Blue Screen Of Death — синий экран смерти.

Что такое «Blue Screen Of Death» (BSoD) .
Поиск проблемного драйвера.
Практические советы по анализу и устранению BSOD.

Что такое «Blue Screen Of Death» (BSOD).

&nbsp &nbsp Термин «Синий экран смерти Windows (Blue Screen Of Death или сокращенно BSOD)» означает, что при выполнении программного кода ядра операционной системы возникла неустранимая ошибка, результатом обработки которой может быть только перезагрузка. Исторически, начиная с Windows 3.11, сообщение о подобной ошибке выдавалось на дисплей в виде текста на синем фоне, откуда и произошло это название. Иногда синие экраны смерти называют стоп — ошибками (stop error) или сокращенно Stop с указанием кода ошибки — Stop 0x0000001E или ещё короче — Stop 1E.

Информация синего экрана смерти обычно содержит :

— Краткое описание и символьное обозначение
CRITICAL_OBJECT_TERMINATION
— код ошибки и дополнительные данные для детализации
*** STOP: 0x00000050 (0xe80f26cd, 0x00000000, 0xe80f26cd, 0x00000002)
— имя программного модуля ядра или драйвера и другие параметры, если это возможно определить
*** ntoskrnl.exe — Address 0x8044a2c9 base at 0x80400000 DateStamp 0x3ee6c002

В настройках Windows можно задать поведение системы при возникновении критической ошибки — необходимость выполнения дампа памяти, его формат, а также автоматическую перезагрузку после обработки сбоя. В некоторых локализованных версиях Windows сообщение об ошибке выводится на языке локализации без загрузки шрифтов для поддержки символов, например, русского языка, что приводит к невозможности прочесть большую часть текста. Однако, это не играет особой роли, поскольку общие рекомендации по устранению ошибки, как правило, не имеют никакого практического значения, а реально полезная информация выдается с использованием символов латиницы.

Синий экран смерти Windows всегда связан с ошибками ядра операционной системы или ошибками драйверов, выполняющихся в режиме ядра, следовательно, может возникнуть как в процессе загрузки операционной системы, на этапе инициализации ядра и драйверов устройств, так и в процессе ее дальнейшего функционирования.

&nbsp &nbsp BSOD при загрузке Windows зачастую связан с отсутствием или повреждением драйверов или системных служб, загружающихся до входа пользователя в систему. Набор используемых системой драйверов и служб определяется разделом реестра

HKLM\SYSTEM\CurrentControlSet\Services

Каждому драйверу соответствует свой ключ, в составе которого имеется параметр Start, определяющий, на каком этапе загрузки системы производится загрузка и инициализация данного драйвера или службы. Значения Start:

0 — BOOT — драйвер загружается загрузчиком.

1 — SYSTEM — драйвер загружается в процессе инициализации ядра.
2 — AUTO — служба запускается автоматически при загрузке системы.
3 — MANUAL — служба запускается вручную.
4 — DISABLE — отключено.

Сами файлы драйверов хранятся в каталоге %SystemRoot%\system32\drivers.

&nbsp &nbsp Сначала загружаются и инициализируются низкоуровневые драйверы устройств, параметр Start у которых равен 0. На данном этапе, для чтения данных с устройства загрузки используются функции прерывания INT 13H BIOS, что естественно, поскольку никаких других драйверов, в том числе и драйверов для работы с дисками, в оперативной памяти компьютера еще нет.

&nbsp &nbsp Затем загружаются и инициализируются остальные драйверы устройств, параметр Start у которых равен 1. Для их загрузки и инициализации уже используются ранее загруженные драйверы с параметром Start=0

&nbsp &nbsp Обработка ошибок в процессе инициализации драйверов устройств выполняется с использованием значения элемента ErrorControl ключа реестра, относящегося к драйверу, и в случае, когда дальнейшая работа не может быть продолжена, заканчивается «синим экраном» с соответствующим кодом ошибки.

&nbsp &nbsp После успешно отработанного данного этапа начальной загрузки запускается «Диспетчер сеансов» (\SystemRoot\System32\smss.exe)

, главная задача которого — запустить высокоуровневые подсистемы и сервисы (службы) операционной системы. На этом этапе запускаются процессы CSRSS (Client Server Runtime Process), WINLOGON (Windows Logon), LSASS (LSA shell), и оставшиеся службы с параметром Start=2 из раздела HKLM\SYSTEM\CurrentControlSet\Services
&nbsp &nbsp Информация, предназначенная для диспетчера сеансов, находится в ключе реестра

HKLM\SYSTEM\CurrentControlSet\Control \Session Manager.

&nbsp &nbsp После регистрации пользователя в системе, BSOD, как правило, вызывается такой ошибкой, действия по восстановлению которой, нельзя однозначно считать успешными, и продолжение работы операционной системы невозможно.

Для устранения причины возникновения ошибки нужно проанализировать данные системных журналов и дополнительные источники информации.

Поиск проблемного драйвера.

&nbsp &nbsp Информация «синего экрана» не слишком информативна, и для определения причины сбоя, как правило, приходится использовать дополнительные источники, одним из которых (основным) является дамп памяти, записываемый на диск при аварийном завершении работы системы. В настройках Windows (Панель управления — Система — Дополнительно — Загрузка и восстановление ) . В области «Запись отладочной информации» существует возможность разрешить или запретить запись дампа в случае отказа системы.

&nbsp &nbsp Обычно установлен режим «Малый дамп памяти (64КБ)». Как правило, для определения драйвера, вызвавшего BSOD, этого вполне достаточно. При возникновении каждой последующей ошибки и создании нового файла малого дампа памяти Windows сохраняет предыдущий файл. Каждому записываемому файлу дампа присваивается отдельное имя с указанием даты. Например, Mini123109-01.dmp — это первый файл дампа памяти, созданный 31 декабря 2009 г. Файлы малого дампа памяти по умолчанию хранятся в папке %SystemRoot%\Minidump.

&nbsp &nbsp Для анализа дампа можно использовать стандартные средства Windows dumpchk.exe (Crash Dump Analisys utility), отладчик Windbg или kd.exe
Здесь статья из базы знаний Microsoft c примерами.
&nbsp &nbsp Гораздо удобнее для анализа малого дампа воспользоваться бесплатной утилитой BlueScreenView от Nir Sofer.

Страничка программы BlueScreenView на официальном сайте. Описание на английском языке. В нижней части страницы приведены ссылки для скачивания 32-х и 64-х битных версий программы.
Скачать инсталлятор для 32-разрядных ОС, ~ 120 кб.

Скачать переносимую редакцию программы для 32-разрядных ОС в виде архива, ~ 60 кб.

Окно программы состоит из 2-х частей. В верхней части — список и свойства файлов минидампов, в нижней — данные, имеющие отношение к выбранному минидампу:

&nbsp &nbsp Формат отображения данных в нижнем окне можно задавать с помощью меню «Options- Lower Pane Mode»:

— All drivers — отображать все загруженные драйверы. На красном фоне отображена информация о драйверах, возможно являющихся причиной BSOD.

— Only Drivers Found in Stack — отображать только драйверы, присутствующие в стеке вызовов и, возможно являющиеся причиной BSOD.
— Blue Screen in XP style

— отображать BSOD в стиле Windows XP
DumpChk Output — отображать информации в том виде, в каком это делает Microsoft DumpChk utility. Утилита должна быть установлена в системе.

BlueScreenView автоматически определяет местонахождение файлов минидампов и выводит информацию обо всех критических ошибках, дампы которых обнаружены. Возможен также анализ аварийных дампов, созданных в другой системе, с использованием меню Options — Advanced Options CTRL+O

В поле Load From the following Minidump folder можно указать путь к папке с файлами минидампов.

Одной из приятных особенностей программы BlueScreenView является возможность централизованного удаленного анализа минидампов на компьютерах локальной сети с рабочего места системного администратора. Программа может использоваться в режиме получения данных от компьютеров, имена или IP-адреса которых содержатся в простом текстовом файле. Для получения списка компьютеров локальной сети можно воспользоваться командой

net view с перенаправлением вывода результатов в текстовый файл:

net view > C:\comps.txt — отобразить список компьютеров локальной сети, включенных в данный момент и результаты записать в файл C:\comps.txt

В файле comps.txt будет информация в виде :

Имя сервера     Заметки ——————————
\\Acomp

\\Bcomp1
\\Bcomp2
\\COMP000
\\PROXY
\\SERVER
. . .
\\ZCOMP7
Команда выполнена успешно.
Остается только убрать строки, не содержащие имена компьютеров и служебные символы \\ перед именами:

Acomp

Bcomp1

Bcomp2

COMP000

PROXY

SERVER

 . . . 

ZCOMP7

Имена или IP-адреса компьютеров, которые не попали в список можно добавить вручную. Теперь, в меню Options — Advanced Opnions, в поле Load from multiple remote computers specified in the following text file: можно указать путь к текстовому файлу со списком компьютеров.

В качестве дополнительной опции, можно добавить Dumpchk Command для того, чтобы получить возможность просмотра результатов в виде вывода Microsoft DumpChk utility при наличии установленного отладочного пакета Майкрософт (Debugging Tools for Windows).

Информация колонок верхней части (Upper Pane):

— Dump File: — имя файла минидампа.
— Crash Time: — время записи минидампа
— Bug Check String: — строка с описанием стоп-ошибки.
— Parameter 1/2/3/4: 4 параметра, выводимые в сообщении синего экрана.
— Caused By Driver: — подозреваемый драйвер. BlueScreenView пытается определить драйвер, вызвавший синий экран смерти путем просмотра стека системных вызовов. Однако нельзя с полной уверенностью сказать, что именно данный драйвер является причиной стоп-ошибки. Необходимо учитывать также и те данные о драйверах стека, которые отображаются в нижней части экрана .
— Caused By Address: подобно колонке ‘Caused By Driver’ содержит предполагаемый адрес команды, вызвавший ошибку.
— File Description: описание драйвера, предположительно, вызвавшего крах системы.
— Product Name: — имя драйвера или программного модуля.
— Company: — название компании — разработчика.
— File Version: — версия файла.
— Crash Address: адрес памяти, связанный с источником ошибки. (Адрес из регистра EIP/RIP процессора). Обычно, здесь то же самое значение, сто и в колонке ‘Caused By Address’
— Stack Address 1 — 3: — данные последних трех вызовов, обнаруженные в стеке. В некоторых случаях значения могут отсутствовать. Для 64-битных версий Windows эта колонка всегда не содержит данных, поскольку для них не поддерживается список системных вызовов в дампе аварийного завершения.

Информация о драйвере в колонках нижней панели (Lower Pane)

— Filename: имя драйвера или программного модуля.
— Address In Stack: — адрес памяти, найденный в стеке и относящийся к данному модулю.
— From Address: начальный адрес данного модуля.
— To Address: конечный адрес данного модуля.
— Size: — размер модуля в памяти.
— Time Stamp: Время в сокращенном формате.
— Time String: время в формате date/time .
— Product Name: имя продукта. Берется из файла драйвера или программного модуля.
— File Description: — описание. Также берется из файла.
— File Version: — версия. Также берется из файла.
— Company: название компании — производителя программного продукта. Также берется из файла.
— Full Path: — полный путь драйвера или программного модуля.

В случае, когда используется анализ дампов, полученных с компьютеров локальной сети, имя или адрес компьютера отображается в колонке Computer Name и в полном пути к файлу минидампа Full Path

Программа очень проста и удобна. Есть русификатор в виде ini-файла, который нужно скопировать в каталог с установленной программой BlueScreenView. Скачать, ~ 3 кб.

Описания кодов ошибок и методики их устранения можно найти, например, на softboard.ru

Практические советы по анализу и устранению BSOD.

— если синий экран смерти возник после установки какого — либо программного обеспечения, и войти в систему не удается по причине стоп-ошибки, то нередко проблема решается выбором режима загрузки последней удачной конфигурации из меню загрузчика. (Меню вызывается нажатием F8 в начале загрузки Windows)
— если синий экран смерти возникает при выполнении ресурсоемких задач, таких как компьютерные игры с высокими требованиями к оборудованию, а в остальное время система работает стабильно — наверняка проблема связана с перегревом или ухудшением характеристик питающих напряжений под повышенной нагрузкой.
— если синий экран не связан с загруженностью системы, и возникает спонтанно, а в стеке драйверов, подозреваемых в причине возникновения ошибки, присутствуют одни и те же имена исполняемых файлов или файлов драйверов, вероятно, причина синего экрана смерти кроется именно в их некорректной работе. Нередко это могут быть драйверы антивирусов, систем защиты ПО от несанкционированного распространения, эмуляции приводов и противодействия системам защиты, а также драйверы или службы, используемые вредоносным или нежелательным программным обеспечением , или нестандартные драйверы сторонних производителей.
— причиной синего экрана смерти могут быть драйверы руткитов, используемых вирусными программами для скрытия своего присутствия в системе. Их некорректная работа может сопровождаться ошибками с разными кодами и наличием в стеке подозреваемых программой BlueScreenView файлов, которые либо не видны в файловой системе, либо в системном реестре нет связанных с ними записей.
— причиной большинства критических ошибок Windows являются сбои или неисправность оборудования, поэтому, не стоит в качестве главного способа решения проблемы использовать переустановку системы. Если у вас есть обоснованное предположение о том, что ошибка вызвана не оборудованием, а повреждением системных настроек Windows, попробуйте выполнить откат системы с использованием точки восстановления с датой, когда система еще работала без нареканий. В качестве дополнительной меры можно воспользоваться переустановкой Service Pack (или установкой его старшей версии).
— Если синий экран смерти стал появляться после установки критических обновлений с сайта Microsoft (редко, но бывает) попробуйте удалить последние обновления.
— Если критическая ошибка возникает в процессе загрузки Windows и нет возможности войти в систему, воспользуйтесь простым и эффективным средством средств выяснения причин стоп-ошибки и восстановления работоспособности Windows — ERD Commander . ERD Commander позволяет вернуть Windows в работоспособное состояние довольно простыми и эффективными способами с использованием набора специальных программных инструментов ( Toolkit ).

Если у Вас нет желания разбираться с причинами BSOD, а загрузка системы не выполняется по причине какой-либо стоп-ошибки, самым простым способом реанимации Windows является использование отката на работоспособную точку восстановления (Restore Point) c помощью ERD Commander’а. Для этого нужно загрузить ERDC, подключиться к неработоспособной Windows и выполнить откат системы с помощью инструмента System Restore на точку восстановления, созданную в работоспособном состоянии. Естественно, это не относится к тем случаям, когда синий экран смерти вызван сбоями или отказом оборудования.

&nbsp &nbsp В случае, когда испорчен файл system (это куст реестра с данными раздела HKLM\SYSTEM), то загрузка может завершаться сообщением об ошибке system или вообще черным экраном без каких-либо сообщений. Здесь также может помочь использование ERD Commander. С его помощью можно выполнить проверку системного диска Windows (chkdsk.exe), поскольку причиной невозможности загрузить куст System может быть ошибка файловой системы, а также, можно откатить систему на точку восстановления или выполнить ручное восстановление работоспособной копии раздела System из данных сохраненной точки восстановления.

Данные контрольных точек хранятся в каталоге System Volume Information системного диска Windows. Это скрытый системный каталог, доступ к которому в среде работающей в нормальном режиме операционной системы, разрешен только локальной системной учетной записи Local System (т.е. не реальному пользователю а «Службе восстановления системы»). Поэтому, если необходимо получить доступ к его содержимому, нужно добавить права вашей учетной записи с использованием вкладки «Безопасность» в свойствах каталога «System Volume Information». Но в случае использования Winternals ERD Commander или загрузки в другой операционной системе этого делать не нужно. В папке System Volume Information есть подкаталог с именем, начинающемся с _Restore… и внутри него — подкаталоги RP0, RP1: — это и есть искомые контрольные точки (Restore Point — RPx). Внутри папки RPx имеется каталог snapshot, содержащий копии файлов реестра на момент создания контрольной точки.

Файл REGISTRY_MACHINE_SYSTEM — это и есть копия файла SYSTEM, он же — раздел реестра HKLM\SYSTEM .
Для восстановления системы можно скопировать этот файл в каталог \WINDOWS\SYSTEM32\CONFIG\ и переименовать его в system. Запорченный файл system можно, на всякий случай, переименовать в system.bad или удалить.
Если вы будете использовать Winternals ERD Commander, который работает с реестром подключенной системы, то могут возникнуть проблемы с занятостью файлов в каталоге \windows\system32\config . Чтобы этого не случилось, можно в процессе загрузки ERDC не подключаться к проблемной операционной системе и выбрать None:

Подавляющее большинство ошибок синего экрана смерти, не являющихся следствием неисправности оборудования, связаны с ошибками в работе драйверов и системных служб. Записи об этих компонентах ОС хранятся в разделе реестра HKLM\SYSTEM и восстановление этого раздела позволяет легко избавиться от таких BSOD.

Если BSOD появляются с увеличением нагрузки на систему (в компьютерных играх, ресурсоемких задачах и т.п.) наиболее вероятной причиной являются перегрев. Попробуйте увеличить охлаждение, например, сняв крышку корпуса, установив дополнительные вентиляторы или, даже временно установив обычный бытовой вентилятор для обдува внутренностей системного блока. Для контроля за температурой используйте специальное программное обеспечение — Everest HWINFO32, SpeedFan и т.п.

Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой «Поделиться»

В начало страницы &nbsp &nbsp | &nbsp &nbsp На главную страницу сайта

BSOD – не повод для паники. Выясняем природу «экрана смерти» / Habr

До недавних пор я думал, что единственный способ узнать о причине BSOD’а – это белые буковки на синем «экране смерти». Недавние события немного расширили мои познания в области диагностирования неполадок, и этими знаниями я хочу поделиться с вами, хабражители.
Случилась очередная поломка системы у очередного клиента. «Синий экран, и нечего не шевелится» — так описала проблему девушка, которая за компьютером работала. Дело было около 18 вечера, и ехать на выезд совсем не хотелось. Перезвонив клиенту, я сказал, что компьютер посмотрю удаленно, хотя сам понимал, что заниматься ним придется завтра. Тем не менее совесть не дала просто забыть о компе до завтра.

Единственная разумная мысль, которая у меня тогда возникла, почитать Event Viewer, что и сделал.

Вот приблизительно такая запись привлекла мое внимание. Ну, раз система сгенерила багчек, почему бы его не почитать.
Я немного погуглил на предмет открыть файл «.dmp», и наткнулся на Debugging Tools for Windows. Это часть большого продукта Microsoft Windows SDK for Windows 7. Зачем искать решения на стороне, когда их предоставляет сам разработчик. На установку Debugging Tools (как и на установку .NET Framework 4, который необходим для работы) ушло совсем немного времени. Естественно, что при установке я не выбирал дополнительных компонентов, а то мое удалённое диагностирование затянулось бы надолго (см. скрин)

Понимаю, что использовать инструмент с таким огромным функционалом только для того, чтобы посмотреть на .dmp файл не совсем правильно, но, кроме этого, мне он и не нужен.
Итак – программа установлена, осталось только посмотреть на сам минидамп. Для этого запускаем WinDbg из пакета Debugging Tools for Windows, и в меню «File» выбираем «Open crash dump».

После недолгого анализа программа выдает предположительную причину вызова BSOD.

В моем случае, причиной был неверный драйвер Storage Controller’а. Скачав с оф.сайта свежий драйвер, причину неработоспособности удалось побороть.
К сожалению, причины неполадок зачастую не лежат на поверхности, и вот такой вот анализ может не принести желаемого результата.

Синий экран смерти или что такое BSOD — Defoult.ru

Что такое BSoD?

BSoD – это сокращение от Blue Screen of Death (Синий экран смерти).

Появление голубых экранов на системах семейства Виндовс, как правило, вызваны некачественно написанными драйверами устройств или неисправностями оборудования (неисправная память, блок питания, перегрев какой-нибудь компоненты компьютера или если оборудование работает на запредельных параметрах – разгон).

BSoD появились с версии Windows 3.1, до этого страдали “Черным экраном смерти”, а в операционке Vista был замечен “Красный экран смерти” (RSoD).

Итак, синий появляется, когда в ядре или драйвере происходит ошибка, из-за которой система не может оправиться. Единственным безопасным шагом системы – будет перезагрузка. Все не сохраненные данные в этом случае будут потеряны.

Текст BSoD’a содержит код ошибки. В зависимости от кода может быть показан адрес по которому произошла ошибка и драйвер, загружаемый по этому адресу. (см. рисунок ниже )

По умолчанию в момент BSoD’a Виндовс создает файл дампа памяти (копия содержимого памяти), полученный файл можно проанализировать, используя отладчик, и установить истинную причину БСОДА, т.к. информации на экране может быть не достаточно или она может быть не полна, а может и ввести в заблуждение и скрыть источник ошибки.

Если Виндовс перезагружается, а BSoD’a нет – Что делать?

Тыкаемся правой кнопкой мыши в Мой компьютер, выбираем Свойства, вкладка Дополнительно, там кнопка Параметры в разделе Загрузка и восстановление. В появившемся окошке, в разделе Отказ системы снять галочку напротив Выполнить автоматическую перезагрузку.

Как анализировать дамп?

Сперва проверим записывается ли он. Заходим в свойства системы (правая кнопка на Мой компьютер – Свойства). Затем вкладка Дополнительно, находим раздел Загрузка и восстановление и жмем на кнопку Параметры.

Смотрим раздел Запись отладочной информации (должно быть как на рисунке).

Далее:

Загрузите и установите Debugging Tools for Windows с сайта Microsoft.

Загрузите сценарий (kdfe.cmd), который написал Александр Суховей. Скопируйте файл в папку sysmem32 (в 99% случаях это “C:WINDOWSsystem32“).

Открываем командную строку (Пуск-Выполнить-CMD) и пишем Kdfe “%systemroot%MinidumpMini012209-01.dmp”. Заместо Mini012209-01.dmp Вы указываете свой файл из папки C:WINDOWSMinidump.

Немного ждем и появляется следующее окошко:

Виновником возникновения синего экрана оказался файл Mup.sys.

Способ №2 по выявлению виновника описан в статье “Изучаем дампы памяти с BlueScreenView“.

БСОД может быть вызван критической ошибкой загрузчика, это когда ОС не может получить доступ к загрузочному разделу, например из-за поврежденной файловой системы. В таком случай файл дампа создан не будет. Исправление проблем требует загрузки с диска Винды и запуска консоли восстановления или как вариант переустановки системы .

Пробуйте эксперементируйте!

Благодарю за внимание.

Анализ креш-дампов памяти Windows / Habr

Как часто Вам приходится лицезреть экран смерти Windows (BSoD)? BSoD может возникать в разных случаях: как уже при работе с системой, так и в процессе загрузки операционной системы. Как же определить, чем вызвано появление BSoD и устранить эту проблему? Операционная система Windows способна сохранять дамп памяти при появлении ошибки, чтобы системный администратор мог проанализировать данные дампа и найти причину возникновения BSoD.

Существует два вида дампов памяти — малый (minidump) и полный. В зависимости от настроек операционной системы, система может сохранять полный или малый дампы, либо не предпринимать никаких действий при возникновении ошибки.

Малый дамп располагается по пути %systemroot%\minidump и имеет имя вроде Minixxxxxx-xx.dmp
Полный дамп располагается по пути %systemroot% и имеет имя вроде Memory.dmp

Для анализа содержимого дампов памяти следует применять специальную утилиту — Microsoft Kernel Debugger.
Получить программу и компоненты, необходимые для ее работы, можно напрямую с сайта Microsoft — Debugging Tools

При выборе отладчика следует учитывать версию операционной системы, на которой Вам придется анализировать дампы памяти. Для 32-разрядной ОС необходима 32-битовая версия отладчика, а для 64-разрядной ОС предпочтительно использовать 64-битовую версию отладчика.

Помимо самого пакета Debugging Tools for Windows, также понадобятся набор отладочных символов — Debugging Symbols. Набор отладочных символов специфичен для каждой ОС, на которой был зафиксирован BSoD. Потому придется загрузить набор символов для каждой ОС, анализировать работу которой Вам придется. Для 32-разрядной Windows XP потребуются набор символов для Windows XP 32-бит, для 64-разрядной ОС потребуются набор символов для Windows XP 64-бит. Для других ОС семейства Windows наборы символов подбираются сообразно такому же принципу. Загрузить отладочные символы можно отсюда. Устанавливать их рекомендуется по адресу %systemroot%\symbols

После установки отладчика и отладочных символов, запускаем отладчик. Окно отладчика после запуска выглядит следующим образом.

Перед анализом содержимого дампа памяти, потребуется провести небольшую настройку отладчика. Конкретно — сообщить программе, по какому пути следует искать отладочные символы. Для этого выбираем в меню File > Symbol File Path… Нажимаем кнопку Browse… и указываем папку, в которую мы установили отладочные символы для рассматриваемого дампа памяти.

Можно запрашивать информацию о требуемых отладочных символах прямо через Интернет, с публичного сервера Microsoft. Таким образом у вас будет самая новая версия символов. Сделать это можно следующим образом — в меню File > Symbol File Path… вводим: SRV*%systemroot%\symbols*http://msdl.microsoft.com/download/symbols

После указания пути к отладочным символам, выбираем в меню File > Save workspace и подтверждаем действие нажатием на кнопку OK.

Чтобы приступить к анализу дампа памяти, выбираем в меню File > Open Crash Dump… и выбираем требуемый для рассмотрения файл.

Система проведет анализ содержимого, по окончанию которого выдаст результат о предполагаемой причине ошибки.

Команда !analyze -v, данная отладчику в командной строке, выведет более детальную информацию.

Завершить отладку можно выбором пункта меню Debug > Stop Debugging

Таким образом, используя пакет Debugging Tools for Windows, всегда можно получить достаточно полное представление о причинах возникновения системных ошибок.

BSOD — Lurkmore

Анонимус! Альтернативное мнение также имеется в смехуечках.

В Microsoft тоже хорошо знают об этом

BSoD (англ. blue screen of death) — синий экран смерти, выдаваемый виндой по множествам веских (и не очень) ошибок: в NT-архитектуре при сбоях в модулях ядра и драйверах. В Вынь95 в силу большей безблагодатности оной появлялось и по менее значительным поводам, например если во время чтения с диска нажать кнопку открытия лотка CD-ROM.

[править] Интересные факты

Внезапный конец

Известен вирус, созданный специально для маздая и вывешивающий поддельный «синий привет» с малопонятным кодом ошибки. Системщик, копающийся в операционке, визжит благим (а иногда и не очень) матом, хватается за голову, поминает добрыми (и от того вечными) словами всех дальних родственников тов. Гейтса и иже с ними, давит на кнопку выключения ПК… И минуту одупляется в возникшее диалоговое окно с надписью типа «Какое действие выполнять Windows при нажатии кнопки питания?»… Поверх BSoD возникшее, заметьте. Случались утраты нижней челюсти.

Существует также скринсейвер, показывающий в простое синий экран, тем самым пугая секретарш и офисный планктон (но сильнее всех такой скринсейвер пугает одминов, а поначалу может нервировать даже владельца), хотя для выхода из программы достаточно просто тыкнуть кнопку на клавиатуре. Замечено, что нередко считающие себя продвинутыми ламеры в таком случае жали кнопку Reset.

К слову, в Win9x синий экран не является экраном смерти, как таковым: после вылетания синего экрана в большинстве случаев можно продолжить работу. В отличие от следующих версий. Таким образом, синий экран в Win9x правильнее называть не BSoD, a SES (Stop Error Screen).

[править] Цвет SES в Win9x можно поменять:

Откройте файл SYSTEM.INI, который лежит у вас в папке %systemroot% (скорее всего в C:\Windows или другой, где проинсталлирована сама Windows). Вы можете сделать это очень просто запустив команду SYSEDIT (Пуск -> Выполнить…) или используя Notepad.exe. Найдите в файле секцию [386enh].

Если в этой секции нет следующих двух записей, добавьте их:

MessageBackColor= MessageTextColor=

И после знака «=» поставьте то значение, которое Вам больше нравится (выберите из списка): 0 = black 1 = blue 2 = green 3 = cyan 4 = red 5 = magenta 6 = yellow/brown 7 = white 8 = grey 9 = bright blue A = bright green B = bright cyan C = bright red D = bright magenta E = bright yellow F = bright white

Например:

MessageBackColor=4
MessageTextColor=F

Поменяет цвет фона SES в красный, и у нас получится красный экран «cмерти».

Сохраните изменения и закройте файл SYSTEM.INI и перезагрузите компьютер. Примечание: используйте буквы В ВЕРХНЕМ РЕГИСТРЕ, то есть F а не f.

Впрочем, для ленивых есть отдельная софтинка.

[править] Можно менять цвет B(?)SOD в поздних версии окон

Есть несколько способов:

1. через отладку ядра
2. программно изменить Myfault.sys

[править] Ручной вызов

Описан в педивикии w:BSOD

Microsoft почему-то считает, что данные, выводимые на этом экране помогут пользователю разобраться с проблемой в будущем, хотя совершенно ясно, что большинство их даже и не читает, а сразу жмет Reset и перезагружает компьютер. До Microsoft это наконец дошло, и поэтому в Windows 8 подробную информацию заменили на голубой экран с грустным смайликом. Впрочем, в актуальных версиях Windows BSoD можно увидеть гораздо реже, чем в Windows 9x и, вы не поверите, Hackintosh’ах актуальных версий (и называется это Kernel Panic, и происходит из-за криворуких сборок ядер и их расширений на коленке характерных для всех хаков), поэтому пользователям больше запомнились именно старые SES’ы.

Windows NT (с версии 3.1 до бета-версий 2000) начинала свою загрузку именно с этого BSOD, на котором было написано количество процессоров, версия ядра и размер оперативки. И не означало это никакой пиздец.

Основная мечта виндузятника — сделать с BSoD’а скриншот, и только избранные знают, как это можно сделать: при помощи другого компа, замученной вдрызг виртуальной машины или тюнера. А самое доступное и оперативное на данный момент — сделать снимок цифровым фотоаппаратом или телефоном. Остальные злятся и завидуют.

[править] Галерея синих экранов

Кровавая смерть Microsoft Windows

Красный экран смерти на PSP тоже свидетельствует о полной кончине

Даже у яблочников оно есть

В Longhorn 5048 и 5112 кроме синего экрана смерти есть еще красный экран смерти (RSoD) для действительно серьезных ошибок. Так-то.

Черный экран смерти (KSoD, blacK Screen of Death, возможно, от moon. 黒 (Kuro) — чёрный) — такое название в народе получили сразу два явления, никак не связанных с технической точки зрения ни друг с другом, ни с BSoD и RSoD.

Одно из них — ошибка, наблюдавшаяся на Windows 7 в конце ноября 2009 года: при входе в систему экран становился абсолютно черным. Компания Prevx сначала грешила на обновления системы, но несколькими днями позже выяснилось, что причина в недокументированном изменении правил для работы со списками контроля доступа ACL (Access Control List). Из-за этих изменений, как посчитала компания Prevx, некоторые приложения переставали запускаться, поскольку теряли право на использование некоторых своих компонентов, размещенных в файловой системе.

Также название «черный экран смерти» получила реакция системы проверки лицензионности винды (WGA). После обнаружения пиратской винды (или истечения 30-дневного триального периода) ее работа не блокируется, но вместо обоев выставляется черный фон и каждый час заботливо сообщают «возможно вы стали жертвой подделки…», не забывая свернуть перед этим все окна.

В Windows 8 тоже есть чёрный экран смерти, называют его по-старому: BlackSOD. Появляется он во время установки на VMWare ранних версий (M1, M2, M3) и какбэ говорит нам: «Your computer needs to restart». Происходит это из-за отсутствия поддержки ACPI 2.0, естественно установку завершить не удаётся, так-то! Еще, как вариант, чтобы избавиться от BlackSOD при установке восьмерки на виртуальную машину, нужно в BIOS реальной включить функцию Disable Execute Bit.

Во времена, когда компьютеры были большими и общались со своими операторами в лучшем случае через командную строку, а в худшем — через перфокарты, существовал аналогичный мем — «Does not compute». Эту фразу в тогдашней фантастике, как правило, произносил робот или суперкомпьютер в случае когнитивного диссонанса.

• В задротской браузерке AdventureQuest при проблеме с коннектом на экран вылезает Blue Scroll of Doom.
• Также встречается в играх F.E.A.R. 3 на банкомате и в Watch Dogs, когда главгерой игры, Эйден Пирс, «подрезает» с помощью своего хакерофона «Профайлер» (Profiler), опять же, банкоматы.
• В эпичной игре Magicka BSOD (переведен как «Вылет на рабочий стол») вообще является боевым летальным заклинанием, зачастую убивая самого горе-мага или компаньона.
• В Black Mesa после каскадного резонанса большая часть компьютеров показывает BSOD. Шутка в том, что вызван он файлом hl2.exe, то есть запуском Half-Life 2, модом на которую является сабж.
• В Wasteland 2 BSOD мог наступить у противника-робота, если тому критически засветить в голову. В этом состоянии у вражины ухудшаются боевые навыки и появляется тенденция впадать в ступор.
• В Portal 2 сабж светится на экранах лифта, когда комплекс летит КЕМ благодаря кое-кому.

	BSOD — это не баг, это фича!

	Blue screen of DEATH, nya!

Что такое BSOD или синий экран

BSOD– это ошибка, которая вызывает STOP системы (отсюда и название “ошибка STOP”). Останов системы происходит в связи с тем, существует потенциальная возможность повреждения системы и её файлов. На экране появляется синий экран смерти (Blue Screen of Dead) – это неофициальное название полученное из-за изображения ошибки белым текстом на синем фоне. Синий экран содержит шестнадцатеричные значения из дампа памяти, которые могут быть использованы для определения причины отказа системы.

Когда говорят BSOD, могут подразумевать:

• Синий экран смерти
• STOP код
• Аварийный дамп (crash dump)
• Дамп памяти (memory dump)

Появление синего экрана, как правило, вызвано проблемами в аппаратной части компьютера (его железе) или проблемами с драйверами установленного оборудования. Обыкновенные, стандартные программы зачастую не в состоянии вызвать синий экран, так как если произойдет сбой приложения, то оно просто завершиться с ошибкой, но не затронет работоспособность самой системы. А вот программы низкого уровня, работающие на уровне ядра Windows могут привести к появлению BSOD, к нм как раз и относятся драйвера.

Для устранения BSOD воспользуйтесь следующими разделами сайта

Критический сбой происходит, когда система получает STOP код, что приводит к остановке работы Windows. Единственное, что для операционная система может сделать, так это прекратить дальнейшую работу компьютера и перезагрузить его. Это в свою очередь может привести к потере данных работающих программ, поскольку приложения не имеют возможности сохранить текущие данные. Чтобы уберечься от такого рода потерь информации, необходимо постоянно сохранять все изменения в отрытых документах, причём не только самому пользователю, но и в программы должно быть заложено разработчиками ведение, что-то типа резервной активной копии открытых файлов (как например это сделано в Word).

Во время появления синего экрана Windows автоматически создает на диске файл “минидампа” памяти, который содержит информацию о предшествующих сбою операциях. Вы можете изучить информацию в этих минидампов, чтобы определить причину синего экрана.

Как узнать причину BSoD

Расшифровка синего экрана смерти на самом деле гораздо проще, чем вы думаете. Это только на первый взгляд выглядит пугающе, но стоит присмотреться как можно выделить основные ключевые области экрана, где содержится нужная информация, которая поможет в исправлении ошибки.

Первые две строчки говорят нам, что была обнаружена проблема и работа Windows была завершена, чтобы предотвратить повреждения компьютера.

Сперва наперво обращаем на две строчки на экране (обведены красным). Первая верхняя строка – это само название кода ошибки (его аббревиатура). В нашем случае это UNMOUNTABLE_BOOT_VOLUME. В выделенной нижней строке пишется сам код ошибки, в нашем примере 0x000000ED, в скобках указаны дополнительные возможные коды, выпишите их на всякий случай, чтобы можно было и по ним по мере надобности поискать информацию.

Чтобы выяснить, что именно не так с вашим компьютером, можно воспользоваться нашей формой поиска ошибок на главной странице или поискать вручную на разделе содержащему полный перечень BSOD.

Не успеваете прочесть синий экран?

В некоторых случаях конфигурация системы настроена таким образом, что компьютер автоматически перезагрузится после после появления синего экрана, буквально через секунду и вы не успеете ничего прочитать. И этот цикл может быть бесконечным, если проблему не устранила первая перезагрузка. Так что же делать, как увидеть всё что нужно? К счастью всё очень просто.

Если компьютер не загружается, то нам надо попробовать зайти в защищенный режим. Для этого, как правило, надо нажимать кнопку F8 при загрузке.

Если вы смогли зайти в безопасный режим, то половина пути уже пройдено 8)

Перейдите на страницу Свойства системы , щелкнув правой кнопкой мыши Мой компьютер и выбрав в Свойства

Если у Вас Windows 7 то слева выберите Дополнительные параметры системы.

В появившемся окошке переходим на вкладку Дополнительно и нажимаем на кнопку Параметры, как на рисунке ниже.

Убираем галочки у опции Выполнить автоматическую перезагрузку.

Теперь при появлении синего экрана он будет оставаться на экране пока вы сами не выполните перезагрузку.

Что такое bsod: внезапные остановка работы Windows

 

Доброго времени суток.

Вы знаете, что такое bsod? Если вы еще не сталкивались с этим понятием лично — вам повезло. Однако любой пользователь операционной системы Windows подвержен опасности встретиться с BSOD, и лучше быть заранее осведомленным, чтобы эта неприятность не застала вас врасплох. Прочитайте нашу статью, чтобы (частично) знать, как уберечь свой компьютер от выхода из строя.

 

Разъяснение

Непонятное для вас сочетание иностранных букв кроет в себе фразу «Blue Screen of Death», что переводится с английского языка как «синий экран смерти». Думаю, если вы сами еще не видели его, то, по крайней мере, слышали о таком явлении.

Вообще, его правильнее называть «ошибка STOP» или «STOP-код», однако неофициальное обозначение прижилось больше. Почему оно такое пугающее? Этот экран говорит о том, что в компьютере произошла критическая ошибка. Уведомление прописывается белым текстом на синем фоне.

Проблема может произойти либо в аппаратной части, либо в драйверах, то есть режиме ядра. Обычные пользовательские программы такого сообщения выдать не могут, потому что они находятся на поверхностном уровне системы и не имеют доступа к ее важным параметрам. Вдобавок к беде с железом или дровами вы еще можете потерять несохраненные данные, так как синий экран зачастую всплывает неожиданно.

 

Перезагрузка

Итак, что такое bsod вам более менее понятно я думаю. Теперь, всё что вы можете сделать при возникновении — изучить ошибку и перезапустить операционку. Не успели, потому что компьютер сам перезагрузился? В таком случае необходимо выставить определенные настройки, чтобы система перезапускалась не автоматически, а когда вы того захотите. Расскажу на примере Windows 7, но в других версиях принцип похож:

• Зайдите в меню «Пуск» и щелкните по «Компьютеру» правой кнопкой мыши;
• Выберите «Свойства»;
• В списке слева нажмите на «Дополнительные параметры системы»;
• Поменяйте вкладку на «Дополнительно»;
• В нижнем поле «Загрузка и восстановление» кликните кнопку «Параметры»;

• Снимите отметку с чек-бокса «Выполнить автоматическую перезагрузку»;
• «ОК».

 

Дампы

Кстати, в этом же окне указывается путь, по которому вы можете найти дампы. Так называются файлы, которые сохраняет система в случае возникновения критической проблемы, чтобы вы по ним могли ее диагностировать и устранить.

Убедитесь, что у вас включена функция их создания в поле «Запись отладочной информации».

 

Как изучать BSOD?

Когда вы выше прочитали, что должны изучить текст на синем фоне, то наверняка спросили меня, как это сделать? Ведь мало того, что он имеет непонятные технические слова, так они еще и на английском. На самом деле все проще, чем кажется. Главное знать, на что обращать внимание. Я помогу вам с этим. Итак:

• Послание начинается с объяснения, что в вашем компе возникла ошибка и виндовс закрылся, чтобы не стало хуже. Это первые пару строчек.
• Далее символьное имя ошибки. Оно вам пригодится.
• Затем идет большой текст с подсказками от разработчиков системы, как избежать подобных ситуаций. Можно пропустить.
• Снова проявить внимательность следует там, где начинается техническая информация. В нижней части экрана будет код ошибки, по которому вы сможете понять, что именно случилось. Выпишите его себе для дальнейшего изучения, а данные из второго пункта.

 

Другой экран

В Windows последних версий разработчики упростили синий экран. Все равно никто не понимает, что написано на нем, а просто в панике юзеры нажимают кнопку Power, чтобы все вернулось на круги своя.

Таким образом, вместо большого текста вы можете увидеть перед собой грустный смайлик, короткое уведомление о возникновении проблемы и ее символьное название.

 

Распространенные ошибки

Ошибок много. Каждую описывать не буду, чтобы не растягивать статью. Назову лишь основные:

0×24	NTFS_FILE_SYSTEM	Проблема в файловой системе.
0x2E	DATA_BUS_ERROR	Сбой четности в ОЗУ.
0xB4	VIDEO_DRIVER_INIT_FAILURE	Ошибка идентификации видеодрайвера.
0xA	IRQL_NOT_LESS_OR_EQUAL	Неверный адрес при обращении драйвера девайса.
0x1E	KMODE_EXCEPTION_NOT_HANDLED	В режима ядра пытается пройти недопустимый процесс.
0xB9	CHIPSET_DETECTED_ERROR	Вышел из строя чипсет материнки.
0x4E	PFN_LIST_CORRUPT	Нарушена структура ввода-вывода драйвера.
0xC2	BAD_POOL_CALLER	Сбой в выделении памяти.
0×69	IO1_INITIALIZATION_FAILED	Неправильно идентифицируется система.
0×50	PAGE_FAULT_IN_NONPAGED_AREA	Нет данных, запрашиваемых из памяти.
0x8E	PAGE_FAULT_IN_NONPAGED_AREA	То же, что и в пункте выше.
0x7F	UNEXPECTED_KERNEL_MODE_TRAP	Непредвиденный процесс с ошибкой в ядре.
0×77	KERNEL_STACK_INPAGE_ERROR	Не удается прочитать запрошенную страницу ядра.
0x7B	INACCESSIBLE_BOOT_DEVICE	Недоступен системный раздел винте.
0×79	MISMATCHED_HAL	Несовместимость в железе.
0x7A	KERNEL_DATA_INPAGE_ERROR	Не читается физическая память.
0xC0000135	STATUS_DLL_NOT_FOUND	Сбой в загрузке библиотеки.
0xD1	DRIVER_IRQL_NOT_LESS_OR_EQUAL	Ошибочный драйвер, нет доступа к адресу памяти.
0xF3	DISORDERLY_SHUTDOWN	ОС не может закончить сеанс из-за нехватки памяти.
0xC000021A	STATUS_SYSTEM_PROCESS_TERMINATED	Ошибка службы в режиме пользователя.
0xC0000221	STATUS_IMAGE_CHECKSUM_MISMATCH	Дров нет или они неисправны.

Если среди них вы не нашли свою проблему, поищите информацию о ней в поисковике с другого устройства. Вообще я задумываюсь отдельный пост создать с описанием большей части ошибок.

 

Почему возникает BSOD?

Давайте рассмотрим основные причины появления экрана смерти на более простом языке:

• Сломался жесткий диск, оперативка, блок питания, видеокарта или другое устройство в вашем компьютере.
• Новый девайс не подходит к старым комплектующим и железо конфликтует между собой;
• Оборудование несовместимо с установленной системой;
• Комп перегрелся;
• Драйвер к тому или иному устройству ему не подходит;
• Дрова конфликтуют друг с другом;
• Операционка и дрова несовместимы;
• Неправильно настроен BIOS;
• Не хватает места на жестком диске;
• Попали вирусы;
• Выполнен чрезмерный разгон процессора или ОЗУ.

Думаю, вы и сами понимаете, как бороться с БСОД с учетом причины его возникновения. Например, заменить сломанное устройство, почистить систему антивирусами, установить подходящие драйвера, сделать откат к предыдущей версии операционки, выставить заводские настройки в биосе, если вы наворотили там лишнего, и т. д.

В принципе это всё что я хотел вам рассказать о том, что такое bsod. Пусть на вашем компьютере не возникают синие экраны смерти.

Не забудьте подписаться на наши обновления. Мы неустанно готовим для вас новую полезную информацию.

До скорого.