Debug dump files что это такое

Содержание

Очистка диска С вручную

Информация о том, сколько весит та или иная папка, файл, позволяет определить, какой документ негативно влияет на производительность и скорость компьютера. Помогает оценить целесообразность хранения утилит, узнать, что можно безболезненно убрать.

Как вручную почистить диск с

Узнать, что дисковое пространство переполнено, забито, можно, если нажать правой клавишей мыши на название, затем — на свойства. В win 8 откроется овал, где синим выделено занятое место, красным — свободное.

Избавиться от содержимого пк можно, вручную анализируя объем, целесообразность сохранения, уничтожая лишнее. Проверяют содержимое корзины, избранного, скрытых, временных элементов, загрузки, кэш браузеров, программные следы, сведения об ошибках. Это позволит оставить на компе ценные документы и в тоже время избавиться от лишнего.

Ниже представлен анализ всех способов, позволяющих разгрузить комп вручную. Перечислены особенности, даны инструкции, базовые рекомендации, место нахождения мусора.

Временные каталоги Windows

Для хранения временного содержимого существует папка Temp. Здесь остаются следы установленных обновлений, приложений, т.е. мусор.

Чтобы избавиться от него правильно, нужно:

  • зайти в Temp. Находят ее через каталог виндовс или, нажав «пуск» и в поиске прописав %temp%;
  • выделить содержимое;
  • удалить.

Для уничтожения некоторого хлама придется зайти с правами администратора.

Давно не используемые программы

На каждом компьютере обычно скапливается большое количество лишнего софта. Пользователи о нем забывают, оставив его висеть мертвым грузом и занимать место на пк или ноутбуке.

Чтобы избавиться от хлама:

  • через «пуск» зайти в «панель управления», выбрать «программы и компоненты»;
  • появится список установленного софта. Выбирают ненужный, щелкают «удалить».

Пользователи win10 должны перейти в меню «пуск», нажать «параметры» и далее — «система». В появившемся списке определить лишнюю прогу.

Освобождение Корзины + тонкая настройка

Корзина — обычная скрытая папка, в которую перемещают потерявшие актуальность элементы. Не все осознают, что, если документы просто помещены сюда, они продолжают занимать место. Однажды корзина забивается и мешает работе пк.

Диск с переполнен как освободить место

Чтобы избавиться от мусора окончательно, нужно:

  • найти значок корзины на рабочем столе;
  • кликнуть правой клавишей мыши;
  • выбрать «очистить корзину».

В большинстве утилит виндовс и чистильщиках есть тонкие настройки. Эта опция позволяет настраивать параметры вручную.

В свойствах «корзины» можно настроить параметры:

  • определить максимальный размер содержимого, которое перемещается в корзину;
  • разрешить уничтожение без использования корзины.

Папки Download или Загрузки, MSOcache, Библиотека, Избранное

В папке «избранное» есть несколько подразделов — «загрузки», «рабочий стол». Нужно последовательно проверить их содержимое, уничтожить ненужное.

Как удалить загрузки

Сперва рекомендуется подчистить «загрузки». Здесь хранятся загруженные утилиты, фотографии, видео.

Есть два способа освобождения:

  • устранение неактуального содержимого — его отправляют в корзину и там уничтожают;
  • перенос загрузок на диск д. Кликают правой клавишей мыши на «загрузки», выбирают «свойства», переходят в «расположение». Затем вручную вбивают новый адрес или используют поиск, в конце кликают «применить».

Далее анализируют рабочий стол и другие ресурсы, расположенные в «избранном».

Папка, которую многие считают лишней, — msocache. Содержимое предназначено для восстановления приложений ms office в случае появления критической ошибки.

Для уничтожения:

  • найти папку, выделить, нажать delete;
  • запустить командную строку, набрать cleanmgr, указать системный диск или найти его через меню «пуск». Затем отметить нужную папку, подтвердить ликвидацию.

Библиотеку зачищают, последовательно проверяя содержимое подпапок «видео», «музыка», «изображения». Избавиться от следов картинок, фильмов, аудиозаписей можно программными способами.

Обновления системы и файлы оптимизации доставки

При обновлении ОС остается папка windows.old или winsxs. В ней содержатся устаревшие версии операционной системы.

Избавиться от них можно следующим образом:

  • windows update cleaner. Открыть параметры, перейти в систему, затем — в «память устройства», выбрать «освободить место сейчас», отметить опцию «очистка обновлений windows», кликнуть «удалить файлы». В win 7 менеджер очистки нужно устанавливать вручную. Это обновление KB2852386;
  • зайти с правами администратора, в командной строке написать: «{stextbox id=’grey’}RD /S /Q C:]windows.old{stextbox}».

Уничтожить можно и файлы оптимизации доставки, необходимые для скачки обновлений виндовс из разных источников.

Механизм удаления:

  • открыть «пуск», затем — «параметры»;
  • нажать «обновление и безопасность»;
  • открыть «дополнительные параметры»;
  • зайти в «оптимизацию доставки;
  • отключить опцию «разрешить загрузки с других компьютеров».

Удаление хранилища драйверов вручную или с помощью Driver Sweeper

На С есть driverstory и в ней подпапка filerepository. Это место, где сохраняются драйверы оборудования, которое потенциально может быть установлено на пк.

Как освободить место на диске c

Инструкция:

  • зайти с правами администратора;
  • запустить командную строку;
  • ввести «pnputil.exe/e> c:drivers.txt», кликнуть на ввод;
  • откроется блокнот со списком драйверов;
  • отобрать лишние, скопировав номер — указывается в «oem№.inf»;
  • открыть командную строку;
  • прописать «pnputil.exe /d oem№.inf. Возникнет сообщение о ликвидации драйвера.

При желании убрать лишнее вручную, алгоритм такой:

  • найти filerepository, открыть свойства, нажав правой клавишей мыши;
  • перейти на вкладку «безопасность», кликнуть «дополнительно»;
  • найти поле «владелец», выбрать «изменить»;
  • ввести имя пользователя;
  • отметить галочками опции замены «владельца подконтейнеров и объектов» и «всех записей разрешения дочернего объекта», подтвердить;
  • перейти в «безопасность», кликнуть «изменить»;
  • в поле «добавить» ввести свою учетку и отметить «полный доступ»;
  • нажать «ок».

Освободить пк от неактуальных драйверов можно, используя driver sweeper. Прога качается бесплатно на русском языке. Достаточно запустить drivew sweeper, выбрать драйвер, нажать «очистить».

Освобождаем от мусора журналы и дампы памяти для системных ошибок

Дампы памяти содержат данные об ошибках в работе виндовс.

Почистить дампы памяти и журнал можно утилитой «очистка диска».

Другой способ — в проводнике прописать «%systemroot%minidump». Все, что появится, можно уничтожить. Если возникнет ошибка, рекомендуется сделать то же в безопасном режиме или отключить антивирус.

Через «очистку» освобождают журналы windows. Они забиваются сведениями обо всем, что происходило на пк. Используется также утилита powershell.

Про лишние эскизы значков, уменьшенные изображения графики

По умолчанию, в проводнике виндовс изображения отображаются в виде эскизов, миниатюр.

Быстро забивается диск с

Для их отключения:

  • прописать: «RunDll32.exe shell32.dll, Options_RunDLL 7», щелкнуть «ввод»;
  • открыть вкладку «вид»;
  • отметить «всегда отображать значки, а не эскизы»;
  • подтвердить.

Другой способ:

  • в командной строке набрать «exe»;
  • зайти в «визуальные эффекты»;
  • снять галочку с опции «вывод эскизов вместо значков».

В win10 отключение возможно через редактор локальной групповой политики:

  • в командной строке набрать «gpedit.msc»;
  • перейти в проводник, последовательно нажав на конфигурацию компьютера, административные шаблоны, компоненты windows;
  • найти «отключить отображение эскизов и отображать только значки»;
  • отметить «включено».

В каждой отдельной папке можно открыть «вид», указать «мелкие значки».

Мусор утилиты Chkdsk

Chkdsk сохраняет фрагменты информации, появившейся из-за программных ошибок, сбоев в работе системы. Утилита хранит их на тот случай, если в них осталась нужная информация.

Удаляются они во время очищения дискового пространства, с помощью ccleaner, reg organizer.

Контрольные точки восстановления

При обновлении операционной системы создаются контрольные точки, с помощью которых можно вернуться к предыдущему состоянию. Частота создания регулируется пользователем. Удалять можно точки, созданные несколько месяцев или дней назад.

Для этого:

  • открыть «мой компьютер»;
  • кликнуть на «свойства»;
  • перейти на вкладку «защита системы»;
  • нажать «настроить»;
  • выбрать «удалить» и подтвердить действие.

Кэш Google Chrome, Opera, Internet explorer и Mozilla Firefox

В современных браузерах есть инструмент кэширования — с его помощью в памяти сохраняются копии просмотренных интернет-страниц. Постепенно память заполняется, страницы начинают грузиться медленнее.

Как почистить кэш

Чтобы этого избежать, копии старых страниц уничтожают.

Делают это так:

  • в google chrome, opera, mozilla firefox одновременно жмут ctrl+shift+del. Открывается окно, в котором выбирают элементы для уничтожения, нажимают «очистить историю»;
  • в internet explorer переходят в раздел «сервис», затем последовательно — «свойства браузера», «общие», «история просмотра», выбирают то, что нужно ликвидировать, кликают «удалить».

Для освобождения от хлама используются чистильщики, например, ccleaner.

Переносим файл подкачки на другой диск

Файл подкачки, или виртуальная память, — это системный файл на жестком диске компьютера, который windows использует, чтобы компенсировать нехватку оперативной памяти, если приложениям ее не хватает. Обычно это элемент большого размера. Освободить место на диске можно способом его переноса на другое место.

Для переноса pagefile.sys:

  • перейти в панель управления, выбрать «система», зайти на вкладку дополнительных параметров;
  • зайти во вкладку «дополнительно», затем — «быстродействие» и «параметры»;
  • в появившемся окне открыть «дополнительно», «виртуальная память, щелкнуть «изменить»;
  • снять галочку с опции «автоматически выбирать объем файла подкачки»;
  • указать место, которое используется для подкачки в настоящее время;
  • кликнуть на опцию «без файла подкачки»;
  • выбрать место для переноса, указать размер и кликнуть «задать»;
  • подтвердить действие, перезагрузить пк.

Отключаем гибернацию

Гибернация — энергосберегающий режим ОС компьютера, сохраняющий содержимое оперативной памяти на энергонезависимое устройство хранения памяти (жесткий диск) перед выключением питания.

Функцию гибернации отключают так:

  • в строке поиска написать cmd;
  • в открывшейся командной строке — powercfg.exe/hibernate.off.

Чайникам лучше такие манипуляции не производить.

Активируем автоочистку диска

Windows 10 получила новый инструмент «контроль памяти», в версиях хр, 7, 8 его нет. Он предназначен для ликвидации неиспользуемых ресурсов.

Чтобы активировать функцию, нужно:

  • пройти в «пуск»;
  • войти в «параметры»;
  • кликнуть «система»;
  • открыть «хранилище» и «контроль памяти»;
  • щелкнуть по функции «изменить способ освобождения места», отметить нужные параметры.

Ненужные большие документы, дубликаты

Со временем комп забивается документами большого размера. Обычно это кино, сериалы, образы дисков, архивы, дистрибутивы.

Чтобы ликвидировать объемное содержимое:

  • открывают последовательно папки;
  • сортируют содержимое по убыванию;
  • избавляются от ненужного.

Не стоит хранить одинаковые фильмы, проги на пк. Если это происходит, для ликвидации дубликатов запускают очищение диска, специальные чистильщики или уничтожают вручную.

Шаг 2 — Анализ дампов с помощью утилиты MinDumper

Рассказ об утилите вы найдете в этой статье .

  1. Загрузите и установите Debugging Tools for Windows. Они входят в состав веб-установщика Windows SDK , где после запуска в нужно выбрать Debugging Tools в разделе Common Utilities.
  2. Загрузите сценарий (kdfe.cmd), который написал Александр Суховей и опубликовал на ресурсе sysadmins.ru (поскольку живую ссылку мне там найти не удалось, предлагаю свою). Распакуйте архив в любую папку.
    Примечание. В случае нестандартного расположения папки Program Files вам может потребоваться указать в kdfe.cmd путь к папке, в которую установлены средства Debugging Tools for Windows. Используйте переменную dbgpath в строке 41.

Дамп памяти Windows 10

Дамп памяти — это то, что находится в рабочей памяти всей операционной системы, процессора и его ядер. Включая всю информацию о состоянии регистров процессора и других служебных структур.

Анализ аварийного дампа отладчиком WinDbg

С помощью WinDbg из аварийного дампа можно вытащить более детальную информацию, включая расшифровку стека.

Установка Debugging Tools for Windows (WinDbg)

Microsoft распространяет WinDbg только в составе SDK, загрузить веб-установщик можно на странице загрузки.

Для анализа аварийных дампов установка SDK не требуется. Скачать Debugging Tools for Windows (WinDbg) отдельным пакетом можно здесь.

После установки, корректируем ярлык для запуска WinDbg. В свойствах ярлыка, устанавливаем флажок запуска от имени администратора. Также, в качестве рабочей папки, задаем: %SystemRoot%Minidump.

Настройка отладочных символов

Отладочные символы содержат символические имена функций из исходного кода. Они необходимы для расшифровки и интерпретации аварийного дампа.

При первом запуске WinDbg, необходимо указать путь к отладочным символам, для этого открываем меню File, Symbol File Path, или используем комбинацию Ctrl+S.

Следующей строкой включаем загрузку отладочных символов из сети, задаем локальный путь для сохранения файлов и адрес для загрузки из интернета:

srv*C:Windowssymbols*http://msdl.microsoft.com/download/symbols

Анализ аварийного дампа

Запускаем WinDbg.

В меню выбираем File, Open Crash Dump, или нажимаем Ctrl+D.

Указываем путь к дампу %SystemRoot%MEMORY.DMP или %SystemRoot%Minidumpфайл.dmp.

Загрузка отладочных символов из интернета может занять некоторое время.

Для получения детальной информации выполняем команду:

!analyze -v

Дебаггер сам вам предложит ее выполнить, достаточно навести указатель мыши на ссылку и кликнуть.

В результате получаем следующий вывод:

******************************************************************************** ** Bugcheck Analysis ** ********************************************************************************Тип ошибки: KMODE_EXCEPTION_NOT_HANDLED (1e)Комментарий к ошибке: This is a very common bugcheck. Usually the exception address pinpointsthe driver/function that caused the problem. Always note this addressas well as the link date of the driver/image that contains this address.Arguments:Аргументы ошибки:Arg1: 0000000000000000, The exception code that was not handledArg2: 0000000000000000, The address that the exception occurred atArg3: 0000000000000000, Parameter 0 of the exceptionArg4: 0000000000000000, Parameter 1 of the exceptionDebugging Details:——————EXCEPTION_CODE: (Win32) 0 (0) — .FAULTING_IP:+333231333638306500000000`00000000 ?? ???EXCEPTION_PARAMETER1: 0000000000000000EXCEPTION_PARAMETER2: 0000000000000000ERROR_CODE: (NTSTATUS) 0 — STATUS_WAIT_0BUGCHECK_STR: 0x1E_0CUSTOMER_CRASH_COUNT: 1DEFAULT_BUCKET_ID: VISTA_DRIVER_FAULTПроцесс, вызвавший ошибку: PROCESS_NAME: VirtualBox.exeCURRENT_IRQL: 2EXCEPTION_RECORD: fffff80000ba24d8 — (.exr 0xfffff80000ba24d8)ExceptionAddress: fffff800034d8a70 (nt!DbgBreakPoint) ExceptionCode: 80000003 (Break instruction exception) ExceptionFlags: 00000000NumberParameters: 1 Parameter[0]: 0000000000000000TRAP_FRAME: fffff80000ba2580 — (.trap 0xfffff80000ba2580)NOTE: The trap frame does not contain all registers.Some register values may be zeroed or incorrect.rax=0000000000142940 rbx=0000000000000000 rcx=fffffa80055be690rdx=0000000000009018 rsi=0000000000000000 rdi=0000000000000000rip=fffff800034d8a71 rsp=fffff80000ba2718 rbp=fffff88006fa0000 r8=0000000000002274 r9=11d0851b22c6ac61 r10=fffff80003464000r11=fffff80000ba27e0 r12=0000000000000000 r13=0000000000000000r14=0000000000000000 r15=0000000000000000iopl=0 nv up ei pl nz ac po ncnt!DbgBreakPoint+0x1:fffff800`034d8a71 c3 retResetting default scopeLAST_CONTROL_TRANSFER: from fffff800034d85fe to fffff800034e0c10STACK_TEXT:Стек вызовов: fffff800`00ba15b8 fffff800`034d85fe : fffffa80`03c05530 00000000`ffffffff fffff800`00ba1d30 fffff800`0350c830 : nt!KeBugCheckfffff800`00ba15c0 fffff800`0350c4fd : fffff800`036ea71c fffff800`03627c30 fffff800`03464000 fffff800`00ba24d8 : nt!KiKernelCalloutExceptionHandler+0xefffff800`00ba15f0 fffff800`0350b2d5 : fffff800`0362b028 fffff800`00ba1668 fffff800`00ba24d8 fffff800`03464000 : nt!RtlpExecuteHandlerForException+0xdfffff800`00ba1620 fffff800`0351c361 : fffff800`00ba24d8 fffff800`00ba1d30 fffff800`00000000 00000000`00142940 : nt!RtlDispatchException+0x415fffff800`00ba1d00 fffff800`034e02c2 : fffff800`00ba24d8 fffffa80`07149010 fffff800`00ba2580 00000000`00000000 : nt!KiDispatchException+0x135fffff800`00ba23a0 fffff800`034de0f4 : 00000000`00000016 00000000`00000001 00000000`00000001 00000000`00000000 : nt!KiExceptionDispatch+0xc2fffff800`00ba2580 fffff800`034d8a71 : fffff880`05861446 00000000`df029940 fffff880`02f45bec 00000000`deee7000 : nt!KiBreakpointTrap+0xf4fffff800`00ba2718 fffff880`05861446 : 00000000`df029940 fffff880`02f45bec 00000000`deee7000 fffff880`01229f06 : nt!DbgBreakPoint+0x1fffff800`00ba2720 00000000`df029940 : fffff880`02f45bec 00000000`deee7000 fffff880`01229f06 fffffa80`05635af8 : cmudaxp+0x25446fffff800`00ba2728 fffff880`02f45bec : 00000000`deee7000 fffff880`01229f06 fffffa80`05635af8 00000000`00000000 : 0xdf029940fffff800`00ba2730 00000000`deee7000 : fffff880`01229f06 fffffa80`05635af8 00000000`00000000 00000000`00000003 : VBoxDrv+0x6becfffff800`00ba2738 fffff880`01229f06 : fffffa80`05635af8 00000000`00000000 00000000`00000003 fffff880`05865913 : 0xdeee7000fffff800`00ba2740 00000000`00000000 : 00000000`00000001 00000000`00000006 00000000`00000001 fffff800`00ba2800 : CLASSPNP!ClasspServiceIdleRequest+0x26STACK_COMMAND: kbFOLLOWUP_IP:cmudaxp+25446fffff880`05861446 ?? ???SYMBOL_STACK_INDEX: 8SYMBOL_NAME: cmudaxp+25446FOLLOWUP_NAME: MachineOwnerДрайвер, в котором возникла ошибка: MODULE_NAME: cmudaxpIMAGE_NAME: cmudaxp.sysDEBUG_FLR_IMAGE_TIMESTAMP: 47906a45FAILURE_BUCKET_ID: X64_0x1E_0_cmudaxp+25446BUCKET_ID: X64_0x1E_0_cmudaxp+25446Followup: MachineOwner———

Причины очистки диска останавливаются на полпути в файлах дампа памяти системной ошибки?

Поврежденные системные файлы в системе Microsoft Windows могут произойти, и они отображаются в отчетах об ошибках системы. Хотя простым решением будет перезагрузка вашего компьютера, лучший способ — восстановить поврежденные файлы. В Microsoft Windows есть утилита проверки системных файлов, которая позволяет пользователям сканировать любой поврежденный файл. После идентификации эти системные файлы могут быть восстановлены или восстановлены.

Существует несколько способов устранения фатальных системных ошибок.

  • Исполнение Подпись Отключить драйвер
  • Использовать команду DISM
  • Заменить поврежденные файлы
  • Запуск сканирования SFC
  • Восстановление реестра
  • Удалите недавно установленные драйверы или приложение
  • Установите последние обновления драйверов
  • Откат драйверов

Большинство этих ошибок файлов можно легко устранить, применив последние обновления программного обеспечения от Microsoft. Однако иногда некоторые типы ошибок могут быть тяжелыми для ремонта.

Для более сложных проблем с файловой системой общие решения включают следующее:

  • Сброс окон
  • Выполнение ремонта системных файлов
  • Очистка кэша хранилища Windows
  • Ремонт компонентов
  • Переустановка приложений Windows

Вы также можете использовать Средство проверки системных файлов инструмент для исправления поврежденных и отсутствующих системных файлов. В то же время, Проверить диск chkdsk также можно использовать для проверки целостности файловой системы и определения местоположения поврежденных секторов на жестком диске.

Насколько важны временные файлы установки Windows (ESD)

В Windows 10 есть временные файлы установки, которые также можно удалить с помощью инструмента «Очистка диска». Они, как правило, занимают достаточно много места – это может быть более 5 гигабайт. Но данная группа файлов очень важна и их удаление может предоставить пользователю со временем проблемы.

Выбор файлов для очистки

Эти файлы используются системой для сброса системы к настройкам производителя (функция «Вернуть компьютер в исходное состояние»). В случае их удаления можно освободить достаточно много места на диске, но тогда вы не сможете осуществить сброс системы в случае необходимости. Для этого обязательно понадобиться использовать установочный диск. Поэтому такие файлы удалять не рекомендуется.

Расширение объема памяти компьютера как вариант решения проблем

В некоторых случаях проведение очистительных мероприятий не решает проблему. Свободное место появилось, но его недостаточно.

Исправить ситуацию можно, купив новый жесткий диск или ssd и установив его на пк. Дополнительно использовать съемный.

Другой вариант — перекинуть часть информации на облако.

Поиск и удаление ошибок программного обеспечения

Некоторые инструменты, особенно инструменты с открытым исходным кодом и языки сценариев, не запускаются в среде IDE и требуют ручного подхода к отладке. Такие методы включают в себя сброс значений в журнал, расширенные «печатные» заявления, добавленные во время выполнения кода или жестко закодированные debug-команды (например, wait), которые имитируют точку остановки, ожидая ввода клавиатуры в определенное время.

2197999.jpg

Отключение файла подкачки

Pagefile.sys — виртуальная память ОС. Когда заканчиваются ресурсы RAM (оперативной памяти), система сохраняет невместившиеся данные в этот файл. Если на вашем ПК объём RAM превышает 4,6 или 8 Гб, контейнер «Pagefile.sys» можно отключить. На диске он занимает примерно такой же объём, как и оперативная память. Например, если в конфигурации вашего ПК, RAM составляет 16 Гб, то Pagefile.sys будет примерно таким же.

Чтобы отключить файл подкачки:
1. Через «Пуск» (иконка «Win») откройте «Панель управления».
2. В разделе «Система и безопасность» выберите «Система».
3. В окне настроек кликните «Дополнительные параметры… ».
4. В панели «Свойства системы», на вкладке «Дополнительно», нажмите «Параметры».
5. В опции «Параметры быстродействия», на вкладке «Дополнительно», в разделе «Виртуальная память», активируйте «Изменить… ».

chto-ud-s-diska-c-7.jpg

6. В окне «Виртуальная память»:

  • выберите диск С;
  • включите кликом радиокнопку «Без файла подкачки»;
  • нажмите кнопку «Задать», а потом — «OK».

7. Перезагрузите ПК.

Как удалить дамп

Достаточно зайти в каталог, где хранятся снимки памяти и попросту удалить их. Но есть и другой способ удаления – использование утилиты очистки диска:

  1. Открываем с помощью комбинации клавиш Win+R окошко «Выполнить» и прописываем команду cleanmgr.
  2. Ищем кнопочку «Очистить системные файлы» и жмём по ней.Очистка диска
  3. Если есть пункт о файлах дампов памяти, выделяем и очищаем.

Если никаких пунктов обнаружено не было, возможно дампы не были включены.

Даже если вы когда-то включали их, некоторые используемые утилиты по оптимизации системы могут легко отключить некоторый функционал. Часто много чего отключается при использовании SSD накопителей, так как многократные процедуры чтения и записи сильно вредят здоровью данного диска.

Причины появления ошибок в Windows 10 очень разнообразны:

– несовместимость подключаемых устройств;

– новые обновления Windows 10;

– несовместимость устанавливаемых драйверов;

– несовместимость устанавливаемых приложений;

– и прочие причины.

Советы на будущее — как не мусорить

Чтобы исключить в будущем ситуацию, когда пк превращается в заполненное мусором хранилище, рекомендуются следующие меры:

  • не загружать лишний софт, видео, объемные изображения;
  • распределять софт, игры, фильмы по различным дисковым пространствам, хранить на сд;
  • регулярно удалять ненужное содержимое, не забывая чистить корзину;
  • после просмотра фильма, его нужно удалить;
  • хорошо бы периодически проводить очистку лишних файлов, пока помните, что это.

Анализ аварийного дампа памяти в WinDBG

Отладчик WinDBG открывает файл дампа и загружает необходимые символы для отладки из локальной папки или из интернета. Во время этого процесса вы не можете использовать WinDBG. Внизу окна (в командной строке отладчика) появляется надпись Debugee not connected.

Команды вводятся в командную строку, расположенную внизу окна.

windbg - анализ дампа памяти

Самое главное, на что нужно обратить внимание – это код ошибки, который всегда указывается в шестнадцатеричном значении и имеет вид 0xXXXXXXXX (указываются в одном из вариантов — STOP: 0x0000007B, 02.07.2019 0008F, 0x8F). В нашем примере код ошибки 0х139.

Полный справочник ошибок можно посмотреть

здесь

.

Отладчик предлагает выполнить команду !analyze -v, достаточно навести указатель мыши на ссылку и кликнуть. Для чего нужна эта команда?

  • Она выполняет предварительный анализ дампа памяти и предоставляет подробную информацию для начала анализа.
  • Эта команда отобразит STOP-код и символическое имя ошибки.
  • Она показывает стек вызовов команд, которые привели к аварийному завершению.
  • Кроме того, здесь отображаются неисправности IP-адреса, процессов и регистров.
  • Команда может предоставить готовые рекомендации по решению проблемы.

Основные моменты, на которые вы должны обратить внимание при анализе после выполнения команды !analyze –v (листинг неполный).

1: kd> !analyze -v

*****************************************************************************
* *
* Bugcheck Analysis *
* *
*****************************************************************************
Символическое имя STOP-ошибки (BugCheck)

KERNEL_SECURITY_CHECK_FAILURE (139)Описание ошибки (Компонент ядра повредил критическую структуру данных. Это повреждение потенциально может позволить злоумышленнику получить контроль над этой машиной):

A kernel component has corrupted a critical data structure. The corruption could potentially allow a malicious user to gain control of this machine.
Аргументы ошибки:

Arguments:
Arg1: 0000000000000003, A LIST_ENTRY has been corrupted (i.e. double remove).
Arg2: ffffd0003a20d5d0, Address of the trap frame for the exception that caused the bugcheck
Arg3: ffffd0003a20d528, Address of the exception record for the exception that caused the bugcheck
Arg4: 0000000000000000, Reserved
Debugging Details:
——————

Счетчик показывает сколько раз система упала с аналогичной ошибкой:

CUSTOMER_CRASH_COUNT: 1

Основная категория текущего сбоя:

DEFAULT_BUCKET_ID: FAIL_FAST_CORRUPT_LIST_ENTRY

Код STOP-ошибки в сокращенном формате:

BUGCHECK_STR: 0x139

Процесс, во время исполнения которого произошел сбой (не обязательно причина ошибки, просто в момент сбоя в памяти выполнялся этот процесс):

PROCESS_NAME: sqlservr.exe

CURRENT_IRQL: 2

Расшифровка кода ошибки: В этом приложении система обнаружила переполнение буфера стека, что может позволить злоумышленнику получить контроль над этим приложением.

ERROR_CODE: (NTSTATUS) 0xc0000409 — The system detected an overrun of a stack-based buffer in this application. This overrun could potentially allow a malicious user to gain control of this application.
EXCEPTION_CODE: (NTSTATUS) 0xc0000409 — The system detected an overrun of a stack-based buffer in this application. This overrun could potentially allow a malicious user to gain control of this application.

Последний вызов в стеке:

LAST_CONTROL_TRANSFER: from fffff8040117d6a9 to fffff8040116b0a0

Стек вызовов в момент сбоя:

STACK_TEXT:
ffffd000`3a20d2a8 fffff804`0117d6a9 : 00000000`00000139 00000000`00000003 ffffd000`3a20d5d0 ffffd000`3a20d528 : nt!KeBugCheckEx
ffffd000`3a20d2b0 fffff804`0117da50 : ffffe000`f3ab9080 ffffe000`fc37e001 ffffd000`3a20d5d0 fffff804`0116e2a2 : nt!KiBugCheckDispatch+0x69
ffffd000`3a20d3f0 fffff804`0117c150 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiFastFailDispatch+0xd0
ffffd000`3a20d5d0 fffff804`01199482 : ffffc000`701ba270 ffffc000`00000001 000000ea`73f68040 fffff804`000006f9 : nt!KiRaiseSecurityCheckFailure+0x3d0
ffffd000`3a20d760 fffff804`014a455d : 00000000`00000001 ffffd000`3a20d941 ffffe000`fcacb000 ffffd000`3a20d951 : nt! ?? ::FNODOBFM::`string’+0x17252
ffffd000`3a20d8c0 fffff804`013a34ac : 00000000`00000004 00000000`00000000 ffffd000`3a20d9d8 ffffe001`0a34c600 : nt!IopSynchronousServiceTail+0x379
ffffd000`3a20d990 fffff804`0117d313 : ffffffff`fffffffe 00000000`00000000 00000000`00000000 000000eb`a0cf1380 : nt!NtWriteFile+0x694
ffffd000`3a20da90 00007ffb`475307da : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13
000000ee`f25ed2b8 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x00007ffb`475307da

Участок кода, где возникла ошибка:

FOLLOWUP_IP:
nt!KiFastFailDispatch+d0
fffff804`0117da50 c644242000 mov byte ptr [rsp+20h],0
FAULT_INSTR_CODE: 202444c6
SYMBOL_STACK_INDEX: 2
SYMBOL_NAME: nt!KiFastFailDispatch+d0
FOLLOWUP_NAME: MachineOwner

Имя модуля в таблице объектов ядра. Если анализатору удалось обнаружить проблемный драйвер, имя отображается в полях MODULE_NAME и IMAGE_NAME:

MODULE_NAME: nt
IMAGE_NAME: ntkrnlmp.exe

Если кликнете по ссылке модуля (nt), то увидите подробную информацию о пути и других свойствах модуля. Находите указанный файл, и изучаете его свойства.

1: kd> lmvm nt
Browse full module list
Loaded symbol image file: ntkrnlmp.exe
Mapped memory image file: C:ProgramDatadbgsymntoskrnl.exe5A9A2147787000ntoskrnl.exe
Image path: ntkrnlmp.exe
Image name: ntkrnlmp.exe
InternalName: ntkrnlmp.exe
OriginalFilename: ntkrnlmp.exe
ProductVersion: 6.3.9600.18946
FileVersion: 6.3.9600.18946 (winblue_ltsb_escrow.180302-1800)

windbg - lvm nt

В приведенном примере анализ указал на файл ядра ntkrnlmp.exe. Когда анализ дампа памяти указывает на системный драйвер (например, win32k.sys) или файл ядра (как в нашем примере ntkrnlmp.exe), вероятнее всего данный файл не является причиной проблемы. Очень часто оказывается, что проблема кроется в драйвере устройства, настройках BIOS или в неисправности оборудования.

Если вы увидели, что BSOD возник из-за стороннего драйвера, его имя будет указано в значениях MODULE_NAME и IMAGE_NAME.

Например:

Image path: SystemRootsystem32driverscmudaxp.sys
Image name: cmudaxp.sys

Откройте свойсва файла драйвера и проверьте его версию. В большинстве случаев проблема с драйверами решается их обнвовлением.

Анализ с помощью BlueScreenView

Загрузить инструмент бесплатно можно с этого сайта — http://www.nirsoft.net/utils/blue_screen_view.html. Установка не требует каких-то навыков. Используется только в Windows 7 и выше.

Запускаем и настраиваем. Нажмите «Настройки» (Options) – «Дополнительные параметры» (Advanced Options). Выберите первый пункт «Загружать МиниДампы из этой папки» и указываем каталог — C:WINDOWSMinidump. Хотя можно просто нажать кнопку «По умолчанию». Нажимаем ОК.

В главном окне должны появится файлы дампа. Он может быть, как один, так и несколько. Для его открытия достаточно нажать по нему мышкой.Утилита BlueScreenView

В нижней части окна будут отображены компоненты, которые были задействованы на момент сбоя. Красным цветом будет выделен виновник аварии.

Теперь нажимаем «Файл» и выбираем, например, пункт «Найти в Google код ошибки + драйвер». Если нашли нужный драйвер, установите и перезагрузите компьютер. Возможно ошибка исчезнет.

1. Файл гибернации

Windows-10-Turn-Hibernate-Off.png

Расположение: C: hiberfil.sys

Режим гибернации на вашем компьютере аналогичен спящему режиму, за исключением того, что система сохраняет всю открытую работу на жестком диске, а затем выключается. Вы можете извлечь аккумулятор из вашего ноутбука и оставаться в спящем режиме в течение недели, а затем начать работу и оставаться там, где вы остановились.

Конечно, это занимает место, для чего предназначен файл гибернации.

В зависимости от размера жесткого диска файл гибернации может составлять несколько гигабайт или более. Если вы не используете спящий режим и хотите отключить его, вы можете легко сделать это с помощью командной строки. Обратите внимание, что вы не должны просто удалить hiberfil.sys, как Windows будет воссоздавать его снова.

Щелкните правой кнопкой мыши кнопку «Пуск», чтобы открыть меню «Опытный пользователь», а затем откройте Командная строка (администратор) или же Windows PowerShell (администратор) окно. Введите следующую команду, чтобы отключить спящий режим:

Это все, что нужно, чтобы отключить спящий режим. Windows должен удалить hiberfil.sys сам по себе, когда вы делаете это; не стесняйтесь удалить его, если нет. Обратите внимание, что отключение режима гибернации также не позволит вашему компьютеру использовать быстрый запуск в Windows 10. Однако это не большая потеря, поскольку известно, что эта функция вызывает проблемы с загрузкой.

2. Папка Windows Temp

Windows-Temp-Folder.png

Расположение: C: Windows Temp

Как можно догадаться из названия, временные файлы Windows не важны за пределами их первоначального использования. Файлы и папки внутри содержат информацию, которую Windows использовала когда-то, но больше не нужна.

Помимо очистки с помощью Disk Cleanup. Вы можете посетить эту папку и удалить ее содержимое, нажав Ctrl + A выбрать все, а затем нажмите удалять, Когда вы делаете это, Windows может выдать вам ошибку о паре элементов – просто проигнорируйте их и очистите все остальное.

Расположение: оболочка: RecycleBinFolder

Технически, Корзина – это не папка. И хотя это может быть очевидным для некоторых, мы включаем это в случае, если некоторые читатели не знают.

Каждый раз, когда вы удаляете файл в своей системе, Windows отправляет его в корзину. Это особое место, где удаленные файлы хранятся до тех пор, пока вы не удалите их навсегда или не восстановите. Если вы не помните, чтобы регулярно очищать корзину, там может быть несколько гигабайт старых данных.

Вы можете получить доступ к корзине через ярлык на рабочем столе. Если у вас его нет, введите оболочка: RecycleBinFolder в панель навигации Проводника. Оказавшись здесь, вы увидите все, что вы недавно удалили.

Вы можете щелкнуть правой кнопкой мыши по отдельным элементам и выбрать удалять навсегда стереть их или Восстановить отправить файл обратно в исходное местоположение. На ленте выше вы увидите кнопки Пустая мусорная корзина а также Восстановить все предметы,

Чтобы настроить работу корзины, нажмите Свойства корзины на ленте. Здесь вы можете изменить максимальный размер корзины или выбрать Не перемещайте файлы в корзину,

Windows-Recycle-Bin.png

С помощью этого параметра Windows пропускает корзину и удаляет элементы без возможности восстановления при их удалении. Мы не рекомендуем этого, потому что корзина дает вам второй шанс в случае ошибки.

5. Загруженные программные файлы

Расположение: C: Windows Загруженные программные файлы

Название этой папки немного сбивает с толку. На самом деле он содержит файлы, используемые элементами управления ActiveX Internet Explorer и апплетами Java, поэтому если вы используете одну и ту же функцию на веб-сайте, вам не нужно загружать ее дважды.

По сути, эта папка бесполезна. ActiveX является чрезвычайно устаревшей технологией, которая полна дыр в безопасности, и Java редко используется в современной сети. ActiveX является эксклюзивным для Internet Explorer, и вы, вероятно, встретите его только на древних корпоративных сайтах.

Большинство домашних пользователей больше не используют IE, не говоря уже о ActiveX. Ваш Загруженные программные файлы папка может быть уже пустой, но если вы не хотите, можете очистить ее содержимое.

Папка «Temp»

Одна из главных источников засорения ОС. В ней размещают свои элементы антивирусы, драйвера, приложения, игры. Происходит это во время обновлений и инсталляций. После завершения задач, отработанные файлы так и остаются в «Temp». Конечно же, их оттуда нужно периодически убирать.

1. На диске С зайдите в папку «Пользователи».
2. Кликните папку с именем своей учётной записи (имя пользователя).
3. Затем перейдите в «AppData».
4. В директории «Local», откройте папку «Temp».
5. Полностью очистите её (отправьте все файлы/папки в корзину).

chto-ud-s-diska-c-6.jpg

Совет! Если вы пользуетесь файловым менеджером «Total Commander»: создайте новую вкладку (сочетание клавиш «Ctrl» + «стрелочка вверх») и перейдите в папку Temp. Таким образом, у вас будет всегда на виду её содержимое.

Работа с Debug

Привет, юный хакер! Ты уже многое знаешь, но крутой хакер никогда не останавливается на достигнутом. Эта статья посвящена работе с стандартным дебаггером системы ДОС. Ты скажешь: «На кой фиг мне это надо мне, крутому перцу?».
Представь ситуацию: ты приходишь в компьютерный клуб (интернет-кафе, к другу домой), а там на тачке дисководы сняты, сидюки заклеены, а пакость сделать все же хочется. Естественно, на любом «нормальном» компе нет никаких компиляторов С, ассемблеров… но почти на каждом «нормальном» компе есть ДОС! Да, именно ДОС, и его последователи — Винды всех типов а конкретнее программа
DEBUG.

Как? Набрать короткую (если времени мало, да и сил жалко), но неприятную программку, сохранить ее на диске и потом запустить, получив моральное удовлетворение. Посмотрим, как это делается, но для начала изучим несколько простых, но весьма полезных команд.

Итак, вы запустили программу DEBUG

Первая команда –D (dump) .

Эта команда позволяет просмотреть некоторую область памяти, адрес которой задан в параметре в формате сегмент:смещение.

Для начала посмотрим ПЗУ BIOS:

1.jpg

Здесь вы видите фирму-производителя вашей
BIOS. А по адресу:

2.jpg

получаем интересную информацию о системе,
такую как дата создания БИОС, чипсет… А по данному адресу
(0000:046C) находится таймер БИОС. Отчетливо видно, что значения все время меняются.
Для программиста удобно просматривать сегменты команд, данных и стека (CS, DS и SS, соответственно).

3.jpg

Выше мы видим содержимое сегмента данных, т. е.
значения определенных переменных.

4.jpg

А тут представлено содержимое сегмента команд, т.е. машинные коды команд, готовых к исполнению.
Освоив команды просмотра памяти, впоследствии мы сможем эффективно отлаживать наши программы и просматривать введенный нами код перед исполнением (для нас сейчас это приоритетная задача).

Еще одна важная команда -R (register) , позволяющая просматривать состояние конкретного регистра и изменять его состояние или же сразу перейти к первой выполняемой команде с просмотром всех регистров.

В данном фрагменте мы просматриваем регистр АХ и очищаем его (пишем в него 0).
Чтобы перейти к первой выполняемой команде (по адресу CS:100):

AX=0000 BX=0000 CX=0000 DX=0000 SP=FFEE BP=0000
SI=0000 DI=0000
DS=3B9A ES=3B9A SS=3B9A CS=3B9A IP=0100 NV UP EI PL NZ NA PO NC
3B9A:0100 E82421 CALL 2227

Третья команда –E (enter) Addres .

Предназначена она для изменения значений в
памяти – с помощью нее можно уже вводить команды в машинных кодах. Замечание: при вводе данных сначала пишется младший байт
(по младшему адресу), затем – старший (по старшему), т. е.
чтобы записать по адресу DS:0000 число 1234h необходимо ввести:

Например введем следующее:

-E cs:100 B8 34 12
-D CS:100

5.jpg

А с помощью команды U (unassemble) , дизассемблируем введенные команды и получим:
-U CS:100,102
3B9A:0100 B83412 MOV AX,1234

Таким же образом можно дизассемблировать любой участок памяти, что очень полезно.
Но вместо ввода команд на машинном языке, можно воспользоваться встроенным
ассемблером программы DEBUG. Для этого существует команда
-A (assemble) . С помощью этой команды вы можете написать уже нормальную программку на ассемблере, выполняющую необходимые действия.:

-A
0B3B:0100 mov ax,1234
0B3B:0103 mov ah, 4c
0B3B:0105 int 21
0B3B:0107

А как же теперь сохранить программу на диске? Сначала задается имя файла:

Затем в регистр СХ необходимо поместить размер программы в байтах. Он будет равен разности конечного и начального смещений. Теперь остается только осуществить запись на диск командой W и в результате увидеть записанное количество байтов. В итоге мы получаем программу, готовую к исполнению. Выход осуществляется командой q. Пример:

-A
0B3B:0100 mov ax,1234
0B3B:0103 mov ah, 4c
0B3B:0105 int 21
0B3B:0107
-u CS:100, 106
0B3B:0100 B83412 MOV AX,1234
0B3B:0103 B44C MOV AH,4C
0B3B:0105 CD21 INT 21
-r cx
CX 0000
:7
-r
AX=0000 BX=0000 CX=0007 DX=0000 SP=FFEE BP=0000 SI=0000 DI=0000
DS=0B3B ES=0B3B SS=0B3B CS=0B3B IP=0100 NV UP EI PL NZ NA PO NC
0B3B:0100 B83412 MOV AX,1234
-N my.com
-W
Запись 00007 байт
-q

В заключение можно сказать, что данный способ создания программ открывает новые возможности для любителей компьютерных пакостей, приколов, да и просто программистов-любителей – ведь теперь для создания небольших программ, вместо установки компиляторов, можно воспользоваться стандартными средствами системы, а DEBUG входит в поставку во все Винды вплоть до ХР. Я думаю, что это поможет вам веселее провести время за чужим компом, вызывая истинное удивление хозяина (дисков и дискет-то вы не приносили. ) новыми эффектами работы его оборудования. Успехов, юные любители хакерного экстрима!

Рейтинг
( 1 оценка, среднее 5 из 5 )
Загрузка ...