Windows内核崩溃转储详解
超级会员免费看
Windows系统内核崩溃转储文件全解析
1. 内核崩溃概述
在Windows系统中,当内核崩溃时,系统通常会在显示蓝屏死机(BSOD)之前尝试记录系统状态信息,之后系统会重启。用户可以通过以下步骤查看相关设置:打开控制面板中的“系统属性”工具(路径为“系统和安全” - “系统” - “高级系统设置”),点击“高级”选项卡,再点击“启动和恢复”下的“设置”按钮。
2. 崩溃转储文件类型
Windows系统支持多种不同级别的崩溃转储文件,每种类型记录的信息不同,具体如下:
| 转储文件类型 | 描述 |
| — | — |
| 活动内存转储(Active memory dump) | 包含崩溃时Windows可访问和使用的所有物理内存,过滤掉与主机故障排除无关的页面,如空闲和清零列表中的页面、文件缓存、来宾虚拟机页面等。包括分配给用户模式应用程序的内存、映射到内核或用户空间的活动页面,以及选定的由页面文件支持的过渡、备用和修改页面。 |
| 完全内存转储(Complete memory dump) | 是最大的内核模式转储文件,包含Windows可访问的所有物理页面。并非所有平台都完全支持此类型(活动内存转储已取代它)。Windows要求页面文件至少为物理内存大小加1MB(用于头部),设备驱动程序最多可添加256MB的二级崩溃转储数据,因此建议将页面文件大小额外增加256MB。 |
| 内核内存转储(Kernel memory dump) | 仅包含操作系统、HAL和设备驱动程序在崩溃时分配的内核模式页面,不包含属于用户进程的页面。由于只有内核模式代码可能直接导致Windows崩溃,因此用户进程页面对于调试崩溃通常并非必需。此外
订阅专栏 解锁全文
扫一扫
1917
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
