Come posso leggere un file DMP?

December 21

Ogni utente di computer sa che frustrati, senso di vuoto che si verifica quando un crash di sistema scioperi. crash di sistema avvengono senza preavviso e si traducono in produttività ridotto, gli utenti esasperati, e il lavoro a volte perduta.

A "dump" è un record di stato del computer al momento di un incidente. file di dump vengono generati automaticamente da Windows quando si verifica un crash. Essi sono utilizzati dagli sviluppatori e utenti avanzati per aiutare a capire che cosa ha causato l'incidente. DMP è l'estensione del file Windows utilizza per i file di dump.

DMP file di dati Formato

Ci sono tre tipi di discariche di memoria che possono essere generati da Windows. Il primo, e il più grande, è chiamato un dump di memoria completa. Quando si crea questo tipo di discarica, il contenuto totale di memoria vengono scritti in un file DMP.

Il secondo, in particolare minori, tipo di discarica è il dump della memoria del kernel. Come suggerisce il nome, un dump di memoria del kernel registra solo la memoria del kernel. di memoria allocato e qualsiasi memoria allocata per i programmi in modalità utente viene ignorato. Questo rende l'analisi del file di dump più facile e meno in termini di tempo che con un dump di memoria completa.

Il terzo e più compatto tipo di discarica, chiamato una piccola immagine della memoria, genera un file DMP che si trova a soli 64 kilobyte di dimensione. Esso include solo le seguenti informazioni: il messaggio di arresto ed i suoi parametri, un elenco dei driver caricati, il contesto del processore (PRCB) per il processore fermato, i dati di informazioni di processo e di contesto kernel (EPROCESS), i dati di processo e il contesto kernel (ETHREAD ) per il filo interrotto, e lo stack di chiamate in modalità kernel per il thread fermato.

Come individuare un file DMP

Per impostazione predefinita, memoria completa discariche e dump di memoria del kernel sono entrambi scritti% SystemRoot% \ Memory.dmp. Windows salva solo uno di questi file di dump in un momento. Quando si verifica un nuovo incidente, il file DMP esistente viene sovrascritto.

file DMP generati da una piccola immagine della memoria, invece, vengono salvate nella directory% SystemRoot% \ Minidump. A differenza di altri tipi di rifiuti, i file esistenti di immagine della piccola di memoria non vengono sovrascritti quando ne vengono generati.

Windows include automaticamente la data nel nome del file di piccola memoria file di dump di DMP. Per esempio, un file DMP con il nome di "mini043014-01.dmp" è stata creata il 30 aprile 2014. Il "-01" dopo la data nel nome del file indica che è stato il primo file DMP creato in quel giorno.

Apertura e Visualizzazione di un file DMP

Ci sono due principali applicazioni software utilizzate per aprire e visualizzare i file DMP: Windows Debugging Tools e il Dump utility Controllo, chiamato anche Dumpchk. Strumenti di debug di Windows è la migliore opzione per l'esame dump di memoria completi e memoria del kernel discariche, mentre Dumpchk è ideale per guardare piccole immagini della memoria. Entrambe le applicazioni possono essere scaricate gratuitamente dal sito Web di Microsoft. Dal momento che gli URL esatti possono variare nel tempo, è meglio cercare i programmi per nome a http://www.microsoft.com e quindi scaricare dai link che ne derivano.

Per esaminare un file DMP utilizzando Windows Debugging Tools, aprire un prompt dei comandi e passare alla cartella in cui è installato Windows Debugging Tools. Poi, inserire uno dei seguenti comandi per aprire il file:

windbg -y SymbolPath -i ImagePath -z DumpFilePath

kd -y SymbolPath -i ImagePath -z DumpFilePath

Il primo comando aprirà il file DMP debugger GUI di Windows, mentre il secondo comando si aprirà in una interfaccia basata su testo. Il parametro SymbolPath si riferisce alla posizione dei simboli di debug sul disco rigido. Il parametro ImagePath si riferisce alla posizione dei file di immagine. Infine, il parametro DumpFilePath è la posizione del file DMP.

Per aprire un file DMP in Dumpchk, è sufficiente digitare il seguente comando in un prompt dei comandi:

Dumpchk DumpFilePath

Analizzando i contenuti di un file DMP

Strumenti di debug di Windows offrono una serie di comandi utili per analizzare i file DMP. L'! Analizzare uscite di comando -show il codice di errore ed i suoi parametri. Questo è utile per capire che cosa, esattamente, direttamente ha portato al crollo. L'! Analizzare comando visualizza -v le stesse informazioni di output dettagliato. Il comando lm NT visualizza un elenco dei moduli caricati al momento del crash.

Rispetto a Windows Debugging Tools, Dumpchk è abbastanza semplice utility. E 'principalmente utilizzato per verificare l'integrità dei file di dump e per visualizzarle. Per provare un file di dump di errori, è possibile utilizzare l'estensione riga di comando -e. Ad esempio, è necessario digitare quanto segue nella riga di comando:

Dumpchk -e DumpFilePath

Altre opzioni includono Dumpchk -v, che si trasforma in modalità dettagliata, -p, che produce l'intestazione DMP unica, e -c, che esegue una convalida di scarico rapido.