Открываем дампы памяти dmp

Получение информацию о компьютере

Для начала надо искать информа­цию о:

• про­цес­сах;
• ис­тории бра­узе­ра;
• ис­тории запущен­ных команд в кон­соли.

Этих 3 пун­ктов хва­тит для опре­деле­ния направления даль­нейшей раз­ведки.

Процессы

Что­бы най­ти про­цес­сы, нам дос­таточ­но исполь­зовать коман­ду pstree. Есть еще pslist, но пер­вая коман­да удоб­нее, потому что показы­вает про­цес­сы в виде дерева — так нам­ного про­ще понять, на какие из них сто­ит обра­тить вни­мание.

1	$vol.py-fchallenge.vmem—profile Win10x64_18362 pstree

Ни­чего бро­сающе­гося в гла­за, вро­де pswd_manager.exe или not_a_virus.exe, не вид­но, поэто­му про­дол­жим нашу раз­ведку.

История браузера

Хоть в хин­те (см. первый скрин) и говори­лось, что «уда­лен­ный» не обя­затель­но зна­чит «бра­узер», мы про­верим этот век­тор. В Volatility есть готовый пла­гин для прос­мотра исто­рии Internet Explorer — iehistory. И не говорите, что им уже ник­то не поль­зует­ся!

1	$vol.py-fchallenge.vmem—profile Win10x64_18362 iehistory

Ко­ман­да работа­ла слиш­ком дол­го на моей машине (поряд­ка 20 минут) и завер­шать­ся не пла­ниро­вала. Это не счи­тает­ся нор­маль­ным поведе­нием для Volatility, сле­дова­тель­но, тут искать нечего.

Ес­ли вы подума­ете сос­тавлять задач­ки для CTF — имейте в виду, что задачи, в которых надо по пол­часа бру­тить извра­щен­ные пароли или искать неуло­вимый API endpoint, ник­то не любит, и сле­дующую задачу вам доверят делать еще не ско­ро.

Список команд в консоли

Есть еще одна удоб­ная фун­кция для про­вер­ки всех вве­ден­ных в кон­соль команд. Воз­можно, поль­зователь запус­кал что‑нибудь из кон­соли или хра­нил там важ­ные дан­ные (нап­ример, флаг). Про­верить все из кон­соли мож­но с помощью коман­ды cmdscan.

1	$vol.py-fchallenge.vmem—profile Win10x6_18362 cmdscan

Тут чис­то — сле­дова­тель­но, тер­минал тоже не при делах.

Полезный прием при анализе оперативной памяти

Пос­коль­ку до сих пор не наш­лось ничего инте­рес­ного — мы что‑то упус­тили. Мож­но при­менить еще один полез­ный при­ем при ана­лизе опе­ратив­ной памяти — пос­мотреть на скрин­шот рабоче­го сто­ла. Помога­ет он не силь­но час­то, но поз­воля­ет уви­деть более пол­ную кар­тину.

Сде­лать скрин­шот всех окон про­цес­сов в сис­теме мож­но с помощью коман­ды screenshot. Обя­затель­но нуж­но ука­зать сущес­тву­ющую конеч­ную дирек­торию, где будут находить­ся все сним­ки.

Важ­но понимать, что боль­шинс­тво кар­тинок будут пус­тыми: это свя­зано с тем, что не все окна вооб­ще могут отоб­ражать­ся (для луч­шего понима­ния рекомен­дую озна­комить­ся с до­кумен­таци­ей).

1	$vol.py-fchallenge.vmem—profile Win10x64_18362 screenshot-Dshot/

К сожале­нию, коман­да закан­чива­ется с ошиб­кой, так что этот трюк тоже не про­шел и нам сто­ит вер­нуть­ся к самому началу.

Формат файла DMP — описание, как открыть?

Расширение DMP может быть нескольких основных исполнений, в частности:

DMP формат является dump-файлом, генерируемым ОС в автоматическом режиме в результате появления какой-либо критической ошибки. Это своеобразный скриншот памяти устройства в момент, когда ОС дает сбой. Dump-файл с ошибкой ОС имеет формат mini000000-00.dmp, где в наименовании указывается конкретный месяц, год и дата фиксации сбоя.

Для непосредственной генерации дампа, а не просто перезагрузки ОС, следует выполнить следующую последовательность действий:

• перейти по пути “мой компьютер – свойства – восстановление компонентов – параметры”;
• снять закладку ”перезагрузка”;
• во вкладке “запись отладочных данных” пользователю предоставляется выбрать вид дамп-файла, и каталог, где он будет сгенерирован.

В случае, если DMP файл занимает значительное место дискового пространства, их допускается удалять. Данная процедура никак не повлияет на работоспособность ОС.

• формат DMP – результат деятельности программного комплекса баз данных ORACLE. Такой файл предназначен для резервного хранения схем и БД (актуально только на момент его генерации).
• dump-файл программы Steam. Предназначен для контроля и управления над игровыми приложениями.
• DMP формат – файл-карта, как результат генерации утилиты Dream Maker.

Программы для открытия и создания DMP файлов

В зависимости от своего исполнения и практического назначения, DMP формат может быть сгенерирован и открыт следующими программными приложениями:

• Visual Studio, Dumpflop Utility, Kernel Debug, Bluescreenview, Debug Tools, (DMP файл – генерируемый операционной системой в автоматическом режиме в случае возникновения какой-либо критической ошибки или сбоя);
• Oracle Dump Viewer (DMP файл – БД ORACLE);
• Steam (DMP файл – клиент для контроля и управления над игровыми приложениями);
• Dream Maker (DMP файл – файл-карта).

Если при попытке открыть формат ОС выдает ошибку, – производится открытие DMP файла с использованием некорректного приложения.

Конвертация DMP в другие форматы

Поскольку DMP формат – уникальный файл, содержащий данные о коде критической ошибке или причинах сбоя ОС, конвертация его в другие форматы не практикуется.

Исключение составляет, пожалуй, только дамп-файл базы данных ORACLE. С помощью программной утилиты NXTract допускается преобразование в CSV, SQL Server, DB2, Access, MySQL и многие другие форматы.

Почему именно DMP и в чем его достоинства?

Область практического применения формата DMP необычайно широка. С помощью данного расширения пользователю предоставляется возможность безошибочно диагностировать причину сбоя ОС, создать резервную копию БД ORACLE, управлять игровыми программами и создавать файл-карты.

Аппаратные причины возникновения критических ошибок

Источником критических ошибок нередко бывают неисправности в дисковой подсистеме, или в подсистеме памяти.

Диагностика неисправностей диска

В случае ошибок дисковой подсистемы, аварийный дамп может не сохраняться.

Чтобы исключить проблемы с диском, проверяем системный журнал событий на наличие ошибок чтения и записи на диск.

Проверяем параметры S.M.A.R.T жесткого диска, получить их можно, например, с помощью программы SpeedFan.

Особое внимание обращаем на параметры: «Current Pending Sector Count» и «Uncorrectable Sector Count», ненулевые значения этих параметров сигнализируют о неисправности диска. Ненулевое значение параметра: «UltraDMA CRC Error Count», сигнализирует о проблеме с SATA-кабелем

Ненулевое значение параметра: «UltraDMA CRC Error Count», сигнализирует о проблеме с SATA-кабелем.

Подробнее о параметрах S.M.A.R.T. читаем в статье Википедии.

Диагностика неисправностей памяти

Проблемы с памятью нередко могут стать причиной самых разнообразных глюков, включая различные синие экраны, зависания, аварийное завершение программ, повреждение реестра, повреждение файловой системы и данных.

Выявить проблемы с памятью можно с помощью утилиты .

Начиная с Windows Vista, в системе имеется свой тест памяти. Для его запуска нажимаем «Пуск», в строке поиска набираем «памяти», выбираем «Средство диагностики памяти Windows».

Проблемы с памятью в некоторых случаях могут быть устранены обновлением BIOS.

Причины возникновения ошибки «dumping physical memory to disk»

Сразу же стоит отметить, что в подавляющем большинстве случаев данная ошибка является следствием реакции операционной системы на обнаружение аппаратных неполадок (или же иными словами — физической неисправности).

Поэтому для начала следует остановиться на решении основных аппаратных проблем.

«Оперативная память»

Довольно часто «Dumping physical memory to disk» возникает после физического вмешательства в компоненты компьютера (чистка пыли, апгрейд, замена термопасты) или после скачков напряжения и перегрева компонентов.

Соответственно, от этого и стоит отталкиваться в решении ошибки:

• Извлеките планки оперативной памяти и протрите медные контакты обычным канцелярским ластиком. Делать это нужно аккуратно и без фанатизма.
• По возможности замените слот для оперативной памяти, или просто поменяйте их местами.
• При наличии нескольких активных планок отключите одну из них и проверьте работоспособность системы.

«Видеокарта»

Если ошибка возникает при загрузке операционной системы, то вполне вероятно, что сбоит видеокарта.

Следовательно, необходимо осмотреть её (а также материнскую плату) на наличие явных физических неисправностей — вздутие, погорение, потёртости и т. п.

Если что-либо из перечисленного было вами выявлено в своём компьютере, то следует или заменить проблемные компоненты, или воспользоваться услугами сервисного центра и по возможности продлить им «жизнь».

Программные неполадки

Cразу же после столкновения с ошибкой «Dumping physical memory to disk» (как и с любой другой формой «BSOD») следует внимательно проанализировать отчёт по возникшей критической ошибке.

Для этого следует перейти в «С:\windows\minidump» (она же может именоваться «Memory.dmp»).

В данной папке будут находиться отчёты операционной системы, записанные непосредственно перед возникновением ошибки, что позволяет определить, какой процесс является виновником ее появления.

Однако самостоятельный анализ такого отчета принесёт положительный результат только при наличии у пользователя определённых технических познаний в работе операционной системы в целом.

Поэтому — при отсутствии таких навыков — можно загрузить отчёты (дампы) на любое файловое хранилище, предоставить открытый доступ (личной информации в отчёте нет) и создать соответствующую тему на любом тематическом техническом форуме.

А также можно попробовать воспользоваться общими рекомендациями, которые будут предоставлены ниже.

Что делать при появлении ошибки «dumping physical memory to disk»

Проверка целостности системных файлов и корректности работы жёсткого диска

Это стандартный алгоритм проверки работы системы, который даже если не решит основную проблему, то поможет избавиться от мелких системных сбоев.

Утилита «sfc/scannow» предназначена для выявления повреждённых и отсутствующих системных файлов, с их последующим восстановлением.

Для её активации сделайте следующее:

• Нажмите «Пуск» и в строке поиска введите «cmd.exe».
• Кликните правой кнопкой мышки по найденному результату и выберите «Запустить от имени администратора».
• В открывшейся консоли командной строки введите и выполните команду «sfc/scannow».
• Дождитесь завершения сканирования и просмотрите отчёт утилиты.

Утилита «CHKDSK» предназначена для проверки физических носителей на наличие имеющихся ошибок и их автоматического исправления:

• Аналогичным образом запустите консоль командной строки.
• Введите и выполните команду «CHKDSK f/ r/» — параметр «f/» указывает на автоматический поиск и исправление ошибок, параметр «r/» — сканирует жёсткий диск на наличие повреждённых секторов и автоматически их исправляет.
• Процесс может занять длительное время, поэтому наберитесь терпения и не прерывайте работу утилиты.

Анализ и переустановка графического драйвера

В продолжение темы физической неисправности видеокарты, следует проверить её работу на наличие программных ошибок (в виде некорректно работающих драйверов программного обеспечения).

Если версия драйвера актуальна, то, возможно, причиной возникновения сбоя «dumping physical memory to disk» стала его некорректная установка.

Проверить это можно следующим образом:

• Нажмите комбинацию клавиш «WIN+R» и выполните «devmgmt.msc».
• В открывшемся окне «Диспетчер устройств» разверните строку/раздел «Видеоадаптеры».
• Кликните правой кнопкой мышки по найденному устройству и выберите «Свойства».
• Перейдите на вкладку «Драйвер» и нажмите на кнопку «Удалить».

Здесь возможно два варианта дальнейших действий:

1. Перезагрузить компьютер и предоставить операционной системе «карт бланш» на самостоятельную установку драйвера графического адаптера.
2. Воспользоваться специализированным программным обеспечением (DriverPack или Driver Booster) для самостоятельной полуавтоматической установки необходимых драйверов.

Анализ работы оперативной памяти

Как и с работой графического адаптера, так и в работе оперативной памяти возможны ошибки, которые также необходимо выявить на программном уровне.

Делается это достаточно просто:

• Наиболее популярная и качественная программа для диагностики работы оперативной памяти является «Memtest». Для работы вам потребуется скачать и записать образ программы на загрузочный носитель, с которого и будет осуществляться тестирование.
• Далее потребуется просто загрузиться с носителя (используя «Boot Menu» или установив соответствующий приоритет загрузки в BIOS) и начать работу с «Memtest».
• После загрузки с носителя сканирование и тестирование начнётся автоматически.
• Остаётся набраться терпения, так как сканирование займёт длительное время (это часы тестирования для каждой планки оперативной памяти).

Если по завершению работы «Memtest» внизу активного окна будет предоставлено уведомление «Pass complete, no errors, press Esc to Exit», то программа не обнаружила неисправных блоков.

Если же они присутствуют, то будут наглядно выделены красным цветом, соответственно, вам придется заменить оперативную память.

Другие программы, связанные с расширением dmp

Файл дампа ORACLE от Oracle CorporationРасширение DMP – дамп базы ORACLE, который используется для резервирования схемы и данных. DMP файл хранит данные только на момент, создания дампа. Для экспорта или импорта дампа базы данных в Oracle используются утилиты входящие в состав Oracle и находящиеся в каталоге BIN – expNN.exe и impNN.exe, где NN зависит от версии Оракла. Так же данные можно просмотреть с использованием утилит Oracle Dump Viewer и NXTract, причем утилита NXTract позволяет конвертировать данные из .DMP в форматы баз данных CSV, Sybase, SQL Server, DB2, Excel, Access, Ingres, MySQL, Informix, Lotus 123, dBASE, Visual Basic, Foxpro Powerbuilder и любой другой версией Oracle.

Популярность:

Файл дампа клиента Steam от Valve CorporationРасширение DMP файла связано с клиентом инструмента управления Steam для Microsoft Windows и Apple Mac OS X, используемой для управления играми, приобретенные на Steam, разработанная Valve. В * DMP-файлах хранятся данных. Файлы находятся в каталоге /tmp/dumps с наименованием crash_YYYYMMDDHHMMSS_N.dmp, где YYYY – год, MM – месяц, DD – день, HH – час, MM – минута, SS – секунда, N – счетчик.

Популярность:

Файл карты Dream Maker от BYONDDMP файл создается программой Dream Maker, разработанной BYOND (Build Your Own Net Dream). .DMP – это файл карты.

Популярность:

Как активировать создание данных

Эта процедура, вопреки популярному мнению, не требует много времени или каких-либо умений. Все шаги, перечисленные далее, будут проводиться в панели управления. Последнюю можно открыть разными способами:

1. Ввести название утилиты в поиск на панели задач.
2. Одновременно нажать на клавиши Win и R, а затем скопировать и вставить в строку слово «control» (без кавычек).

1. Найти программу в меню «Пуск» (располагается в папке «Служебные»).

Итак, в панели необходимо выбрать раздел «Система». Его приблизительное расположение можно увидеть на изображении ниже:

В левой части экрана будет несколько категорий, среди которых есть дополнительные настройки (самый последний пункт).

В открывшемся окне будет активна вкладка «Дополнительно». В ней есть пункт, отвечающий за восстановление ОС в случае неполадок. Требуется перейти в его параметры, нажав на соответствующую кнопку в правой части окна.

После этого снова появится новое окно. По умолчанию функция должна быть включена. Если это не так, значит ее либо отключили вручную, либо с помощью программ. Нужный пункт настроек можно найти под подзаголовком «Отказ системы»:

Здесь следует поставить галочку напротив первой надписи. Если использовать стандартные настройки, то дамп будет автоматическим. Также строкой ниже можно указать его расположение. Чтобы сэкономить место на накопителе, новый файл обычно заменяет старый. Это можно отключить, убрав галочку около предпоследнего пункта. После завершения настройки необходимо кликнуть по кнопке «ОК», чтобы сохранить изменения.

Типы дампов памяти Windows

Большинству пользователей подойдет автоматический вариант, однако следует также рассмотреть и другие типы:

1. Малый. Как можно догадаться, обладает более незначительным размером. По умолчанию находится по пути, отличном от указанного выше (обычно в папке, которая так и называется «Minidump»). Содержит только общую информацию, без подробностей, однако во многих случаях этого более чем достаточно. Не менее популярен, чем автоматический тип.
2. Дамп памяти ядра. В целом очень схож с вариантом по умолчанию, но неопытными пользователями используется значительно реже. Отличается измененным файлом подкачки.
3. Полный. Содержит наибольшее количество информации, но начинающим его выбирать не рекомендуется. Причина проста: такой файл может занимать очень много места (столько же, сколько и используемая часть ОП на момент возникновения синего экрана).
4. Активный. Обычно используется для серверов и позволяет отсортировать компоненты, которые не могут определить причину появления ошибки. В большинстве случаев смысла его использовать нет: лучше отдать предпочтение автоматическому типу.

Подводя итоги, чаще всего используются автоматический и малый дампы

Также в некоторых случаях может быть полезен полный тип, но важно учитывать, что он много весит, а причину зачастую можно выявить и без такой подробной информации

Анализ дампа оперативной памяти

Анализ памяти актуален в ситуации, когда есть или был физичес­кий дос­туп к компьютеру и была возможность снять дамп опе­ратив­ной памяти. По слепку оперативной памяти мож­но опре­делить, какие при­ложе­ния запус­кались во вре­мя работы компьютера, дан­ные про­цес­сов и получить другую полезную информацию. Все это можно сделать пока пользователь не вык­лючил или не перезаг­рузил компь­ютер.

Как правило, для ана­лиза оперативной памяти используют нес­коль­ко при­ложе­ний: Volatility, Memoryze и Autopsy (в связ­ке с Volatility). Существуют и другие менее популярные инструменты, но в рамках этой статьи рассматривать их не будем.

Вы спросите а как же Autopsy? Конечно, это удобный инструмент, который может одним нажатием кнопки сделать комплексный анализ всего дампа. Но, если речь идет о соревнованиях, тогда важна скорость получения результатов, поэтому лучше использовать, что-то другое. Мы для анализа оперативной памяти будем исполь­зовать Volatility.

Перейдем к заданию. У нас есть дамп опе­ратив­ной памяти и хеш MD5 для его про­вер­ки.

Capture The Flag Remote Password Manager

Скачиваем образ памяти на компьютер. В моем случае Kali Linux.

1	$wget https//ams3.digitaloceanspaces.com/justctf/69f7647d-2f7a-4604-b9f6-553c6bb447ee/challenge.tar.gz

Теперь распакуем слепок памяти:

1	$tar-xzvf challenge.tar.gz

И сра­зу же про­верим, что с ним все в поряд­ке:

1	$md5sum pub/challenge.vmem

Ес­ли хеш не сошел­ся с исходным хешем — при­дет­ся еще раз ска­чать архив.

Важно использовать последнюю версию Volatility. Чтобы не было проблем с профилями.  Если вы уже используете Volatility, я очень рекомен­дую обно­виться.

Чем открыть файл дампа памяти Windows MEMORY.DMP

Многие знакомы с «синим экраном смерти» или BlueScreen. Синий экран появляется когда в работе Windows возникает критическая ошибка, что приводит к остановке работы операционной системы. При этом операционная система создает дамп памяти, в который записывает отладочную информацию и добавляет запись в журнал событий.

В Windows существуют два типа дампа памяти — малый дамп (minidump) и полный дамп.Minidump находится в директории C:WindowsMinidump и его название имеет примерно такой вид Mini051819-01.dmp.Полный дамп располагается в папке C:Windows и называется MEMORY.DMP.

Просмотр и анализ файла минидампа.

Для просмотра и анализа файла минидампа можно воспользоваться достаточно простой и удобной утилитой BlueScreenView от Nirsoft, которую можно скачать с официального сайта https://www.nirsoft.net/utils/blue_screen_view.html .

Для просмотра минидампа достаточно перетащить файл в окно программы и тут же загрузится отладочная информация. Красным будут подсвечены модули вызвавшие ошибку. В случае представленном на скриншоте выше это был драйвер tcpip.sys.

Щелкнув по имени файла минидампа можно запустить поиск решения в Google.

Просмотр полного дампа памяти MEMORY.DMP.

Чтобы посмотреть содержимое полного дампа памяти необходимо открыть файл MEMORY.DMP при помощи утилиты WinDBG, которая входит в пакет Microsoft Windows SDK. Скачать эту утилиту можно с официального сайта Майкрософт по этой ссылке https://developer.microsoft.com/ru-ru/windows/downloads/windows-10-sdk .

Установка и настройка WinDBG.

Запускаем установку пакета Windows Software Development KIT и на этапе выбора компонентов отмечаем «Debugging Tools for Windows».

При первом запуске WinDBG необходимо выполнить настройку сервера отладочных символов. 1. Переходим в меню File > Symbol File Path и вставляем строку:

где C:symbol_cache — это директория куда будут загружаться символы.

2. Сохраняем настройку File > Save Workspace.

Просмотр и анализ файла MEMORY.DMP.

Открываем файл MEMORY.DMP: File > Open Crash Dump. Начинается процесс загрузки отладочных символов, в этот момент внизу будет видна надпись: Debugee not connected.

По окончанию загрузки появится подсказка: «для анализа этого файла запустите !analize-v».

Щелкаем по надписи !analize-v и запускается анализ дампа. В этот момент в строке состояние будет надпись *BUSY*.

По завершении обработки файла дампа памяти Windows нам необходимо найти среди полученной информации модуль, который вызвал сбой в работе. Найти сбойный модуль можно в строках MODULE_NAME и IMAGE_NAME.

В моем случае произошел сбой в работе драйвера srv.sys. В строке MODULE_NAME имя представлено в виде ссылке, щелкнув по которому можно получить информацию о модуле.

После выявления драйвера послужившего причиной сбоя в работе Windows и появления «Синего экрана смерти» необходимо попытаться обновить его.

голоса

Рейтинг статьи

Настройка сервера отладочных символов в WinDBG

Отладочные символы (debug-символы или symbol files) – это блоки данных, генерируемые в процессе компиляции программы совместно с исполняемым файлом. В таких блоках данных содержится информация о именах переменных, вызываемых функциях, библиотеках и т.д. Эти данные не нужны при выполнении программы, но полезные при ее отладке. Компоненты Microsoft компилируются с символами, распространяемыми через Microsoft Symbol Server.

Настройте WinDBG на использование Microsoft Symbol Server:

• Откройте WinDBG;
• Перейдите в меню File
  –> Symbol File Path;
  
• Пропишите строку, содержащую URL для загрузки символов отладки с сайта Microsoft и папку для сохранения кэша: SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols В примере кэш загружается в папку E:\Sym_WinDBG, можете указать любую.
• Не забывайте сохранить изменения в меню File
  –> Save WorkSpace;
  

WinDBG произведет поиск символов в локальной папке и, если не обнаружит в ней необходимых символов, то самостоятельно загрузит символы с указанного сайта. Если вы хотите добавить собственную папку с символами, то можно сделать это так:

SRV*E:\Sym_WinDBG*http://msdl.microsoft.com/download/symbols;c:\Symbols

Если подключение к интернету отсутствует, то загрузите предварительно пакет символов с ресурса Windows Symbol Packages .

Получение информации о проблемном драйвере

Если удалось обнаружить драйвер, в котором возникла ошибка, имя драйвера будет отображено в полях MODULE_NAME и IMAGE_NAME.

start             end                 module name
fffff880`0583c000 fffff880`059ef000   cmudaxp  T (no symbols)           
    Loaded symbol image file: cmudaxp.sys
    Image path: \SystemRoot\system32\drivers\cmudaxp.sys
    Image name: cmudaxp.sys
    Timestamp:        Fri Jan 18 13:58:45 2008 (47906A45)
    CheckSum:         0013077F
    ImageSize:        001B3000
    Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4

Если полный путь к драйверу не указан, по умолчанию используется папка %SystemRoot%\system32\drivers.

Находим указанный файл, и изучаем его свойства.

Обновляем проблемный драйвер.

Куда сохранять дампы ядра

Чтобы узнать, куда сейчас сохраняются дампы ядра, нужно прочитать файл /proc/sys/kernel/core_pattern:

*** Debian 11 ***
$ cat /proc/sys/kernel/core_pattern
core

*** Ubuntu 22.04 ***
$ cat /proc/sys/kernel/core_pattern
|/usr/share/apport/apport -p%p -s%s -c%c -d%d -P%P -u%u -g%g -- %E

Debian называет файлы дампов именем core и куда-то их сохраняет (если честно, я не выяснял куда).

Ubuntu через пайп передаёт дамп на обработку программе apport.

Вы можете временно (до перезагрузки) изменить путь и имя дампов задав свой шаблон, например таким способом:

$ sudo sysctl -w kernel.core_pattern=/var/crash/core.%u.%e.%p

Выше мы меняем параметр sysctl – kernel.core_pattern. И задаём ему значение состоящее из пути и имени файла, а также используем переменные:

• %u – имя пользователя (под каким пользователем работала упавшая программа);
• %e – имя программы;
• %p – номер процесса (pid).

Проверим что путь изменился. Затем нужно создать этот каталог, если его ещё не существует и убедиться что наш пользователь сможет в него писать.

*** Ubuntu 22.04 ***
$ cat /proc/sys/kernel/core_pattern
/var/crash/core.%u.%e.%p
$ ls -ld /var/crash/
drwxrwxrwx 2 root root 4096 апр 21 01:01 /var/crash/

*** Debian ***
$ cat /proc/sys/kernel/core_pattern
/var/crash/core.%u.%e.%p
$ ls -ld /var/crash/
ls: невозможно получить доступ к '/var/crash/': Нет такого файла или каталога
$ sudo mkdir /var/crash/; sudo chmod 777 /var/crash/
$ ls -ld /var/crash/
drwxrwxrwx 2 root root 4096 мая 31 15:50 /var/crash/

Хорошо, путь мы поменяли и каталог по этому пути сделали доступным. Ограничение на размер дампов для своей оболочки тоже сняли.

АНАЛИЗ АВАРИЙНОГО ДАМПА ПАМЯТИ С ПОМОЩЬЮ ПРОГРАММЫ BLUESCREENVIEW

Итак, после появления синего экрана смерти система сохранила новый аварийный дамп памяти. Для анализа дампа рекомендую использовать программу BlueScreenView. Её можно бесплатно скачать тут. Программа довольно удобная и имеет интуитивный интерфейс. После её установки первое, что необходимо сделать – это указать место хранение дампов памяти в системе. Для этого необходимо зайти в пункт меню “Options
” и выбрать “Advanced
Options
”. Выбираем радиокнопку “Load
from
the
following
Mini Dump
folder
” и указываем папку, в которой хранятся дампы. Если файлы хранятся в папке C:\WINDOWS\Minidump можно нажатием кнопки “Default
”. Нажимаем OK и попадаем в интерфейс программы.

Программа состоит из трех основных блоков:

1. Блок главного меню и панель управления;
2. Блок списка аварийных дампов памяти;
3. В зависимости от выбранных параметров может содержать в себе:

• список всех драйверов находящихся в оперативной памяти до появления синего экрана (по умолчанию);
• список драйверов находящихся в стеке оперативной памяти;
• скриншот BSoD;
• и другие значения, которые мы использовать не будем.

В блоке списка дамп памяти (на рисунке помечен цифрой 2) выбираем интересующий нас дамп и смотрим на список драйверов, которые были загружены в оперативную память (на рисунке помечен цифрой 3). Розовым цветом окрашены драйвера, которые находились в стеке памяти. Они то и являются причиной появления BSoD. Далее переходите в Главное меню драйвера, определяйте к какому устройству или программе они принадлежат

В первую очередь обращайте внимание на не системные файлы, ведь системные файлы в любом случае загружены в оперативной памяти. Легко понять, что на изображении сбойным драйвером является myfault.sys

Скажу, что это программа была специально запущена для вызова Stop ошибки. После определения сбойного драйвера, необходимо его либо обновить, либо удалить из системы.

Для того чтобы программа показывала список драйверов находящихся в стеке памяти во время возникновения BSoD необходимо зайти в пункт меню “Options
” кликаем на меню “Lower
Pane
Mode
” и выбираем “Only
Drivers
Found
In
Stack
” (или нажмите клавишу F7), а для показа скриншота ошибки выбираем “Blue
Screen
in
XP
Style
” (F8). Что бы вернуться к списку всех драйверов, необходимо выбрать пункт “All
Drivers
” (F6).

Любая современная операционная система – очень сложный набор различных программных модулей, которые работают в связке в разных сочетаниях. В них могут быть ошибки или они могут конфликтовать между собой или с запущенной программой. В итоге происходит сбой, и Windows прекращает работу, показывая всем известный «синий экран смерти ». Почему это произошло, поможет понять дамп памяти Windows 10, да и в других версиях это тоже работает. По умолчанию они обычно не создаются, поэтому их надо включить, а для изучения использовать специальные программы, которые извлекут полезную информацию в понятном виде.

Настройка дампа памяти.

По сути, это «снимок» оперативной памяти , её содержимое в момент, когда произошёл сбой. Это содержимое записывается в отдельный файл, который и называется дампом. Анализируя его, можно понять, что пошло не так, и в какой части программы случилась проблема. Когда всё нормально и никаких сбоев не происходит, система е создаёт никаких файлов с содержимым памяти. Поэтому на производительность эта функция никак не влияет. Но стоит случиться фатальной ошибке, которая вызывает появление «синего экрана», как создаётся такой файл. Это специальное средство, которое помогает разработчикам устранять такие проблемы. Обычные пользователи тоже могут воспользоваться этим, чтобы узнать, какие программы вызывают сбой системы. Но имейте в виду, что для этого надо иметь некоторые познания по работе компьютеров и программного обеспечения, иначе вся эта информация окажется совершенно бесполезной. Рядовой пользователь уровня «умею включить-печатать-выключить» в ней просто ничего не поймёт.

Как включить дампы

В Windows 7
:

В Windows 8 и 10
:

Здесь процесс немного похож, в сведения о системе можно попасть точно также, как в Windows 7. В «Десятке» обязательно открываем «Этот компьютер
», нажимаем по свободному месту правой кнопочкой мышки и выбираем «Свойства
». По-другому туда можно попасть через Панель управления.

Второй вариант для Wi
ndows 10
:

Следует заметить, что в новых версиях Windows 10 появились новые пункты, которых не было в «семерке»:

• Малый дамп
  памяти 256 КБ – минимальные данные о сбое.
• Активный дамп
  – появился в десятой версии системы и сохраняет только активную память компьютера, ядра системы и пользователя. Рекомендуется использовать на серверах.