Comment puis-je lire un fichier dmp?

Il existe trois types de vidages de mémoire qui peuvent être générés par Windows. La première, et la plus grande, est appelée une image mémoire complète. Lorsque ce type de vidage est créé, le contenu total de la mémoire sont écrites dans un fichier DMP.

La seconde, et notamment plus petit, le type de vidage est le vidage de la mémoire du noyau. Comme son nom l`indique, un vidage de la mémoire du noyau enregistre uniquement la mémoire du noyau. mémoire Unallocated et toute mémoire allouée aux programmes en mode utilisateur est ignoré. Cela rend l`analyse du fichier de vidage plus facile et moins de temps que d`une image mémoire complète.

Le troisième et le plus compact type de décharge, appelé un petit vidage de la mémoire, génère un fichier DMP qui est seulement 64 kilo-octets en taille. Il ne comprend que les informations suivantes: le message d`arrêt et de ses paramètres, une liste des pilotes chargés, le contexte du processeur (PRCB) pour le processeur est arrêté, les données d`information de processus et le contexte du noyau (EPROCESS), les données de processus et le contexte du noyau (EThread ) pour le fil arrêté, et la pile des appels en mode noyau pour le thread arrêté.

Par défaut, la mémoire complète et sur les dépotoirs de la mémoire du noyau sont tous deux écrit% SystemRoot% Memory.dmp. Windows enregistre un seul de ces fichiers de sauvegarde à la fois. Quand un nouvel accident se produit, le fichier DMP existant est écrasé.

fichiers DMP générés par un petit vidage de la mémoire, cependant, sont enregistrés dans le SystemRoot%% répertoire Minidump. Contrairement à d`autres types de décharges, les fichiers existants de vidage petite mémoire ne sont pas écrasées lorsque de nouvelles sont générées.

Windows inclut automatiquement la date dans le nom de fichier de petite mémoire de vidage des fichiers DMP. Par exemple, un fichier DMP avec le nom "mini043014-01.dmp" a été créée le 30 Avril 2014. Le "-01" après la date dans le nom de fichier indique qu`il a été le premier fichier DMP créé ce jour-là.

Il existe deux principales applications logicielles utilisées pour ouvrir et afficher les fichiers DMP: Windows Debugging Tools et le Dump Check Utility, également appelé Dumpchk. Outils de débogage de Windows est la meilleure option pour l`examen de vidages de mémoire complète et la mémoire du noyau décharges, tandis que Dumpchk est idéal pour regarder petite vidages mémoire. Les deux applications peuvent être téléchargées gratuitement à partir du site Web de Microsoft. Étant donné que les URL exactes peuvent changer au fil du temps, il est préférable de rechercher les programmes par leur nom à http://microsoft.com puis télécharger à partir des liens résultants.

Pour examiner un fichier DMP à l`aide de Windows Debugging Tools, ouvrez une invite de commande et accédez au dossier où vous avez installé Windows Debugging Tools. Ensuite, entrez l`une des commandes suivantes pour ouvrir le fichier:

windbg -y SymbolPath -i ImagePath -z DumpFilePath

kd -y SymbolPath -i ImagePath -z DumpFilePath

La première commande ouvre le fichier DMP dans l`interface graphique du débogueur de fenêtre, tandis que la seconde commande va ouvrir dans une interface à base de texte. Le paramètre SymbolPath se réfère à l`emplacement des symboles de débogage sur votre disque dur. Le paramètre ImagePath se réfère à l`emplacement de vos fichiers image. Enfin, le paramètre DumpFilePath est l`emplacement de votre fichier DMP.

Pour ouvrir un fichier DMP dans Dumpchk, tapez simplement la commande suivante dans une invite de commande:

Dumpchk DumpFilePath

De Windows Debugging Tools offrent un certain nombre de commandes utiles pour analyser les fichiers DMP. La! Analyser les sorties de commande -show le code d`erreur d`arrêt et ses paramètres. Ceci est utile pour déterminer ce qui, exactement, a conduit directement à l`accident. Le! Analyser -v commande affiche les mêmes informations que la sortie verbeuse. La commande T lm N affiche la liste des modules chargés au moment de l`accident.

Par rapport à Windows Debugging Tools, Dumpchk est un utilitaire assez simple. Il est principalement utilisé pour vérifier l`intégrité des fichiers de sauvegarde et de les visualiser. Pour tester un fichier de vidage pour les erreurs, vous pouvez utiliser l`extension de ligne de commande -e. Par exemple, tapez la commande suivante à la ligne de commande:

Dumpchk -e DumpFilePath

D`autres options comprennent Dumpchk -v, qui active le mode verbose, -p, qui délivre l`en-tête DMP seulement, et -c, qui effectue une validation de vidage rapide.