Как расшифровать BSOD с помощью дампа памяти. Почему появляется синий экран смерти и что с ним делать Поиск и устранение уязвимостей

30.05.2023Рубрика: Одноклассники

Он появляется в самый неподходящий и неожиданный момент... Он вгоняет в ужас неподготовленных пользователей... Он может пустить насмарку все Ваши многодневные труды... Кто он? Синий экран смерти:)

Что такое синий экран смерти

Синий экран смерти (или BSOD ) по сути являет собой один из многочисленных видов сообщений об ошибке. Однако, если обычные некритичные сообщения можно закрыть, продолжив работать с системой, то синий экран появляется при сбоях, несовместимых с нормальным функционированием Windows и "лечится" только перезагрузкой компьютера.

Впервые BSOD официально появился в Windows 3.1 (хотя говорят, что он был и в самой первой версии системы). С тех пор его внешний вид и содержание постепенно менялось, но суть оставалась прежней - если синий экран появился, то с системой явно что-то не так...

На экране смерти в виде текста всегда отображается причина сбоя системы и ряд технических данных. Они могут содержать упоминание файлов из-за которых произошёл сбой и/или код ошибки, благодаря которому можно попытаться найти решение по её устранению. Наиболее информативным BSOD был в Windows XP, Vista и 7. Начиная с "Восьмёрки", на нём содержится лишь код ошибки (правда, дополненный в "Десятке" QR-кодом со ссылкой на страницу её описания)

Кстати, экран смерти Windows может быть не только синим! В Windows Vista критические ошибки ядра вызывали сообщение на красном фоне (RSOD), а в Windows 10 Preview все сбои отображаются на зелёном фоне (GSOD)! Кроме того существует ряд ошибок, которые возникают обычно на этапе загрузки на чёрном фоне и некоторыми именуются не иначе как "чёрный экран смерти" или KSOD (сокр. от англ. "blacK Screen Of Death"):

Что интересно, при желании Вы сами можете поменять цвета на экране смерти:) Проще всего это сделать при помощи программы Notmyfault от небезызвестного Марка Руссиновича. Полную инструкцию можно посмотреть . Ну а мы продолжим изучать само явление BSOD.

Как выяснить причину сбоя

Как мы уже говорили выше, наиболее информативными экраны смерти были в Windows XP, Vista и 7. На их примере рассмотрим структуру типичного BSOD:

На первый взгляд здесь очень много английского текста, который и вгоняет в ступор новичков, сталкивающихся с синим экраном не так часто. Для подготовленного же пользователя пользу несёт всего три-четыре (в зависимости от типа сбоя) строчки:

The problem seems to be caused by the following file: (Проблема, скорее всего, была вызвана следующим файлом). Как правило, это второй абзац синего экрана смерти. Он содержит имя файла, в работе которого случился сбой. В ряде случаев этот параметр может быть пустым.
Название сбоя . Эта строка идёт сразу после предыдущей и содержит в себе название ошибки, по которому можно поискать в Интернете способы её устранения. После этой строки обычно идёт секция со стандартными советами, вроде перезагрузки компьютера и удаления всех новоустановленных программ, драйверов и устройств.
Technical Information: (техническая информация). Нижний блок синего экрана смерти, который содержит два важных параметра: стоп-код ошибки , по которому можно также определить сбой в Интернете, и дополнительные данные об области памяти сбойного файла, в котором случился сбой (может отсутствовать в ряде случаев).

В случае же появления ошибки на Windows 8 и 10, синий экран, увы, не настолько информативен. Он выдаёт нам лишь название сбоя и иногда в скобках указывает файл, в котором этот сбой произошёл:

Имея данные о названии сбоя, коде ошибки и зная файл, который привёл к ней, мы можем поискать в Интернете возможные варианты решения проблемы. Кстати, иногда даже искать особо не приходится, если имя сбойного файла о чём-то говорит. К примеру, существовавшая одно время ошибка в браузере Амиго часто приводила к BSOD в Windows 7 x64. Естественно, что на экране смерти чётко и ясно была прописана ссылка на файл "amigo.exe", а решалась проблема банальным удалением навязанного браузера:)

Итак, мы уже поняли, что синий экран смерти даёт нам определённую информацию относительно вызвавшего его сбоя. Однако, диагностировать причину появления ошибки можно не только по описанию, но ещё и по времени появления BSOD. Например, если синий экран "вываливается" до загрузки системы, то проблема часто кроется в драйверах, запускаемых службах или повреждении файловой системы. Появление экрана смерти сразу после запуска системы может свидетельствовать о некорректно работающей программе или вирусе в автозагрузке. А стоп-экран уже после запуска может означать перегрев процессора, ошибки оперативной памяти или же некорректную работу программ.

Анализ дампов памяти

Чтобы сказать что-либо наверняка нужно воспользоваться одним из механизмов фиксации различных сбоев и ошибок, которых в Windows имеется несколько. Во-первых, все события пишутся в Журналы Windows (Панель управления - Администрирование - Просмотр событий). Во-вторых, критические ошибки отображаются в виде синих экранов смерти . Но при штатной работе системы во время появления BSOD также создаются ещё и специальные файлы, которые называются дампами памяти .

Дампы - это файлы с расширением.DMP, которые содержат в себе образы оперативной памяти на момент возникновения критической ошибки. В современных версиях Windows различают:

малый дамп памяти (от 64 до 256 КБ) - содержит данные о сбое системы и перечень загруженных на момент его возникновения драйверов;
дамп памяти ядра - вмещает в себе всё содержимое памяти, задействованное ядром системы;
полный дамп памяти - отражает полный образ всего доступного объёма оперативной памяти.

Кроме того, в новых версиях Windows (8 и 10) были добавлены режимы "автоматический дамп памяти" и "активный дамп памяти". Первый тип содержит ту же информацию, что и дамп памяти ядра, но может автоматически дополнять содержимое оперативной памяти ещё и содержимым файла подкачки. Активный же дамп, который появился в "Десятке", являет собой вариант полного, но включает в отчёт только данные активной памяти основной системы, отсекая любые функции виртуализации.

Для диагностики причин появления BSOD, как правило, достаточно малого дампа памяти. Его автоматическое создание при сбое нужно активировать (хотя, в некоторых сборках Windows оно уже активировано по умолчанию). Вызовите Свойства значка "Компьютер" на рабочем столе. Откроется оснастка "Система". Теперь нажмите на левой панели ссылку "Дополнительные параметры системы" , в открывшемся окошке перейдите на вкладку "Дополнительно" и нажмите кнопку . В секции "Отказ системы" проверьте, стоит ли галочка "Записать событие в системный журнал" и в выпадающем списке ниже выберите значение "Малый дамп памяти" :

Теперь при каждом возникновении BSOD в папке C:\Windows\Minidump (путь можно при желании изменить в описанных выше настройках) должны будут создаваться файлы, из которых можно узнать дополнительную полезную информацию о причинах появления синего экрана! Однако, чтобы их открыть и посмотреть нужна некоторая предварительная подготовка.

Во-первых, требуется установить набор системных отладочных инструментов под названием Debugging Tools for Windows . Получить их официально можно в составе одного из пакетов для разработчиков на следующей странице . Я бы рекомендовал третий способ в секции "As a standalone tool set" . Вам потребуется скачать веб-установщик Windows SDK по ссылке в описании и в процессе выбора компонентов оставить только "Debugging Tools for Windows" :

Можно поступить и более простым способом, скачав и установив Debugging Tools for Windows в виде отдельного готового решения (есть в архиве, который скачивается по кнопке-ссылке в самом низу статьи). Но в данном случае установится 32-битная версия пакета утилит и на 64-битных системах может потребоваться дальнейшая перенастройка инструментов анализа дампов (в принципе, особо сложного в этом ничего нет и я покажу как это сделать).

Когда пакет Debugging Tools for Windows будет установлен, нужно будет определиться с инструментами для анализа файлов с дампами памяти. Из наиболее популярных стоит отметить консольный скрипт KDFE.CMD от Александра Суховея и утилиту с графическим интерфейсом BlueScreenView от небезызвестного разработчика Nir Sofer из NirSoft. Оба эти инструмента взаимодополняют друг друга, поэтому все их также можно скачать вместе с остальными материалами к этой статье по ссылке внизу.

Несмотря на то, что скрипт KDFE.CMD был написан нашим земляком ещё для Windows 2000, он до сих пор отлично работает даже на "Десятке"! При этом, если на компьютере корректно установлен Debugging Tools for Windows, скрипт не требует никакой перенастройки.

Чтобы начать работать с ним, скопируйте его из скачанного с нашего сайта архива в корень системного диска, а ещё лучше в специально созданную папку C:\dump (буква диска зависит от буквы Вашего системного раздела). Теперь, если запустить скрипт двойным щелчком, он выдаст нам список доступных дампов памяти и предложит ввести порядковый номер нужного нам файла (поскольку своих дампов у меня не было, то для теста я взял файлы и поместил их в C:\Windows\Minidump). После этого он автоматически проанализирует указанный дамп и выдаст результат:

В отчёте будут указаны:

дата сбоя (Crash date);
стоп-код ошибки, который отображался на синем экране (Stop error code);
имя процесса, вызвавшего сбой (Process name);
вероятный модуль, который привёл к сбою (Probably caused by).

Как видим, сбой произошёл при работе с виртуальной машиной VirtualBox и связан он, скорее всего, с ошибкой в реализации модуля виртуализации сети (такая ошибка действительно существовала, но на сегодняшний день уже давно исправлена). В данном случае причиной сбоя стал сторонний софт, который мы, как пользователи, самостоятельно исправить не можем. Поэтому верным решением в данном случае будет написать о проблеме разработчикам и ждать новой исправленной версии программы.

Теперь попробуем подсунуть этот же дамп памяти программе BlueScreenView . Преимуществом данной утилиты является то, что она позволяет просматривать не только информацию о сбойных модулях, но и всё содержимое дампа. Но для нормальной работы программу может потребоваться предварительно настроить. Запустите её, и в меню "Настройки" выберите раздел "Дополнительные параметры" (либо нажмите CTRL+O). В открывшемся окошке проверьте путь к исполняемому файлу DumpChk.exe из установленного у Вас пакета Debugging Tools for Windows:

Что интересно, если скрипт KDFE.CMD выдавал нам причину, вызвавшую сбой, то BlueScreenView выдаёт следствие, которое привело к появлению BSOD. То есть, здесь отображаются те системные файлы, которые пострадали от ошибки в работе стороннего ПО. Они отмечаются красным выделением. То есть, фактически представление программы BlueScreenView дублирует собой представление самого синего экрана смерти с указанием названия ошибки, стоп-кода и пострадавших системных файлов.

Кстати, представление данных можно менять. Чтобы сделать это откройте меню "Настройки" , перейдите в раздел "Режим нижнего окна" и выберите один из доступных пунктов. По умолчанию здесь активен первый - "Все загруженные драйверы", однако, полезными могут оказаться также режимы "Синий экран BSOD в стиле XP" (отображает непосредственно синий экран смерти на момент сбоя) или "Необработанные данные" (выводит всё содержимое дампа памяти в HEX-формате):

Таким образом, использование для анализа дампа памяти обеих инструментов позволит нам получить максимально полную картину причины появления BSOD. А точная диагностика - это уже верный путь к устранению проблемы!

Варианты устранения синего экрана

Для правильного реагирования на появление BSOD и устранения причин его вызывающих мы должны сопоставить все известные нам факты, которые предшествовали сбою и проявляются в данный момент. Если сбой проявился спонтанно и лишь один раз, то, скорее всего, он был вызван некорректной работой какой-либо программы или её драйвера. В этом случае достаточно посмотреть дамп памяти, выяснить, что за программа привела к появлению сбоя (при помощи KDFE.CMD) и написать разработчикам о найденной ошибке с описанием её названия и стоп-кода (можно и вовсе послать им файл дампа памяти).

Если же сбой повторяется периодически, то здесь, вероятнее всего, мы имеем дело либо с ошибкой в работе определённых системных компонентов (чаще всего несовместимость ПО), либо с реальной физической поломкой одного из узлов компьютера (чаще всего сбои файловой системы на жёстком диске, ошибки оперативной памяти или перегрев процессора). Как ни странно, для устранения проблемы можно вполне воспользоваться советами, которые изложены на самом синем экране смерти:

удалить или переустановить новые программы и/или драйвера;
отключить новые устройства, которые были подключены к компьютеру;
сбросить настройки BIOS (для этого проще всего извлечь из материнской платы батарейку-"таблетку" минут на 5).

Если Windows не загружается, произвести все эти манипуляции можно попытаться в Безопасном режиме. Чтобы его вызвать, нажимайте клавишу F8 при начале загрузки системы. Загрузившись таким образом (или стандартным), Вы можете последовать официальным рекомендациям по устранению BSOD от Microsoft.

Выводы

Синий экран смерти вовсе не означает окончательную смерть Windows. Он означает начало весьма "увлекательного" процесса поиска и устранения проблемы. В своей практике мне не раз приходилось выводить компьютеры из состояния вечно появляющегося BSOD и почти всегда причины были разными, а на поиск их исправления порой уходило по несколько часов!

Но, что самое главное, примерно в 3 из 4 случаев "поднять" Windows всё же удавалось без переустановки с сохранением всех данных пользователей и собственного авторитета в их глазах:) Поэтому, желаю и Вам успешных поисков и быстрых устранений любых сбоев!

P.S. Разрешается свободно копировать и цитировать данную статью при условии указания открытой активной ссылки на источник и сохранения авторства Руслана Тертышного.

Как часто Вам приходится лицезреть экран смерти Windows (BSoD)? BSoD может возникать в разных случаях: как уже при работе с системой, так и в процессе загрузки операционной системы. Как же определить, чем вызвано появление BSoD и устранить эту проблему? Операционная система Windows способна сохранять дамп памяти при появлении ошибки, чтобы системный администратор мог проанализировать данные дампа и найти причину возникновения BSoD.

Существует два вида дампов памяти - малый (minidump) и полный. В зависимости от настроек операционной системы, система может сохранять полный или малый дампы, либо не предпринимать никаких действий при возникновении ошибки.

Малый дамп располагается по пути %systemroot%\minidump и имеет имя вроде Minixxxxxx-xx.dmp
Полный дамп располагается по пути %systemroot% и имеет имя вроде Memory.dmp

Для анализа содержимого дампов памяти следует применять специальную утилиту - Microsoft Kernel Debugger.
Получить программу и компоненты, необходимые для ее работы, можно напрямую с сайта Microsoft - Debugging Tools

При выборе отладчика следует учитывать версию операционной системы, на которой Вам придется анализировать дампы памяти. Для 32-разрядной ОС необходима 32-битовая версия отладчика, а для 64-разрядной ОС предпочтительно использовать 64-битовую версию отладчика.

Помимо самого пакета Debugging Tools for Windows, также понадобятся набор отладочных символов - Debugging Symbols. Набор отладочных символов специфичен для каждой ОС, на которой был зафиксирован BSoD. Потому придется загрузить набор символов для каждой ОС, анализировать работу которой Вам придется. Для 32-разрядной Windows XP потребуются набор символов для Windows XP 32-бит, для 64-разрядной ОС потребуются набор символов для Windows XP 64-бит. Для других ОС семейства Windows наборы символов подбираются сообразно такому же принципу. Загрузить отладочные символы можно отсюда . Устанавливать их рекомендуется по адресу %systemroot%\symbols

После установки отладчика и отладочных символов, запускаем отладчик. Окно отладчика после запуска выглядит следующим образом.

Перед анализом содержимого дампа памяти, потребуется провести небольшую настройку отладчика. Конкретно - сообщить программе, по какому пути следует искать отладочные символы. Для этого выбираем в меню File > Symbol File Path… Нажимаем кнопку Browse… и указываем папку, в которую мы установили отладочные символы для рассматриваемого дампа памяти.

Можно запрашивать информацию о требуемых отладочных символах прямо через Интернет, с публичного сервера Microsoft. Таким образом у вас будет самая новая версия символов. Сделать это можно следующим образом - в меню File > Symbol File Path… вводим: SRV*%systemroot%\symbols*http://msdl.microsoft.com/download/symbols

После указания пути к отладочным символам, выбираем в меню File > Save workspace и подтверждаем действие нажатием на кнопку OK.

Чтобы приступить к анализу дампа памяти, выбираем в меню File > Open Crash Dump… и выбираем требуемый для рассмотрения файл.

Система проведет анализ содержимого, по окончанию которого выдаст результат о предполагаемой причине ошибки.

Команда!analyze -v, данная отладчику в командной строке, выведет более детальную информацию.

Завершить отладку можно выбором пункта меню Debug > Stop Debugging

Таким образом, используя пакет Debugging Tools for Windows, всегда можно получить достаточно полное представление о причинах возникновения системных ошибок.

Отказ системы из-за критической ошибки (BSOD) чаще всего возникает по причине неправильной работы или повреждения драйвера, за исключением случаев неполадок в аппаратной части компьютера.

В этой статье мы рассмотрим базовые действия, которые помогут вам самостоятельно определить причину возникновения BSOD и, как следствие, устранить ее.

Проводить анализ дампов памяти мы будем при помощи отладчика WinDBG, поэтому, прежде чем начать, вам потребуется установить отладчик и настроить его.
Как это сделать вы узнаете из статьи

Интерфейс WinDBG

Когда вы откроете файл дампа памяти, то увидите такое окно:

Стоит отметить, что окно команд по умолчанию независимо от основного окна отладчика, поэтому вы можете изменить его размер, переместить или вписать в окно отладчика перетянув мышью его верхнюю границу к нижней границе панели инструментов, а также развернуть его на весь экран.

Когда вы откроете файл дампа отладчику потребуется некоторое время для подключения к интернету и загрузки необходимых символов для отладки. В процессе загрузки отладочных символов в командной строке отладчика появляется надпись Debugee not connected , в это время вы не сможете использовать отладчик.

После того как символы будут загружены и отладчик будет готов к анализу файла дампа вы увидите сообщение Followup: MachineOwner в нижней части текстового окна.

Теперь все готово для начала анализа дампа памяти. Все команды вводятся в командную строку, расположенную в нижней части окна.

Анализ дампа памяти

Первое на что нужно обратить внимание при открытии файла дампа - это код ошибки, который в значительной степени определяет основное направление возникновения ошибки и методологию анализа.

Коды ошибок всегда указываются в шестнадцатеричном значении и имеют вид 0xXXXXXXXX . Указываются же коды ошибок одним из следующих вариантов:

STOP: 0x0000009F
03.06.2015 0009F

Справочник по кодам ошибок: Windows Dev Center Bug Check Code Reference

Команда!thread и анализ драйверов

Самая распространенная причина возникновения BSOD - это сторонние драйверы (производителей устройств). Для того, чтобы увидеть фигурирует ли драйвер устройства в дампе нам понадобится просмотреть стек.
Выполните команду ! thread и найдите в результатах ее выполнения Base и Limit , и их шестнадцатеричные значения.
В рассматриваемом примере они такие:
Base fffff80000b9b000 Limit fffff80000b95000

В командной строке напечатайте dps затем через пробел шестнацатеричное значение Limit , а за ним значение Base . В данном случае важен порядок указания значений - он должен быть обратным отображаемому в результате выполнения команды!thread.

dps fffff80000b95000 fffff80000b9b000

Когда стек будет загружен вы увидите множество строк с текстом и значениями. Среди результатов выполнения команды поищите сообщения об ошибках с указанием на драйверы. В рассматриваемом примере это драйвер igdkmd64.sys и iaStorA.sys а в отладчике это выглядит так:

Поищите на компьютере указанные драйверы. Это не обязательно, но желательно сделать т.к. после удаления драйвера из диспетчера устройств или при помощи программы удаления производителя устройства драйвер может быть не удален, в таком случае его можно будет удалить вручную. Вторая причина заключается в том, что это может быть файл вредоносной программы (вирус, троян, майнер и т.д.), и в таких случаях драйвер как правило располагается в необычных для этого папках.
Для упрощения процедуры выполните в командной строке, запущенной от имени администратора следующую команду:

driverquery /v > "%USERPROFILE%\Desktop\drivers.txt"

После выполнения команды на рабочем столе будет создан файл drivers.txt, содержащий подробную информацию обо всех установленных в системе драйверах, с их описанием и путями расположения файла драйвера.

В рассматриваемом примере вероятными виновниками возникновения BSOD оказались драйверы видеокарты Intel (igdkmd64.sys) и SATA/AHCI-контроллера (iaStorA.sys).

Стоит отметить, что не всегда причиной возникновения BSOD являются драйверы, это также может быть следствием неисправности оборудования, но если код ошибки указывает на проблему с драйвером, то рекомендуется воспользоваться средством проверки драйверов Windows .

Команда!analyze -v

Команда!analyze отображает информацию о текущем исключении или код ошибки, а параметр -v формирует подробный вывод данных. В рассматриваемом случае нам понадобятся данные о заблокированных IRP пакетах в значении Arg4 , и значения FAILURE_ BUCKET_ ID и BUCKET_ ID .

Выполните команду !irp добавив значение из Arg4

!irp ffffe001eb781600

В результате выполнения команды был определен проблемный драйвер - Rt630x64.sys

В данном случае драйвер Rt630x64.sys относится к сетевому адаптеру и вызывает ошибку DRIVER_POWER_STATE_FAILURE при завершении работы системы.
Для получения подробных сведений о файле драйвера выполните команду

Как видите дата драйвера довольно старая и стоит его обновить для устранения проблемы.

Заключение

Цель этой статьи рассказать об алгоритме анализа дампа памяти для выявления причины BSOD. В рамках одной статьи невозможно рассмотреть все варианты анализа, а многие тонкости приходят только с опытом. Был рассмотрен всего один код ошибки т.к. последовательность ее анализа показалась мне наиболее интересной, в отличие от ошибки 0x124, например, которая в подавляющем большинстве случаев говорит об аппаратной неполадке, или 0x116, свидетельствующей о проблеме с драйвером видео или неполадке видеокарты в 95% случаев.

Если у вас не получилось выяснить причину BSOD или попросту нужна быстрая и квалифицированная помощь в анализе проблемы, вы всегда можете обратиться в форум

Или как его еще называют BSOD, может изрядно подпортить жизнь как компьютеру так и серверу, а еще выяснилось и виртуальной машине. Сегодня расскажу как анализировать синий экран dump memory в Windows, так как правильная диагностика и получение причины из за чего не работает ваша система, 99 процентов ее решения, тем более системный инженер, просто обязан уметь это делать, да и еще в кратчайшие сроки, так как от этого бизнес может в следствии простоя сервиса, терять кучу денег.

BSOD расшифровка

Давайте для начала разберем, что означает данная аббревиатура, BSOD от английского Blue Screen of Death или еще режим STOP ошибки.

Ошибки синего экрана смерти возникают по разным причинам, среди которых могут быть проблемы с драйверами, может быть какое то сбойное приложение, или сбойный модуль оперативной памяти. Как только у вас появился синий экран в Windows, то ваша система автоматически создаст файл crash memory dump, который мы и будем анализировать.

Как настроить создание memory dump

По умолчанию windows при синем экране создает аварийный дамп файл memory.dmp, сейчас покажу как он настраивается и где хранится, я буду показывать на примере Windows Server 2008 R2, так как у меня недавно была задача по изучению вопроса синего экрана в виртуальной машине . Для того чтобы узнать где настроен dump memory windows, открываем пуск и щелкаем правым кликом по значку Компьютер и выбираем свойства.

Как анализировать синий экран dump memory в Windows-Свойства компьютера

Как анализировать синий экран dump memory в Windows-параметры системы

Переходим во вкладку Дополнительно-Загрузка и восстановление. Жмем кнопку Параметры

Как анализировать синий экран dump memory в Windows-Загрузка и восстановление

Где хранится файл memory.dmp

и видим, что во первых стоит галка выполнить автоматическую перезагрузку, для записи отладочной информации, выбрано Дамп памяти ядра и ниже есть пусть куда сохраняется дамп памяти %SystemRoot%\MEMORY.DMP

Перейдем в папку c:\windows\ и найдем файл MEMORY.DMP в нем содержаться коды синего экрана смерти

Как анализировать синий экран dump memory в Windows-memory.dmp

Как настроить mini dump

В малый дамп памяти тоже записываются ошибки синего экрана смерти, настраивается он там же, нужно только его выбрать.

Хранится он в папке c:\windows\minidump. Преимущество в том, что он занимает меньше места и на каждый синий экран создается отдельным файлом. Всегда можно просмотреть историю появлений синего экрана.

Теперь когда мы разобрались где искать файл memory dump, нужно научиться его интерпритировать и понимать причину из за чего происходит синий экран смерти. В решении этой задачи нам поможет Microsoft Kernel Debugger. Скачать Microsoft Kernel Debugger можно с официального сайта, главное выберите нужную версию ОС если кому то влом, то можете скачать с яндекс диска по прямой ссылке. Так же он входит в состав ADK .

Скачиваем Microsoft Kernel Debugger, в итоге у вас будет маленький файл который позволит скачать из интернета все что вам нужно. Запускаем его.

присоединяться к программе по улучшению качества участвовать не будем

жмем Accept и соглашаемся с лицензией

Как установить Microsoft Kernel Debugger-соглашаемся с лицензией

начнется установка Microsoft Kernel Debugger

Как установить Microsoft Kernel Debugger-установка MKD

Видим, что Microsoft Kernel Debugger успешно установлен

После чего видим, что в пуске появилась папка Debugging Tools for Windows как для 32 так и для 64 битных систем.

Анализ синего экрана в Debugging Tools

После установки Debugging Symbols под систему на которой был синий экран смерти запускаем Debugging Tools

Как установить Microsoft Kernel Debugger-Запуск

Нажимаем кнопку Browse…

и указываем папку, в которую мы установили отладочные символы для рассматриваемого дампа памяти, можно указать несколько папок через запятую и можно запрашивать информацию о требуемых отладочных символах прямо через Интернет, с публичного сервера Microsoft. Таким образом у вас будет самая новая версия символов. Сделать это можно следующим образом - в меню File > Symbol File Path… вводим:

SRV*%systemroot%\symbols*http://msdl.microsoft.com/download/symbols

Как анализировать синий экран смерти

Копируем с компьютера где выскочил синий экран, файл memory.dmp или minidump, и открываем его, выбираем в меню File > Open Crash Dump… и выбираем требуемый для рассмотрения файл.

Как анализировать синий экран смерти-01

Выбираем для примера minidump

Как анализировать синий экран смерти-открываем minidump

Начнется анализ минидампа, видим появилась ссылка на ошибку, щелкаем по ней для более детальной информации о синем экране.

Как анализировать синий экран смерти-03

И видим сбойное приложение которое крушит вашу систему, так же можно еще детальнее посмотреть в чем дело, ткнув ссылку.

Как анализировать синий экран смерти-04

Получите более детальную информацию по причине синего экрана.

Как анализировать синий экран смерти-05

Если открыть memory.dmp то вы получите подобную картину и видим почему синий экран у вас появился.

Как анализировать синий экран смерти-06

Вот так вот просто диагностировать и устранить синий экран смерти.

BSOD (англ . Blue Screen Of Death)

BSOD - так называют сообщение, появляющееся в операционной системе Windows , при критической ошибке системы, в переводе на русский - синий экран смерти. Этот экран появился еще в Windows NT и, с тех пор, присутствует во всех версиях этой операционной системы, а столь зловеще он называется потому, что после его появления ОС действительно "умирает" (уходит в перезагрузку), сбрасывая дамп и теряя все несохраненные данные.

Отчего же возникает BSOD? Эта ошибка ждет Вас если какой-либо драйвер попытается выполнить недопустимую операцию, причем неважно, будет ли это драйвер жесткого диска, без которого реально невозможно работать, или же драйвер сетевой/звуковой карты, который на работу основного функционала системы не влияет... итог один: BSOD и экстренная перезагрузка.

Проблемы с драйверами, вызывающие синий экран смерти, условно можно разделить на два типа:

неполадки оборудования (ОЗУ, материнская плата, винчестер, нестандартные устройства...),
конфликт драйверов программного обеспечения (антивирусы, эмуляторы, файерволы...).

Существует косвенный признак, по которому можно определить причину возникновения BSOD.

Если синий экран появляется с разными кодами ошибок (на случайных драйверах), - вероятнее всего причиной служат проблемы с аппаратным обеспечением компьютера. Чтобы проверить эту версию необходимо для начала исследовать оборудование на возможный перегрев: процессор, сопроцессор, видеокарту, жесткий диск и пр. Температуру устройств можно посмотреть в BIOS или специализированными программами, которые легко найти в сети. Температура выше 65-70°С служит поводом для беспокойства.
Если перегрева не наблюдается, стоит визуально осмотреть материнскую плату и блок питания на предмет вздутия конденсаторов (вытекшего электролита).
Также необходимо проверить настройки BIOS, желательно сбросить их на настройки по умолчанию. Не будет лишним обновление версии BIOS с сайта производителя материнской платы, или, как минимум, вынуть батарейку с материнской платы и, подождав около минуты, вставить ее обратно.
Попробуйте провести различные тесты на компьютере (памяти, видеокарты, процессора) специальными утилитами.
Если у Вас на компьютере установлено несколько модулей оперативной памяти, попробуйте оставить один из них и проверить работу системы.
Последний способ проверки состоит в том, чтобы полностью вынуть все платы из разъемов, продуть компьютер сжатым воздухом, зачистить контакты на платах ватой, смоченной в спиртовом растворе, просушить и собрать все обратно.

Если же критическая ошибка возникает постоянно с одним и тем же кодом ошибки (именем драйвера) - то более вероятна проблема с конфликтом драйверов или некорректно написанным драйвером. В этом случае приоритет проверки стоит отдать не системным драйверам, адрайверам программного обеспечения, работающим в режиме ядра.
Для начала стоит убедиться в том, что Ваша операционная систем сохраняет участки памяти с ошибками в файлы минидампа. В Windows такие файлы сохраняются по умолчанию в папке %systemroot%\Minidump (C:\Windows\Minidump). Если в данном каталоге нет файлов (нет самого каталога), необходимо включить данную опцию по адресу:
Для Windows XP Панель управления - Система - Дополнительно - Загрузка и восстановление - Параметры...
Для Windows 7 Панель управления - Система и безопасность - Система - Дополнительные параметры системы - Загрузка и восстановление - Параметры...
Под заголовком "Запись отладочной информации" необходимо выставить Малый дамп памяти (64 КБ для Windows XP, 256 КБ для Windows 7).

После этого файлы минидампа будут появляться в папке по умолчанию после каждого краха системы. В именах файлов будет указана дата сохранения и порядковый номер сохраненного файла за эту дату. Открыть такие файлы можно специальными программами, которые легко найти на просторах интернета по поисковому запросу. Открыв файл минидампа за интересующую Вас дату Вы можете увидеть какой именно драйвер вызвал аварийное завершение работы, после чего можно будет откатить/обновить данный драйвер, переустановить конфликтное ПО, произвести прочие действия по восстановлению работоспособности компьютера.
Синий экран смерти – это сообщение от операционной системы о критической ошибке. Таким способом Windows дает нам понять, что в работе компьютера существуют серьезные неполадки, которые требуют неотложного внимания пользователя. Попробуем разобраться, что же может послужить причиной возникновения синего экрана смерти, как можно предотвратить его появление и каким образом можно с ним бороться.

Что такое синий экран смерти?
Для того, чтобы выявить причины появления синего экрана смерти, необходимо понять, что он из себя представляет. Blue Screen of Death или BSoD – именно так данный тип ошибки называют сами разработчики Windows. Синий – потому что сообщение от системы выводится на голубом фоне. Экран смерти – так как дальнейшая работа Windows после такой ошибки невозможна, необходимо выполнить перезагрузку операционной системы, при этом все несохраненные данные теряются. Если вы увидели BSoD на своем компьютере 1 или 2 раза – не стоит беспокоиться, изредка сбои операционной системы случаются у всех. Если же появление синего экрана смерти стало регулярным – стоит задуматься о причинах его возникновения и способах устранения.

Синий экран смерти, возможные причины его возникновения.

Основными причинами возникновения синего экрана смерти являются:

Программный сбой в работе драйвера какого-либо устройства. Это наиболее частая причина появления BSoD.
Конфликт в работе приложений, как правило, это случается, если вы установили на свой компьютер два антивирусных пакета или два брандмауэра.
Установка драйверов от неизвестного разработчика – часто драйвера от сторонних разработчиков могут содержать ошибки, приводящие к перебоям в работе операционной системы.
Ошибки в работе оборудования – перегрев процессора или видеокарты, плохой контакт в разъемах, бракованные чипы оперативной памяти.

Как видим, список причин появления BSoD достаточно обширен. Для того, чтобы выяснить конкретную причину, нам стоит внимательно посмотреть на сам синий экран смерти в системе Windows XP или другой версии Windows. В блоке Technical Information первой строкой идет код ошибки. Неспециалисту трудно будет понять, что скрывается за этой последовательностью цифр, во второй строчке этого блока система сообщает нам, в каком именно файле произошел критический сбой, который привел к появлению синего экрана смерти. По имени файла можно определить, в драйвере какого именно устройства произошла ошибка.

Как бороться с синим экраном смерти.

На предыдущем этапе мы провели анализ причин возникновения BSoD . Сейчас на основе этих данных мы определим, почему же на нашем компьютере появился синий экран смерти и что нужно делать для того, чтобы устранить источник критической ошибки.

В первую очередь необходимо выяснить, драйвером какого устройства является файл, в котором произошел сбой. После этого необходимо переустановить данный драйвер, обязательно используя софт от производителя устройства. Теперь перезагрузите систему и дайте ей поработать, если ошибка появляется снова – надо рассматривать другие причины, из-за которых происходит сбой системы. Синий экран смерти в Windows 7 довольно часто возникает из-за некорректной работы оборудования. Попробуйте проверить при отключенном от сети компьютере надежность установки в соответствующие разъемы на материнской плате оперативной памяти и видеокарты. Зачастую именно некачественная установка или наличие пыли на контактах может привести к неправильной работе системы.

Наиболее распространенные BSoD. Коды ошибок синего экрана смерти

KMODE_EXCEPTION_NOT_HANDLED – вызывает синий экран в результате ошибки процесса режима ядра, который пытается выполнить неизвестную инструкцию. Может быть связан с несовместимостью или неисправностью оборудования, а также ошибками в драйверах или системных службах.

NTFS_FILE_SYSTEM – данная ошибка появляется в результате сбоя выполнении кода драйвера файловой системы ntfs.sys. Основной причиной может быть нарушение целостности данных на диске или в памяти, а также повреждение драйверов SCSI или IDE.

DATA_BUS_ERROR – синий экран смерти появляется в результате появленияошибки чётностив оперативной памяти. Основная причина может крыться в несовместимом или неисправном оборудовании. Также проблема может быть связана с некорректным драйвером, а также сбоем прошедшим на диске.

IRQL_NOT_LESS_OR_EQUAL - синий экран смерти в этом случае появляется в результате обращения процесса режима ядра к области памяти при этом используя недопустимо высокий для него уровень IRQL. Данная ошибка может быть вызвана неправильной работой драйверов, системных служб, или несовместимым программным обеспечением, например программным эмулятором или антивирусным приложением.

PAGE_FAULT_IN_NONPAGED_AREA - ошибка появляется в результате не нахождения системой необходимых данных, например, когда Windows ищет необходимую информацию в файле подкачки, но не может её найти. Зачастую появления синего экрана смерти в этом случае вызывается сбоями в оборудовании, нарушениями в работе файловых систем или же ошибкой службы или программного обеспечения, например антивируса.

KERNEL_STACK_INPAGE_ERROR - Даная ошибка появляется в результате появления ошибок чтения из файла подкачки в физическую память. Основная причина появления синего экрана смерти - испорченный сектор файла виртуальной памяти, неправильная работа или сбой в работе контроллера жёстких дисков, недостаточное количество свободного места на диске, некорректное подключение винчестера, конфликт в прерываниях, дефект в оперативной памяти, вирусы в операционной системе.

В основном появление синего экрана"смерти"вызвано:программным обеспечением (драйвера),иногда в оборудовании(его отказе, конфликтах или неправильной работе). В данных случаях при появлении синего экрана "смерти" Вам надо удалить недавно установленные программы и драйверы, а также отключить и извлечь недавно установленное оборудование.

Удалять программное обеспечение нужно в Безопасном режиме Windows.Для этого при загрузке операционной системы,необходимо нажать клавишу F8 и выбрать Безопасный режим.

Частой причиной появления синего экрана смерти является перегрев оборудования(комплектующих компьютера). В связи с этим срабатывает защита которая и является причиной появления BSoD. Для этого необходимо снять крышку системного блока и определить источник перегрева-очень часто таким источником является центральный процессор, реже видеокарта и блок питания. При обнаружении неисправности,её(неисправность)необходимо устранить, тогда устранится проблема появления BSoD.