Андрей Смирнов
Время чтения: ~21 мин.
Просмотров: 157

BlueScreenView — анализ аварийного дампа памяти

Информация к новости

  • Просмотров: 37 660
  • Автор: admin
  • Дата: 26-09-2017

Изменил: admin26-09-2017

Категория: Windows 10 / Функционал Windows / Программы

Привет друзья! Первый раз я увидел Синий экран смерти ещё будучи студентом в 1998 году, тогда мы только учились работать в Windows 98. Наш наставник шутил над нами, вводя вручную команду C:concon в окне «Выполнить», после этого появлялся BSOD, затем нам предлагалось устранить ошибку и конечно у нас ничего не получалось. Шутки шутками, но уже реально столкнувшись с этой ошибкой я понял, что Blue Screen буквально обозначает гибель системы, так как восстановить её к жизни было очень трудно.О синем экране смерти со времён Windows XP написано множество статей, но применить к Windows 10 что-либо из написанного вряд ли получится, настолько эта система новая. Синий экран смерти, он же «синяя смерть», он же Blue Screen, он же BSOD – это системное уведомление о произошедшей критической ошибке в работе Windows, отображаемое на синем фоне экрана, отчего, собственно, уведомление и получило название (англ.) Blue Screen of Death (BSOD), то есть синий экран смерти. В эпоху расцвета Windows XP и её версий-предшественниц BSOD мог возникнуть и по пустяковым причинам. Смерть системы в её современных версиях почти всегда является обязательным следствием возникновения серьёзной ошибки и уже не появляется по пустякам, но несмотря на это вернуть ОС к жизни всё же можно.За последние 20 лет, работая ещё в Windows 2000, Me, XP, Vista, 7, 8.1, 10, конечно мне приходилось сталкиваться с ошибками синего экрана. К счастью, часто удавалось решить проблему не прибегая к переустановке ОС и сегодня я покажу вам реальный пример возвращения к жизни операционной системы Windows 10 после получения ошибки BSOD.

Синий экран в Windows 10

Какие причины обуславливают появление BSOD в актуальной Windows 10? Как определить их и устранить?

Итак, разберём в подробностях пример возвращения Windows 10 к жизнипосле критической ошибки на синем экране.Работать будем с реальным ноутбуком, который принесли мне на ремонт. На данном ноуте без видимой причины стал появляться BSOD с кодом остановки: 0xc00002e3.

Ноутбук несколько раз перезагружался и затем запускал автоматическое восстановление, но безрезультатно. Хочу сказать, что в большинстве подобных случаев явной причины появления синего экрана почти никогда нет, то есть на вашем компьютере не менялась аппаратная начинка, не проникали вирусы, никаких настроек не вносилось, не происходило никаких иных событий, которые можно было бы логически связать с BSOD, но он всё-таки появился! Сузить поле поиска корня проблемы помогут стоп-коды.

Стоп-коды BSOD

Стоп-коды BSOD – это текстовые и цифровые формулировки ошибки. Их пользователи 7, Vista, XP и более ранних версий Windows могли наблюдать непосредственно на синем экране. 

1506265372_skrin-1.jpg

Начиная с версии системы 8, Microsoft изменила дизайн BSOD. Чем не угодил старый дизайн? Дело в том, что на нём и стандартная формулировка уведомления, и непосредственно стоп-коды отображались одним шрифтом. Это усложняло восприятие информации за ограниченное время отображения BSOD. Причём ещё и всё было на английском языке, что дополнительно вводило в ступор русскоязычных пользователей. Разрабатывая Windows 8, Microsoft посчитала, что пользователи менее критично будут воспринимать синий экран смерти, если на него добавить грустный смайлик. А чтобы упростить запоминание важных данных, компания убрала цифровые стоп-коды, оставив только буквенный. Расчёт был на то, что текстовое описание ошибки, в принципе, можно запомнить. И затем отыскать по нему справку в Интернете.

1506265378_skrin-2.jpg

Но реально стоящие изменения касательно BSOD софтверному гиганту удалось внести лишь в 2016 году в версию Windows 10. Накопительное обновление Anniversary Update добавило на синий экран смерти QR-код ошибки, который пользователь может считать смартфоном. Конечно, если тот окажется под рукой.

1506265330_skrin-3.jpg

QR-код в будущем будет отправлять пользователя на специальный сайт Microsoft http://windows.com/stopcode — нечто глобального хранилища справочной информации по всем возможным стоп-кодам BSOD. А пока хранилище формируется, его роль временно выполняет общий ресурс техподдержки Microsoft и форум Microsoft Community.

QR-код

Итак, на компьютере с Windows 10 появился синий экран смерти — хватаем смартфон и считываем QR-код. Если такой возможности нет, но операционная система загружается, дожидаемся загрузки и действуем другими способами (случаи, когда ОС не загружается мы тоже рассмотрим с вами далее в статье).

Средство автоматического устранения неполадок

Anniversary Update не только привнесло в Windows 10 реализацию QR-кодов для упрощения поиска информации о причинах появления BSOD. Обновление также пополнило арсенал автоматических инструментов устранения неполадок средством для выявления причин синего экрана. Это средство можно отыскать в панели управления версии системы 10, прописав в ней ключевой запрос «экран».

1506265386_skrin-4.jpg

Запустится утилита «Синий экран». Кликаем надпись по центру окна «Дополнительно» и снимаем галочку автоматического применения исправлений. Это необходимо для запуска средства в диагностическом режиме и, соответственно, получения информации о причинах появления BSOD.

1506265358_skrin-5.jpg

Извлечение информации из минидампов BSOD с помощью утилиты BlueScreenView

Важно знать, что при возникновении синего экрана операционная система сохраняет полный или малый аварийные дампы памяти в специальных файлах. Полный дамп сохраняется в папке C:Windows и имеет название Memory.dmp.При появлении новой критической ошибки предыдущий файл перезаписывается новым файлом.

1506346159_3.jpg

Малый дамп сохраняется в папке C:WindowsMinidump имеет примерно такое название 092517-15843-01.dmp. При появлении новой критической ошибки предыдущий файл не перезаписывается, а создаётся заново.

1506347506_2.jpg

Так вот, существует такая утилита — BlueScreenView, которая способна извлечь из аварийного дампа памяти полную информацию о файлах виновниках появления синего экрана на вашем компьютере. Отправляемся на официальный сайт утилиты BlueScreenView:http://www.nirsoft.net/utils/blue_screen_view.html#DownloadLinks 

1506346990_4.jpg

Скачиваем её саму и файл русификации. Русификатор помещаем в папку с утилитой и запускаем её.

1506347003_5.jpg

В окне утилиты увидим перечень минидампов – по сути, случаев появления BSOD. Ориентируясь на время и дату его возникновения, выбираем нужный. Если синий экран в последнее время зачастил, можем просто выбрать последний минидамп. Двойным кликом левой кнопки мыши открываем его свойства. Графы, выделенные на скриншоте ниже, являются значимыми для определения причины BSOD. В свойствах минидампа также указывается драйвер причины BSOD.

1506265374_skrin-6.jpg

Если бы в качестве драйвера причины был указан, к примеру, аудио, видеодрайвер или драйвер сетевой карты, виновник был бы уже найден. И осталось бы только либо переустановить, либо обновить проблемный драйвер. Но когда в качестве драйвера причины значится, как в нашем случае, файл ядра Windows ntoskrnl.exe, поиски необходимо продолжить. Для этих целей BlueScreenView предусматривает удобную возможность запуска готовых поисковых запросов в Google из контекстного меню на выбранном минидампе. В первую очередь можно просмотреть результаты поиска по текстовому стоп-коду и драйверу.

Если причина появления BSOD по этим исходным данным не обнаружится, с помощью утилиты в Google можно отправить запрос по текстовому и цифровым стоп-кодам.

1506265372_skrin-9.jpg

  • Примечание: друзья, если вы ищите информацию в Google, но не владеете достаточным уровнем знания английского, не забывайте в самом поисковике выставлять фильтрацию результатов на русском языке. Или копируйте поисковой запрос в Яндекс.

1506265361_skrin-10.jpg

Стоп-коды также можно извлечь, представив минидамп в формате синего экрана смерти Windows 7 и версий постарше. Для этого в окне утилиты необходимо нажать F8.

1506265379_skrin-11.jpg

Для возврата в исходное представление данных жмём F6.Как я заметил в начале статьи, иногда Windows 10 при появлении критической ошибки на синем экране может создать полный дамп памяти — Memory.dmp и находиться он будет в папке C:Windows. В этом случае программа BlueScreenView может не открыть его автоматически. Тогда откройте его вручную. Для этого нажмите на кнопку «Advanced Startup Options»

Двойным кликом левой кнопки мыши открываем свойства полного дампа памяти.

1506348512_10.jpg

В некоторых случаях в свойствах минидампа не будет указан драйвер причины BSOD (пункт Caused By Driver).

Точно таким же способом вы можете просмотреть дамп памяти с другого компьютера. Просто копируйте дамп памяти с другой машинысебе на флешку и уже находясь в своей системе укажите программе BlueScreenView файл на флешке.

  • Примечание: друзья, любую найденную в Интернете информацию по стоп-кодам синего экрана необходимо сопоставлять с ближайшими событиями, которые происходили с компьютером. Причём это касается не только аппаратного вмешательства, но также программного. Что в систему устанавливалось, что и каким образом удалялось, какие настройки проводились — всё это может иметь значение для выявления причины BSOD.

Замечу, что в некоторых случаях аварийный дамп памяти может быть сбойным и вам не удастся его открыть, возникнет ошибка The following client application error has occurred. Что делать в этом случае, читайте далее в статье.Теперь давайте рассмотрим способы восстановления ОС после возникновения критической ошибки.

Как победить синий экран в Windows 10, если операционная система не загружается

Друзья, вот это настоящая проблема, которую довольно сложно разрешитьначинающему пользователю. Остановимся здесь поподробнее.Какая бы причина возникновения синего экрана в вашей операционной системе не была, решить её зачастую можно с помощью восстановления системы (конечно за исключением неисправного железа). Вспомним клиентский ноутбук, о котором я говорил в начале статьи. На этом ноутбуке внезапно стал появляться BSOD с кодом остановки: 0xc00002e3.Ноутбук несколько раз перезагружался и затем система делала попытки восстановить его автоматически, но безрезультатно. Найти причину ошибки 0xc00002e3 в интернете мне не удалось, слишком много файлов могли вызвать подобный сбой и я решил поступить так.

Жмём на «Дополнительные параметры»

Поиск и устранение неисправностей.

Дополнительные параметры.

Восстановление системы.

Далее. 

Выбираем точку восстановления. Например, синий экран возник на моём ноутбуке 25.09.2017, значит точку я выберу от 18 числа.

Готово. 

Да. 

Успешно. Перезагружаемся. 

Загружается Windows 10.

Что делать, если система не предлагает «Дополнительные параметры» для восстановления

Не всё так бывает гладко и часто система не предлагает «Дополнительные параметры» для восстановления,

а снова рекомендует применить «Автоматическое восстановление». Если нажать «Восстановить», то запустится 

«Устранение неполадок», которое будет длиться бесконечно долго и может закончится ничем.

В этом случае стоит попробовать другое решение.

Создаём загрузочную флешку с Windows 10 и загружаем с неё компьютер.

Далее.

Восстановление системы. 

Поиск и устранение неисправностей. 

Затем точно также как и в предыдущем примере применяем откат точкой восстановления системы. 

В некоторых случаях вас будет ждать неудача и вы при восстановлении получите ошибку.

В этом случае поступим по другому.

Загрузка в безопасном режиме

Загрузится в Safe Mode можно даже тогда, когда Win 10 не загружается. В безопасном режиме функционируют только основные системные службы и драйвера, принадлежащие самой ОС. Часто причиной BSOD выступают программы и драйвера сторонних разработчиков, а в безопасном режиме они не работают, поэтому есть шанс загрузится в систему и применить чистую загрузку Windows, при которой система запускается без программ и служб сторонних разрабов. Уже затем можно по одному включать в загрузку приложения и так определить виновное в появлении синего экрана. Обнаруженную проблемную программу или драйвер удалите.

Не буду повторяться и просто дам вам ссылку на свою статью — безопасный режим Windows 10 при сбое загрузки ОС. Также даю ссылку на статью — как произвести чистую загрузку Windows 10.

Идеальный вариант — восстановить Windows 10 с помощью резервного бэкапа

Если вы хорошо владеете программами резервного копирования данных и периодически создаёте бэкапы своей OS, то просто откатитесь с помощью последней созданной резервной копии. Создавать бэкапы можно встроенными в ОС средствами, а также приложениями сторонних разработчиков.

Как просмотреть информацию в аварийном дампе памяти, если Windows не загружается

Однажды один читатель спросил меня, как прочитать информацию в дампе памяти, если ОС не загружается. Желание понятно, человек хотел узнать причину возникновения синего экрана и действовать дальше по обстановке. К примеру, если бы это оказался конкретный системный файл, то он бы просто заменил его оригинальной версией. Сделать это можно так.Загрузить проблемный компьютер с нашего фирменного LiveCD(из него можно сделать загрузочную флешку).

Открыть папку «Софт». 

Запустить утилиту BlueScreenView.

Нажмите на кнопку «Advanced Options».  

Отметьте пункт «Load a single MiniDump File: и жмите кнопку «Browse».

Откроется Проводник. Найдите в нём Полный дамп памяти Memory.dmp в папке C:Windows или Малый дамп в папке C:WindowsMinidump.

Выделите его левой кнопкой мыши и нажмите «Open».

ОК. 

Двойным щелчком левой мыши откройте свойства дампа памяти. 

Откроются все подробности ошибки BSOD

В конце статьи рассмотрим частые причины BSOD и способы их устранения 

В Windows 10 изменился только дизайн синего экрана смерти, а вот частные причины его появления такие же, как и в версиях-предшественницах. Что это за причины и как они устраняются?1. Повреждение системных файловBSOD может вылетать, если вследствие проникновения вирусов или внедрения сторонних программ повредятся значимые для работы системы файлы. Решение в таком случае – восстановление целостности системных файлов, сделать это можно даже, если ОС не загружается.2. Конфликт ПОСиний экран может быть следствием запуска на компьютере двух конфликтующих программ, например, двух антивирусов, двух программ типа «Неубиваемая Windows» или двух гипервизоров. Кстати, конфликт последних как раз таки и был причиной появления BSOD в нашем тестовом случае. Установленный в Windows 10 Hyper-V препятствовал установке в систему различных Android-эмуляторов. Конфликтовать также могут драйверы, сторонние программы с системными компонентами. Решение в таком случае – отказаться от конфликтующей программы, попробовать её другие версии или аналоги.3. Некорректная работа драйверовВызывать BSOD могут проблемные драйверы – некорректно написанные, старые, новые (толком не протестированные альфа-версии) и т.п. Решение в таком случае – переустановка или обновление драйвера с использованием дистрибутива с официального источника.4. Неудачное обновлениеНеудачные обновления могут иметь разные последствия, включая BSOD. Если Microsoft сама не решит эту проблему путём исправления обновления, поможет восстановление Windows 10.5. Установка на слабый компьютер ресурсоёмких игрПрежде установки на компьютер серьёзных игр следует выяснить, отвечает ли система хотя бы минимальным аппаратным их требованиям. Игра на слабый ПК или ноутбук может установиться, но при запуске выдавать BSOD.  6. ПерегревСиний экран – это естественная реакция Windows на перегрев комплектующих компьютера, в частности, процессора, видеокарты, жёсткого диска. Необходимо устранять причину перегрева.7. Настройки BIOSНеверные настройки BIOS могут вызывать синий экран, а в некоторых случаях, как, например, при смене режима контроллера SATA (IDE / AHCI / RAID), даже воспрепятствуют загрузке Windows. В приведённом примере проблема может быть решена твиком системного реестра, но лучше, конечно, чтобы Windows устанавливалась на уже произведённые настройки BIOS. Если не удаётся вспомнить, какие настройки менялись, можно сбросить BIOS к дефолтным настройкам.8. Контакты внутри системника BSOD может возникать из-за окисленных, плохо прижатых или повреждённых контактов. Контакты нужно аккуратно почистить ластиком, проверить все соединения, возможно, переключить шлейфы в другие порты материнской платы.9. РазгонСиний экран нередко возникает после разгона процессора или видеокарты. Нужно пересмотреть параметры разгона.10. Несовместимость и неисправности комплектующихЕсли аппаратный арсенал компьютера недавно был пополнен планкой несовместимой оперативной памяти, BSOD обязательно даст об этом знать. Подтвердить подозрения поможет тестирование оперативной памяти. Решение в таком случае – замена планки на совместимую.Синий экран может свидетельствовать об аппаратных неполадках компьютера, к примеру, о повреждении процессора, материнской платы, блока питания, жёсткого диска. Но только последний, не обладая специальными навыками, можно проверить в домашних условиях. Например, протестировать программой Виктория. По поводу остального железа лучше обратиться к специалистам.Друзья, утилита BlueScreenView не одна может производить анализ дампов памяти и в следующей статье мы рассмотрим пакет Debugging Tools for Windows, способный извлечь из аварийного дампа намного больше информации.Также читайте статью — Как узнать причину возникновения синего экрана смерти (BSOD) в случае, если Windows 10 не загружается. Или как пользоваться инструментом «Анализатор сбоев» загрузочного диска восстановления Microsoft Diagnostic and Recovery Toolset 10 x64 (MSDaRT)ВернутьсяКомментариев: 13 Дорогой посетитель, Вы можете задать на сайте любой вопрос и обязательно получите ответ!

Категория: Система
Cистема: Windows
Статус программы: Бесплатно
Активация Не требуется
Язык: Русский
Загрузок: 5205
<center>Скачать</center>

Если вы хотите узнать причину, почему появился Синий Экран смерти, то вам нужно скачать BlueScreenView. Это приложение работает на всех версиях Windows 10.

poster.jpeg

Практически все пользователи, перед которыми появляется так называемый «синий экран смерти» испытывают состояние, напоминающее шок. Просто такое изображение иногда возникает по причинам, которые человек в настоящее время просто не может объяснить. И даже выявить. Чтобы решить подобный вопрос, была разработана особая программа под названием BlueScreenView, о которой и пойдёт речь ниже.

Появление «синего экрана» означает некий шок. Но вот возникает он не у человека, а у самого компьютера. Просто устройство не может быстро отреагировать на определённые неисправности и «пугается» их. Таким образом, речь может идти о защитной реакции, что возникает для предотвращения возникновения более серьёзных повреждений. Часто повторная загрузка возвращает систему в нормальное состояние. Однако причина сбоя все равно должна быть выявлена и устранена. Она отображается на самом «синем экране», но пользователю не всегда может быть понятна. Основными причинами сбоев считают:

  • Повреждения какой-то детали компьютера;
  • Конфликты драйверов и софта;
  • Деятельность вирусов и прочего вредоносного ПО.

Как работает BlueScreenView

Это приложение может рассказать пользователю о конкретных причинах, привёдших его устройство к «шоковому» состоянию. Оно демонстрирует дампы сбоев, указывает на конкретное «железное» устройство, вызвавшее неполадки и т. д.

Когда вы скачаете и установите эту программу, то вам нужно будет произвести некие предварительные настройки. Например, необходимо отключить программно возможность перезагрузки устройства для того, чтобы пользователь смог зафиксировать коды ошибок «синего экрана».

Сейчас рассматриваемая программа не требует установки и выпускается в виде версии portable. Вам нужно будет загрузить архив с этой утилитой и распаковать его в удобное для вас место. Запуск будет производиться с помощью исполняемого файла с расширением «exe».

Самое примитивное использование этой утилиты связано с простым просмотром дампов ошибок и проблемных компонентов и драйверов. Вся эта информация отображается в основном окне программы, которое разбивается на два раздела. Если вас заинтересовал какой-то конкретный сбой, то просто кликните по нему дважды, и перед вами появится окно с названием и описанием файла.

BlueScreenView имеет систему сортировки, которая очень удобна для отображения нужной информации. В том числе и того самого «синего экрана», что появлялся так неожиданно.

Чтобы снизить риск появления синего экрана, рекомендуем вам не делать на компьютере ничего, в чем вы не уверены. Например, не трогайте реестр на Windows 10, если вы не хотите в буквальном смысле слова сломать систему.

<center>Скачать</center>Пожалуйста, Оцените:<thea>Бесплатно!uBar</th>check</td>Официальный дистрибутив BlueScreenView</td>check</td></tr>close</td>Тихая установка без диалоговых окон</td>check</td></tr>close</td>Рекомендации по установке необходимых программ</td>check</td></tr>close</td>Пакетная установка нескольких программ</td>check</td></tr>Скачать</td></tr></tbody></thea>

НашиРЕКОМЕНДАЦИИ

Window 10 Media Creation Tool Java 64 бит AIDA64 DirectX и Директ Икс

Данная статья продолжает серию публикаций по обзору инструментов анализа аварийных дампов системы. И сегодня мы рассмотрим пожалуй наиболее автономное средство в арсенале специалиста, утилиту с говорящим названием BlueScreenView. Чем это средство так уникально? Не тем, что алгоритм работы программы в какой то степени отличается от алгоритмов программ подобного класса (скорее всего всё крутится вокруг одних и тех же схем), а более из-за того, что программа не использует отладочные символы, что делает её полностью независимой. BlueScreenView представляет собой бесплатное программное обеспечение, которое анализирует содержимое файлов дампов, создаваемых при критическом сбое системы (BSOD, синий экран смерти), и предоставляет информацию пользователю в виде легко интерпретируемой результирующей таблицы. В дополнение ко всему прочему, утилита предоставляет расширенную информацию по свойствам дампов памяти системы. Как уже отмечалось, BlueScreenView полностью автономна и не требует для своей работы никаких дополнительных дынных, как то символы либо отладчики. Скачал, запустил, проанализировал! Автором программы является Nier Sofer, хотел бы сказать спасибо ему огромное за предоставленную чрезвычайно полезную утилиту. Скачать BlueScreenView можно по вот этой ссылке. При этом, что действительно удобно, так это то, что скачать утилиту можно не только в виде классического установщика (зачем мне инсталлировать временный софт на сервер?), но и в форме отдельного переносимого (portable) приложения (пункт Download BlueScreenView (in Zip file)). Распаковал из архива и запустил, что еще надо? Опять же, это позволяет держать утилиту в наборе своих «инструментов на каждый день». BlueScreenView доступна в двух вариантах кода — в 32- и 64-битном.

Интерфейс BlueScreenView

После старта утилита BlueScreenView сканирует стандартное местоположение дампов памяти:

bluescreenview.png

и находит все дампы, которые располагаются в каталоге по-умолчанию, далее для каждого дампа (по своему собственному алгоритму) перечисляет адреса памяти внутри стека момента сбоя и определяет все драйвера/модули которые могут быть причиной критической ситуации. По умолчанию BlueScreenView ищет дампы в каталоге %SystemRoot%Minidump. Однако, данное положение может быть изменено редактированием параметра «Load from the following MiniDump folder» в разделе «Options» — «Advanced Options» (Ctrl+O). В дополнение, вид окна программы легко и удобно настраивается, что позволяет показывать/скрывать определенные столбцы.

Верхнее окно интерфейса программы BluScreenView по-умолчанию выглядит несколько иначе. На моем скриншоте я замаскировал (скрыл) четыре столбца под названием «Parameter 1», «Parameter 2», «Parameter 3», «Parameter 4», которые являются четырьмя аргументами функции KeBugCheckEx.

Столбец Назначение
Dump File Файл дампа памяти, найденный утилитой в заданной директории. Хранит различную информацию о состоянии системы на момент критической ошибки.
Bug Check String Символическое имя или описание критической ошибки (Bug Check) по классификации Microsoft. В нашем примере это BAD_POOL_HEADER.
Caused By Driver Драйвер или модуль, который, предположительно и вызвал сбой. BluScreenView пытается вычислить драйвер/модуль по стеку момента критического сбоя, который присутствует в дампе. В нашем случае RtkHDAud.sys. Помните, что механизм определения сбойного модуля/драйвера не может со 100% вероятностью определить виновника, и необходимо анализировать более расширенный список в нижнем фрейме окна программы, выделенный розовым цветом. Сам автор предупреждает нас об этом на странице утилиты.
Bug Check Code Идентификатор кода BugCheck или STOP-ошибка. Например, STOP 0x00000019.
Caused By Address Тоже самое что и колонка «Caused By Driver», однако показывает относительный адрес инструкций, вызвавшей сбой. Относительно начала модуля в котором произошел сбой. В нашей ситуации RtkHDAud.sys+1f93fc.
File Description Описание проблемного файла.
Crash Address Адрес по которому и случилась ошибка. Содержимое регистров EIP/RIP на момент сбоя. В некоторых случаях идентичен адресу из колонки «Caused By Address», в других адрес не совпадает. Пример: ntoskrnl.exe+22f5f.

В нижней части интерфейса BlueScreenView отображает список всех драйверов режима ядра, которые в момент сбоя находились в памяти. И маркирует розовым цветом все драйвера, которые найдены в стеке сбоя. Перечислю в таблице лишь основные столбцы:

Столбец Назначение
Filename Имя драйвера/модуля.
Address In Stack Адрес памяти драйвера, который найден в стеке.
From Address Смещение первого байта драйвера в адресном пространстве ядра. Пара значений From Address / To Address показывает адресное пространство, занимаемое драйвером.
To Address Смещение последнего байта драйвера в адресном пространстве ядра. Пара значений From Address / To Address показывает адресное пространство, занимаемое драйвером.
Size Размер драйвера в памяти.
Product Name Имя продукта, в состав которого входит драйвер. Загружается из поля ресурсов?
File Description Описание файла драйвера. Загружается из поля ресурсов?
File Version Версия файла драйвера. Загружается из поля ресурсов?
Company Имя компании. Загружается из поля ресурсов?.
Full Path Полный путь до файла драйвера в файловой системе.

В один прекрасный момент, анализируя очередной дамп памяти при помощи программы BlueScreenView я обратил внимание на одну интересную особенность. Если Вы внимательно посмотрите на столбец в верхнем фрейме программы под названием «Caused by Address», то увидите, что в нем присутствуют имена модулей/драйверов и относительный адрес инструкции. Так вот, почему же там присутствуют голые числовые значения смещений, но не имена? Причина проста и как мы уже отмечали:

BlueScreenView не использует отладочные символы и не нуждается в них.

То есть он ничего не знает о сопоставлении адресов реальным функциям. Конечно, это не позволяет программисту получить более детальную информацию, однако это абсолютно не нужно рядовому пользователю, которому для решения задачи достаточна и более общая информация о сбое, обобщенная до указания на модуль/драйвер. Как это сказывается на точности определения причины критической ошибки, спросите Вы? Пока что ответить на этот вопрос для меня сложновато, но могу предположить что никак не отражается, поскольку точность определения зависит от корректности работы внутреннего алгоритма BlueScreenView, который опирается на адреса памяти, но никак не зависит от наличия/отсутствия символов системы/модулей/драйверов. Символы нужны для дополнительной информации по внутренним функциям.

Анализ результатов

Собственно, вкратце, общий алгоритм поиска причины сбоя следующий:

  1. (в верхней части окна) ставим курсор на имя интересующего нас минидампа, тем самым выделяя (выбирая) его. Нижняя часть окна автоматически заполняется результатом анализа.
  2. (в верхней части окна) смотрим столбец Caused By Driver, видим там наименование проблемного модуля/драйвера (для нашего случая это RtkHDAud.sys).
  3. (в нижней части окна) находим этот же драйвер/модуль (столбец Filename), ставим курсор на эту строку и опять перемещаем ползунок вправо, чтобы посмотреть значения в столбцах Product Name, File Description и Full Path. По значениям этих полей мы сможем определить принадлежность модуля/драйвера. Если же поля нам не дали никакой информации, то вбиваем имя модуля/драйвера RtkHDAud.sys в поисковик и ищем информацию уже в Сети.

Изредка встречаются случаи, когда указываемый в верхнем фрейме программой BlueScreenView драйвер не является источником проблемы. Да, ведь сам автор, как я писал уже выше, предупреждает от том, что невозможно сделать точный вывод по сбою в 100% случаев. Однако, не стоит отчаиваться, поскольку драйвер/модуль, который является истинным виновником сбоя, наверняка присутствует среди списка, подсвеченного красным цветом в нижней части окна программы. У нас это: ks.sys, ntoskrnl.exe, portcls.sys, sysaudio.sys, wdmaud.sys. Исходя из отсутствия 100% гарантии определения, в исследовании аварийных дампов я бы не ограничивался применением только лишь утилиты BlueScreenView, а использовал бы и другие продукты для анализа проблемы.

Похожие записи:

Используемые источники:

  • https://remontcompa.ru/windows/windows-10/1344-siniy-ekran-v-windows-10.html
  • https://win10m.ru/bluescreenview.html
  • http://datadump.ru/bluescreenview/

Рейтинг автора
5
Подборку подготовил
Андрей Ульянов
Наш эксперт
Написано статей
168
Ссылка на основную публикацию
Похожие публикации