Vidage sur incident de Windows. Comment utiliser un vidage mémoire pour déterminer le pilote à l'origine du BSOD. Écriture des informations de débogage Windows 10

Sécurité informatique

Cette courte note vise à montrer comment vous pouvez configurer le système afin d'obtenir une urgence Vidage de la mémoire Windows, c'est-à-dire un dump pouvant être généré en cas de crash critique caractérisé par l'apparition d'un écran bleu de la mort (BSOD). Qu'est-ce qu'un dépotoir en général, pourquoi en avons-nous besoin et qu'est-ce que c'est, quels problèmes est-il destiné à résoudre et quelles informations contient-il ?

Un vidage de mémoire est le contenu de la mémoire de travail d'un processus, d'un noyau ou de l'ensemble du système d'exploitation, y compris, en plus des zones de travail, des informations supplémentaires sur l'état des registres du processeur, le contenu de la pile et d'autres structures de service.

Pourquoi nous pouvons avoir besoin de ce contenu, c'est-à-dire Vidage de la mémoire Windows? L'utilisation la plus courante d'un vidage de mémoire est peut-être d'enquêter sur les causes d'un plantage du système () qui a provoqué l'arrêt complet du système d'exploitation. En plus de cela, l'état de la mémoire peut être utilisé à d'autres fins. Il est également important de noter qu'un vidage de mémoire est littéralement le seul moyen d'obtenir des informations sur tout échec ! Et prendre (obtenir) un vidage de la mémoire système est, en fait, la seule méthode précise pour obtenir un instantané (copie) du contenu de la mémoire physique du système.

Plus le contenu du vidage reflétera précisément l'état de la mémoire au moment de la panne, plus nous pourrons analyser en détail la situation d'urgence. Par conséquent, il est extrêmement important d'obtenir exactement la copie réelle de la mémoire physique du système à un moment strictement défini précédant immédiatement la panne. Et la seule façon de le faire est de créer un vidage sur incident complet. La raison est assez triviale - lorsqu'un vidage sur incident de la mémoire système se produit, que ce soit à la suite d'une panne ou à la suite d'une situation simulée artificiellement, le système à ce moment de recevoir le contrôle des fonctions d'urgence (KeBugCheckEx) est dans un état absolument inchangé (statique), par conséquent, entre le moment où le crash se produit et le moment où les données sont écrites sur le support, rien ne change le contenu de la mémoire physique, et il est écrit sur le disque dans son état d'origine. Eh bien, c'est en théorie, mais dans la vie, c'est rare, mais il existe des situations où, en raison de composants matériels défectueux, le vidage de mémoire lui-même peut être endommagé ou la station peut se bloquer pendant le processus d'enregistrement du vidage.

Dans l'écrasante majorité des cas, à partir du moment où le processus de vidage sur incident commence, jusqu'au moment où le contenu de la mémoire est écrit sur le disque, les informations en mémoire restent inchangées.

Théoriquement, la statique (immuabilité) de l'empreinte mémoire s'explique par le fait que lorsque la fonction KeBugCheckEx est appelée, qui affiche des informations sur l'échec et démarre le processus de création d'un dump mémoire, le système est déjà complètement arrêté et le contenu de la mémoire physique est écrite dans les blocs occupés sur le disque par le fichier d'échange, après quoi, déjà lors du chargement ultérieur du système d'exploitation, il est vidé dans un fichier sur le support système. Eh bien, presque une fois, j'ai observé une situation dans laquelle une carte mère défectueuse ne permettait pas d'enregistrer un dump mémoire : a) geler pendant l'opération de la logique d'enregistrement de dump (le processus n'atteignait pas 100 %), b) endommager le fichier dump mémoire (le débogueur maudit au niveau des structures), c ) l'écriture de fichiers de vidage memory.dmp de longueur nulle. Par conséquent, malgré le fait que le système au moment du vidage de la mémoire est déjà complètement arrêté et que seul le code d'urgence fonctionne, le matériel défectueux peut effectuer ses propres ajustements sur n'importe quelle logique sans exception à n'importe quel stade de l'opération.
Traditionnellement, les blocs de disque alloués au fichier d'échange sont initialement utilisés pour enregistrer un vidage de mémoire Windows. Ensuite, après un écran bleu et un redémarrage, les données sont déplacées vers un fichier séparé, puis le fichier est renommé selon un modèle en fonction du type de vidage. Cependant, à partir de la version de Windows Vista, cet état de fait peut être modifié, maintenant l'utilisateur a la possibilité d'enregistrer un dump dédié sans la participation du fichier d'échange, en mettant des informations sur l'échec dans un fichier temporaire. Cela a été fait afin d'éliminer les erreurs de configuration associées à un réglage incorrect de la taille et de la position du fichier d'échange, ce qui entraînait souvent des problèmes lors du processus d'enregistrement du vidage mémoire.
Voyons quels types de vidages le système d'exploitation Windows nous permet de créer :

  • Dump mémoire du processus (application);
  • Vidage de la mémoire du noyau ;
  • Vidage mémoire complet (vidage de la partie disponible de la mémoire physique du système).

Tous les vidages sur incident peuvent être divisés en deux catégories principales :

  • Crash dumps avec des informations sur l'exception qui s'est produite... Généralement créé automatiquement lorsqu'une exception non gérée se produit dans l'application / le noyau et, par conséquent, le débogueur système (intégré) peut être appelé. Dans ce cas, les informations sur l'exception sont écrites dans le vidage, ce qui facilite la détermination du type d'exception et de l'endroit où elle s'est produite lors de l'analyse ultérieure.
  • Crash dumps sans informations sur les exceptions... Généralement créé par l'utilisateur manuellement, lorsqu'il est nécessaire de créer un simple instantané du processus pour une analyse ultérieure. Cette analyse n'implique pas la détermination du type d'exception, puisqu'aucune exception ne s'est produite, mais une analyse d'un tout autre genre, par exemple, l'étude des structures de données de processus, etc.

Configuration du vidage de la mémoire du noyau

Vous devez être connecté avec un compte administrateur pour effectuer les étapes de cette section.

Passons directement à la configuration des paramètres de vidage sur incident de Windows. Tout d'abord, nous devons accéder à la fenêtre des propriétés du système de l'une des manières suivantes :

  1. Faites un clic droit sur l'icône "Poste de travail" - "Propriétés" - "Paramètres système avancés" - "Avancé".
  2. Bouton Démarrer - Panneau de configuration - Système - Paramètres système avancés - Avancé.
  3. Les touches de raccourci "Windows" + "Pause" - "Paramètres système avancés" - "Avancé".

  4. système de contrôle.cpl, 3
  5. Exécuter en ligne de commande (cmd) :
    Propriétés systèmeAvancé

Le résultat des actions décrites est d'ouvrir la fenêtre « Propriétés système » et de sélectionner l'onglet « Avancé » :

Après cela, dans la section "Démarrage et récupération", nous cliquons sur "Options" et ouvrons ainsi une nouvelle fenêtre appelée "Démarrage et restauration":

Tous les paramètres de vidage sur incident sont regroupés dans un bloc de paramètres appelé Défaillance du système. Dans ce bloc, nous pouvons définir les paramètres suivants :

  1. Écrivez les événements dans le journal système.
  2. Effectuez un redémarrage automatique.
  3. Rédaction des informations de débogage.
  4. Vider le fichier.
  5. Écraser le fichier de vidage existant.

Comme vous pouvez le voir, de nombreux paramètres de la liste sont assez triviaux et faciles à comprendre. Cependant, je voudrais élaborer sur le paramètre "Dump File". Le paramètre est présenté sous forme de liste déroulante et a quatre valeurs possibles :

Petit dump mémoire

Un petit vidage mémoire (minidump) est le fichier qui contient le moins d'informations sur un plantage. Le plus petit de tous les vidages de mémoire possibles. Malgré les inconvénients évidents, ce sont souvent les minidumps qui sont utilisés comme informations sur l'échec à transmettre au fournisseur de pilotes tiers pour une étude plus approfondie.
Structure:

  • Message d'erreur.
  • Valeur d'erreur.
  • Paramètres d'erreur.
  • Le contexte du processeur (PRCB) qui a planté.
  • Informations sur le processus et contexte du noyau (EPROCESS) pour le processus de plantage avec tous ses threads.
  • Informations sur le processus et contexte du noyau (ETHREAD) pour le thread en panne.
  • La pile de mode noyau pour le thread qui a causé le plantage.
  • Liste des pilotes chargés.

Hébergement: % SystemRoot% \ Minidump \ MMDDYY-XXXXX-NN.dmp... Où MMJJAA est respectivement le mois, le jour et l'année, NN est le numéro ordinal du vidage.
Taille : La taille dépend du nombre de bits du système d'exploitation : seuls 128 kilo-octets pour un système d'exploitation 32 bits et 256 kilo-octets pour un système d'exploitation 64 bits sont nécessaires dans le fichier d'échange (ou dans le fichier spécifié dans DedicatedDumpFile). Comme nous ne pouvons pas définir une taille aussi petite, nous arrondissons à 1 mégaoctet.

Vidage de la mémoire du noyau

Ce type de vidage contient une copie de toute la mémoire du noyau au moment du crash.
Structure:

  • Liste des processus en cours.
  • L'état du thread actuel.
  • Pages mémoire en mode noyau présentes dans la mémoire physique au moment de l'échec : mémoire du pilote en mode noyau et mémoire du programme en mode noyau.
  • Mémoire de niveau dépendante du matériel (HAL).
  • Liste des pilotes chargés.

Il n'y a pas de pages non allouées et en mode utilisateur dans le vidage mémoire du noyau. D'accord, il est peu probable que les pages de processus en mode utilisateur nous intéressent lors d'un plantage du système (BugCheck), car un plantage du système est généralement initié par le code en mode noyau.

Portée : varie en fonction de la taille de l'espace d'adressage du noyau alloué par le système d'exploitation et du nombre de pilotes en mode noyau. En règle générale, cela prend environ un tiers de la mémoire physique dans le fichier d'échange (ou dans le fichier spécifié dans DedicatedDumpFile). Cela peut varier.

Vidage mémoire complet

Un vidage mémoire complet contient une copie de toute la mémoire physique (RAM, RAM) au moment du crash. En conséquence, tout le contenu de la mémoire système est inclus dans le fichier. C'est à la fois un avantage et un inconvénient majeur, car sa taille peut être importante sur certains serveurs disposant d'une grande quantité de RAM.
Structure:

  • Toutes les pages de mémoire physique "visible". C'est pratiquement toute la mémoire du système, à l'exception des zones utilisées par le matériel : BIOS, espace PCI, etc.
  • Données des processus en cours d'exécution sur le système au moment du crash.
  • Pages de mémoire physique qui ne sont pas mappées à l'espace d'adressage virtuel, mais qui peuvent vous aider à rechercher la cause de l'échec.

Un vidage mémoire complet n'inclut pas, par défaut, les zones de mémoire physique utilisées par le BIOS.
Emplacement : % SystemRoot% \ MEMORY.DMP. Le vidage précédent est écrasé.
Taille : Dans le fichier d'échange (ou dans le fichier spécifié dans DedicatedDumpFile), un volume égal à la taille de la mémoire physique + 257 mégaoctets est requis (ces 257 Mo sont divisés en un certain en-tête + données du pilote). En fait, dans certains systèmes d'exploitation, le seuil inférieur du fichier d'échange peut être réglé exactement sur la valeur de la taille de la mémoire physique.

Vidage automatique de la mémoire

À partir de Windows 8 / Windows Server 2012, un nouveau type de vidage appelé « vidage de mémoire automatique » a été introduit dans le système, qui est défini par défaut. Dans ce cas, le système décide lui-même quel vidage mémoire enregistrer en cas de défaillance particulière. De plus, la logique de choix dépend de nombreux critères, dont la fréquence de plantage du système d'exploitation.

Après avoir modifié la configuration de vidage mémoire de Windows, vous devrez peut-être redémarrer votre ordinateur.

Paramètres de registre

La clé de registre qui définit les paramètres de vidage sur incident :

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ CrashControl

Paramètres:

Paramètre Un type La description
Réinitialisation automatique REG_DWORD Activer / désactiver le redémarrage automatique lorsque BSOD se produit.
CrashDumpActivé REG_DWORD Le type de vidage à générer.
  • 0 - ne crée pas de vidage mémoire ;
  • 1 - vidage mémoire complet ;
  • 2 - vidage de la mémoire du noyau ;
  • 3 - petit vidage mémoire;
DumpFile REG_EXPAND_SZ Le chemin et le nom du vidage mémoire du noyau et du vidage mémoire complet.
Filtres de vidage REG_MULTI_SZ Un pilote de filtre dans la pile de pilotes de vidage mémoire. Vous permet d'ajouter de nouvelles fonctionnalités au stade de la création de vidages sur incident. Par exemple, chiffrer le contenu du vidage. Il n'est pas recommandé de modifier la valeur.
Événement de journal REG_DWORD Écriture d'un événement dans le journal système.
MinidumpDir REG_EZPAND_SZ Le chemin et le nom du petit vidage de mémoire.
MinidumpsCount REG_DWORD Le nombre maximum de petits vidages de mémoire. En cas de dépassement, les anciennes versions sont écrasées.
Écraser REG_DWORD Écraser le fichier de vidage existant. Pour le vidage mémoire du noyau et le vidage mémoire complet uniquement.
Ignorer la taille du fichier de page REG_DWORD Ignore le fichier d'échange standard en tant que vidage de stockage temporaire (intermédiaire). Indique que le vidage mémoire doit être écrit dans un fichier séparé. Utilisé conjointement avec l'option DedicatedDumpFile.
Fichier de vidage dédié REG_EZPAND_SZ Le chemin et le nom du fichier alternatif temporaire pour l'écriture du vidage mémoire. Au deuxième passage, les données seront toujours déplacées vers DumpFile / MinidumpDir.

Création manuelle d'un vidage mémoire

Ci-dessus, nous avons décrit les paramètres permettant de créer automatiquement des vidages sur incident du système en cas d'erreur critique, c'est-à-dire une exception non gérée dans le code du noyau. Mais dans la vraie vie, en plus du crash du système d'exploitation, il existe des situations où il est nécessaire d'obtenir un dump de la mémoire système à un moment précis. Comment être dans ce cas ? Il existe des méthodes pour prendre un instantané de toute la mémoire physique, comme l'utilisation de la commande dump dans les débogueurs WinDbg / LiveKD. LiveKD est un programme qui vous permet d'exécuter le débogueur du noyau Kd sur un système live en mode local. Le débogueur WinDbg a également cette capacité. Cependant, la méthode de vidage à la volée n'est pas précise car le vidage est incohérent car il faut du temps pour générer le vidage, et si vous utilisez le débogueur en mode noyau, le système continue de s'exécuter et d'apporter des modifications aux pages mémoire.

Je vais continuer à parler de l'écran bleu de la mort, commencé en.

Ainsi, si l'ordinateur redémarre ou se bloque soudainement et que l'écran bleu de la mort n'apparaît pas ou n'apparaît pas pendant une fraction de seconde, les informations sur les causes de l'échec peuvent tout de même être restaurées.

Le fait est que le système d'exploitation au moment de la panne enregistre le contenu de la RAM dans le soi-disant fichier de vidage(a l'extension .dmp). À l'avenir, le fichier de vidage pourra être analysé et obtenu les mêmes informations que sur l'écran bleu et même un peu plus.

Mais la création de vidages peut être désactivée dans le système, il convient donc de s'assurer que, d'une part, le système crée des vidages en cas d'échec et, d'autre part, il vaut la peine de rechercher l'endroit sur le disque où ils sont enregistrés.

Pour cela, rendez-vous dans la rubrique Système.

Dans Windows 10, cela peut être fait via la recherche et dans les versions précédentes du système d'exploitation via le Panneau de configuration.

Ici, l'enregistrement des événements dans le journal système doit être activé, eh bien, pour que l'ordinateur ne redémarre pas automatiquement et ne nous affiche pas le contenu de l'écran bleu de la mort, vous devez annuler le redémarrage automatique, s'il était activé.

Le chemin d'accès aux dumps est également affiché ici - nous voyons que le dump est enregistré dans le dossier% SystemRoot% - c'est la désignation du dossier Windows.

Ici aussi, vous pouvez sélectionner "small memory dump", ce qui suffira amplement pour rechercher les codes d'erreur.

Ainsi, le système s'est écrasé sur un écran bleu de la mort, après quoi un vidage de mémoire a été créé.

Il existe des programmes spéciaux pour analyser les dumps, et l'un des plus populaires est l'utilitaire BlueScreenView.

Le programme est très facile à utiliser et ne nécessite pas d'installation - téléchargez-le depuis le site officiel et décompressez-le. Dans le même temps, vous pouvez télécharger un fichier sur le site officiel avec lequel vous pouvez russifier le programme. Pour ce faire, ce fichier devra être placé dans le dossier avec le programme décompressé.

Si après le lancement du programme n'affiche pas les vidages, bien que le système "se décompose" en écran bleu de la mort, vous devez alors accéder aux paramètres du programme et vous assurer que le chemin vers les vidages mémoire est correct, c'est-à-dire qu'il devrait être le même que dans les paramètres système.

Après cela, vous devez mettre à jour les informations dans la fenêtre du programme et tous les dumps créés dans le système seront affichés. S'il y a plusieurs vidages, alors nous sommes guidés par la date de l'échec. Nous sélectionnons le vidage souhaité, puis des informations détaillées sur celui-ci apparaîtront.

Le nom de l'erreur, son code STOP avec les paramètres sont affichés ici, et si le pilote en est la cause, alors dans le champ correspondant nous trouverons son nom.

De plus, dans la partie inférieure de la fenêtre du programme, les fichiers qui pourraient également provoquer le plantage seront surlignés en rose. Nous devrons traiter chacun d'eux dans l'ordre. L'algorithme ici est similaire à celui discuté dans l'article précédent - nous recherchons une solution sur Internet et nous utilisons le nom de fichier ou le code d'erreur comme clé de recherche.

Dans ce cas, il n'est pas nécessaire de saisir manuellement les données dans le moteur de recherche. Si vous faites un clic droit sur la ligne de vidage, dans le menu contextuel, vous pouvez sélectionner un élément qui vous permettra de trouver une description de ce problème particulier dans Google.

Vous pouvez choisir de rechercher Google par code d'erreur, par code d'erreur et nom de pilote, ou par code d'erreur et paramètre.

De plus, en utilisant cet utilitaire, vous pouvez rapidement trouver l'emplacement du fichier problématique sur le disque.

Il arrive parfois que le fichier à l'origine du problème appartienne à un programme ou à un jeu. Grâce à l'emplacement du fichier sur le disque, vous pouvez rapidement déterminer à quel programme ou jeu il appartient.

Eh bien, vous devez savoir que les nettoyeurs semblent supprimer les vidages de mémoire, donc si vous utilisez de tels programmes, au moment d'identifier la cause de l'apparition de l'écran bleu de la mort, vous devez vous abstenir de les utiliser.

Et la dernière question à laquelle je répondrai dans le cadre de ce post - Que faire si mon ordinateur ne démarre plus après l'apparition de l'écran bleu ? C'est-à-dire que l'ordinateur se bloque ou redémarre constamment, ce qui signifie qu'il n'y a aucun moyen d'analyser le vidage de la mémoire.

La réponse est logique et simple - vous devez créer une clé USB amorçable avec laquelle "extraire" le fichier de vidage du disque dur et l'analyser sur un autre ordinateur. Pour cela, bootez depuis la clé USB et sur le disque dur de l'ordinateur dans le dossier les fenêtres ou dans un sous-dossier mini-vidage nous trouvons le fichier de vidage, que nous copions sur la clé USB. Puis sur un autre ordinateur en utilisant l'utilitaire BlueScreenView analyser le vidage, comme décrit dans cet article.

Lorsqu'une erreur critique se produit lors de l'utilisation de Windows, l'utilisateur peut se poser la question : comment accéder au vidage sur incident de Windows ? Un tel dump, s'il est correctement configuré, aidera à démarrer le système en cas de plantage ou d'écran bleu de la mort (BSOD).

Si vous rencontrez des problèmes lors du processus de configuration d'un vidage mémoire ou si le système d'exploitation ne fonctionne pas correctement après cela, vous pouvez le faire.

Vidage de la mémoire Windows 10

Un vidage de mémoire est quelque chose qui réside dans la mémoire de travail de l'ensemble du système d'exploitation, du processeur et de ses cœurs. Y compris toutes les informations sur l'état des registres du processeur et d'autres structures de service.

A quoi sert un dump mémoire Windows 10 ?

Le vidage mémoire de Windows 10 est une sorte de boîte noire. En cas de défaillance du système, les informations qui y sont stockées permettront d'étudier en détail les causes de la défaillance du système. Cet échec, en règle générale, arrête complètement le système d'exploitation. Par conséquent, un vidage de mémoire est le seul et le plus sûr moyen d'obtenir des informations sur toute défaillance du système. Et l'obtenir est un instantané réel des informations dans le système.

Plus le contenu du vidage mémoire reflétera avec précision ce qui se passait dans le système au moment de la panne, plus il sera facile d'analyser l'urgence et les actions ultérieures pour y remédier.

Il est impératif d'obtenir une copie à jour exactement au moment qui était immédiatement avant l'échec. Et la seule façon de le faire est de créer un vidage sur incident de la mémoire de Windows 10.

Les causes d'erreurs dans Windows 10 sont très diverses :

- incompatibilité des appareils connectés ;

- nouvelles mises à jour de Windows 10 ;

- incompatibilité des pilotes installés ;

- incompatibilité des applications installées ;

- et d'autres raisons.

Comment configurer un dump mémoire sous Windows 10 ?

Pour configurer un vidage sur incident Windows 10, vous devez suivre ces étapes :

1. Faites un clic droit sur le démarrage de Windows 10. Dans le menu contextuel qui apparaît, sélectionnez l'élément "Système".

2. Dans la fenêtre « Système » dans le coin supérieur gauche, sélectionnez « Paramètres système supplémentaires ».

3. Dans la fenêtre "Propriétés système" dans l'élément "Démarrage et récupération", cliquez sur "Options".

C'est ici que le vidage sur incident de Windows 10 est configuré.

Lors de la configuration d'un dump mémoire, vous ne pouvez pas négliger les recommandations suivantes :

- Cochez la case "remplacer le fichier de vidage existant". Compte tenu du fait que les données peuvent peser des dizaines voire des centaines de gigaoctets, c'est très utile pour les petits disques durs ;

- Rédaction des informations de débogage. Cette fonction vous permettra de sélectionner le type de fichier de vidage ;

- Effectuez un redémarrage automatique. Continuer le travail après qu'une erreur s'est produite ;

- Écriture d'un événement dans le journal système. Les informations de plantage du système seront ajoutées aux journaux du système d'exploitation.

Le vidage de la mémoire de Windows 10 est une méthode pratique et vraiment fonctionnelle pour assurer les données du système.

Connaissant "l'ennemi en face", il sera beaucoup plus facile à trouver et à éliminer. Un dump mémoire Windows 10 vous permettra d'identifier la cause de la panne du système et d'ajuster les actions pour éliminer l'erreur, réduisant considérablement le rayon d'effort et de travail.

Dans Windows 8, Microsoft a introduit un nouveau vidage de mémoire - une option de vidage de mémoire automatique. Ce paramètre est défini par défaut dans le système d'exploitation. Windows 10 a introduit un nouveau type de fichier de vidage - le vidage de la mémoire active. Pour ceux qui ne le savent pas, dans Windows 7, nous avons un petit dump, un kernel dump et un full memory dump. Vous vous demandez peut-être pourquoi Microsoft a décidé de créer ce nouveau paramètre de vidage de la mémoire ? Selon Robert Simpkins, ingénieur support senior, un vidage mémoire automatique peut créer un support pour une page « système » dans un fichier de configuration.
Le système de gestion de configuration du fichier d'échange est responsable de la gestion de la taille du fichier d'échange - cela évite l'espace d'échange inutile ou la taille du fichier d'échange. Cette option a été introduite principalement pour les PC fonctionnant sur des disques SSD, qui ont tendance à avoir une taille plus petite mais une énorme quantité de RAM.

Options de vidage de la mémoire

Le principal avantage de l'Auto Memory Dump est qu'il permet à la session du sous-système dans Process Manager de réduire automatiquement le fichier d'échange à une taille inférieure à la taille de la RAM. Pour ceux qui ne le savent pas, la session du gestionnaire de sous-système est responsable de l'initialisation du système, de l'environnement de démarrage des services et des processus requis pour qu'un utilisateur se connecte au système. Il définit essentiellement la page de fichier sur la mémoire virtuelle et démarre le processus winlogon.exe.

Si vous souhaitez modifier vos paramètres de vidage mémoire automatique, voici comment procéder. Appuyez sur la touche Windows + X et sélectionnez - Système. Cliquez ensuite sur le bouton "Paramètres système avancés - Avance Système Paramètres”.

Cliquez sur le bouton Paramètres système avancés.

Ici vous pouvez voir un menu déroulant où il est écrit "Plus".

Ici, vous pouvez sélectionner l'option que vous voulez. Options suggérées :

Pas de vidages de mémoire.
Petit vidage mémoire.
Vidage de la mémoire du noyau.
Vidage mémoire complet.
Vidage mémoire automatique. Ajouté dans Windows 8.
Vidage mémoire actif. Ajouté à Windows 10.
L'emplacement du fichier d'image mémoire se trouve dans le fichier % SystemRoot% \ MEMORY.DMP.

Si vous utilisez un disque SSD, il est préférable de le laisser sur « Dump mémoire automatique » ; mais si vous avez besoin d'un fichier de vidage sur incident, il est préférable de le définir sur un "petit vidage de mémoire", avec lui, vous pouvez l'envoyer à quelqu'un si vous voulez y jeter un œil.

Dans certains cas, vous devrez peut-être augmenter la taille du fichier d'échange au-delà de votre RAM afin qu'il puisse contenir un vidage mémoire complet. Dans de tels cas, vous devez créer une clé de registre :

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ CrashControl

il s'appelle « LastCrashTime ».

Cela augmentera automatiquement la taille du fichier d'échange. Pour le réduire plus tard, vous pouvez simplement supprimer cette clé.

Windows 10 a introduit un nouveau fichier de vidage de mémoire active. Il ne contient que l'essentiel et est donc plus petit.

Je n'ai aucun moyen de le tester, mais j'ai généré cette clé et surveillé la taille du fichier d'échange. Je sais que tôt ou tard j'obtiendrai une erreur critique. Ensuite, je vais vérifier.

Vous pouvez analyser le vidage mémoire des fichiers Windows.dmp à l'aide de WhoCrashed. L'utilitaire WhoCrashed Home est gratuit et propose des pilotes qui ont été intégrés à votre ordinateur en un seul clic. Dans la plupart des cas, il peut identifier un pilote cassé qui cause des problèmes à votre ordinateur. Il s'agit d'un vidage sur incident de l'analyse du système, des vidages mémoire et toutes les informations collectées sont présentées ici sous une forme accessible.

Généralement, la boîte à outils de débogage ouvre le vidage sur incident de l'analyse. Avec cet utilitaire, vous n'avez besoin d'aucune connaissance ni compétence de débogage pour déterminer quels pilotes causent des problèmes sur votre ordinateur.

WhoCrashed s'appuie sur le package de débogage de Microsoft (programmes windbg). Si ce package n'est pas installé, WhoCrashed téléchargera et extraira automatiquement ce package pour vous. Lancez simplement le programme et cliquez sur le bouton Analyser. Lorsque WhoCrashed est installé sur le système et s'il se réinitialise ou se ferme de manière inattendue, le programme vous indiquera si le vidage sur incident est activé sur votre ordinateur et il vous proposera des suggestions sur la façon de les activer.

Les erreurs critiques d'écran bleu Windows (BSOD) sont souvent causées par un pilote nouvellement installé ou corrompu. Après avoir déterminé quel pilote est la cause de l'erreur, vous pouvez commencer à résoudre le problème : mettre à jour le pilote, revenir à une version antérieure, réinstaller ou supprimer l'application qui a installé le pilote, etc. Le nom du pilote n'est pas toujours affiché sur un écran bleu. Cependant, il existe une méthode très simple qui vous permet d'utiliser un vidage de mémoire pour identifier le pilote problématique en quelques minutes.

Étape 1 - Activation de l'écriture de vidage de mémoire

Vous devez d'abord vous assurer que l'enregistrement de vidage est activé. Pour ce faire, ouvrez les propriétés du système en appuyant sur la combinaison de touches Gagner + Pause, [sous Vista cliquez sur le lien Paramètres système supplémentaires], allez dans l'onglet aditionellement, et enfin appuyez sur le bouton .

Petit les vidages de mémoire devraient être suffisants pour nos besoins.

Faites attention au chemin d'accès au dossier où ils seront enregistrés lorsqu'une erreur critique se produit.

Vous pouvez maintenant compresser le fichier, le joindre au message du forum Résoudre les erreurs critiques de Windows et attendez que quelqu'un vous dise le nom du pilote problématique :) Mais vous pouvez le faire vous-même sans trop d'effort.

Étape 2 - Analyse des vidages à l'aide de l'utilitaire MinDumper

Vous trouverez une histoire sur l'utilitaire dans cet article.

  1. Téléchargez et installez les outils de débogage pour Windows. Ils sont inclus dans le programme d'installation Web du SDK Windows, où une fois lancé, vous devez sélectionner Outils de débogage sous Utilitaires communs.
  2. Télécharger scénario(kdfe.cmd), qui a été écrit par Alexander Sukhovey et publié sur la ressource sysadmins.ru(comme je n'ai pas pu y trouver de lien live, je propose le mien). Décompressez l'archive dans n'importe quel dossier.
    Noter... Si le dossier Program Files se trouve dans un emplacement non standard, vous devrez peut-être spécifier dans kdfe.cmd le chemin d'accès au dossier où les outils de débogage pour Windows sont installés. Utilisez la variable dbgpath à la ligne 41.

Étape 3 - Analyse du vidage de la mémoire

Maintenant, tout se résume à l'exécution d'une commande. Ouvrez une invite de commande et accédez au dossier dans lequel vous avez décompressé kdfe.cmd... Exécutez le fichier en spécifiant le chemin du fichier de vidage mémoire en paramètre (dans l'exemple ci-dessous, le fichier est nommé Mini1110307-01.dmp)

Vous avez aimé l'article ? A partager entre amis :
Vous pouvez également être intéressé par