如何确保有Dump文件?
1、 要清楚,Dump文件是Windows启动的一个保险机制,而蓝屏主要是用做给系统争取时间进行收集Dump文件所用,所以一个逻辑是必然会有的,那就是如果蓝屏必然触发Dump机制,Dump机制会根据系统设置进行Mini或Full的收集。
2、 关于Dump文件的大小,如果Dump设置的存放位置不满足Dump文件大小也是不会产生Dump文件:
a) MiniDump文件大小:取决于Windows 运行时内存页大小,比如当前CVM跑的是数据库,那么产生的Dump文件大小就是数据库交换内存的概要信息,比如说16G内存有20%被使用,宕机时所产生的Dump文件就是3.2g的概要信息(即涉及到的进程的大概地址)
b) FullDump文件大小:取决于Windows物理内存大小,FullDump即完整收集模式,将整个系统在宕机时的整个内存运行态进行记录,通常该文件的大小是物理大小的1.0 ~ 1.5倍左右(倍数的浮动取决于虚拟内存交换设置的大小)
3、 所以,要确保有Dump文件,最低条件是:
a) 开启Windows系统的Dump
b) 确保设置的位置剩余空间是物理内存1.5倍以上
c) 若要完整的Dump日志进行分析,请选择完整收集模式
注1:QCloud Windows Server 2008R2为避免磁盘风险,默认不开启FullDump模式,所以如果需要详细Debug文件,则手动开启即可:
如果您想要启用完全内存转储选项,手动设置为 0x1 以下注册表子项下的CrashDumpEnabled注册表项并重新启动 Windows:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl
启动和故障恢复的注册表值
使用下面的注册表值:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\CrashControl
CrashDumpEnabled REG_DWORD 0x0 = 无
CrashDumpEnabled REG_DWORD 0x1 = 完全存储器转储
CrashDumpEnabled REG_DWORD 0x2 = 核心内存转储
CrashDumpEnabled REG_DWORD 0x3 = 小内存转储 (64 KB)
CrashDumpEnabled REG_DWORD 0x7 =自动内存转储
CrashControl 的额外的注册表值:
0x0 = 禁用
0x1 = 已启用
AutoReboot REG_DWORD 0x1
转储文件 REG_EXPAND_SZ %SystemRoot%\Memory.dmp
LogEvent REG_DWORD 0x1
MinidumpDir REG_EXPAND_SZ %SystemRoot%\Minidump
覆盖 REG_DWORD 0x1
SendAlert REG_DWORD 0x1
注意: 您必须重新启动 Windows 以使更改生效。
BSOD有三大规则会触发:
- 保护规则:当低级特权的代码直接访问高级特权代码与数据时(如某些安全防护软件通过用户态进行驱动修改)就会触发BSOD;
- 异常处理:程序异常时程序本身没有写好完整的异常处理回路,系统接收到异常则启动先行中断机制,所以程序设计存在问题时也有可能触发蓝屏(比如之前0Day漏洞黑客所用的工具导致蓝屏,明显就是没有写好异常处理回路)
- SDK、DDK中调用了只有在特定IRQL调用的内核参数,即只有特定CPU中断请求的时候才可以使用DDK调用的内核参数在未到中断请求时被发起调用(一般出现于.Net Winform应用中)
在腾讯云主机上,一般第一、二规则导致的BSOD Case比较多。
附蓝屏产生过程:
转储原理:
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
