Како користити WinDbg за анализу датотека дамп система и решавање BSOD грешака

Последње ажурирање: 09/05/2025
Аутор: Исак
  • WinDbg вам омогућава да интерпретирате датотеке са дамповима и пронађете драјвере или процесе који су изазвали плави екран.
  • Постоје различите врсте меморијске депоније које можете конфигурисати према детаљима потребним за анализу.
  • Алат за проверу драјвера помаже у откривању грешака у возачи одговоран за БСОД.
  • Анализирање дампа помоћу !analyze -v пружа детаљне информације о модулу који је довео до грешке.

виндбг

Када рачунар са виндовс Када се суочи са неочекиваном критичном грешком, обично се приказује страшни плави екран, познат и као BSOD (Плави екран смрти). Иако многим корисницима ова врста грешке може изгледати као крај, она заправо може бити увод у разумевање шта није у реду са системом. Захваљујући алатима као што су ВинДбг Сада, са дамп датотекама које је систем генерисао, могуће је дијагностиковати порекло проблема са прилично великим степеном прецизности.

Овај чланак је а Детаљан водич за разумевање шта су .dmp датотеке и како их анализирати помоћу WinDbg-а и које друге ресурсе можемо користити да бисмо идентификовали узрок BSOD грешака. Ако сте искусили неочекивана поновна покретања, случајне падове система или необјашњиве плаве екране, ево комплетног водича за решавање проблема.

Шта је БСОД и шта га узрокује?

БСОД се јавља када Виндовс не може да настави са радом због озбиљне грешке. У том тренутку, систем престаје да ради, приказује техничке информације и, подразумевано, генерише датотеку са подацима о меморији. Ова датотека садржи битне податке да би се разумело шта је пошло наопако: учитани драјвери, контекст процесора, покренуте нити и још много тога.

Најчешћи узроци БСОД-а могу укључивати:

  • Грешке возача, лоше дизајниран или некомпатибилан.
  • Неуспеси од хардвер, као што су неисправни RAM модули или оштећени дискови.
  • злонамерни програми (малваре) које мењају систем или узрокују оштећење датотека.
  • Проблеми са интерном конфигурацијом оперативног система (регистар, прегревање итд.).

Шта садржи датотека са дампом меморије?

.dmp (dump) датотека садржи кључне информације о стању система у тренутку квара. Ова датотека вам омогућава да репродукујете скоро кадар по кадар шта се дешавало непосредно пре грешке. Подаци које чува укључују:

  • El стоп код и његови параметри.
  • Листа активни системски драјвери у време грешке.
  • Контекст процесора и језгро (PRCB, EPROCESS, ETHREAD).
  • Стек позива у режиму језгра активног процеса.
  Апликације за опоравак фотографија

Ово омогућава приступ веома прецизну слику о томе који делови система су изазивали сукоб.

Где пронаћи дамп датотеке

У зависности од конфигурације система, дампови се чувају на следећим путањама:

  • C:\Windows\Minidump\мале депоније (минидепоније).
  • C:\Windows\MEMORY.DMP: дампови језгра или комплетни дампови.

Да бисте видели или променили подешавања, идите на Подешавања > Систем > Информације > Напредна подешавања и приступ Покретање и опоравак. Тамо можете одабрати врсту дампа коју желите да генеришете.

Врсте меморијских дампова

Windows вам омогућава да бирате између различитих врста дампова у зависности од нивоа детаља:

  1. Потпуно избацивање: Снима сву системску РАМ меморију. Веома детаљно, али тешко.
  2. Дамп језгра: само суштински део оперативног система. Уравнотежен између детаља и величине.
  3. Минидумпсамо минималне информације, као што су грешка и стек. Обично заузима око 64 KB.

Да би комплетно копирање исправно функционисало, Датотека страничне меморије мора бити на истој партицији као и систем и мора бити довољно простора на диску.

Увод у WinDbg

виндбг

ВинДбг је алат за отклањање грешака који је развио Мајкрософт. Бесплатно је и може се преузети са Мицрософт Сторе као ВинДбг Превиев. Његов ажурирани интерфејс чини процес анализе интуитивнијим.

Апликација вам омогућава да читате изводе меморије, интерпретирате грешку и прикажете који драјвери или процеси су укључени у квар.

Један од кључева за пружање корисних информација од стране WinDbg-а је додавање путање до симбола од Мајкрософта. Ово омогућава да се функције и структуре правилно идентификују током анализе.

Почетна конфигурација WinDbg-а

Када преузмете WinDbg Preview из Microsoft продавнице:

  1. Отворите апликацију из менија „Старт“ или Windows претраге.
  2. Иди на Датотека > Подешавања > Подешавања за отклањање грешака.
  3. En Подразумевана путања симбола, унесите следеће: srv*https://msdl.microsoft.com/download/symbols
  4. Кликните на OK да сачувате подешавања. Ово ће омогућити преузимање одговарајућих симбола током анализе.

Како отворити и анализирати дамп у WinDbg-у

Када је WinDbg већ конфигурисан, пратите ове кораке:

  1. Иди на Датотека > Отвори датотеку са дамповима.
  2. Изаберите .dmp датотеку коју желите да анализирате. Ако сте у C:\Windows\minidump или у системском директоријуму, морате отворити WinDbg као администратор.
  3. Када се датотека учита, откуцајте команду !analyze -v и притисните интро.
  5 програма за аутоматизацију задатака у Виндовс-у

WinDbg ће приказати комплетну анализу са кодом грешке, укљученом датотеком или модулом, врстом квара и предлозима.

Шта значи резултат анализе?

виндбг

Извештај генерисан након што је !analyze -v укључиваће информације као што су:

  • КОД_ПРЕКЕ_ГРЕШКЕ: BSOD код.
  • НАЗИВ_МОДУЛА o ИМЕ_СЛИКЕ: одговорна датотека.
  • STACK_TEXT: стек позива да би се разумело како се дошло до те тачке.
  • IRQL, ОБЈЕКАТ_УРЕЂАЈА, ОБЈЕКАТ_УЗРАЧАЈА: метаподаци о извршењу.

Пример би била грешка као што је КВАР_СТАЊА_НАПАЈАЊА_УПРАВЉАЧА (0x0000009F), што указује да контролер није правилно реаговао на промену стања у систему са функцијама за уштеду енергије.

Пример анализе: квар USB-а

Случај документован на неколико техничких форума показује како се BSOD јавља од стране МУЛТИПЛЕ_ИРП_ЦОМПЛЕТЕ_РЕКУЕСТС указао на датотеку usbehci.sys. Ово је указивало на проблем са возачем УСБ. Међутим, детаљном анализом укљученог IRP-а, појавио се и фајл ax88172.sys, што је одговарало мрежној картици повезаној преко УСБ-а. Сукоб између оба возача је узроковао квар.

Ова врста анализе помаже да се Разликовање грешака које изазивају Мајкрософтови драјвери од оних које изазива хардвер или драјвери трећих страна.

Користите верификатор драјвера

О 75% плавих екрана повезани су са неисправним драјверима. Виндоус годинама укључује алатку под називом Верификатор драјвера. Омогућава вам тестирање активних драјвера и откривање скривених грешака.

Да бисте је активирали:

  1. Отворите конзолу као администратор (претрага ЦМД и кликните десним кликом).
  2. Напиши verifier и притисните Ентер.
  3. Изаберите опцију за проверу свих непотписаних или прилагођених драјвера.
  4. Поново покрените рачунар када се то од вас затражи. Од тог тренутка, систем ће проверавати понашање возача у реалном времену.

Препоручљиво је користити овај алат са опрезом, јер може успорити ваш систем или чак спречити његов рад. боот. Ако се појаве проблеми, може се онемогућити из Безбедни режим са истом командом verifier и одабиром опције „Обриши постојећа подешавања“.

Савети за отклањање упорних грешака

У неким случајевима, директна анализа депоније неће пружити коначне резултате. За ове сценарије, препоручљиво је прикупити више информација:

  • Проверите прегледач догађаја да бисте видели евиденције о падовима.
  • Покушајте са LiveCD-a линук ако се сумња на квар хардвера.
  • Покрените алате попут МемТестКСНУМКС да проверим РАМ меморију.
  • Користите програме као што су БлуеСцреенВиев, више визуелно и оријентисано ка крајњем кориснику.
  Шта је МБЗ датотека? Чему служи и како га отворити

Уобичајене BSOD грешке и њихови узроци

Неке поруке о грешкама су веома честе и добро документоване. Ево неколико примера и шта они обично значе:

  • ИРКЛ НОТ ЛЕСС ОР ЕКУАЛ: : неисправан контролер или неправилан приступ меморији.
  • КЕРНЕЛ_МОДЕ_ЕКСЦЕПТИОН_НОТ_ХАНДЛЕДГрешка унутар језгра због хардвера или драјвера.
  • ПАГЕ_ФАУЛТ_ИН_НОНПАГЕД_АРЕА: приступ неважећој меморијској адреси.
  • ДРИВЕР_ИРКЛ_НОТ_ЛЕСС_ОР_ЕКУАЛНеправилан приступ ограниченим променљивим у драјверима.

У свим овим случајевима, датотека .sys поменута у анализи је често кључна за утврђивање да ли је извор хардвер, систем или софтвер треће стране.

Може ли се нешто учинити ако се појави BSOD и систем се поново покрене?

Да. Већина система је конфигурисана да се аутоматски поново покреће након BSOD-а. Ово вас може спречити да видите целу поруку. Да би се дамп правилно приказао и генерисао:

  1. Посетити Напредна подешавања система > Покретање и опоравак.
  2. Поништите избор опције Поново покрените аутоматски.
  3. Уверите се да је опција за креирање дампа меморије омогућена.

На овај начин, следећи пут када доживите BSOD, можете забележити грешку и осигурати да је .dmp датотека исправно креирана за каснију анализу.

Захваљујући алатима попут ВинДбг, сасвим је могуће дијагностиковати извор грешке плавог екрана. Иако читање датотеке са дамповима може у почетку деловати сложено, уз правилно подешавање и мало вежбе, можете стећи драгоцен увид у унутрашње стање вашег система. Анализа БСОД-а је неопходна за напредне кориснике и техничаре у решавању проблема, омогућавајући им да ефикасно идентификују и реше грешке.