Como ler o pequeno arquivo de despejo de memória criado pela Windows se ocorrer uma falha

Este artigo descreve como examinar um pequeno arquivo de despejo de memória. Um pequeno arquivo de despejo de memória pode ajudá-lo a determinar por que seu computador caiu.

Aplica-se a:   Windows 10 - todas as edições, Windows Server 2012 R2
Número KB original:   315263

Observação

Se você estiver procurando informações de depuração para Windows 8 ou posterior, verifique Ferramentas de Depuração para Windows (WinDbg, KD, CDB, NTSD). Para obter mais informações sobre despejo de memória pequena, verifique Pequeno Despejo de Memória.

Arquivos de despejo de memória pequenos

Se o computador falhar, como você pode descobrir o que aconteceu, corrigir o problema e impedir que ele aconteça novamente? Você pode encontrar o pequeno arquivo de despejo de memória útil nesta situação. O pequeno arquivo de despejo de memória contém a menor quantidade de informações úteis que podem ajudá-lo a identificar por que seu computador caiu. O arquivo de despejo de memória contém as seguintes informações:

  • A mensagem Parar, seus parâmetros e outros dados
  • Uma lista de drivers carregados
  • O contexto do processador (PRCB) para o processador que parou
  • As informações do processo e o contexto do kernel (EPROCESS) para o processo que parou
  • As informações do processo e o contexto do kernel (ETHREAD) para o thread que parou
  • A pilha de chamada do modo kernel para o thread que parou

Para criar um arquivo de despejo de memória, Windows requer um arquivo de pajamento no volume de inicialização com pelo menos 2 megabytes (MB). Em computadores que executam o Microsoft Windows 2000 ou uma versão posterior do Windows, um novo arquivo de despejo de memória é criado sempre que uma falha no computador pode ocorrer. Um histórico desses arquivos é armazenado em uma pasta. Se ocorrer um segundo problema e Windows criar um segundo arquivo de despejo de memória pequeno, Windows preservará o arquivo anterior. Windows dá a cada arquivo um nome de arquivo codificado por data e data. Por exemplo, Mini022900-01.dmp é o primeiro arquivo de despejo de memória gerado em 29 de fevereiro de 2000. Windows mantém uma lista de todos os arquivos de despejo de memória pequenos na %SystemRoot%\Minidump pasta.

O pequeno arquivo de despejo de memória pode ser útil quando o espaço em disco rígido é limitado. No entanto, devido às informações limitadas incluídas, erros que não foram diretamente causados pelo thread que estava sendo executado no momento do problema podem não ser descobertos por uma análise desse arquivo.

Configurar o tipo de despejo

Para configurar opções de inicialização e recuperação para usar o pequeno arquivo de despejo de memória, siga estas etapas.

Observação

Como há várias versões do Microsoft Windows, as etapas a seguir podem ser diferentes em seu computador. Se estiver, consulte a documentação do produto para concluir essas etapas.

  1. Clique em Iniciar e depois em Painel de Controle.

  2. Clique duas vezes em Sistema e clique em Configurações avançadas do sistema.

  3. Clique na guia Avançado e clique em Configurações em Inicialização e Recuperação.

  4. Na lista Informações de depuração de gravação, clique em Despejo de memória pequeno (64k).

    Inicialização e Recuperação - Caixa de diálogo Despejo de Memória Pequena

Para alterar o local da pasta para os pequenos arquivos de despejo de memória, digite um novo caminho na caixa Arquivo de Despejo ou na caixa Diretório de despejo pequeno, dependendo da sua versão do Windows).

Ferramentas para ler o pequeno arquivo de despejo de memória

Use o Utilitário de Verificação de Despejo (Dumpchk.exe) para ler um arquivo de despejo de memória ou verificar se o arquivo foi criado corretamente.

Observação

O Utilitário de Verificação de Despejo não exige acesso a símbolos de depuração. Os arquivos de símbolo têm uma variedade de dados que não são realmente necessários ao executar os binários, mas que podem ser muito úteis no processo de depuração.

Para obter mais informações sobre como usar o Dump Check Utility no Windows NT, Windows 2000, Windows Server 2003 ou Windows Server 2008, consulte Artigo 156280da Base de Dados de Conhecimento da Microsoft: Como usar o Dumpchk.exe para verificar um arquivo de despejo de memória .

Para obter mais informações sobre como usar o Utilitário de Verificação de Despejo no Windows XP, Windows Vista ou Windows 7, consulte o artigo da Base de Dados de Conhecimento da Microsoft 315271: Comousar o Dumpchk.exe para verificar um arquivo de Despejo de Memória.

Ou, você pode usar a ferramenta Windows Depurador (WinDbg.exe) ou a ferramenta Depurador de Kernel (KD.exe) para ler pequenos arquivos de despejo de memória. WinDbg e KD.exe estão incluídos na versão mais recente das Ferramentas de Depuração para Windows pacote.

Para instalar as ferramentas de depuração, consulte Download and Install Debugging Tools for Windows webpage. Selecione a instalação típica. Por padrão, o instalador instala as ferramentas de depuração na seguinte pasta:

C:\Program Files\Debugging Tools for Windows

Esta página da Web também fornece acesso aos pacotes de símbolos baixáveis para Windows. Para obter mais informações sobre Windows símbolos, consulte Depuraçãocom Símbolos e a página da Web Baixar Windows Pacotes de Símbolos.

Para obter mais informações sobre opções de arquivo de despejo Windows, consulte Overview of memory dump file options for Windows.

Abrir o arquivo de despejo

Para abrir o arquivo de despejo depois que a instalação for concluída, siga estas etapas:

  1. Clique em Iniciar, clique em Executar, cmd digite e clique em OK.

  2. Altere para a pasta Ferramentas de Depuração Windows. Para fazer isso, digite o seguinte no prompt de comando e pressione ENTER:

    cd c:\program files\debugging tools for windows
    
  3. Para carregar o arquivo de despejo em um depurador, digite um dos seguintes comandos e pressione ENTER:

    windbg -y SymbolPath -i ImagePath -z DumpFilePath
    

    ou

    kd -y SymbolPath -i ImagePat -z *DumpFilePath
    

A tabela a seguir explica o uso dos espaço reservados que são usados nesses comandos.

Espaço reservado Explicação
SymbolPath O caminho local onde os arquivos de símbolos foram baixados ou o caminho do servidor de símbolos, incluindo uma pasta de cache. Como um pequeno arquivo de despejo de memória contém informações limitadas, os arquivos binários reais devem ser carregados junto com os símbolos para que o arquivo de despejo seja lido corretamente.
ImagePath O caminho desses arquivos. Os arquivos estão contidos na pasta I386 na Windows XP CD-ROM. Por exemplo, o caminho pode ser C:\Windows\I386 .
DumpFilePath O caminho e o nome do arquivo de despejo que você está examinando.

Comandos de exemplo

Você pode usar os comandos de exemplo a seguir para abrir o arquivo de despejo. Esses comandos assumem o seguinte:

  • O conteúdo da pasta I386 na Windows CD-ROM é copiado para a C:\Windows\I386 pasta.
  • Seu arquivo de despejo é chamado C:\Windows\Minidump\Minidump.dmp .

Exemplo 1:

kd -y srv*c:\symbols*http://msdl.microsoft.com/download/symbols -i c:\windows\i386 -z c:\windows\minidump\minidump.dmp

Exemplo 2. Se você preferir a versão gráfica do depurador em vez da versão de linha de comando, digite o seguinte comando em vez disso:

windbg -y srv*c:\symbols*http://msdl.microsoft.com/download/symbols -i c:\windows\i386 -z c:\windows\minidump\minidump.dmp

Examinar o arquivo de despejo

Há vários comandos que você pode usar para coletar informações no arquivo de despejo, incluindo os seguintes comandos:

  • O !analyze -show comando exibe o código de erro Parar e seus parâmetros. O código de erro Parar também é conhecido como código de verificação de bugs.
  • O !analyze -v comando exibe a saída detalhada.
  • O lm N T comando lista os módulos carregados especificados. A saída inclui o status e o caminho do módulo.

Observação

O comando de extensão !drivers exibe uma lista de todos os drivers carregados no computador de destino, juntamente com informações resumidas sobre o uso da memória. A extensão !drivers é obsoleta Windows XP e posterior. Para exibir informações sobre drivers carregados e outros módulos, use o lm comando. O lm N T comando exibe informações em um formato semelhante à antiga extensão !drivers.

Para ajudar com outros comandos e para uma sintaxe de comando completa, consulte a documentação da Ajuda das ferramentas de depuração. A documentação da Ajuda das ferramentas de depuração pode ser encontrada no seguinte local:

C:\Program Files\Debugging Tools for Windows\Debugger.chm

Observação

Se você tiver problemas relacionados a símbolos, use o utilitário Symchk para verificar se os símbolos corretos são carregados corretamente. Para obter mais informações sobre como usar o Symchk, consulte Depuração com símbolos.

Simplificar os comandos usando um arquivo em lotes

Depois de identificar o comando que você deve ter para carregar despejos de memória, você pode criar um arquivo em lotes para examinar um arquivo de despejo. Por exemplo, crie um arquivo em lotes e nomee-o Dump.bat. Salve-o na pasta onde as ferramentas de depuração estão instaladas. Digite o seguinte texto no arquivo em lotes:

cd "c:\program files\debugging tools for windows"

kd -y srv*c:\symbols*http://msdl.microsoft.com/download/symbols -i c:\windows\i386 -z %1

Quando quiser examinar um arquivo de despejo, digite o seguinte comando para passar o caminho do arquivo de despejo para o arquivo em lotes:

dump c:\windows\minidump\minidump.dmp