarea unui dump de memorie folosind BlueScreenView

Programul BlueScreenView este, de asemenea, potrivit pentru analiza diferitelor erori și BSoD-uri, are o interfață simplă, așa că nu ar trebui să existe probleme cu stăpânirea acestuia;

Descărcați programul din linkul de mai sus și instalați. După lansarea utilitarului, trebuie să-l configurați. Accesați parametrii: „Setări” - „Setări avansate”. Se va deschide o fereastră mică cu câteva articole. În primul paragraf, trebuie să indicați locația depozitelor de memorie. Acestea sunt de obicei localizate în calea C:\WINDOWS\Minidump. Apoi faceți clic pe butonul „Implicit”.


Ce poți vedea în program? Avem elemente de meniu, o parte a ferestrei cu numele fișierelor dump și a doua parte a ferestrei - conținutul dump-urilor de memorie.


După cum am spus la începutul articolului, depozitele pot stoca drivere, captura de ecran a „ecranului morții” în sine și alte informații utile care ne pot fi utile.

Deci, în prima parte a ferestrei, unde se află fișierele dump, selectați dump-ul de memorie de care avem nevoie. În următoarea parte a ferestrei ne uităm la conținut. Driverele localizate în stiva de memorie sunt marcate cu culoare roșiatică. Ele sunt tocmai cauza ecranului albastru al morții.

Pe Internet puteți găsi totul despre codul de eroare și driverul care ar putea fi de vină pentru BSoD. Pentru a face acest lucru, faceți clic pe „Fișier”, apoi „Găsiți codul de eroare + Driver în Google”.


Puteți afișa numai driverele care erau prezente în momentul în care a apărut eroarea. Pentru a face acest lucru, faceți clic pe „Setări” - „Modul ferestrei de jos” - „Numai driverele găsite în stiva de blocare”. Sau apăsați tasta F7.

Pentru a afișa captura de ecran BSoD, apăsați F8.

Pentru a afișa toate driverele și fișierele, apăsați F6.

Ei bine, asta-i tot. Acum știți cum să aflați despre problema Ecranului albastru al morții și, dacă se întâmplă ceva, găsiți o soluție pe Internet sau pe acest site. Puteți oferi codurile dvs. de eroare și voi încerca să scriu pentru fiecare articol pentru a rezolva problema.

De asemenea, nu uitați să puneți întrebări în comentarii.

Un fișier cu conținutul bazei de date care vă permite să recreați baza de date de la zero; creat folosind dumper.

  • Un screen dump este o captură de ecran în formatul în care este stocată în memoria video.

    • Vezi si


    Fundația Wikimedia. 2010.

    Vedeți ce este „Dump” în alte dicționare:

      haldă- gunoi/… Dicționar morfem-ortografic

      1. Imprimarea conținutului unui fișier sau memorie de calculator, de obicei fără a lua în considerare structura internă a datelor. O copie a conținutului registrelor, zona dorită a RAM, un bloc de date sau un fișier este tipărită secvenţial, octet cu octet, sub forma... ... Dicţionar de termeni de afaceri

      DUMP, în calcul, informații copiate din memoria unui computer pe un dispozitiv de ieșire sau de înregistrare. Acesta ar putea fi un întreg fișier transferat pe o altă unitate sau text trimis pentru a fi imprimat direct de pe ecran (descarcarea ecranului)... Dicționar enciclopedic științific și tehnic

      haldă- Date reprezentând conținutul total sau parțial al RAM, transmise către un dispozitiv periferic. [GOST 19781 90] dump dump resetare eliminare de urgență Datele obținute ca urmare a descărcării memoriei și utilizate pentru căutare... ... Ghidul tehnic al traducătorului

      A; m. Special Date obținute prin descărcarea memoriei computerului sau transferate de la un dispozitiv de stocare la altul... Dicţionar enciclopedic

      haldă- a, h., special. Datele care au fost eliminate din memoria computerului au fost corupte sau datele care au fost transferate de la un dispozitiv de stocare la altul. Ia un depozit de memorie...

      Dump- 55. Dump Dump Date reprezentând conținutul total sau parțial al RAM, ieșite către un dispozitiv periferic Sursa: GOST 19781 90: Software pentru sistemele de procesare a informațiilor. Termeni și definiții … Dicționar-carte de referință de termeni ai documentației normative și tehnice

      dumping- y, h Restul ieșirilor de la mare... Dicţionar ucrainean Tlumach

      haldă- A; m.; specialist. Date obținute prin descărcarea memoriei computerului sau transferate de la un dispozitiv de stocare la altul... Dicționar cu multe expresii

      - (în engleză memory dump; în Unix core dump) conținutul memoriei de lucru a unui proces, nucleu sau întreg sistem de operare. Poate include, de asemenea, informații suplimentare despre starea programului sau a sistemului, cum ar fi valorile registrului... ... Wikipedia

    Cărți

    • Anul meu productiv. Cum am testat pe mine cele mai faimoase metode de eficacitate personală, Chris Bailey, Citat „Poate să nu crezi, dar apocalipsa zombie are loc chiar acum. Dacă te uiți pe fereastră, vei vedea morții care umblă. Nu se pot concentra cu adevărat pe nimic... Categorie: Management și management Editura: Editura Alpina, Producator: Alpina Publisher,
    • Startup după Kawasaki Metode dovedite de demarare a oricărei afaceri, Kawasaki G., Citat În ceea ce privește startup-urile, am reușit să calc de mai multe ori pe toate greblele stocate acolo. Este timpul, așa cum spun oamenii de știință în informatică, să „salvam un depozit de memorie” - să notez tot ce știu. Pentru acestea... Categorie:

    Această scurtă notă își propune să arate cum puteți configura sistemul pentru a primi o urgență Memorie de descărcare Windows, adică un dump care poate fi creat dacă apare o defecțiune critică, caracterizată prin apariția unui ecran albastru al morții (BSOD). Ce este o groapă în general, de ce avem nevoie de ea și ce este, ce probleme se intenționează să rezolve și ce informații conține?

    Memory dump - conținutul memoriei de lucru a unui proces, nucleu sau întreg sistem de operare, inclusiv, pe lângă zonele de lucru, informații suplimentare despre starea registrelor procesorului, conținutul stivei și alte structuri de servicii.

    De ce am putea avea nevoie de acest conținut, de exemplu Memorie de descărcare Windows? Poate că cea mai obișnuită utilizare a unui dump de memorie este studierea cauzelor unei defecțiuni a sistemului (), care a determinat oprirea completă a sistemului de operare. În plus, starea memoriei poate fi folosită și în alte scopuri. De asemenea, este important ca un dump de memorie să fie literalmente singura modalitate de a obține informații despre orice defecțiune! Și luarea (obținerea) a unui depozit de memorie de sistem este, de fapt, singura metodă precisă de a obține o amprentă (copie) instantanee a conținutului memoriei fizice a sistemului.

    Cu cât conținutul gropii reflectă mai exact starea memoriei la momentul defecțiunii, cu atât vom putea analiza mai detaliat situația de urgență. Prin urmare, este extrem de important să obțineți o copie actualizată a memoriei fizice a sistemului la un moment de timp strict definit, imediat înainte de defecțiune. Și singura modalitate de a face acest lucru este să creați o descărcare completă. Motivul este destul de banal - atunci când are loc o descărcare de blocare a memoriei sistemului, fie ca urmare a unei defecțiuni, fie ca urmare a unei situații simulate artificial, sistemul în acest moment de primire a controlului funcțiilor de urgență (KeBugCheckEx) se află într-un stare absolut neschimbată (statică), prin urmare, între momentul în care apare defecțiunea și momentul în care datele sunt scrise pe suport, nimic nu schimbă conținutul memoriei fizice și sunt scrise pe disc în starea sa originală. Ei bine, acest lucru este în teorie, dar ocazional în viață, dar există situații în care, din cauza componentelor hardware defecte, depozitul de memorie în sine poate fi deteriorat sau stația poate îngheța în timp ce înregistrează descărcarea.

    În marea majoritate a cazurilor, din momentul în care începe procesul de creare a unui dump memorie de blocare și până la sfârșitul scrierii conținutului memoriei pe disc, informațiile din memorie rămân neschimbate.

    Teoretic, statica (imuabilitatea) „amprentei” memoriei se explică prin faptul că, atunci când este apelată funcția KeBugCheckEx, care afișează informații despre defecțiune și începe procesul de creare a unui dump de memorie, sistemul este deja complet oprit și conținutul memoriei fizice este scris în blocurile ocupate pe disc de fișierul de paginare, după care, în timpul încărcării ulterioare a sistemului de operare, acesta este resetat la un fișier de pe mediul de sistem. Ei bine, aproape o dată am observat o situație în care o placă de bază defectă nu mi-a permis să salvez un dump de memorie: a) înghețarea în timp ce logica de salvare a dumpului rula (procesul nu a ajuns la 100%), b) deteriorarea fișierului dump memorie ( depanatorul s-a plâns de structuri), c ) scrierea memoriei.dmp fişiere dump de lungime zero. Prin urmare, în ciuda faptului că sistemul este deja complet oprit în momentul în care este creată descărcarea memoriei și numai codul de urgență rulează, hardware-ul defect poate face ajustări la orice logică fără excepție în orice stadiu de funcționare.
    În mod tradițional, în stadiul inițial, blocurile de disc alocate fișierului de pagină sunt folosite pentru a salva o descărcare de memorie Windows. Apoi, după un ecran albastru și repornire, datele sunt mutate într-un fișier separat, iar apoi fișierul este redenumit folosind un model în funcție de tipul de descărcare. Cu toate acestea, începând cu versiunea de Windows Vista, această stare de lucruri poate fi modificată acum utilizatorului i se oferă posibilitatea de a salva un dump selectat fără participarea unui fișier de paginare, plasând informații despre eșecul într-un fișier temporar. Acest lucru a fost făcut pentru a elimina erorile de configurare asociate cu setările incorecte ale dimensiunii și poziției fișierului de paginare, ceea ce a dus adesea la probleme în timpul procesului de salvare a unei imagini de memorie.
    Să vedem ce tipuri de depozite ne permite sistemul de operare Windows să creăm:

    • Dump-ul memoriei de proces (aplicație);
    • Dump memorie kernel;
    • Dump complet de memorie (dump a porțiunii disponibile din memoria fizică a sistemului).

    Toate depozitele de accidentare pot fi împărțite în două categorii principale:

    • Arhivare cu informații despre excepția care a avut loc. Ele sunt de obicei create automat atunci când apare o excepție netratată în aplicație/kernel și, în consecință, depanatorul (încorporat) al sistemului poate fi apelat. În acest caz, informațiile despre excepție sunt înregistrate într-un dump, ceea ce facilitează determinarea tipului de excepție și unde a avut loc în timpul analizei ulterioare.
    • Descarcă informații fără excepție. Creat de obicei manual de utilizator atunci când este necesar să se creeze pur și simplu un instantaneu al unui proces pentru analiza ulterioară. Această analiză nu implică determinarea tipului de excepție, deoarece nu a avut loc nicio excepție, ci o analiză cu totul diferită, de exemplu, studierea structurilor de date ale unui proces și așa mai departe.

    Configurația de descărcare a memoriei kernelului

    Trebuie să fiți autentificat cu un cont administrativ pentru a efectua acțiunile descrise în această secțiune.

    Să trecem direct la configurarea setărilor de descărcare prin blocare Windows. Mai întâi, trebuie să mergem la fereastra cu proprietățile sistemului într-unul dintre următoarele moduri:

    1. Faceți clic dreapta pe pictograma „Computerul meu” - „Proprietăți” - „Setări avansate de sistem” - „Avansate”.
    2. Butonul „Start” - „Panou de control” - „Sistem” - „Setări avansate de sistem” - „Avansat”.
    3. Comandă rapidă de la tastatură „Windows” + „Pauză” - „Setări avansate de sistem” - „Avansate”.

    4. sistem de control.cpl,3
    5. Rulați pe linia de comandă (cmd):
      SystemPropertiesAdvanced

    Rezultatul acțiunilor descrise este să deschideți fereastra „Proprietăți sistem” și să selectați fila „Avansat”:

    După aceea, în secțiunea „Pornire și recuperare” facem clic, selectăm „Opțiuni” și, prin urmare, deschidem o nouă fereastră numită „Descărcare și recuperare”:

    Toți parametrii crash dump sunt grupați într-un bloc de parametri numit „Eșec de sistem”. În acest bloc putem seta următorii parametri:

    1. Scrieți evenimente în jurnalul de sistem.
    2. Efectuați o repornire automată.
    3. Înregistrarea informațiilor de depanare.
    4. Fișier de descărcare.
    5. Înlocuiți un fișier dump existent.

    După cum puteți vedea, mulți dintre parametrii din listă sunt destul de banali și ușor de înțeles. Cu toate acestea, aș dori să detaliez parametrul „Dump File”. Parametrul este prezentat ca o listă derulantă și are patru valori posibile:

    Mic depozit de memorie

    Un mic dump de memorie (minidump) este un fișier care conține cea mai mică cantitate de informații despre defecțiune. Cea mai mică dintre toate depozitele de memorie posibile. În ciuda dezavantajelor evidente, mini-dump-urile sunt adesea folosite ca informații despre un eșec de a fi transferate către furnizori terți de drivere pentru studii ulterioare.
    Compus:

    • Mesaj de eroare.
    • Valoarea erorii.
    • Parametrii de eroare.
    • Contextul procesorului (PRCB) în care a avut loc defecțiunea.
    • Informații de proces și contextul kernelului (EPROCESS) pentru procesul de blocare și toate firele sale.
    • Procesează informațiile și contextul kernelului (ETHREAD) pentru firul de execuție care provoacă blocarea.
    • Stiva de mod kernel pentru firul care a provocat blocarea.
    • Lista driverelor încărcate.

    Cazare: %SystemRoot%\Minidump\MMDDYY-XXXXX-NN.dmp. Unde MMDDYY este luna, ziua și respectiv anul, NN este numărul de serie al depozitului.
    Volum: Mărimea depinde de bitness-ul sistemului de operare: sunt necesari doar 128 de kiloocteți pentru un sistem de operare pe 32 de biți și 256 de kiloocteți pentru un sistem de operare pe 64 de biți în fișierul de paginare (sau în fișierul specificat în DedicatedDumpFile). Deoarece nu putem seta o dimensiune atât de mică, o rotunjim la 1 megaoctet.

    Dump memorie kernel

    Acest tip de dump conține o copie a întregii memorie a nucleului la momentul accidentului.
    Compus:

    • Lista proceselor care rulează.
    • Starea firului curent.
    • Pagini de memorie în modul kernel prezente în memoria fizică la momentul accidentului: memoria driverului în modul kernel și memoria programului în modul kernel.
    • Memorie la nivel dependent de hardware (HAL).
    • Lista driverelor încărcate.

    Din memoria kernel-ului lipsesc paginile de memorie nealocate și paginile modului utilizator. De acord, este puțin probabil ca paginile de proces în modul utilizator să fie de interes pentru noi în timpul unei erori de sistem (BugCheck), deoarece defecțiunea sistemului este de obicei inițiată de codul modului kernel.

    Dimensiune: variază în funcție de dimensiunea spațiului de adrese kernel alocat de sistemul de operare și de numărul de drivere pentru modul kernel. De obicei, aproximativ o treime din memoria fizică este necesară în fișierul swap (sau în fișierul specificat în DedicatedDumpFile). Poate varia.

    Descărcarea completă a memoriei

    O descărcare completă a memoriei conține o copie a întregii memorie fizice (RAM) la momentul defecțiunii. În consecință, întregul conținut al memoriei sistemului este inclus în fișier. Acesta este atât un avantaj, cât și un dezavantaj major, deoarece dimensiunea sa poate fi semnificativă pe unele servere cu cantități mari de RAM.
    Compus:

    • Toate paginile memoriei fizice „vizibile”. Aceasta este aproape întreaga memorie a sistemului, cu excepția zonelor utilizate de hardware: BIOS, spațiu PCI etc.
    • Date de la procesele care rulau pe sistem la momentul defecțiunii.
    • Pagini de memorie fizică care nu sunt mapate la spațiul de adrese virtuale, dar care pot ajuta la investigarea cauzei defecțiunii.

    În mod implicit, o descărcare completă a memoriei nu include zone de memorie fizică utilizate de BIOS.
    Locație: %SystemRoot%\MEMORY.DMP . Dump-ul anterior este suprascris.
    Volum: fișierul de paginare (sau fișierul specificat în DedicatedDumpFile) necesită un volum egal cu dimensiunea memoriei fizice + 257 megaocteți (acești 257 MB sunt împărțiți într-un anumit antet + date driver). De fapt, în unele sisteme de operare, pragul inferior al fișierului de paginare poate fi setat exact la valoarea dimensiunii memoriei fizice.

    Evacuarea automată a memoriei

    Începând cu Windows 8/Windows Server 2012, în sistem a fost introdus un nou tip de dump numit Automatic Memory Dump, care este setat ca tip implicit. În acest caz, sistemul însuși decide ce dump de memorie să înregistreze în cazul unei anumite defecțiuni. Mai mult, logica alegerii depinde de multe criterii, inclusiv de frecvența „crash-ului” a sistemului de operare.

    După ce modificați configurația de descărcare a memoriei Windows, poate fi necesar să reporniți computerul.

    Setări registry

    Secțiunea de registry care definește parametrii de descărcare în caz de accident:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

    Opțiuni:

    Parametru Tip Descriere
    Repornire automată REG_DWORD Activați/dezactivați repornirea automată când apare BSOD.
    CrashDump Activat REG_DWORD Tipul de dump care se creează.
    • 0 - nu creați un dump de memorie;
    • 1 - dump complet de memorie;
    • 2 - dump memorie kernel;
    • 3 - depozit de memorie mic;
    DumpFile REG_EXPAND_SZ Calea și numele dedump-ului de memorie kernel și dump-ului de memorie completă.
    DumpFilters REG_MULTI_SZ Filtrul de driver în stiva de drivere de descărcare a memoriei. Vă permite să adăugați noi funcționalități în etapa de creare a depozitelor de blocare. De exemplu, criptarea conținutului depozitului. Modificarea valorii nu este recomandată.
    LogEvent REG_DWORD Înregistrarea unui eveniment în jurnalul de sistem.
    MinidumpDir REG_EZPAND_SZ Calea și numele micului depozit de memorie.
    MinidumpsCount REG_DWORD Numărul maxim de depozite de memorie mici. Când este depășit, versiunile mai vechi încep să fie suprascrise.
    Suprascrie REG_DWORD Înlocuiți un fișier dump existent. Numai pentru descărcarea memoriei kernel și descărcarea completă a memoriei.
    IgnorăPagefileSize REG_DWORD Ignoră fișierul de pagină standard ca loc pentru stocarea temporară (intermediară) a memoriei. Indică faptul că descărcarea memoriei trebuie scrisă într-un fișier separat. Folosit împreună cu opțiunea DedicatedDumpFile.
    DedicatedDumpFile REG_EZPAND_SZ Calea și numele unui fișier alternativ temporar pentru înregistrarea unui depozit de memorie. În a doua trecere, datele vor fi în continuare mutate în DumpFile/MinidumpDir.

    Crearea manuală a unui dump de memorie

    Mai sus am descris setările pentru crearea automată a depozitelor de blocare a sistemului în cazul unei erori critice, adică o excepție netratată în codul kernelului. Dar în viața reală, pe lângă blocarea sistemului de operare, există situații în care este necesar să se obțină o descărcare a memoriei sistemului la un anumit moment în timp. Cum să fii în acest caz? Există metode pentru obținerea unui instantaneu al întregii memorie fizice, de exemplu folosind comanda .dump în depanatoarele WinDbg/LiveKD. LiveKD este un program care vă permite să rulați depanatorul Kd kernel pe un sistem care rulează în modul local. Depanatorul WinDbg are, de asemenea, o caracteristică similară. Cu toate acestea, metoda dump-ului din mers nu este exactă, deoarece dump-ul generat în acest caz este „inconsecvent”, deoarece este nevoie de timp pentru a genera dump-ul, iar în cazul utilizării depanatorului modului kernel, sistemul continuă să ruleze și să facă modificări ale paginilor de memorie.