كيفية استخدام تفريغ الذاكرة لتحديد السائق الذي يسبب الموت الزرقاء. تفريغ ذاكرة Windows 10 كيفية فتح تفريغ ذاكرة Windows 10

تحميل فايبر 01.06.2021
تحميل فايبر

في Windows 8 ، قدمت Microsoft تفريغ ذاكرة جديدًا ، وهو خيار تفريغ الذاكرة التلقائي. يتم تعيين هذا الخيار افتراضيًا في نظام التشغيل. قدم نظام التشغيل Windows 10 نوعًا جديدًا من ملفات التفريغ يسمى تفريغ الذاكرة النشط. بالنسبة لأولئك الذين لا يعرفون ، لدينا في Windows 7 تفريغ صغير وتفريغ أساسي وتفريغ ذاكرة كامل. قد تتساءل لماذا قررت Microsoft إنشاء خيار تفريغ الذاكرة الجديد هذا؟ وفقًا لروبرت سيمبكينز ، كبير مهندسي الدعم ، يمكن لتفريغ الذاكرة التلقائي إنشاء دعم لصفحة "النظام" في ملف التكوين.
يعد نظام إدارة تكوين ملف الصفحة مسؤولاً عن إدارة حجم ملف الصفحة - وهذا يؤدي إلى تجنب زيادة مساحة الرأس أو حجم ملف الصفحة. يتم تقديم هذا الخيار بشكل أساسي لأجهزة الكمبيوتر التي تعمل على محركات أقراص SSD ، والتي تميل إلى أن تكون أصغر حجمًا ولكن بها قدر كبير من ذاكرة الوصول العشوائي.

خيارات تفريغ الذاكرة

الميزة الرئيسية لـ "تفريغ الذاكرة التلقائي" هي أنها ستسمح لجلسة النظام الفرعي في Process Manager بتقليل حجم ملف المبادلة تلقائيًا إلى حجم أصغر من حجم ذاكرة الوصول العشوائي. بالنسبة لأولئك الذين لا يعرفون ، تكون جلسة مدير النظام الفرعي مسؤولة عن تهيئة النظام وبيئة بدء التشغيل للخدمات والعمليات المطلوبة للمستخدم لتسجيل الدخول إلى النظام. يقوم بشكل أساسي بإعداد صفحة من الملفات في الذاكرة الظاهرية ويبدأ عملية winlogon.exe.

إذا كنت تريد تغيير إعدادات تفريغ الذاكرة التلقائي ، فإليك كيفية القيام بذلك. اضغط على مفاتيح Windows + X واختر - System. ثم انقر فوق الزر "إعدادات النظام المتقدمة". يتقدم نظام إعدادات”.

انقر فوق الزر إعدادات النظام المتقدمة.

هنا يمكنك أن ترى قائمة منسدلة حيث تقول "متقدم".

هنا يمكنك تحديد الخيار المطلوب. الخيارات المقترحة:

لا توجد ذاكرة مقالب.
تفريغ ذاكرة صغيرة.
تفريغ ذاكرة Kernel.
تفريغ الذاكرة الكامل.
تفريغ الذاكرة التلقائي. مضاف في Windows 8.
تفريغ الذاكرة النشطة. مضاف إلى Windows 10.
موقع ملف تفريغ الذاكرة في ملف٪ SystemRoot٪ \ MEMORY.DMP.

إذا كنت تستخدم محرك أقراص SSD ، فمن الأفضل تركه على "تفريغ الذاكرة التلقائي" ؛ ولكن إذا كنت بحاجة إلى ملف تفريغ الأعطال ، فمن الأفضل تعيينه على "تفريغ ذاكرة صغير" ، حيث يمكنك ، إذا أردت ، إرساله إلى شخص ما حتى يتمكن من إلقاء نظرة عليه.

في بعض الحالات ، قد تحتاج إلى زيادة حجم ملف المبادلة أكثر من ذاكرة الوصول العشوائي (RAM) لملاءمة تفريغ الذاكرة الكامل. في مثل هذه الحالات ، تحتاج إلى إنشاء مفتاح تسجيل:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ CrashControl

إنه يسمى "LastCrashTime".

سيؤدي هذا تلقائيًا إلى زيادة حجم ملف الصفحة. لتقليله لاحقًا ، يمكنك ببساطة حذف هذا المفتاح.

قدم Windows 10 ملف تفريغ جديد يسمى Active Memory Dump. يحتوي على الأساسيات فقط وبالتالي فهو أصغر.

ليس لدي فرصة لاختباره ، لكنني أنشأت هذا المفتاح وراقبت حجم ملف المبادلة. أعلم أنني سأتلقى خطأ فادحًا عاجلاً أم آجلاً. ثم سوف أتحقق من ذلك.

يمكنك تحليل تفريغ الذاكرة لملفات Windows.dmp باستخدام WhoCrashed. الأداة المساعدة WhoCrashed Home مجانية وتقدم برامج التشغيل التي تم حشرها في جهاز الكمبيوتر الخاص بك بنقرة واحدة. في معظم الحالات ، يمكنه تحديد برنامج التشغيل الخاطئ الذي يتسبب في معاناة جهاز الكمبيوتر الخاص بك. هذا هو تفريغ تعطل لتحليل النظام ، وتفريغ الذاكرة ، وجميع المعلومات التي تم جمعها مقدمة هنا في نموذج يمكن الوصول إليه.

عادةً ما تقوم مجموعة أدوات تصحيح الأخطاء بفتح ملف تفريغ تعطل التحليل. باستخدام هذه الأداة المساعدة ، لا تحتاج إلى أي معرفة أو مهارات في تصحيح الأخطاء لمعرفة برامج التشغيل التي تسبب مشاكل على جهاز الكمبيوتر الخاص بك.

يعتمد WhoCrashed على حزمة التصحيح (برنامج windbg) من Microsoft. إذا لم يتم تثبيت هذه الحزمة ، فسيقوم WhoCrashed بتنزيل هذه الحزمة واستخراجها تلقائيًا نيابة عنك. ما عليك سوى تشغيل البرنامج والنقر فوق الزر "تحليل". عندما يكون لديك WhoCrashed مثبتًا على نظامك وإذا تعطل أو أغلق بشكل غير متوقع ، فسيخبرك البرنامج إذا تم تمكين تفريغ الأعطال على جهاز الكمبيوتر الخاص بك وسيقدم لك اقتراحات حول كيفية تمكينها.

Windows هو إنشاء هش للغاية وأي شيء تقريبًا ، أي إجراء خاطئ من جانب المستخدم يستلزم حدوث أخطاء فادحة ، وليس كثيرًا. لمعرفة معلومات حول شاشات الموت الزرقاء ، وهي المشاكل الحرجة للغاية ، تساعد المعلومات المكتوبة على الشاشة نفسها ، بالإضافة إلى ملفات تفريغ الذاكرة الخاصة التي تخزن البيانات حول أسباب BsoD. أوصي بشدة بتمكين هذه الميزة ، حيث لا يوجد أحد محصن من ظهور شاشة زرقاء ، حتى المستخدم المتمرس.

عادةً ما يتم تخزين مقالب الذاكرة نفسها على طول المسار C: \ Windows \ MEMORY.DMP أو C: \ Windows \ Minidump - حيث يتم تخزين ما يسمى بتفريغ الذاكرة الصغيرة. بالمناسبة ، سيكون ملف تفريغ ذاكرة صغير هو الملف الذي سيساعدك في معرفة سبب BsoD.

عادةً ما يتم تعطيل إنشاء تفريغ الذاكرة في نظام التشغيل Windows 10 افتراضيًا ، مما يعني أن استخدام أدوات مساعدة خاصة للتحقق من ملفات التفريغ لن يعطي نتيجة إيجابية. دعنا نبدأ العمل مباشرة.

كيفية تمكين ميزة تفريغ الذاكرة على نظام التشغيل Windows 10 وتكوينها

عادةً ما يتم استخدام أدوات مساعدة مثل BlueScreenView لعرض عمليات التفريغ ، ولكنك تحتاج إلى إعداد تفريغ تلقائي للذاكرة في الوقت الحالي ، وإلا فسيكون هذا البرنامج والبرامج المماثلة عديمة الفائدة.

ستفتح نافذة ، حيث انقر على الخيار في الجانب الأيسر " إعدادات النظام الإضافية».

في علامة التبويب " بالإضافة إلى ذلك"انقر على البدعة" "".

أخيرًا ، يتم فتح نافذة حيث توجد المعلمات الرئيسية لإعداد عمليات التفريغ. هنا يمكنك أن ترى أن تفريغ الذاكرة التلقائي يتم تنشيطه في Windows ، والذي يتم تخزينه في المسار المشار إليه أدناه. كما تم تمكين مربعات الاختيار الخاصة بإنشاء السجلات. بالإضافة إلى ذلك ، يتم أيضًا إنشاء ملفات تفريغ ذاكرة صغيرة ، والتي ستكون مفيدة جدًا لنا عند العمل مع شاشات الموت الزرقاء. يتم أيضًا حفظ معلومات حول جوهر النظام والذاكرة. إذا كان هناك وضع تلقائي ، فسيكون هذا كافيًا.

حول مقالب الذاكرة الأخرى

إذا فتحت القائمة المنسدلة لكتابة معلومات تصحيح الأخطاء ، فسترى العديد من الخيارات التي سأصفها أدناه.

  • تفريغ ذاكرة صغيرة- مكب صغير يتم حفظه في مسار خاص ويزن 256 كيلو بايت. يخزن هذا الملف المعلومات الأساسية حول شاشات الموت الزرقاء وعمليات النظام. إذا كنت بحاجة إلى معرفة سبب الموت الزرقاء ، فإن تفريغ ذاكرة صغير يكفي. يتم استخدام BlueScreenView أو برنامج مشابه لاستخراج المعلومات. يمكن لأي مبتدئ استخدام هذه الطريقة.
  • تفريغ ذاكرة Kernel- سيحتوي الملف على نفس المعلومات مثل النوع التلقائي. الاختلاف الوحيد هو أن النظام يغير ملف ترحيل الصفحات. أي خيار تختار؟ أعتقد أن هذا النوع التلقائي على الفور.
  • تفريغ ذاكرة كاملة- يحتوي الملف على بيانات كاملة عن ذاكرة الوصول العشوائي ، مما يعني أن حجم الملف سيكون مساوياً لحجم ذاكرة الوصول العشوائي. يكلفك 8 جيجا بايت على جهاز الكمبيوتر الخاص بك ، وهذا هو مقدار ما سيشغله ملف تفريغ الذاكرة الكامل على القرص. للمبتدئين ، هذا الخيار غير مناسب بشكل خاص.
  • تفريغ الذاكرة النشطة- ظهر لأول مرة في Windows 10. أكثر ملاءمة للخوادم ويخزن البيانات حول أوضاع الذاكرة النشطة والنواة ، وكذلك المستخدم الحالي.

كيفية حذف ملف تفريغ الذاكرة

الأمر بسيط للغاية ، تذهب إلى المسار حيث توجد هذه الملفات وتحذفها يدويًا. على سبيل المثال ، يسمى ملف تفريغ الذاكرة الكاملة MEMORY.DMP ، ما عليك سوى حذفه وهذا كل شيء. عند استخدام أداة تنظيف القرص ، من الممكن أيضًا حذف ملفات التفريغ.


قد يتم تعطيل تفريغ الذاكرة بسبب الإجراءات التي تقوم بها أدوات تنظيف النظام. عند استخدام محركات أقراص الحالة الصلبة والأدوات المساعدة الخاصة للعمل مع محركات الأقراص هذه ، يمكنهم أيضًا تعطيل بعض وظائف النظام بحيث يكون محرك أقراص الحالة الثابتة أقل عرضة لإجراءات القراءة / الكتابة.

غالبًا ما يكون سبب أخطاء Windows الجسيمة المصحوبة بشاشات زرقاء (BSOD) هو برنامج تشغيل - تم تثبيته حديثًا أو تالفًا. بعد تحديد برنامج التشغيل الذي تسبب في حدوث الخطأ ، يمكنك البدء في إصلاح المشكلة: تحديث برنامج التشغيل ، أو الرجوع إلى إصدار سابق ، أو إعادة تثبيت أو إلغاء تثبيت التطبيق الذي قام بتثبيت برنامج التشغيل ، وما إلى ذلك. لا يتم عرض اسم برنامج التشغيل دائمًا باللون الأزرق شاشة. ومع ذلك ، هناك طريقة بسيطة للغاية لاستخدام تفريغ الذاكرة لتحديد المشغل المشكل في دقيقتين.

الخطوة 1 - تمكين تسجيل تفريغ الذاكرة

تحتاج أولاً إلى التأكد من تمكين تسجيل التفريغ. للقيام بذلك ، افتح خصائص النظام بالضغط على مجموعة المفاتيح win + pause، [في Vista انقر فوق الارتباط إعدادات النظام الإضافية] ، انتقل إلى علامة التبويب بالإضافة إلى ذلك، وأخيرًا انقر فوق الزر.

صغيريجب أن تكون مقالب الذاكرة كافية لأغراضنا.

انتبه إلى المسار إلى المجلد حيث سيتم حفظها عند حدوث خطأ فادح.

يمكنك الآن ضغط الملف وإرفاقه بمنشور في المنتدى استكشاف أخطاء Windows الجسيمة وإصلاحهاوانتظر حتى يخبرك شخص ما باسم السائق المشكل :) ولكن يمكنك القيام بذلك بنفسك دون بذل الكثير من الجهد.

الخطوة 2 - تحليل التفريغ باستخدام أداة MinDumper المساعدة

ستجد قصة حول الأداة المساعدة في هذه المقالة.

  1. قم بتنزيل وتثبيت أدوات التصحيح لنظام التشغيل Windows. إنها جزء من مثبت الويب لـ Windows SDK ، حيث تحتاج بعد التشغيل إلى تحديد أدوات التصحيح في قسم الأدوات المساعدة العامة.
  2. تحميل سيناريو(kdfe.cmd) ، الذي كتبه ألكسندر سوخوفي ونشر على المصدر sysadmins.ru(بما أنني لم أجد رابطًا مباشرًا هناك ، فأنا أعرض رابطًا خاصًا بي). قم بفك ضغط الأرشيف إلى أي مجلد.
    ملحوظة. إذا كان لديك موقع غير قياسي لمجلد Program Files ، فقد تحتاج إلى تحديد المسار إلى المجلد حيث تم تثبيت أدوات التصحيح لـ Windows في kdfe.cmd. استخدم متغير dbgpath في السطر 41.

الخطوة 3 - تحليل تفريغ الذاكرة

الآن كل شيء يتعلق بتنفيذ أمر واحد. افتح موجه الأوامر وانتقل إلى المجلد الذي قمت بفك ضغطه kdfe.cmd. قم بتشغيل الملف ، وتحديد المسار إلى ملف تفريغ الذاكرة كمعامل (في المثال أدناه ، يسمى الملف Mini1110307-01.dmp)

في وقت حدوث عطل فادح ، يتوقف نظام التشغيل Windows عن العمل ويعرض شاشة زرقاء للموت (الموت الزرقاء). تتم كتابة محتويات ذاكرة الوصول العشوائي وكافة المعلومات المتعلقة بالخطأ الذي حدث في ملف ترحيل الصفحات. في المرة التالية التي يقوم فيها Windows بالتمهيد ، يتم إنشاء تفريغ تعطل بمعلومات تصحيح الأخطاء استنادًا إلى البيانات المحفوظة. يتم إنشاء إدخال خطأ فادح في سجل أحداث النظام.

انتباه!لا يتم إنشاء تفريغ التعطل في حالة فشل النظام الفرعي للقرص أو في حالة حدوث خطأ فادح أثناء المرحلة الأولى من تمهيد Windows.

أنواع مقالب تعطل Windows

باستخدام نظام التشغيل Windows 10 الحالي (Windows Server 2016) كمثال ، دعنا نلقي نظرة على الأنواع الرئيسية لتفريغ الذاكرة التي يمكن للنظام إنشاؤها:

  • تفريغ ذاكرة صغيرة (تفريغ ذاكرة صغيرة)(256 كيلوبايت). يتضمن هذا النوع من الملفات الحد الأدنى من المعلومات. إنه يحتوي فقط على رسالة خطأ الموت الزرقاء ، ومعلومات حول برامج التشغيل ، والعمليات التي كانت نشطة في وقت التعطل ، وأي عملية أو مؤشر ترابط kernel تسبب في التعطل.
  • تفريغ ذاكرة Kernel. عادةً ما يكون صغيرًا ، ويمثل ثلث حجم الذاكرة الفعلية. تفريغ ذاكرة kernel أكثر تفصيلاً من التفريغ المصغر. يحتوي على معلومات حول برامج التشغيل وبرامج وضع kernel ، ويتضمن الذاكرة المخصصة لـ Windows kernel وطبقة تجريد الأجهزة (HAL) ، والذاكرة المخصصة لبرامج التشغيل وبرامج وضع kernel الأخرى.
  • تفريغ الذاكرة الكامل. الحجم الأكبر ويتطلب ذاكرة تساوي ذاكرة الوصول العشوائي في نظامك بالإضافة إلى 1 ميغابايت المطلوبة بواسطة Windows لإنشاء هذا الملف.
  • تفريغ الذاكرة التلقائي. يتوافق مع تفريغ ذاكرة kernel من حيث المعلومات. يختلف فقط في مقدار المساحة التي يستخدمها لإنشاء ملف التفريغ. نوع الملف هذا غير موجود في Windows 7. تمت إضافته في Windows 8.
  • تفريغ الذاكرة النشطة. يقوم هذا النوع بتصفية العناصر التي لا يمكنها تحديد سبب فشل النظام. تمت إضافة هذا في نظام التشغيل Windows 10 وهو مفيد بشكل خاص إذا كنت تقوم بتشغيل جهاز افتراضي ، أو إذا كان نظامك عبارة عن مضيف Hyper-V.

كيفية تمكين إنشاء تفريغ الذاكرة في Windows؟

باستخدام Win + Pause ، افتح نافذة إعدادات النظام ، وحدد " إعدادات النظام الإضافية" (إعدادات النظام المتقدمة). في علامة التبويب " بالإضافة إلى ذلك"(متقدم) ، قسم" "(بدء التشغيل والاسترداد) ، انقر فوق الزر" خيارات" (إعدادات). في النافذة التي تفتح ، قم بتكوين الإجراءات في حالة فشل النظام. حدد مربع الاختيار " اكتب الأحداث في سجل النظام»(اكتب حدثًا في سجل النظام) ، حدد نوع التفريغ الذي سيتم إنشاؤه عند تعطل النظام. إذا كان في مربع الاختيار " استبدال ملف التفريغ الموجود»(الكتابة فوق أي ملف موجود) حدد المربع ، وستتم الكتابة فوق الملف عند كل تعطل. من الأفضل إلغاء تحديد هذا المربع ، ثم سيكون لديك المزيد من المعلومات للتحليل. تعطيل أيضًا إعادة التشغيل التلقائي للنظام (إعادة التشغيل تلقائيًا).

في معظم الحالات ، سيكون تفريغ ذاكرة صغير كافيًا لتحليل سبب الموت الزرقاء.

الآن ، في حالة حدوث الموت الزرقاء ، يمكنك تحليل ملف التفريغ والعثور على سبب الفشل. يتم تخزين التفريغ المصغر افتراضيًا في المجلد٪ systemroot٪ \ minidump. لتحليل ملف التفريغ ، أوصي باستخدام البرنامج WinDBG(مصحح أخطاء Microsoft Kernel).

تثبيت WinDBG على نظام ويندوز

خدمة WinDBGمتضمن في " Windows 10 SDK»(Windows 10 SDK). .

يسمى الملف winsdksetup.exeحجم 1.3 ميغا بايت.

قم بتشغيل التثبيت واختر ما إذا كنت تريد تثبيت الحزمة على هذا الكمبيوتر أو تنزيلها للتثبيت على أجهزة كمبيوتر أخرى. قم بتثبيت الحزمة على الكمبيوتر المحلي.

يمكنك تثبيت الحزمة بأكملها ، ولكن لتثبيت فقط حدد أداة التصحيح أدوات التصحيح لنظام التشغيل Windows.

بمجرد التثبيت ، يمكن العثور على اختصارات WinDBG في قائمة البداية.

تعيين اقتران ملفات .dmp مع WinDBG

لفتح ملفات التفريغ بنقرة بسيطة ، قم بتعيين امتداد .dmp إلى الأداة المساعدة WinDBG.

  1. افتح موجه الأوامر كمسؤول وقم بتشغيل الأوامر لنظام 64 بت: cd C: \ Program Files (x86) \ Windows Kits \ 10 \ Debuggers \ x64
    windbg.exe –IA
    لنظام 32 بت:
    C: \ Program Files (x86) \ Windows Kits \ 10 \ Debuggers \ x86
    windbg.exe –IA
  2. نتيجة لذلك ، سيتم تعيين أنواع الملفات: .DMP ، .HDMP ، .MDMP ، .KDMP ، .WEW إلى WinDBG.

إعداد خادم رمز التصحيح في WinDBG

رموز التصحيح (رموز التصحيح أو ملفات الرموز) هي كتل بيانات تم إنشاؤها في عملية تجميع برنامج مع ملف قابل للتنفيذ. تحتوي كتل البيانات هذه على معلومات حول أسماء المتغيرات ، والوظائف المسماة ، والمكتبات ، وما إلى ذلك. هذه البيانات ليست ضرورية عند تشغيل البرنامج ، ولكنها مفيدة عند تصحيح أخطائه. يتم تجميع مكونات Microsoft برموز موزعة من خلال Microsoft Symbol Server.

قم بإعداد WinDBG لاستخدام Microsoft Symbol Server:

  • افتح WinDBG ؛
  • اذهب إلى القائمة ملف –> مسار ملف الرمز ؛
  • اكتب سلسلة تحتوي على عنوان URL لتنزيل رموز التصحيح من موقع Microsoft على الويب والمجلد الخاص بحفظ ذاكرة التخزين المؤقت: SRV * E: \ Sym_WinDBG * http: //msdl.microsoft.com/download/symbols في المثال ، يتم تنزيل ذاكرة التخزين المؤقت إلى المجلد E: \ Sym_WinDBG ، يمكنك تحديد أي ملف.
  • لا تنس حفظ التغييرات في القائمة ملف–>حفظ مساحة العمل ؛

سيبحث WinDBG عن الرموز في المجلد المحلي ، وإذا لم يعثر على الرموز الضرورية فيه ، فسيقوم تلقائيًا بتنزيل الرموز من الموقع المحدد. إذا كنت تريد إضافة مجلد الرموز الخاص بك ، فيمكنك القيام بذلك على النحو التالي:

SRV * E: \ Sym_WinDBG * http: //msdl.microsoft.com/download/symbols؛ c: \ Symbols

إذا لم يكن هناك اتصال بالإنترنت ، فقم بتنزيل حزمة الرموز من مورد Windows Symbol Packages أولاً.

تحليل تفريغ الأعطال في WinDBG

يقوم مصحح الأخطاء WinDBG بفتح ملف التفريغ وتنزيل الرموز الضرورية للتصحيح من مجلد محلي أو من الإنترنت. أثناء هذه العملية ، لا يمكنك استخدام WinDBG. في الجزء السفلي من النافذة (في سطر أوامر مصحح الأخطاء) يظهر النقش Debugee غير متصل.

يتم إدخال الأوامر في سطر الأوامر الموجود أسفل النافذة.

أهم شيء يجب الانتباه إليه هو رمز الخطأ ، والذي يتم تحديده دائمًا بالقيمة السداسية العشرية ويبدو 0xXXXXXXXXX(مشار إليه في أحد الخيارات - STOP: ، 07/02/2019 0008F ، 0x8F). في مثالنا ، رمز الخطأ هو 0x139.

يطالبك المصحح بتنفيذ الأمر! ما هو هذا الأمر ل؟

  • يقوم بإجراء تحليل أولي لتفريغ الذاكرة ويوفر معلومات مفصلة لبدء التحليل.
  • سيعرض هذا الأمر كود STOP والاسم الرمزي للخطأ.
  • يظهر كومة الاستدعاءات للأوامر التي أدت إلى الانهيار.
  • بالإضافة إلى ذلك ، يتم عرض أخطاء عنوان IP والعملية والتسجيل هنا.
  • يمكن للفريق تقديم توصيات جاهزة لحل المشكلة.

النقاط الرئيسية التي يجب الانتباه إليها عند التحليل بعد تنفيذ الأمر! analysis -v (القائمة ليست كاملة).

1: دينار>! تحليل -v


* *
* تحليل فحص الأخطاء *
* *
*****************************************************************************
الاسم الرمزي لخطأ STOP (BugCheck)
KERNEL_SECURITY_CHECK_FAILURE (139)
وصف الخطأ (تسبب مكون kernel في إتلاف بنية بيانات مهمة. قد يسمح هذا التلف للمهاجم بالتحكم في هذا الجهاز):

أحد مكونات kernel أتلف بنية بيانات مهمة. من المحتمل أن يسمح التلف لمستخدم ضار بالتحكم في هذا الجهاز.
وسيطات الخطأ:

الحجج:
Arg1: 0000000000000003 ، تم إتلاف LIST_ENTRY (أي إزالة مزدوجة).
Arg2: ffffd0003a20d5d0 ، عنوان إطار الملائمة للاستثناء الذي تسبب في فحص الأخطاء
Arg3: ffffd0003a20d528 ، عنوان سجل الاستثناء للاستثناء الذي تسبب في التحقق من الخطأ
Arg4: 0000000000000000 ، محفوظة
تفاصيل التصحيح:
------------------

يوضح العداد عدد المرات التي تعطل فيها النظام بسبب خطأ مشابه:

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: FAIL_FAST_CORRUPT_LIST_ENTRY

رمز خطأ STOP بتنسيق مختصر:

BUGCHECK_STR: 0x139

العملية التي تعطلت (ليس بالضرورة سبب الخطأ ، فقط تلك العملية كانت تعمل في الذاكرة وقت الانهيار):

PROCESS_NAME: sqlservr.exe

فك تشفير رمز الخطأ: اكتشف النظام تجاوز سعة المخزن المؤقت للمكدس في هذا التطبيق ، مما قد يسمح للمهاجمين بالتحكم في هذا التطبيق.

ERROR_CODE: (NTSTATUS) 0xc0000409 - اكتشف النظام تجاوز المخزن المؤقت المستند إلى المكدس في هذا التطبيق. قد يسمح هذا التجاوز لمستخدم ضار بالتحكم في هذا التطبيق.
EXCEPTION_CODE: (NTSTATUS) 0xc0000409 - اكتشف النظام تجاوز المخزن المؤقت المستند إلى المكدس في هذا التطبيق. قد يسمح هذا التجاوز لمستخدم ضار بالتحكم في هذا التطبيق.

آخر مكالمة على المكدس:

LAST_CONTROL_TRANSFER: من fffff8040117d6a9 إلى fffff8040116b0a0

مكدس الاستدعاء في وقت الفشل:

STACK_TEXT:
ffffd000`3a20d2a8 fffff804`0117d6a9: 00000000`00000139 00000000`00000003 ffffd000`3a20d5d0 ffffd000`3a20d528: nt! KeBugCheckEx
ffffd000`3a20d2b0 fffff804`0117da50: ffffe000`f3ab9080 ffffe000`fc37e001 ffffd000`3a20d5d0 fffff804`0116e2a2: nt! KiBugCheck إرسال + 0x69
ffffd000`3a20d3f0 fffff804`0117c150: 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000: nt! KiFastFailDispatch + 0xd0
ffffd000`3a20d5d0 fffff804`01199482: ffffc000`701ba270 ffffc000`00000001 000000ea`73f68040 fffff804`000006f9: nt! KiRaiseSecurityCheckFailure + 0x3d0
ffffd000`3a20d760 fffff804`014a455d: 00000000`00000001 ffffd000`3a20d941 ffffe000`fcacb000 ffffd000`3a20d951: nt! ؟؟ :: FNODOBFM :: `string" + 0x17252
ffffd000`3a20d8c0 fffff804`013a34ac: 00000000`00000004 00000000`00000000
ffffd000`3a20d990 fffff804`0117d313: ffffffff`fffffffe 00000000`00000000 00000000`00000000 000000eb`a0cf1380: nt! NtWriteFile + 0x694
ffffd000`3a20da90 00007ffb`475307da: 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000: nt! KiSystemServiceCopyEnd + 0x13
000000ee'f25ed2b8 00000000'00000000: 00000000'00000000 00000000'00000000 00000000'00000000

قسم الكود الذي حدث فيه الخطأ:

المتابعة:
NT! KiFastFailDispatch + d0
fffff804`0117da50 c644242000 موف بايت ptr، 0
FAULT_INSTR_CODE: 202444c6
SYMBOL_STACK_INDEX: 2
SYMBOL_NAME: nt! KiFastFailDispatch + d0
FOLLOWUP_NAME: MachineOwner

اسم الوحدة النمطية في جدول كائن kernel. إذا كان المحلل قادرًا على اكتشاف برنامج تشغيل به مشكلة ، فسيتم عرض الاسم في حقلي MODULE_NAME و IMAGE_NAME:

MODULE_NAME: nt
IMAGE_NAME: ntkrnlmp.exe

1: دينار> lmvm nt
تصفح قائمة الوحدات الكاملة
تم تحميل ملف صورة الرمز: ntkrnlmp.exe
ملف صورة الذاكرة المعينة: C: \ ProgramData \ dbg \ sym \ ntoskrnl.exe \ 5A9A2147787000 \ ntoskrnl.exe
مسار الصورة: ntkrnlmp.exe
اسم الصورة: ntkrnlmp.exe
الاسم الداخلي: ntkrnlmp.exe
الأصل اسم الملف: ntkrnlmp.exe
الإصدار: 6.3.9600.18946
الإصدار: 6.3.9600.18946 (winblue_ltsb_escrow.180302-1800)

في المثال أعلاه ، أشار التحليل إلى ملف kernel ntkrnlmp.exe. عندما يشير تحليل تفريغ الذاكرة إلى برنامج تشغيل نظام (على سبيل المثال ، win32k.sys) أو ملف kernel (كما في مثالنا ، ntkrnlmp.exe) ، فمن المحتمل ألا يكون هذا الملف هو سبب المشكلة. غالبًا ما يتضح أن المشكلة تكمن في برنامج تشغيل الجهاز أو إعدادات BIOS أو عطل في الأجهزة.

إذا رأيت أن الموت الزرقاء يرجع إلى برنامج تشغيل تابع لجهة خارجية ، فسيتم إدراج اسمه في قيمتي MODULE_NAME و IMAGE_NAME.

فمثلا:

مسار الصورة: \ SystemRoot \ system32 \ drivers \ cmudaxp.sys
اسم الصورة: cmudaxp.sys

افتح خصائص ملف برنامج التشغيل وتحقق من نسخته. في معظم الحالات ، يتم حل مشكلة برامج التشغيل عن طريق تحديثها.

مرحبًا أيها الأصدقاء ، سنقوم اليوم بتحليل موضوع مثير للاهتمام سيساعدك في المستقبل عندما تظهر شاشة الموت الزرقاء (BSoD).

لقد شاهد العديد من المستخدمين الآخرين ، مثلي ، ظهور شاشة بخلفية زرقاء مكتوب عليها شيء ما (أبيض على أزرق). تشير هذه الظاهرة إلى وجود مشكلة حرجة ، سواء في البرامج ، على سبيل المثال ، تعارض برنامج التشغيل ، وفي عطل مادي في بعض مكونات الكمبيوتر.

في الآونة الأخيرة ، حصلت على شاشة زرقاء مرة أخرى في نظام التشغيل Windows 10 ، ولكن سرعان ما تخلصت منها وسأخبرك عنها قريبًا.

لذلك ، ما لا يعرفه معظم المستخدمين هو أنه يمكن تحليل BSoD لفهم مشكلات الخطأ الحرجة لاحقًا. في مثل هذه الحالات ، يقوم Windows بإنشاء ملفات خاصة على القرص - سنقوم بتحليلها.

هناك ثلاثة أنواع من تفريغ الذاكرة:

تفريغ ذاكرة كاملة- تتيح لك هذه الوظيفة حفظ محتويات ذاكرة الوصول العشوائي بالكامل. نادرًا ما يتم استخدامه ، لأنك تخيل أن لديك 32 جيجا بايت من ذاكرة الوصول العشوائي ، مع تفريغ كامل ، سيتم حفظ كل هذا الحجم على القرص.

تفريغ الأساسية- يحفظ معلومات حول وضع النواة.

تفريغ ذاكرة صغيرة- يحفظ قدرًا صغيرًا من المعلومات حول الأخطاء والمكونات المحملة التي كانت وقت حدوث عطل في النظام. سنستخدم هذا النوع من التفريغ لأنه سيعطينا قدرًا كافيًا من المعلومات حول BSoD.

يختلف موقع كل من التفريغ الصغير والتفريغ الكامل ، على سبيل المثال ، يقع التفريغ الصغير في المسار التالي:٪ systemroot٪ \ minidump.

يوجد التفريغ الكامل هنا:٪ systemroot٪.

هناك برامج مختلفة لتحليل تفريغ الذاكرة ، لكننا سنستخدم برنامجين. الأول هو Microsoft Kernel Debuggers ، كما يوحي الاسم ، أداة مساعدة من Microsoft. يمكنك تنزيله من الموقع الرسمي. البرنامج الثاني هو BlueScreenView وهو برنامج مجاني يمكن تحميله من هنا.

تحليل تفريغ الذاكرة باستخدام Microsoft Kernel Debuggers

بالنسبة للإصدارات المختلفة من الأنظمة ، تحتاج إلى تنزيل نوع الأداة المساعدة الخاص بك. على سبيل المثال ، بالنسبة لنظام التشغيل 64 بت ، فأنت بحاجة إلى برنامج 64 بت ، وللإصدار 32 بت ، وإصدار 32 بت.

هذا ليس كل شيء ، فأنت بحاجة إلى تنزيل وتثبيت حزمة رموز التصحيح اللازمة للبرنامج. تسمى رموز التصحيح. يتم أيضًا تنزيل كل إصدار من هذه الحزمة ضمن نظام تشغيل معين ، اكتشف أولاً النظام الذي لديك ، ثم قم بتنزيله. حتى لا تبحث عن هذه الشخصيات في أي مكان ، إليك رابط التنزيل. يفضل أن يتم التثبيت على طول هذا المسار:٪ systemroot٪ \ icons.

يمكنك الآن تشغيل مصحح الأخطاء الخاص بنا ، والذي ستبدو نافذته كما يلي:

قبل تحليل عمليات التفريغ ، سنقوم بتهيئة شيء ما في الأداة المساعدة. أولاً ، نحتاج إلى إخبار البرنامج بمكان تثبيت رموز التصحيح. للقيام بذلك ، انقر فوق الزر "ملف" وحدد عنصر "مسار ملف الرمز" ، ثم حدد المسار إلى الرموز.


يسمح لك البرنامج باستخراج الرموز مباشرة من الويب ، حتى لا تضطر إلى تنزيلها (آسف لأولئك الذين قاموا بتنزيلها بالفعل). سيتم أخذها من خادم Microsoft ، لذلك كل شيء آمن. لذلك ، تحتاج إلى فتح "ملف" مرة أخرى ، ثم "مسار ملف الرمز" وإدخال الأمر التالي:

SRV *٪ systemroot٪ \ icons * http: //msdl.microsoft.com/download/symbols


وهكذا قلنا للبرنامج أن الشخصيات يجب أن تؤخذ من الشبكة. بمجرد القيام بذلك ، انقر فوق "ملف" وحدد "حفظ مساحة العمل" ، ثم انقر فوق "موافق".

هذا كل شئ. لقد قمنا بتكوين البرنامج بالطريقة الصحيحة ، والآن بدأنا في تحليل تفريغ الذاكرة. اضغط على الزر الموجود في البرنامج ملف، بعد، بعدما "فتح تفريغ الأعطال"وحدد الملف المطلوب.

ستبدأ Kernel Debuggers في تحليل الملف ثم إخراج نتيجة حول سبب الخطأ.


في النافذة التي تظهر ، يمكنك إدخال الأوامر. إذا دخلنا ! تحليل -v، نحصل على مزيد من المعلومات.

هذا كل شيء مع هذا البرنامج. لإيقاف مصحح الأخطاء ، حدد "تصحيح" وحدد "إيقاف التصحيح".

تحليل تفريغ الذاكرة باستخدام BlueScreenView

لتحليل الأخطاء المختلفة و BSoD ، يعد برنامج BlueScreenView مناسبًا أيضًا ، والذي يحتوي على واجهة بسيطة ، لذلك يجب ألا تكون هناك مشاكل في إتقانها.

قم بتنزيل البرنامج من الرابط أعلاه وقم بتثبيته. بعد تشغيل الأداة ، تحتاج إلى تكوينها. انتقل إلى الخيارات: "الإعدادات" - "الخيارات المتقدمة". ستفتح نافذة صغيرة بخيارين. في الفقرة الأولى ، تحتاج إلى تحديد موقع تفريغ الذاكرة. عادة ما تكون موجودة في C: \ WINDOWS \ Minidump. ثم انقر فوق الزر "افتراضي".


ما الذي يمكن رؤيته في البرنامج؟ لدينا عناصر قائمة ، وجزء من النافذة به أسماء ملفات التفريغ والجزء الثاني من النافذة - محتويات مقالب الذاكرة.


كما قلت في بداية المقال ، يمكن للمخلفات تخزين السائقين ، ولقطة شاشة "شاشة الموت" نفسها ، ومعلومات أخرى مفيدة قد نحتاجها.

لذلك ، في الجزء الأول من النافذة ، حيث توجد ملفات التفريغ ، حدد ملف تفريغ الذاكرة الذي نحتاجه. في الجزء التالي من النافذة ، ننظر إلى المحتويات. يتم تمييز برامج التشغيل التي كانت في مكدس الذاكرة بلون ضارب إلى الحمرة. فقط هم سبب شاشة الموت الزرقاء.

على الإنترنت ، يمكنك العثور على كل شيء عن رمز الخطأ وبرنامج التشغيل ، والذي قد يكون خطأ BSoD. للقيام بذلك ، انقر فوق "ملف" ، ثم "Google Search Error Code + Driver".


يمكنك فقط عرض برامج التشغيل التي كانت وقت حدوث الخطأ. للقيام بذلك ، انقر فوق "إعدادات" - "وضع النافذة السفلية" - "تم العثور على برامج التشغيل فقط في مكدس الأعطال." أو اضغط على مفتاح F7.

لإظهار لقطة شاشة BSoD ، اضغط على مفتاح F8.

لإظهار كافة برامج التشغيل والملفات ، اضغط على F6.

حسنا هذا كل شيء. أنت الآن تعرف كيفية التعرف على مشكلة الشاشة الزرقاء للموت ، وفي هذه الحالة يمكنك إيجاد حل على الإنترنت أو على هذا الموقع. يمكنك تقديم رموز الخطأ الخاصة بك ، وسأحاول الكتابة لكل مقالة لحل المشكلة.

لا تنس أيضًا طرح الأسئلة في التعليقات.



نوصي بالقراءة

بطارية Tesla Model S.
بطارية Tesla Model S.

بطاريات الليثيوم أيون الجر Tesla ، ماذا بالداخل؟ تسلا موتورز ...