Windows
«Не удалось создать файл дампа из-за ошибки…»: как исправить
Во время блужданий в компоненте «Просмотр событий» можно наткнуться на ошибку с кодом 161 и сообщением «Не удалось создать файл дампа из-за ошибки при создании дампа». Как правило, пользователи заглядывают в этот компонент системы после постоянных появлений синего экрана смерти и неудачных попыток получить доступ к дампу памяти. Данная проблема может возникать на всех версиях Windows, но чаще всего на нее жалуются именно пользователи Windows 10.
Что вызывает появление этой ошибки?
Как правило, выделяют всего три причины для проявления этой ошибки:
Ознакомившись с возможными причинами, пора приниматься за устранение ошибки «Не удалось создать файл дампа из-за ошибки…».
Метод №1 Удаление сторонней программы для очистки
Некоторые пользователи предпочитают устанавливать в свои системы сторонние программы, функционал которых заключается в очистке системы от ненужного мусора, временных файлов и тому подобного. Однако они могут и не подозревать, что эти программы частенько удаляют из системы и крайне важные файлы. Разумеется, по ошибке, а не нарочно. Если в вашей Windows установлена подобная программа, то она могла удалить дамп памяти.
Мы рекомендуем вам избавиться от такой программы. Удалить то или иное ПО можно в таких компонентах системы, как «Приложения и возможности» и «Программы и компоненты». Как только избавитесь от программы, дождитесь BSoD и проверьте «Просмотр событий» на наличие «Не удалось создать файл дампа из-за ошибки…».
Метод №2 Использование DISM и SFC
Возможно, ошибка при создании дампа памяти возникла из-за поврежденных системных файлов, функционал которых применяется в данном процессе. Это довольно просто проверить, запустив в работу системные утилиты DISM и SFC. Эти утилиты просканируют систему на наличие поврежденных файлов и попытаются провести восстановление, если это возможно.
Для запуска DISM и SFC вам потребуется сделать следующее:
После очередного появления BSoD откройте компонент «Просмотр событий» и проверьте, исчезло ли сообщение «Не удалось создать файл дампа из-за ошибки при создании дампа».
Метод №3 Обновление BIOS
Некоторые пользователи утверждают, что им удалось избавиться от данной ошибки, просто обновив BIOS своей материнской платы. К сожалению, мы не можем предоставить вам инструкции, так как материнская плата каждого производителя обновляется по разному. Вам нужно зайти на веб-ресурс официального производителя и ознакомиться с предоставленными там инструкциями.
Метод №4 Сброс компьютера к исходному состоянию
Если никакие из вышеуказанных методов не помогли вам в решении ошибки «Не удалось создать файл дампа из-за ошибки при создании дампа», то мы рекомендуем выполнить возврат компьютера к исходному состоянию. Да, метод довольно радикальный, но он наверняка избавит вас как от ошибки при создании дампа, так и от BSoD.
Чтобы вернуть компьютер к исходному состоянию, вам нужно сделать следующее:
Вот и все. Ваша операционная система вернулась в свое изначальное, более стабильное состояние.
помогите кто нибудь событие 161 volmgr
Не удалось создать файл дампа из-за ошибки при создании дампа.
Двоичные файлы:
0000: 00000000 00000001 00000000 C00400A1
0010: 00020081 C0000001 00000000 00000000
0020: 00000000 00000000
Система перезагрузилась, завершив работу с ошибками. Возможные причины ошибки: система перестала отвечать на запросы, произошел критический сбой или неожиданно отключилось питание.
Ответы (19)
* Попробуйте выбрать меньший номер страницы.
* Введите только числа.
* Попробуйте выбрать меньший номер страницы.
* Введите только числа.
Был ли этот ответ полезным?
К сожалению, это не помогло.
Отлично! Благодарим за отзыв.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв, он поможет улучшить наш сайт.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв.
Был ли этот ответ полезным?
К сожалению, это не помогло.
Отлично! Благодарим за отзыв.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв, он поможет улучшить наш сайт.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв.
Укажите, что за устройтсво используется и историю появления ошибки. В какой момент работы возникает и т. п.?
Важно проверить текущие драйвера на актуальность.
Был ли этот ответ полезным?
К сожалению, это не помогло.
Отлично! Благодарим за отзыв.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв, он поможет улучшить наш сайт.
Насколько Вы удовлетворены этим ответом?
Благодарим за отзыв.
Здравствуйте!
Попробуйте выполнить проверку на ошибки и восстановление системных файлов.
Для этого нажмите правой кнопкой на меню Пуск, выберите командная строка (администратор). Или «Windows PowerShell (администратор)».
В открывшемся окне напечатайте Dism /Online /Cleanup-Image /RestoreHealth и нажмите Enter.
Команда начнет выполняться, нужно подождать(иногда команда может выполняться и 30 минут, в это время может показаться, что всё «зависло»)
Обращайте внимание на пробелы в командах.
Затем напечатайте sfc /scannow и нажмите Enter.
Сообщите, пожалуйста результат.
__
Если мой ответ вам помог, пожалуйста, отметьте его как ответ.
Disclaimer: В ответе могут быть ссылки на сайты не на сайты Microsoft, Все советы с таких сайтов Вы выполняете на свой страх и риск.
Настройка minidump Windows 10
Определим причину и затем предоставим возможное решение проблемы устройства, работающего под управлением операционной системы Windows 10, создающего только файл minidump. Минидамп Виндовс — это небольшой файл, который сохраняется на вашем устройстве каждый раз, когда система неожиданно зависает, например, когда появляется BSOD (синий экран смерти).
Где находится minidump
minidump находится в каталоге C:\Windows\minidump или C:\Winnt\minidump в зависимости от вашей версии ОС и имеют имена файлов, такие как «Mini031120-01.dmp» — 03 — это месяц, 11 — день, 20 — год, а 01 — номер файла дампа.
Windows 10 создает только minidump файл
Термин eMMC — сокращение от «Embedded Multi-Media Controller» («Встроенный мультимедийный контроллер») и относится к пакету, состоящему из флэш-памяти и контроллера.
Если файл минидамп сохраняется в каталог %systemroot%\minidump, а не в стандартное расположение C:\windows\minidump. То эта проблема вызвана тем, что из-за управления питанием на устройствах SD eMMC, Windows всегда создает дамп и игнорирует параметры дампа памяти, настроенные администратором.
Чтобы переопределить сохранение по умолчанию, на устройстве должен быть настроен специальный параметр реестра.
Вы можете выполнить действия, описанные ниже, чтобы переопределить функцию энергосбережения Windows eMMC во время BugCheck (также известную как ошибка остановки или ошибка синего экрана), чтобы создать дамп памяти ядра или полный дамп памяти.
После того, как вы приняли необходимые меры предосторожности, вы можете действовать следующим образом:
1. Нажмите клавишу Windows + R. В диалоговом окне «Выполнить» введите «control system» и нажмите «Enter», открываем «Дополнительные параметры системы» > «Загрузка и восстановление». Для параметра «Запись отладочной информации» должно быть задано «Дамп памяти ядра» или «Полный дамп памяти».
2. Затем перейдите к запуску редактора реестра, чтобы создать и настроить следующий раздел реестра:
ForceF0State: REG_DWORD: 0x1
Этот параметр реестра позволяет записать файл дампа.
Перейдите к пути реестра:
HKLM\SYSTEM\CurrentControlSet\services\sdbus\Parameters\
3. Затем создайте и настройте следующий раздел реестра:
AlwaysKeepMemoryDump: REG_DWORD: 1
Этот параметр реестра гарантирует, что файл дампа не будет удален при перезагрузке, даже если у вас мало свободного места на диске.
Перейдите к пути реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl
4. Убедитесь, что максимальный размер файла подкачки больше, чем объем оперативной памяти, используемой на компьютере.
5. Перезагрузите устройство.
Аварийный дамп памяти Windows 10 что это такое где находиться как настроить
Аварийный дамп памяти Windows 10
При возникновении критической ошибки при работе с Windows пользователь может задаться вопросом: каким образом можно получить доступ к аварийному дампу памяти Windows? Подобный дамп при правильной настройке конфигурации системы поможет запустить систему в случае сбоя или так называемого синего экрана смерти (BSOD).
Если у вас в процессе настройки дампа памяти возникнут проблемы или операционная система после этого будет работать не корректно то вы можете сделать сброс до заводских настроек.
Дамп памяти Windows 10
Дамп памяти — это то, что находится в рабочей памяти всей операционной системы, процессора и его ядер. Включая всю информацию о состоянии регистров процессора и других служебных структур.
Для чего нужен дамп памяти
Дамп памяти windows 10 является своеобразным чёрным ящиком. При аварии в системе информация, хранящаяся в нём, поможет детально изучить причины возникновения системного сбоя. Данный сбой, как правило, полностью останавливает работу операционной системы. Поэтому дамп памяти — это единственный и самый верный способ получения сведений о любом сбое в системе. И его получение — это фактический слепок информации, находящейся в системе.
Чем более точно содержимое дампа памяти будет отражать происходившее в системе на момент сбоя, тем проще будет при анализе аварийной ситуации и дальнейших действиях по её исправлению.
Крайне важно получить актуальную копию именно в тот момент, который был непосредственно перед сбоем. И единственный способ это сделать — создать аварийный дамп памяти Windows 10.
Причины появления ошибок в Windows 10 очень разнообразны
— несовместимость подключаемых устройств;
— новые обновления Windows 10;
— несовместимость устанавливаемых драйверов;
— несовместимость устанавливаемых приложений;
Как настроить дамп памяти в Windows 10
Для того чтобы настроить аварийный дамп памяти Windows 10 необходимо придерживаться следующих действий:
1. Правой кнопкой мыши кликаем на пуск Windows 10. В появившемся контекстном меню выбираем пункт «Система».
2. В окне «Система» в верхнем углу слева выбираем «Дополнительные параметры системы».
3. В окне «Свойства системы» в пункте «Загрузка и восстановление» нажимаем «Параметры».
Тут и происходит настройка аварийного дампа памяти Windows 10.
Настраивая дамп памяти можно не пренебрегать следующими рекомендациями:
— Поставить галочку на «заменить существующий файл дампа». Учитывая тот факт, что данные могут весить десятки, а то и сотни гигабайт — это очень полезно для небольших жёстких дисков;
— Запись отладочной информации. Эта функция позволит выбрать вид дамп файла;
— Выполнить автоматическую перезагрузку. Продолжение работы, после возникшей ошибки;
— Запись события в системный журнал. Информация о системном сбое будет добавлена в логи операционной системы.
Дамп памяти Windows 10 является удобным и действительно работающим методом страховки системных данных.
Зная «врага в лицо» его будет в разы проще найти и ликвидировать. Дамп памяти Windows 10 позволит выявить причину системного сбоя и скорректировать действия по ликвидации ошибки, значительно уменьшив радиус усилий и работ.
Что такое дамп памяти и как его включить на Windows 10
Windows очень хрупкое творение и чуть что, любое неправильное действие со стороны пользователя влечёт возникновение критических ошибок, и не очень. Узнать информацию по синим экранам смерти, являющимися теми самыми критическими проблемами, помогают сведения, написанные на самом экране, а ещё специальные файлы дампы памяти – сохраняющие данные о причинах появления BsoD. Настоятельно рекомендую включать эту функцию, так как никто не застрахован от появления синего экрана, даже опытный пользователь. Сами дампы памяти обычно хранятся по пути C:WindowsMEMORY. DMP, либо C:WindowsMinidump – где хранятся так называемые малые дампы памяти. Кстати говоря, малый дамп памяти будет тем файлом, который поможет узнать причину появления BsoD.
Как включить функцию дамп памяти на Windows 10 и настроить её
Обычно для просмотра дампов используют утилиты, наподобие BlueScreenView, но вам необходимо прямо сейчас настроить автоматическое создание дампов памяти иначе и эта программа, и аналогичные будут бесполезны.
Нажмите по значку поиска и введите фразу «Панель управления», чтобы открыть окно этого инструмента.
Переводим отображение значков в вид «Мелкие значки», а потом переходим в раздел «Система».
Откроется окошко, где с левой стороны нажимаем по опции «Дополнительные параметры системы».
Во вкладке «Дополнительно» жмём пунктик «Параметры» раздела «Загрузка и восстановление».
Наконец, открывается окно, где находятся основные параметры по настройке дампов. Тут видно, что в Windows активирован автоматический дамп памяти, который хранится по пути, указанному чуть ниже. А еще включены галочки создания журналов. Помимо этого, создаются и файлы малого дампа памяти, которые при работе с синими экранами смерти очень нам пригодятся. Также сохраняется информацию по ядру системы и памяти. Если стоит автоматический режим, то этого будет достаточно.
Сведения о других дампах памяти
Если открыть выпадающее меню записи отладочной информации, вы увидите несколько пунктов, которые я опишу ниже.
Как удалить файла дампа памяти
Очень просто, вы заходите по пути расположения этих файлов и вручную их удаляете. Например, файла полного дампа памяти называется MEMORY. DMP, просто удалите его и всё. При использовании инструмента «Очистка диска» тоже есть возможность удалить файлы дампов.
-
Нажмите комбинацию «Win+R» и введите команду cleanmgr.
Дамп памяти может быть выключен по причине действия утилит по чистке системы. При использовании SSD и специальных утилит для работы с этими накопителями, они также могут отключать некоторые функции системы, чтобы твердотельный накопитель меньше подвергался процедурам чтения/записи.
Как включить создание дампа памяти в Windows 10
Дамп памяти (снимок состояния оперативной, содержащий отладочную информацию) — то, что часто оказывается наиболее полезными при возникновении синего экрана смерти (BSoD) для диагностики причин возникновения ошибок и их исправления. Дамп памяти сохраняется в файл C:WindowsMEMORY. DMP, а мини дампы (малый дамп памяти) — в папку C:WindowsMinidump (подробнее об этом далее в статье).
Автоматическое создание и сохранение дампов памяти не всегда включено в Windows 10, и в инструкциях на тему исправления тех или иных ошибок BSoD мне время от времени приходится описывать и путь включения автоматического сохранения дампов памяти в системе для последующего просмотра в BlueScreenView и аналогах — потому и было решено написать отдельное руководство именно о том, как включить автоматическое создание дампа памяти при ошибках системы, чтобы в дальнейшем ссылаться на него.
Настройка создания дампов памяти при ошибках Windows 10
Для того, чтобы включить автоматическое сохранение файла дампа памяти системных ошибок достаточно выполнить следующие простые шаги.
Опция «Автоматический дамп памяти» сохраняет снимок памяти ядра Windows 10 с необходимой отладочной информацией, а также память, выделенную для устройств, драйверов и ПО, работающего на уровне ядра. Также, при выборе автоматического дампа памяти, в папке C:WindowsMinidump сохраняются малые дампы памяти. В большинстве случаев этот параметр оптимален.
Помимо «Автоматический дамп памяти» в параметрах сохранения отладочной информации есть и другие варианты:
В случае, если вам нужно удалить дамп памяти, вы можете сделать это вручную, удалив файл MEMORY. DMP в системной папке Windows и файлы, содержащиеся в папке Minidump. Также можно использовать утилиту «Очистка диска» Windows (нажать клавиши Win+R, ввести cleanmgr и нажать Enter). В «Очистке диска» нажмите кнопку «Очистить системные файлы», а затем в списке отметьте файла дампа памяти для системных ошибок, чтобы удалить их (при отсутствии таких пунктов можно предположить, что дампы памяти пока не создавались).
Ну и в завершение о том, почему может быть отключено создание дампов памяти (или отключаться само после включения): чаще всего причиной являются программы для очистки компьютера и оптимизации работы системы, а также софт для оптимизации работы SSD, который также может отключать их создание.
Анализ креш-дампов памяти Windows
Как часто Вам приходится лицезреть экран смерти Windows (BSoD)? BSoD может возникать в разных случаях: как уже при работе с системой, так и в процессе загрузки операционной системы. Как же определить, чем вызвано появление BSoD и устранить эту проблему? Операционная система Windows способна сохранять дамп памяти при появлении ошибки, чтобы системный администратор мог проанализировать данные дампа и найти причину возникновения BSoD.
Существует два вида дампов памяти — малый (minidump) и полный. В зависимости от настроек операционной системы, система может сохранять полный или малый дампы, либо не предпринимать никаких действий при возникновении ошибки.
Малый дамп располагается по пути %systemroot%minidump и имеет имя вроде Minixxxxxx-xx. dmp
Полный дамп располагается по пути %systemroot% и имеет имя вроде Memory. dmp
Для анализа содержимого дампов памяти следует применять специальную утилиту — Microsoft Kernel Debugger.
Получить программу и компоненты, необходимые для ее работы, можно напрямую с сайта Microsoft — Debugging Tools
При выборе отладчика следует учитывать версию операционной системы, на которой Вам придется анализировать дампы памяти. Для 32-разрядной ОС необходима 32-битовая версия отладчика, а для 64-разрядной ОС предпочтительно использовать 64-битовую версию отладчика.
Помимо самого пакета Debugging Tools for Windows, также понадобятся набор отладочных символов — Debugging Symbols. Набор отладочных символов специфичен для каждой ОС, на которой был зафиксирован BSoD. Потому придется загрузить набор символов для каждой ОС, анализировать работу которой Вам придется. Для 32-разрядной Windows XP потребуются набор символов для Windows XP 32-бит, для 64-разрядной ОС потребуются набор символов для Windows XP 64-бит. Для других ОС семейства Windows наборы символов подбираются сообразно такому же принципу. Загрузить отладочные символы можно отсюда. Устанавливать их рекомендуется по адресу %systemroot%symbols
После установки отладчика и отладочных символов, запускаем отладчик. Окно отладчика после запуска выглядит следующим образом.
Перед анализом содержимого дампа памяти, потребуется провести небольшую настройку отладчика. Конкретно — сообщить программе, по какому пути следует искать отладочные символы. Для этого выбираем в меню File > Symbol File Path… Нажимаем кнопку Browse… и указываем папку, в которую мы установили отладочные символы для рассматриваемого дампа памяти.
Можно запрашивать информацию о требуемых отладочных символах прямо через Интернет, с публичного сервера Microsoft. Таким образом у вас будет самая новая версия символов. Сделать это можно следующим образом — в меню File > Symbol File Path… вводим: SRV*%systemroot%symbols*https://msdl. microsoft. com/download/symbols
После указания пути к отладочным символам, выбираем в меню File > Save workspace и подтверждаем действие нажатием на кнопку OK.
Чтобы приступить к анализу дампа памяти, выбираем в меню File > Open Crash Dump… и выбираем требуемый для рассмотрения файл.
Система проведет анализ содержимого, по окончанию которого выдаст результат о предполагаемой причине ошибки.
Завершить отладку можно выбором пункта меню Debug > Stop Debugging
Таким образом, используя пакет Debugging Tools for Windows, всегда можно получить достаточно полное представление о причинах возникновения системных ошибок.
Занимательная форензика. Извлекаем пароль из дампа памяти с помощью Volatility и GIMP
Анализ оперативной памяти часто используется, когда у нас был физический доступ к машине и получилось снять слепок оперативной памяти. По нему можно определить, какие приложения запускались во время этого сеанса, потому что, пока человек не выключил или не перезагрузил компьютер, в оперативной памяти хранится интересующая нас информация (например, данные процессов).
Еще интересные данные можно найти в файлах подкачки ( pagefile. sys ) и гибернации ( hiberfil. sys ). Для *nix-based-систем стоит поискать в swap-разделе.
Для анализа дампов памяти существует несколько приложений, которые на слуху у всех, кто хоть раз имел дело с задачами на форензику: это Volatility, Memoryze и Autopsy (в связке с Volatility). Есть, конечно, и другие, но подробно мы на них останавливаться не будем.
Крупные решения вроде Autopsy хороши тем, что позволяют произвести комплексный анализ всего слепка одной кнопкой, однако цена за это — большое время работы программы. На соревнованиях обычно необходимо делать задачу максимально быстро, поэтому использовать мы будем Volatility. В «Хакере» уже были статьи, связанные с этим чудесным инструментом, так что, если ты новичок в теме, стоит сначала ознакомиться с ними.
Задание
Вот как выглядело условие задачи. Нам дан непосредственно слепок оперативной памяти и его хеш MD5 для проверки.
У меня есть самый безопасный менеджер паролей. Даже если ты украдешь мой ноутбук, ты не сможешь узнать мои секреты.
Подсказка: Удаленный не значит обязательно браузер
Закачаем наш образ на машину, где будем проводить анализ (у меня это Kali):
И сразу же проверим, что с ним все в порядке:
Если хеш не сошелся с исходным хешем — придется еще раз скачать архив.
О важности актуальных версий
Ни для кого не секрет, что с каждым обновлением любого инструмента разработчики стараются добавить новые возможности и убрать старые недокументированные возможности баги. В операционных системах семейства Linux есть встроенные менеджеры пакетов, которые существенно упрощают установку и обновление программ. Из‑за этого большинство людей первым делом лезет в свой пакетный менеджер, чтобы установить оттуда программу.
Однако здесь есть небольшие шероховатости: разработчик может забыть (или забить?) обновить пакет в репозитории. В таких случаях приходится искать исходники и собирать актуальную версию самостоятельно.
Те, кто знаком с Volatility, знают о его особенностях. Например, что он использует так называемые профили, которые позволяют правильно распарсить весь слепок оперативной памяти, и энтузиасты постоянно обновляют их список. Разумеется, профиль можно сделать и самостоятельно, но явно проще воспользоваться готовыми. Во время соревнования я столкнулся с тем, что давно не обновлял свой Volatility и нужных профилей для решения задачи у меня не оказалось.
Чтобы с тобой не случилось подобного, перед началом решения задачи я настоятельно рекомендую обновить (или установить) Volatility с гитхаба проекта.
Определяем профиль
Первым делом нам необходимо определить версию операционной системы, с которой снимали слепок. Это можно сделать командой imageinfo :
Полная документация по Volatility есть в Wiki по инструменту на GitHub.
Собираем информацию о машине
Какую информацию имеет смысл добыть вначале? Обычно это:
Этих трех пунктов хватает для определения вектора дальнейшей разведки.
Процессы
Продолжение доступно только участникам
Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep. ru».
Присоединяйся к сообществу «Xakep. ru»!
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
https://rusrokers. ru/ne-udalos-sozdat-fayl-dampa-iz-za-oshibki-pri-sozdanii-dampa-windows-10/
https://xakep. ru/2021/04/16/ctf-forensics-gimp/