No Image

Что такое дамп процесса

СОДЕРЖАНИЕ
0 просмотров
10 марта 2020

Дамп памяти (англ. memory dump ; в Unix — core dump ) — содержимое рабочей памяти одного процесса, ядра или всей операционной системы. Также может включать дополнительную информацию о состоянии программы или системы, например значения регистров процессора и содержимое стека. Многие операционные системы позволяют сохранять дамп памяти для отладки программы. Как правило, дамп памяти процесса сохраняется автоматически, когда процесс завершается из-за критической ошибки (например, из-за ошибки сегментации). Дамп также можно сохранить вручную через отладчик или любую другую специальную программу.

Содержание

История [ править | править код ]

Английский термин core dump буквально переводится как «распечатка содержимого сердечников»: на ранних компьютерах, дамп означал принтерную распечатку содержимого памяти на магнитных сердечниках (англ. magnetic core memory ). Классическая игра NetHack содержит отсылку к термину при съедении яблока: "core dumped".

В Unix [ править | править код ]

В современных Unix-подобных операционных системах дамп памяти сохраняется в виде файла, который обычно называется core или core. ; его формат такой же, как формат исполняемых файлов этой ОС (ELF в Linux и современных Unix, a.out в традиционных Unix-системах, Mach-O в Mac OS X). Для анализа core-файла используется отладчик (например gdb) или инструмент objdump.

В Windows [ править | править код ]

В Windows существует два вида дампов, дампы режима ядра и дампы пользовательского режима.

Дамп режима ядра [ править | править код ]

Когда в Windows происходит ошибка в ядре операционной системы, ОС не может продолжать свою работу, что приводит к так называемому синему экрану смерти (англ. BSoD ). Во время показа этого экрана идёт запись дампа режима ядра (англ. kernel-mode dump ). Тип записываемого дампа задаётся в свойствах системы во вкладке «Загрузка и восстановление». Windows поддерживает три режима записи дампа, различающиеся объёмом сохраняемой информации:

  • Полный дамп системы (англ. Complete Memory Dump ) — содержит всю физическую память системы. Существуют проблемы при записи такого дампа, если в системе более 4Гб ОЗУ (это связано с тем, что 32 бита могут адресовать максимум 4Гб). Обычно записывается в файл C:WindowsMEMORY.DMP;
  • Дамп памяти ядра (англ. Kernel Memory Dump ) — содержит всю память, которую использует ядро системы;
  • Малый дамп памяти (англ. Small Memory Dump ) — содержит различную информацию, например, стоп код, параметры ошибки, список загруженных драйверов и т. п. Обычно записываются в папке C:WindowsMin > Дамп пользовательского режима [ править | править код ]

Дамп пользовательского режима (англ. user-mode dump ), также часто просто (англ. minidump ), это дамп памяти отдельного процесса. Он содержит в себе выбранные к записи виды данных. В частности это может быть: полная или частичная (отфильтрованная) память процесса; список, стек, состояние потоков; дескрипторы (англ. handle ) объектов ядра; список загруженных библиотек, а также список выгруженных библиотек. Полностью ознакомиться с возможными вариантами можно изучив перечисление MINIDUMP_TYPE.

См. также [ править | править код ]

Ссылки [ править | править код ]

Форматы дампа памяти в различных операционных системах:

  • core(5) — страница справки man для разработчика Linux — форматы файлов (англ.)
  • core(4) — страница справки man по форматам файлов Solaris 10 (англ.)
  • core(4) — страница справки man по форматам файлов HP-UX 11i (англ.)
  • core(5) — страница справки man по форматам файлов FreeBSD (англ.)
  • core(5) — страница справки man по форматам файлов OpenBSD (англ.)
  • core(5) — страница справки man по форматам файлов NetBSD (англ.)
  • core(5) — страница справки man по форматам файлов Darwin и Mac OS X (англ.)
  • Windows: функции для работы с minidump
  • Анализ дампа памяти

Данная небольшая заметка ставит целью своей показать, каким же образом можно сконфигурировать систему, чтобы получить в своё распоряжение аварийный дамп памяти Windows, то есть дамп, который может быть создан в случае возникновения критического сбоя, характеризующегося появлением синего экрана смерти (BSOD). Что же такое дамп вообще, для чего он нам требуется и что из себя представляет, какие проблемы он призван решить и какую информацию содержит в себе?

Для чего нам может потребоваться данное содержимое, то есть дамп памяти Windows? Пожалуй, наиболее часто дамп памяти используется для изучения причин возникновения системного сбоя (BSOD), который явился причиной полного останова операционной системы. В дополнение к этому, состояние памяти может использоваться и для других целей. Немаловажен и тот факт, что дамп памяти — это буквально единственный способ получения информации о любом сбое! А снятие (получение) дампа памяти системы — это, фактически, единственный точный метод получения мгновенного отпечатка (копии) содержимого физической памяти системы.

Чем точнее содержимое дампа будет отражать состояние памяти в момент сбоя, тем подробнее мы сможем проанализировать аварийную ситуацию. Поэтому крайне важно получить именно актуальную копию физической памяти системы в строго определенный момент времени, непосредственно предшествующий сбою. А единственный способ сделать это — создать полный аварийный дамп памяти. Причина достаточно тривиальна — когда происходит создание аварийного дампа памяти системы, в результате ли сбоя, либо в следствии искусственно смоделированной ситуации, система в этот момент получения управления аварийными функциями ( KeBugCheckEx ) пребывает в абсолютно неизменном (статичном) состоянии, поэтому между моментом возникновения сбоя и моментом окончания записи данных на носитель ничто не изменяет содержимое физической памяти, и она в оригинальном состоянии записывается на диск. Ну это в теории, а в жизни изредка, но встречаются ситуации, что по причине неисправных аппаратных компонентов, сам дамп памяти может быть поврежден, или в процессе записи дампа станция может подвиснуть.

Читайте также:  Как отправить видео с телефона в одноклассниках

Теоретически, статичность (неизменность) "отпечатка" памяти объясняется тем, что когда вызывается функция KeBugCheckEx , выводящая на экран информацию о сбое и стартующая процесс создания дампа памяти, система уже полностью остановлена и содержимое физической памяти записано в блоки, занимаемые на диске файлом подкачки, после чего, уже в процессе последующей загрузки операционной системы оно сбрасывается в файл на системном носителе. Ну а практически один раз наблюдал ситуацию, когда сбоящая материнская плата не давала сохранить дамп памяти: а) подвисая в процессе работы логики сохранения дампа (процесс не доходил до 100%), б) повреждая файл дампа памяти (отладчик ругался на структуры), в) записывая файлы дампов memory.dmp нулевой длины. Поэтому, не смотря на то, что система в момент создания дампа памяти уже полностью остановлена, и работает только аварийный код, сбойное железо может вносить свои коррективы в любую без исключения логику на любом этапе функционирования.
Традиционно, на начальном этапе для сохранения дампа памяти Windows используются блоки диска, выделенные файлу подкачки (pagefile). Затем, после возникновения синего экрана и перезагрузки, данные перемещаются в отдельный файл, а затем файл переименовывается по шаблону, зависящему от типа дампа. Однако, начиная с версии Windows Vista, подобное положение вещей возможно изменить, теперь пользователю дана возможность сохранять выделенный дамп без участия файла подкачки, помещая информацию о сбое во временный файл. Сделано это для того, чтобы исключить ошибки конфигурации, связанные с неправильной настройкой размера и положения файла подкачки, что зачастую приводило к проблемам в процессе сохранения дампа памяти.
Давайте посмотрим, какие же разновидности дампов позволяет нам создавать операционная система Windows:

  • Дамп памяти процесса (приложения);
  • Дамп памяти ядра;
  • Полный дамп памяти (дамп доступной части физической памяти системы).

Все аварийные дампы можно разделить на две основных категории:

  • Аварийные дампы с информацией о возникшем исключении . Обычно создаются в автоматическом режиме, когда в приложении/ядре возникает необрабатываемое исключение (unhandled exception) и, соответственно, может быть вызван системный (встроенный) отладчик. В этом случае информация об исключении записывается в дамп, что упрощает определение типа исключения и места возникновения при последующем анализе.
  • Аварийные дампы без информации об исключении . Обычно создаются пользователем в ручную, когда необходимо создать просто мгновенный снимок процесса для последующего анализа. Анализ этот подразумевает не определение типа исключения, поскольку никакого исключения и не возникало, а анализ совершенно другого рода, например изучение структур данных процесса и прочее.

Конфигурация дампа памяти ядра

Давайте непосредственно перейдем к конфигурированию параметров аварийного дампа памяти Windows. Для начала, нам необходимо зайти в окно свойств системы одним и приведенных способов:

  1. Нажать правой кнопкой мыши на значке "Мой Компьютер" — "Свойства" — "Дополнительные параметры системы" — "Дополнительно".
  2. Кнопка "Пуск" — "Панель управления" — "Система" — "Дополнительные параметры системы" — "Дополнительно".
  3. Сочетание клавиш "Windows" + "Pause" — "Дополнительные параметры системы" — "Дополнительно".
  4. Выполнить в командной строке (cmd):
    control system.cpl,,3
  5. Выполнить в командной строке (cmd):
    SystemPropertiesAdvanced

Результатом описанных действий является открытие окна "Свойства системы" и выбор вкладки "Дополнительно":

После этого в разделе "Загрузка и восстановление" мы нажимаем выбираем "Параметры" и тем самым открываем новое окно под названием "Загрузка и восстановление":

Все параметры аварийного дампа сгруппированы в блоке параметров под названием "Отказ системы". В этом блоке мы можем задать следующие параметры:

  1. Записать события в системный журнал.
  2. Выполнить автоматическую перезагрузку.
  3. Запись отладочной информации.
  4. Файл дампа.
  5. Заменять существующий файл дампа.

Как видите, многие параметры из списка достаточно тривиальны и просты в понимании. Однако, я бы хотел подробнее остановиться на параметре "Файл дампа". Параметр представлен в виде ниспадающего списка, и имеет четыре возможных значения:

Малый дамп памяти (Small memory dump)

Малый дамп памяти (минидамп, minidump) — это файл, который содержит наименьший объем информации о сбое. Самый маленький из всех возможных дампов памяти. Не смотря на очевидные минусы, зачастую именно минидампы используются в качестве информации о сбое для передачи поставщику сторонних драйверов с целью последующего изучения.
Состав:

  • Сообщение об ошибке.
  • Значение ошибки.
  • Параметры ошибки.
  • Контекст процессора ( PRCB ), на котором произошел сбой.
  • Сведения о процессе и контекст ядра ( EPROCESS ) для процесса, являющего причиной сбоя, со всеми его потоками.
  • Сведения о процессе и контекст ядра ( ETHREAD ) для потока, являющегося причиной сбоя.
  • Стек режима ядра для потока, который явился причиной сбоя.
  • Список загруженных драйверов.
Читайте также:  Заметки в виндовс 10 как найти

Размещение: %SystemRoot%MinidumpMMDDYY-XXXXX-NN.dmp . Где MMDDYY — месяц, день и год соответственно, NN — порядковый номер дампа.
Объем: Размер зависит от разрядности операционной системы: требуется всего-то 128 килобайт для 32-разрядной и 256 килобайт для 64-разрядной ОС в файле подкачки (либо в файле, указанном в DedicatedDumpFile). Поскольку выставить столь малый размер мы не сможем, то округляем до 1 мегабайта.

Дамп памяти ядра (Kernel memory dump)

Данный тип дампа содержит копию всей памяти ядра на момент сбоя.
Состав:

  • Список исполняющихся процессов.
  • Состояние текущего потока.
  • Страницы памяти режима ядра, присутствующие в физической памяти в момент сбоя: память драйверов режима ядра и память программ режима ядра.
  • Память аппаратно-зависимого уровня (HAL).
  • Список загруженных драйверов.

В дампе памяти ядра отсутствуют нераспределенные страницы памяти и страницы пользовательского режима. Согласитесь, ведь маловероятно, что страницы процесса пользовательского режима будут нам интересны при системном сбое (BugCheck), поскольку обычно системный сбой инициируется кодом режима ядра.
Размещение: %SystemRoot%MEMORY.DMP . Предыдущий дамп перезаписывается.
Объем: Варьируется в зависимости от размера адресного пространства ядра, выделенной операционной системой и количества драйверов режима ядра. Обычно, требуется около трети объема физической памяти в файле подкачки (либо в файле, указанном в DedicatedDumpFile). Может варьироваться.

Полный дамп памяти (Complete memory dump)

Полный дамп памяти содержит копию всей физической памяти (ОЗУ, RAM) в момент сбоя. Соответственно, в файл попадает и все содержимое памяти системы. Это одновременно преимущество и главный недостаток, поскольку размер его на некоторых серверах с большим объемом ОЗУ может оказаться существенным.
Состав:

  • Все страницы "видимой" физической памяти. Это практически вся память системы, за исключением областей, используемых аппаратной частью: BIOS, пространство PCI и прч.
  • Данные процессов, которые выполнялись в системе в момент сбоя.
  • Страницы физической памяти, которые не отображены на виртуальное адресное пространство, но которые могут помочь в изучении причин сбоя.

В полный дамп памяти не включаются, по-умолчанию, области физической памяти, используемой BIOS.
Размещение: %SystemRoot%MEMORY.DMP . Предыдущий дамп перезаписывается.
Объем: В файле подкачки (либо в файле, указанном в DedicatedDumpFile) требуется объем, равный размеру физической памяти + 257 мегабайт (эти 257 Мб делятся на некий заголовок + данные драйверов). На деле же, в некоторых ОС, нижний порог файла подкачки можно выставить точно в значение размера физической памяти.

Автоматический дамп памяти (Automatic memory dump)

Начиная с Windows 8/Windows Server 2012, в систему введен новый тип дампа под названием "Автоматический дамп памяти", который устанавливается типом по умолчанию. В этом случае система сама решает, какой дамп памяти записать в ситуации того или иного сбоя. Причем логика выбора зависит от многих критериев, в том числе от частоты "падения" операционной системы.

Параметры реестра

Раздел реестра, который определяет параметры аварийного дампа:

Параметр Тип Описание
AutoReboot REG_DWORD Включение/отключение автоматической перезагрузки при возникновении BSOD.
CrashDumpEnabled REG_DWORD Вид создаваемого дампа.
  • 0 — не создавать дамп памяти;
  • 1 — полный дамп памяти;
  • 2 — дамп памяти ядра;
  • 3 — малый дамп памяти;
DumpFile REG_EXPAND_SZ Путь и название дампа памяти ядра и полного дампа памяти. DumpFilters REG_MULTI_SZ Драйвер-фильтр в стеке драйверов дампа памяти. Позволяет добавлять новый функционал на этапе создания аварийных дампов. Например, шифрование содержимого дампа. Изменять значение не рекомендуется. LogEvent REG_DWORD Запись события в системный журнал. MinidumpDir REG_EZPAND_SZ Путь и название малого дампа памяти. MinidumpsCount REG_DWORD Максимальное количество малых дампов памяти. При превышении начинают затираться более старые версии. Overwrite REG_DWORD Заменять существующий файл дампа. Только для дампа памяти ядра и полного дампа памяти. IgnorePagefileSize REG_DWORD Игнорирует стандартный файл подкачки как место для временного (промежуточного) хранения дампа памяти. Указывает на необходимость записать дамп памяти в отдельный файл. Используется совместно с опцией DedicatedDumpFile. DedicatedDumpFile REG_EZPAND_SZ Путь и название временного альтернативного файла для записи дампа памяти. Во втором проходе данные все равно будут перемещены в DumpFile/MinidumpDir.

Ручное создание дампа памяти

Выше мы описывали настройки для автоматического создания аварийных дампов системы в случае возникновения критической ошибки, то есть необрабатываемого исключения в коде ядра. Но ведь в реальной жизни, помимо падения операционной системы, существуют ситуации, когда необходимо получить дамп памяти системы в конкретный момент времени. Как быть в этом случае? Существуют методы получения мгновенной копии всей физической памяти, например с помощью команды .dump в отладчиках WinDbg/LiveKD. LiveKD — программа, позволяющая запускать отладчик ядра Kd в функционирующей системе в локальном режиме. В отладчике WinDbg тоже имеется подобная возможность. Однако метод получения дампа "на лету" не точен, поскольку дамп создается в этом случае "противоречивый", так как для создания дампа требуется время, а в случае использования отладчика режима ядра система продолжает работать и вносить изменения в страницы памяти.

Читайте также:  Формат pdo что это

Файлы настроек реестра

В дополнение, для того, чтобы не тратить время на ручное задание параметров дампов памяти Windows, я выкладываю здесь готовые .reg файлы, по одному файлу на каждый из режимов записи:

Сбой системы (также называемый "Проверка ошибок" или "Stop-ошибка") происходит, если Windows не удается правильно запустить. Файл дампа, созданный из этого события, называется аварийным дампом системы.

Файл дампа памяти вручную может быть полезен при устранении нескольких проблем, поскольку процесс захватывает запись системной памяти на момент аварийного завершения работы.

Настройка файлов страниц

Дополнительные сведения о том, как изменить размер файла подкачки для создания дампа системы, приведены в разделе Поддержка аварийных дампов системы .

Параметр включения дампа памяти

Для выполнения этой процедуры необходимо войти в систему с учетной записью администратора или члена группы администраторов. Если компьютер подключен к сети, параметры сетевой политики могут препятствовать выполнению этой процедуры.

Чтобы включить параметр дампа памяти, выполните указанные ниже действия.

На панели управлениявыберите система и > системабезопасности.

Выберите пункт Дополнительные параметры системыи перейдите на вкладку Дополнительно .

В области Загрузка и восстановление выберите пункт Параметры.

Убедитесь, что в разделе запись отладочной информациивыбран параметр дампа памяти ядра или полный дамп памяти .

Вы можете изменить путь к файлу дампа, изменив поле файл дампа . Другими словами, вы можете изменить путь из%Системрут%мемори.ДМП, чтобы он указывал на локальный диск, на котором достаточно свободного места, например Е:мемори.ДМП.

Советы по созданию дампов памяти

При сбое и перезапуске компьютера содержимое физического ОЗУ записывается в файл подкачки, который находится в разделе, на котором установлена операционная система.

В зависимости от скорости жесткого диска, на котором установлена операционная система Windows, дамп более 2 гигабайт (ГБ) памяти может занять много времени. Даже в случае, если файл дампа настроен так, чтобы он находился на другом локальном жестком диске, на жесткий диск будут прочитаны и записаны значительные объемы данных. Это может вызвать длительный сбой сервера.

Используйте этот метод для создания полных файлов дампа памяти с осторожностью. В идеале это следует делать только в том случае, если вы явным образом запрашиваете специалист службы поддержки Майкрософт. Любая Отладка файлов ядра и полных дампов памяти должна быть последней после того, как все стандартные методы устранения неполадок будут полностью исчерпаны.

Создание файла дампа памяти вручную

Использование средства Нотмифаулт

Если вы можете войти в систему во время возникновения проблемы, вы можете воспользоваться средством Microsoft Sysinternals Нотмифаулт. Для этого выполните следующие действия:

Нажмите кнопку Пуски выберите пункт Командная строка.

В командной строке выполните следующую команду:

Эта операция создает файл дампа памяти и ошибку остановки D1.

Использовать немаскируемое прерывание

На некоторых компьютерах нельзя использовать клавиатуру для создания файла аварийной копии памяти. Например, для управления серверами Hewlett-Packard (HP) Бладесистем из компании Hewlett-Packard вы используете графический интерфейс пользователя (GUI), основанный на браузерах. Клавиатура не подключена к серверу HP Бладесистем.

В этих случаях необходимо создать полный файл аварийной копии памяти или файл аварийного дампа ядра с помощью переключателя немаскируемое прерывание (NMI), который вызывает прерывание на системном процессоре.

Для этого выполните следующие действия:

Внимательно выполните действия, описанные в этом разделе. Неправильное изменение реестра может привести к серьезным проблемам. Перед тем как вносить изменения, создавайте резервную копию реестра для восстановления на случай возникновения проблем.

В редакторе реестра найдите следующий подраздел реестра: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlCrashControl

Щелкните правой кнопкой мыши крашконтрол, выберите пункт создать, а затем — параметр DWORD.

Введите Нмикрашдумп и нажмите клавишу ВВОД.

Щелкните правой кнопкой мыши нмикрашдумпи выберите команду изменить.

В поле значение введите 1и нажмите кнопку ОК.

Производители оборудования, например HP, IBM и Dell, могут предоставлять функцию автоматического восстановления системы (ASR). Вы должны отключить эту функцию во время устранения неполадок. Например, если в BIOS включена функция HP и Compaq ASR, отключите эту функцию, когда вы можете устранить неполадки с созданием полного файла Memory. dmp. Для получения точных инструкций обратитесь к поставщику оборудования.

Включите выключатель NMI в BIOS или с помощью встроенного веб-интерфейса света (iLO).

Точные инструкции можно найти в справочной документации по BIOS или у поставщика оборудования.

Протестируйте этот метод на сервере с помощью переключателя NMI, чтобы создать файл дампа. Вы увидите неисправность 0x00000080 оборудования.

Комментировать
0 просмотров
Комментариев нет, будьте первым кто его оставит

Это интересно
No Image Компьютеры
0 комментариев
No Image Компьютеры
0 комментариев
Adblock detector