Questi file si chiamano crash dump ed il sistema operativo li salva in C:\WINDOWS\MINIDUMP e C:\WINDOWS\MEMORY.DMP.
I Crash di Windows però sono molto difficili da analizzare, una modalità, non sempre sicura, passa per due programmi WHOCRASHED E MICROSOFT DEBUGGING TOOL.
Il risultato è spesso difficile da interpretare ma questo è l'unico modo per risalire alla causa che ha determinato la finestra blu e quindi cercare di porvi rimedio.
Della finestra blu evidenziate quello che a noi interessa, ossia la parte riportata sotto la voce Tecnical Information al fondo della pagina ed un esempio può essere questo:
Technical information:
*** STOP: 0×0000007E (0C0000005, 0×81C908A2)
Collecting data for crash dump …
Initializing disk for crash dump …
Beginning dump of physical memory.
Dumping physical memory to disk: 50
dove è impossibile capire la causa perchè tutti i riferimenti portano a molte cause ma nessuna precisa e determinante ai nostri fini diagnostici.
Per questa ragione vengono usati i due programmi menzionati , dopo che siamo certi che il sistema ha creato o uno o l'altro dei due file che riporto nel titolo.
Per far funzionare WhoCrashed è necessario avere installato sul proprio pc il "Microsoft Debugging Tool".
Dopo aver installato WhoCrashed e cliccato sul pulsante Analizza, il programma chiede di selezionare il percorso per il Debugging Tools di Microsoft Windows (di solito in C:\Programmi\Debugging Tools for Windows), se non lo trova ci da modo di scaricare il programma di installazione premendo il pulsante "Download the required file from Microsoft site now".
Un esempio del risultato che può determinarsi dalla metodica accennata:
Microsoft (R) Windows Debugger Version 6.11.0001.404 AMD64
Copyright (c) Microsoft Corporation. All rights reserved.
Loading Dump File [C:\Windows\Minidump\Mini040509-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available
Symbol search path is: SRV*c:\Windows\symbols*http://msdl.microsoft.com/download/symbols
Executable search path is:
Windows Server 2008/Windows Vista Kernel Version 6001 (Service Pack 1) MP (2 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS Personal
Built by: 6001.18145.amd64fre.vistasp1_gdr.080917-1612
Machine Name:
Kernel base = 0xfffff800`01e15000 PsLoadedModuleList = 0xfffff800`01fdadb0
Debug session time: Sun Apr 5 05:40:18.982 2009 (GMT+2)
System Uptime: 0 days 16:15:34.546
Loading Kernel Symbols
...............................................................
................................................................
.........................
Loading User Symbols
Loading unloaded module list
.................
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************
Use !analyze -v to get detailed debugging information.
BugCheck C2, {b, fffff8800a96f1a0, 50c010c, fffff8800a96f1d0}
Unable to load image \SystemRoot\system32\DRIVERS\atikmdag.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for atikmdag.sys
*** ERROR: Module load completed but symbols could not be loaded for atikmdag.sys
In questo caso siamo fortunati perchè viene identificato un driver delle Ati.
Potremo cosi cercare di ovviare e sostituire i drivers incriminati o con uno più recente o anche con uno più vecchio.
WHOCRASHED
MICROSOFT DEBUGGING TOOL
