simplix — 06.05.2018 13:52:08


MiniDumper - Анализатор дампов памяти BSOD

Программа позволяет максимально удобно и точно определять причину BSOD, анализируя файлы дампов памяти средствами отладки. Для работы нужен интернет, так как оттуда временно будут загружены отладочные символы. Чтобы проанализировать файл дампа или папку с дампами, перетяните их мышкой на MiniDumper.exe и ждите, по окончанию работы будет показано сообщение с именем дампа, кодом ошибки, именем процесса и сбойного файла, если они будут определены. Это же сообщение будет продублировано в файл %Temp%\MiniDumper.log

Поддерживается работа из командной строки, для этого файл дампа или папку с дампами нужно указать программе в качестве параметра. Тихий режим будет работать с ключом /S, причём ключ должен быть указан в первую очередь.

При запуске программы как есть, без параметров, анализируются пути в рабочей системе и проверяются те файлы, который в данный момент указаны в параметрах записи отладочной информации. Обычно это %SystemRoot%\Minidump для малых дампов и %SystemRoot%\memory.dmp для всех остальных случаев.

Для каждого проанализированного дампа будет создан одноимённый log-файл с полным выводом информации для дополнительного анализа опытными пользователями.

Программа работает на системах от Win7 (с обновлениями) до Win10, x86 и x64. Права администратора не требуются, но при включенном UAC предлагаются для доступа к системной папке с дампами. Имеется английская локализация, включается автоматически.

Особая благодарность Petya V4sechkin за советы и знания. Принимаются пожелания по улучшению работы программы, или результаты работы других подобных программ и дампы файлов, которые помогут усовершенствовать MiniDumper.

Скачать: [MiniDumper 1.8 (10 MB)]

simplix — 06.05.2018 13:52:12

TODO v1.5:

---

raddy — 06.05.2018 14:20:14

simplix сообщает:

Символы будут загружаться из интернета

Если это не будет касаться smartfix - можно и так.... Но трафика (судя по whocrashed) можно много ожидать, помнится для анализа одного дампа мегабайт 300 скачалось.

simplix — 06.05.2018 20:50:45

Добавлен MiniDumper 1.0, список возможностей:

Проверяется, есть ли интернет - необходим для загрузки отладочных символов.
Файл дампа или папку с дампами можно перетянуть мышкой на MiniDumper.exe и просто ждать результат.
По окончанию работы будет показана найденная полезная информация с дублированием в %Temp%\MiniDumper.log.
Поддерживается работа из командной строки, для этого файл дампа или папку с дампами нужно указать программе в качестве параметра. Тихий режим будет работать с ключом /S, причём ключ должен быть указан в первую очередь.
При запуске программы как есть, без параметров, анализируются пути в рабочей системе и проверяются те файлы, который в данный момент указаны в параметрах записи отладочной информации.
Для каждого проанализированного дампа будет создан одноимённый log-файл с полным выводом информации команды "!analyze -v" для дополнительного анализа опытными пользователями. При повторном запуске анализа для экономии времени информация будет браться из этого файла, до тех пор, пока он не будет удалён вручную.
Программа работает на всех системах от WinXP до Win10, x86 и x64 без прав администратора. Имеется английская локализация, включается автоматически.

raddy — 07.05.2018 05:40:42

simplix
Текста(strings) из дампа в логе не хватает, что бы узнать о конфигурации например, нужно самому лезть в .dmp.
Понимает только полный путь к файлу дампа, то есть - minidumper c:\dumps\050118-78562-01.dmp работает, а minidumper 050118-78562-01.dmp уже нет, говорит - что-то пошло не так. (файлы находятся в одном каталоге)

simplix — 07.05.2018 07:37:16

raddy
Поподробнее, пожалуйста, как получить этот текст и зачем он нужен? Относительные пути сделаю.

raddy — 07.05.2018 08:49:29

simplix
На сайте раздел с текстом выглядит так:
https://i.imgur.com/BgWQShb.png
https://i.imgur.com/wehViDe.png

Нужно, чтобы вручную не искать в .dmp файле сведения о конфигурации, списке запущенных процессов и т.д., мне кажется - что должна быть стандартная функция для экспорта...
А так, для этих дел есть https://docs.microsoft.com/en-us/sysint … ds/strings навскидку.

Sergikaz — 07.05.2018 08:55:30

Запустил я на своей системе  как есть, без параметров. Работала программа долго. Вывела отчёт на 20 дампов. Всё показывает, как обещано. Запускал я для простого любопытства, был недавно у меня сбой: прихожу, а компьютер перезагрузился. Всё после перезагрузки работает нормально, поэтому и не беспокоился очень.
Теперь о программе. Отчёт о проделанной работе показывает найденные дампы вперемешку, а не по дате создания.  У меня 20 дампов с сентября 2013 года. Два последних дампа получил в 2018, а все остальные за 2013 - 2015 года. Вот и хотел спросить, а насколько актуальна информация сбоя системы, который произошёл 3-5 года назад? Какой смысл их анализировать? Ведь при большом количестве дампов время анализа очень увеличивается.

weldance — 09.05.2018 11:19:12

у меня не работает - "Что-то пошло не так..." (win 10 pro)

simplix — 09.05.2018 12:30:00

raddy, Sergikaz
Принято.

weldance
Расскажите подробнее, что именно делали.

weldance — 09.05.2018 13:53:35

simplix
просто запускал, запускал от имени админа, перетаскивал файл из %SystemRoot%\Minidump, перетаскивал папку %SystemRoot%\Minidump, перетаскивал файл %SystemRoot%\memory.dmp. везде результат один и тот же.

simplix — 09.05.2018 14:55:19

Обычно это означает, что программа отладки не может корректно отработать, но чтобы всегда был такой результат - это странно. Если возможно посмотреть на это через TeamViewer, напишите его данные мне в сообщения.

simplix — 10.05.2018 10:57:17

Добавлен MiniDumper 1.1, список изменений:

Добавлена возможность работы с относительными путями.
Сделана сортировка дампов по времени, а не алфавиту. Свежие в начале списка, старые в конце.
В лог добавляется вывод информации о конфигурации железа (!sysinfo cpuinfo, cpuspeed, machineid, smbios).
При запуске без параметров и анализе системной папки будут проанализированы дампы только за последний год.
Добавлена возможность сохранять кэш символов, для этого рядом с программой должна существовать папка SymCache.
Добавлено отображение драйверов из Raw Stack, там может быть полезная информация о задействованных драйверах.
Добавлен вывод списка модулей (lmv) для информации о версиях и времени файлов (загрузка символов занимает много времени).
Вместо временной папки MiniDumper.log сохраняется теперь в папку с программой (дублирует итоговое сообщение).

raddy — 10.05.2018 11:23:44

simplix
Для анализа одного дампа теперь нужно 3-5 минут, нельзя ли окошко с прогрессом сделать сворачиваемым?
Лог перезаписывается - добавление более актуально. (если содержимое лога не нужно - файл легче удалить)

simplix — 10.05.2018 12:40:12

raddy
По прогрессу - принято, по логу подумаю, как лучше.
Подумал - лучше его перезаписывать в самой папке с программой. Если вам нужно сохранять его для каждой анализируемой папки, копируйте прямо в ту папку после анализа.

simplix — 12.05.2018 12:32:51

Добавлен MiniDumper 1.2, список изменений:

При запуске без прав администратора логи будут записаны только туда, где будет хватать прав для записи.
Главное окно программы теперь можно сворачивать в панель задач.
Исправлено попадание лишних строк в раздел Raw Stack.
Добавлено отображение параметра "Probably caused by".
В комплекте отладчик из Win10 для лучшей совместимости и более полной информации.
Добавлена автокоррекция для патченного ядра Win7, сам отладчик не работает с такими дампами.
Для кода 0x9F проверяются !devobj, !devstack + DeviceInst + ServiceName, !irp.
Для всех драйверов из отчёта собирается информация через lmvm и помещается в конец лога.
Папка SymCache уже не работает, т. к. отладчик сам создаёт временный кэш.
При повторном анализе дампа его лог будет перезаписан.

Parabol — 12.05.2018 13:25:58

Крутая программа. Спасибо.
На 19" мониторе, немного по вертикали не помещается. Может прокрутку добавить?
Скрытый текст (раскрыть): https://i.imgur.com/iQqJWfC.png

raddy — 12.05.2018 13:43:40

simplix сообщает:

Подумал - лучше его перезаписывать в самой папке с программой.

Программе в большинстве ситуаций(расположение в каталоге прописанном в %path% или кнопка в тотал коммандер) отдельный каталог не нужен, так что наверное батник для проверки дампов придётся рисовать с функцией  пере-мещения/именования краткого логфайла.

simplix — 14.05.2018 15:49:02

Добавлен MiniDumper 1.3, список изменений:

Формат лога переведён в юникод.
Добавлено время создания дампа.
В DeviceInst коды устройств укорочены.
Вместо сообщения в конце работы открывается лог.
Убраны дублирующие отчёты: "Probably caused by", !sysinfo machineid, !devobj, !irp.
Исправлено некорректное отображение BUGCHECK_STR в некоторых случаях.
Исправлено добавление адресов к слишком длинным именам драйверов.
По умолчанию спрашивает права администратора, чтобы читать системные дампы, но внутри проверок нет и будет работать с ограниченными правами.

Parabol — 14.05.2018 19:22:26

MiniDumper 1.3
При запуске распаковывает, затем пишет:
Что-то пошло не так, попробуйте запустить от имени администратора.
При запуске от администратора картина не меняется.
При перетягивании папки на MiniDumper - то же сообщение.
Хотите взглянуть на проблему удаленно?
В личку отправил ID и пароль от Teamviewer.

simplix — 14.05.2018 20:18:15

Ошибка Parabol была из-за неустановленных обновлений. Для работы среды отладки нужно иметь в системе установленное обновление KB2999226 (как минимум), а ещё лучше UpdatePack7R2 (в случае Win7).

simplix — 15.05.2018 00:54:18

Добавлен MiniDumper 1.4, список изменений:

В случае, если на Win7-8 не стоят обновления, из-за чего отладчик не сможет работать (код возврата C0000135), будет открыта страница KB2999226 с ссылками на загрузку.
Сокращена длина кода для случаев 0x1... и добавлено стандартное описание кода ошибки, из Raw Stack убраны строки вида "????????".
Если рядом с программой будет обнаружена папка Debugger с отладчиком внутри, вместо распаковки будет использоваться он. Сюда же в Debugger\sym будут загружаться отладочные символы.

Parabol — 15.05.2018 10:31:25

Нашел дамп на forum.oszone.net

Лог MiniDumper 1.4
Скрытый текст (раскрыть): MiniDumper 1.4

Дамп: 051318-7609-01.dmp (13.05.2018 04:04)
Код: 0x139 - KERNEL_SECURITY_CHECK_FAILURE
Процесс: System, вероятно вызвано: ntkrnlmp.exe
Raw Stack: win32k.sys


В теме в ответах:
Скрытый текст (раскрыть):
https://i.imgur.com/XUQNXSB.png

В расширенном логе MiniDumper строка RNDISMP6!KeepAliveTimerHandler присутствует. Верную ли информацию MiniDumper выводит в сокращенный лог в данном случае?

simplix — 27.05.2018 10:57:45

Parabol
Здесь не ясно, почему сбой вызван именно этой функцией, и точно ли он вызван ею, плюс не задействованы конкретные сторонние драйвера -> совет переключения режима может быть неточным.

Тем временем из-за отсутствия новых предложений выпускаю 1.5, в котором сделана небольшая поправка для получения стека при нерабочем !thread, других изменений нет.

Особенно благодарю Petya V4sechkin за ценные замечания и консультации на протяжении создания программы.

WindR — 12.08.2018 14:55:39

При запуске в среде WinPe с подключенным интернетом программа говорит, что для анализа дампов необходим интернет.

simplix — 12.08.2018 15:24:17

WindR
Естественно я не могу проверять ваши личные WinPE, но если запустите TeamViewer, могу посмотреть на это и исправить.

simplix — 05.10.2018 20:04:40

В версии 1.6 добавлено отображение ошибок ERROR_CODE: (NTSTATUS).

Изменения в версии 1.7:

Добавлена обработка BUCKET_ID.
В Stack и RawStack отображаются только сторонние модули.
В RawStack указываются все и сторонние модули.
Реализовано раскрытие имён файлов из модулей.

Особая благодарность Petya V4sechkin за идеи и тесты.

Sergikaz — 28.01.2019 15:21:01

Сегодня сделал проверку.
Похоже на дежавю.

http://thumbs2.imagebam.com/1e/e9/9b/07c2001106143834.jpg
 
http://thumbs2.imagebam.com/32/26/9d/30a5d71106143804.jpg

Опять проверяло все мои дампы по 2013 год.

simplix — 28.01.2019 19:06:35

Sergikaz
Подробности бы не помешали.

Sergikaz — 29.01.2019 01:23:10

simplix
Год назад я писал в этой же теме в мае. Сейчас почти всё так же.
Скачал "Тестовая версия WinRepair 0.1" с соседней темы для опробования. Запустил. Увидел, что в меню есть MiniDumper и запустил его на проверку. Проверяло ооочень долго. У меня куча дампов с 2013 года. Проверило и показало все.

simplix — 29.01.2019 09:57:06

Sergikaz
Это особенность проверки через SmartFix - он указывает MiniDumper параметром папку Minidump и проверяет все дампы в ней, чтобы специалист ничего не пропустил. Если вам нужно только за последний год, запускайте программу отдельно и без параметров. А если мешает куча старых дампов - просто удалите их.

Sergikaz — 29.01.2019 12:37:50

simplix
Понял. :)
А удалить их и вправду пора. :oops:

$DR@GON$ — 14.03.2019 10:08:31

simplix версия обновилась до 1.8?
Если да, можно тогда в шапке поправить пункт: Скачать: [MiniDumper 1.7 (10 MB)] и уточнить какие изменения произошли?

simplix — 14.03.2019 11:32:30

Изменения в версии 1.8:

Добавлено отображение FAILURE_BUCKET_ID как есть.
Добавлена работа через прокси по настройкам IE.
В тихом режиме не открывается лог в конце работы программы.
Исправлен пропуск анализа файлов с одинаковой датой.
Исправлено отображение времени дампа с учётом временного пояса.
Разные мелкие дополнения и исправления.

Parabol — 14.03.2019 23:24:38

Сегодня столкнулся с ошибками при работе утилиты на Windows 7x64. Доступ получить к компьютеру уже не представляется возможным. Не знаю, могут ли фото помочь исправить возможность повторения ошибки в будущем. Ошибок однотипных было несколько больше (на фото только 2)
Скрытый текст (раскрыть):
https://i.imgur.com/J3ebDdW.png
https://i.imgur.com/3euoSsX.png
https://i.imgur.com/rjs1h52.png

simplix — 15.03.2019 01:04:28

Parabol
Думаю там просто не было свободного места, т. к. программа не смогла распаковать ~40 МБ во временную папку.
P. S. Добавил проверку свободного места.

$DR@GON$ — 15.03.2019 09:09:33

Подскажите, пожалуйста, в чем может быть причина падения.
Дамп системы 16 ГБ после распаковки архива.

simplix — 15.03.2019 11:14:16

$DR@GON$


Код:

Дамп: MEMORY.dmp (15.03.2019 00:19:06)
Код: 0xC1 - SPECIAL_POOL_DETECTED_MEMORY_CORRUPTION
Процесс: Energy Management.exe, вероятно вызвано: AcpiVpc.sys
Сторонние модули в стеке: AcpiVpc.sys, ntdll.dll, KERNELBASE.dll, KERNEL32.DLL, Energy Management.exe
Сторонние модули в Raw-стеке: klif.sys, Energy Management.exe, igdkmd64.sys, AcpiVpc.sys, ntdll.dll
FAILURE_BUCKET_ID: 0xC1_24_VRF_AcpiVpc!unknown_function

Предположительно виноват драйвер AcpiVpc.sys. Совет - обновить драйвера с сайта производителя мат. платы.

$DR@GON$ — 15.03.2019 12:43:37

simplix
Благодарю за анализ.
На сайте LenoVo для G580 новых драйверов не видно. :unknown:
Поможет ли полное удаление Energy Management?

simplix — 15.03.2019 13:51:34

Если Energy Management содержит драйвер AcpiVpc.sys - может быть, но нужно после этого убедиться, что управление питанием работает правильно. Например, иногда без драйверов вентилятор может шуметь больше, чем нужно. А если проблема возникла всего один раз и больше не повторяется, можно ничего не делать.

Vavun — 20.03.2019 17:53:36

simplix
Приветствую !
Возможно ли сделать опциональную возможность (допустим ключом) чтобы minidumper:
а) Сохранял символы и компоненты windbg не в %TEMP%
б) Не подчищал за собой символы и компоненты windbg после закрытия ?

Чтобы получился эдакий кэш, к которому можно обращаться при следующих анализах. Пусть себе растёт.
Просто при периодическом анализе дампов с помощью windbg хранилище символов может неплохо разрастись (и хорошо) и удобно иметь возможность обращаться к нему напрямую, не загружая, зачастую, одно и то же каждый раз.

Спасибо.

ЗЫ
В процессе работы создается директория %LOCALAPPDATA\DBG и не удаляется после завершения.

simplix — 20.03.2019 18:37:24

Vavun
Задайте пути системными переменными:
_NT_SYMBOL_PATH=srv*D:\Symbols*https://msdl.microsoft.com/download/symbols
_NT_EXECUTABLE_IMAGE_PATH=srv*D:\Symbols*https://msdl.microsoft.com/download/symbols