Программы для анализа дампов памяти Windows

При возникновении синих экранов BSoD Windows 11, 10 и другие версии системы создают дамп (снимок состояния) оперативной памяти, содержащий отладочную информацию, которую можно использовать для диагностики и определения причин сбоя. Функция обычно включена по умолчанию, но если дампы памяти не создаются, их можно включить: Как включить создание дампов памяти в Windows.

Подробным анализом дампов памяти занимаются разработчики, но и для рядового пользователя, столкнувшегося с синими экранами в Windows это может оказаться полезным: адреса в памяти ему ничего не дадут, но часто можно обнаружить имя файла приложения или драйвера, вызывающее сбой. Здесь помогут специальные программы для анализа дампов памяти, о которых и пойдёт речь далее.

WinDbg

У Майкрософт имеется собственный инструмент отладки и анализа дампов памяти — WinDbg (Preview). Скачать его для Windows 11 и Windows 10 можно из Microsoft Store, или прямую ссылку.

Пример простого анализа дампа памяти для обычного пользователя с целью выявления процесса, вызвавшего BSoD с помощью WinDbg:

1. Запустите WinDbg от имени Администратора (правый клик по ярлыку в меню «Пуск» — «Запуск от имени администратора»).
2. В главном меню программы выберите «Файл» — «Open dump File» и укажите путь к нужному мини-дампу, обычно находящемуся в папке

   C:\Windows\Minidump

   нажмите кнопку «Open». Вторая возможность — открытие файла дампа памяти двойным кликом по нему (при установленном WinDbg).
3. Введите команду

   !analyze -v

   в поле ввода команд (либо нажмите по ссылке с командой в верхней панели WinDbg) и дождитесь завершения анализа.
4. В панели «Command» в верхней части окна программы будет отображен результат анализа, где, при удаче, вы сможете найти информацию о том, при работе какого процесса (PROCESS_NAME) произошёл сбой. Этот процесс не обязательно является непосредственным виновником, но работал в момент сбоя.
5. В отчёте может присутствовать информация о файле драйвера (.sys) в поле IMAGE_NAME и другая информация, позволяющая найти источник проблемы. В частности, в поле FAILURE_BUCKET_ID может быть указан вызов, адрес, драйвер инициировавший сбой. Для некоторых кодов ошибок в списке аргументов будет присутствовать адрес в памяти, по которому можно определить модуль, который привел к BSoD.
6. Помимо основной !analyze -v в WinDbg присутствуют другие полезные команды: lm для получения список загруженных и выгруженных перед сбоем драйверов, !process 0 0 для получения списка процессов. Все они могут помочь более точно определить причины сбоя и получить понимание того, в какой среде он произошёл.

Обычный пользователь может использовать полученную информацию (в частности, имя драйвера, процесса) для того, чтобы найти, каким устройствам соответствуют драйверы в Интернете, выяснить назначение процессов при работе которых произошёл сбой, предпринять те или иные действия с целью их устранения.

BSoD Analyzer

WinDbg — самый мощный из доступных инструментов для анализа дампов памяти Windows при сбоях и отладки. Однако, интерпретация результатов анализа этой программы — не то что доступно большинству пользователей.

Я попробовал решить эту проблему и создал BSoD Analyzer — онлайн-сервис для ИИ анализа мини-дампов памяти при синих экранах Windows, который поочерёдно выполняет следующее: получает результаты анализа дампа от WinDbg, а затем интерпретирует их с помощью LLM (нейросети, языковой модели) таким образом, чтобы причины и варианты действий были написаны понятным для пользователя языком.

Порядок использования простой:

1. Зайдите на страницу сервиса https://remontka.pro/bsod/ и загрузите файл мини-дампа .dmp (поддерживаются только дампы с x64 систем Windows), после чего нажмите кнопку «Отправить на анализ».
2. Дождитесь завершения и вы увидите результат прямо в браузере: вердикт по виновнику BSoD:
3. Пояснения, дополнительные факторы, которые могли повлиять на сбой (при наличии) и рекомендации, а также возможность скачать отчёт с результатами и сырым выводом WinDbg.
4. Также проанализировать дампы памяти можно с помощью бота в Telegram.

Учитывайте, что LLM свойственно ошибаться: я старательно устраняю обнаруженные ошибки интерпретации, но они не исключены полностью. Поэтому, если, например, рекомендации включают себя удаление какого-то конкретного стороннего драйвера, рекомендую использовать поиск в Интернете, чтобы убедиться что его назначение было правильно определено. А если не уверены в каких-то действиях и их последствиях, возможно, лучше обратиться к специалисту.

На момент обновления этой статьи сервис работает в тестовом режиме, не исключены ошибки. Решение о дальнейшей работе будет принято позже: посмотрим, востребован ли он и полезен ли пользователям.

BlueScreenView

BlueScreenView — очень простая утилита, которая позволяет выбрать файла дампа памяти в списке и посмотреть, какие файлы драйвера и процессы привели к сбою: в окне программы они будут выделены красным цветом.

К сожалению, для очень многих дампов в отчете BlueScreenView вы увидите лишь ntoskrnl.exe или другие файлы ядра, что не даёт нужной информации для диагностики, а лишь указывает на то, что сбой произошёл на уровне ядра. Однако, для очевидных случаев (например, сбой драйвера видеокарты) может оказаться достаточно и этого инструмента. Скачать BlueScreenView можно с официального сайта разработчик.

WhoCrashed

Ещё одна программа для анализа дампов памяти — WhoCrashed. В бесплатной версии предоставляет не так много информации.

После нажатия кнопки «Analyze» имеющиеся дампы памяти анализируются, и на вкладке «Report» выводятся коды ошибок, а также текстовое описание на английском языке о том, что означает этот код и о возможных причинах сбоя.

Официальный сайт WhoCrashed https://www.resplendence.com/whocrashed, судя по всему, не открывается из РФ, но утилиту легко найти и скачать из сторонних источников.