Программы для анализа дампов памяти Windows

Автор На чтение 6 мин

Когда компьютер внезапно зависает или показывает «синий экран», файл дампа памяти — это своего рода моментальный снимок состояния системы в момент аварии, но без специальных инструментов его практически невозможно разобраться.

К счастью, существуют специальные программы, которые могут читать эти данные и визуализировать их таким образом, чтобы аналитики и системные администраторы могли найти тот самый процесс, драйвер или модуль, который вызвал нестабильность.

В этой статье рассматриваются некоторые из этих инструментов. Одни из них официальны и мощны и принадлежат самой Microsoft, другие более простые и наглядны. Вы узнаете, какой программный продукт лучше всего подходит для быстрой диагностики, а с каким программным продуктом необходимо разобраться для глубокого анализа серьезных проблем.

Содержание
  1. WinDbg
  2. BSoD Analyzer
  3. BlueScreenView

WinDbg

Инструмент отладки и анализа дампов памяти, разработанный Майкрософт, называется WinDbg (Preview). Он доступен для скачивания для Windows 11 и Windows 10 с помощью прямой ссылки или Microsoft Store.

Пример анализа дампа памяти для обычного пользователя с помощью WinDbg для определения процесса, вызвавшего BSoD:

  1. Запустите WinDbg от имени Администратора (правый клик по ярлыку в меню «Пуск» — «Запуск от имени администратора»).
  2. В главном меню программы выберите «Файл» — «Open dump File» и укажите путь к нужному мини-дампу, обычно находящемуся в папке C:\Windows\Minidump нажмите кнопку «Open». Вторая возможность — открытие файла дампа памяти двойным кликом по нему (при установленном WinDbg).
  3. Введите команду !analyze -v в поле ввода команд (либо нажмите по ссылке с командой в верхней панели WinDbg) и дождитесь завершения анализа.
  4. В панели «Command» в верхней части окна программы будет отображен результат анализа, где, при удаче, вы сможете найти информацию о том, при работе какого процесса (PROCESS_NAME) произошёл сбой. Этот процесс не обязательно является непосредственным виновником, но работал в момент сбоя.
  5. В отчёте может присутствовать информация о файле драйвера (.sys) в поле IMAGE_NAME и другая информация, позволяющая найти источник проблемы. В частности, в поле FAILURE_BUCKET_ID может быть указан вызов, адрес, драйвер инициировавший сбой. Для некоторых кодов ошибок в списке аргументов будет присутствовать адрес в памяти, по которому можно определить модуль, который привел к BSoD.
  6. Помимо основной !analyze -v в WinDbg присутствуют другие полезные команды: lm для получения список загруженных и выгруженных перед сбоем драйверов, !process 0 0 для получения списка процессов. Все они могут помочь более точно определить причины сбоя и получить понимание того, в какой среде он произошёл.

Обычный пользователь может использовать полученные данные, в частности, имена драйверов и процессов, чтобы определить, каким устройствам соответствуют драйверы в Интернете, определить назначение процессов, при работе которых произошёл сбой, и предпринять соответствующие действия для устранения проблем.

BSoD Analyzer

Самый эффективный инструмент для анализа дампов памяти Windows при сбоях и отладка — WinDbg. Но большинству пользователей трудно понять результаты анализа этой программы.

Попытавшись решить эту проблему, я создал онлайн-сервис BSoD Analyzer, который анализирует микродампы памяти на синих экранах Windows ИИ. Этот сервис выполняет следующее: получает данные анализа дампа от WinDbg и интерпретирует их с помощью LLM (нейросети, языковые модели). Это делается таким образом, что пользователь языка понимает причины и возможные решения.

Процедура использования простая:

  1. Зайдите на страницу сервиса https://remontka.pro/bsod/ и загрузите файл мини-дампа .dmp (поддерживаются только дампы с x64 систем Windows), после чего нажмите кнопку «Отправить на анализ».
  2. Дождитесь завершения и вы увидите результат прямо в браузере: вердикт по виновнику BSoD:
  3. Пояснения, дополнительные факторы, которые могли повлиять на сбой (при наличии) и рекомендации, а также возможность скачать отчёт с результатами и сырым выводом WinDbg.
  4. Также проанализировать дампы памяти можно с помощью бота в Telegram.

Учитывайте, что LLM свойственно ошибаться: я старательно исправляю обнаруженные ошибки в интерпретации, но они не исключены полностью. Поэтому, если рекомендации включают удаление какого-то конкретного стороннего драйвера, я рекомендую использовать поиск в Интернете, чтобы убедиться, что назначение драйвера было правильно определено, а если вы не уверены в каких-то действиях и их последствиях, возможно, лучше обратиться к специалисту.

На момент написания этой статьи сервис работает в тестовом режиме, поэтому могут быть ошибки. Позже будет принято решение, востребован ли сервис и полезен ли он пользователям.

Если компьютер работает странно, «подвисает» или выдает синий экран, причиной этого обычно является сбой оперативной памяти. Чтобы понять, что пошло не так, можно использовать специальные программы, которые анализируют дампы памяти — копии данных, сохраненных в момент сбоя. Эти утилиты помогают выявить проблемные программы, драйверы или ошибки системы, а затем устранять причину неполадки.

BlueScreenView

BlueScreenView — это простая утилита, которая позволяет выбрать файл дампа памяти из списка и посмотреть, какие файлы драйвера и процессы привели к сбою; они будут выделены красным цветом в окне приложения.

К сожалению, для большого количества дампов отчет BlueScreenView показывает только файлы ядра, такие как ntoskrnl.exe; это не предоставляет диагностической информации, а просто указывает на сбой на уровне ядра. Тем не менее, в определенных ситуациях, таких как сбой драйвера видеокарты, этот инструмент может оказаться достаточным. Возможность загрузки BlueScreenView доступна на официальном сайте разработчика.

Как вы можете видеть, выбор подходящей программы для анализа дампов памяти во многом зависит от ваших конкретных задач и уровня подготовки. И родное средство Windows может достаточно для небольшого расследования сбоя. Уже стоит обратить внимание на мощный комбайн Microsoft, если мы хотим провести более глубокий и постоянный анализ проблем.

Главное, не бойтесь начинать. Хотя эти инструменты кажутся сложными на первый взгляд, постепенное знакомство с ними откроет перед вами весь мир диагностики, который поможет не только устранять симптомы, но и найти основные причины, по которым система не работает правильно.

Как бы то ни было, умение работать с дампами — это важный навык, потому что он превращает вас из простого пользователя, который может только перезагрузить компьютер, в настоящего детектива, способного выяснить суть самой гениальной ошибки.

Поделиться с друзьями
Алексей Морозов

Технический журналист и системный администратор с 10‑летним опытом работы в корпоративной IT‑инфраструктуре.

Оцените автора
Добавить комментарий

Мы используем файлы cookie на этом сайте для улучшения работы. Вы можете прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом без изменения настроек, вы даёте согласие на использование ваших cookie-файлов.