Debugger - lekarstwo na niebieski ekran

Zrzuty pamięci

Debugger - lekarstwo na niebieski ekran

Za pomocą polecenia !analyze -v możemy namierzyć podejrzany sterownik

Zrzut pamięci jest odzwierciedleniem zawartości pamięci operacyjnej systemu w momencie awarii. Na pierwszy rzut oka trudno wydostać z niego jakiekolwiek informacje o stanie komputera w formie przyjaznej użytkownikowi. Łatwiejsze wydaje się uzyskanie informacji od użytkownika, jakie operacje wykonywał na komputerze tuż przed awarią, czy i jakie instalował ostatnio sterowniki, ale wtedy możemy uzyskać niepełne i nieprecyzyjne informacje.

W systemie Windows 2000 i nowszych systemach (XFJ 2003) generowane są trzy typy zrzutów pamięci:

Mały zrzut pamięci (minidump): Jest to plik o rozmiarze 64 KB. Jest tak mały, ponieważ nie zawiera obrazu żadnych plików binarnych ani wykonywalnych, które były załadowane do pamięci w chwili awarii systemu. Pliki .exe są potrzebne do pełnej i właściwej analizy przyczyn awarii, więc ten rodzaj zrzutu pamięci będzie miał dla nas niewielką wartość. Jednakże jeśli analizy tego zrzutu dokonujemy bezpośrednio na maszynie, która uległa awarii, nasz debuger odnajdzie je w folderze systemowym (pod warunkiem, że nie zostały od czasu awarii zaktualizowane). Maty zrzut pamięci jest domyślnym ustawieniem dla wszystkich omawianych tu systemów.

Zrzut pamięci jądra (kernel dump): Wielkość pliku jest równa rozmiarowi pamięci zajmowanemu przez jądro systemu operacyjnego. Dla komputera pracującego pod Windows XP z 512 MB pamięci operacyjnej plik ten zajmuje zwykle ok. 60 MB. W większości przypadków ten rodzaj zrzutu okazuje się najbardziej użyteczny. Jest znacząco mniejszy niż kompletny zrzut pamięci, ale pomija obszary pamięci, które najprawdopodobniej nie miały nic wspólnego z awarią.

Zrzut całej pamięci (fuli dump): Jest to plik wielkości równej rozmiarowi pamięci operacyjnej komputera. Dla maszyny wyposażonej w 512 MB RAM system tworzy plik o rozmiarze 512 MB (tak naprawdę minimalnie większy). Ponieważ zawiera wszystko co znalazło się w pamięci komputera w chwili awarii, plik ten możemy z powodzeniem analizować na innym komputerze.

Ponieważ systemy pracujące pod systemem XP i 2003 domyślnie tworzą mały zrzut pamięci dla każdej awarii i każdy kolejny nie nadpisuje poprzedniego, dane te są cennym źródłem informacji o pracy komputera.

Konfiguracja zrzutów pamięci

Aby móc analizować zrzuty pamięci, musimy skonfigurować odpowiednio komputer.

Ustawienia te znajdziemy w zaawansowanych właściwościach systemu - prawy klik na Mój komputer, potem wybieramy właściwości, następnie zakładkę Zaawansowane i wreszcie Uruchamianie i odzyskiwanie. Tu możemy wybrać rodzaj zrzutu pamięci, jaki nasz komputer ma generować, oraz czy nowe zrzuty mają nadpisywać poprzednie. Warto zastanowić się nad tym ustawieniem, bo z jednej strony zrzuty te są dla nas cennym źródłem informacji, z drugiej jednak trzeba się liczyć, że mogą one pochłonąć dużo miejsca na dysku.


TOP 200