Introducción a los volcados de memoria en Windows

Un volcado de memoria, o memory dump en inglés, es una instantánea del estado interno de un programa, ya sea una aplicación en modo usuario o el núcleo del sistema operativo. En otros sistemas se emplea más el término core dump con un significado similar o equivalente. El estado interno comprende, entre otros, los valores de los registros "visibles" del procesador y porciones significativas del espacio de direcciones de memoria que incluyen código, datos y pila.

Los volcados de memoria se pueden clasificar atendiendo al tipo de información capturada o a su extensión (nivel de detalle). Así podemos tener volcados de memoria de una aplicación o del sistema, y volcados pequeños, completos o solamente del núcleo del sistema operativo.

Nota: lo siguiente se aplica a la familia Windows NT, especialmente a Windows 2000 y sus sucesores. Quedan excluidos Windows 95, Windows 98 y Windows Millennium: estos sistemas incluyen una herramienta de diagnóstico de errores de aplicación denominada Dr. Watson que no tiene nada que ver con la de los sistemas Windows NT. Véanse KB185837 y KB275481 para obtener más información.

Volcados de memoria de aplicación

La familia Windows NT incorpora el programa Dr. Watson, un tipo de herramienta que se conoce como depurador Just-In-Time (JIT) o post-mortem. Dr. Watson entra en acción cuando una aplicación encuentra un error, típicamente una infracción de acceso a memoria, para el que no tiene previsto un gestor de excepciones. Dr. Watson crea un archivo en el que registra diversa información técnica sobre el error y captura el estado interno de la aplicación en un volcado de memoria (archivo User.dmp) para un análisis posterior.

Se puede encontrar más información sobre Dr. Watson en KB103861, KB308538, El Just-In-Time Debugger... (por Rodrigo Corral), Ese "extraño" mensaje: La memoria no se puede "read" (por Daniel Martín) y otros muchos sitios, incluyendo la propia ayuda de Windows.

Microsoft también proporciona herramientas más avanzadas, como User Mode Process Dump o ADPlus (véase KB286350), que permiten generar volcados de memoria de aplicaciones, verdaderas instantáneas de ejecución, de forma automatizada o interactiva (por línea de comandos). Esto puede ser útil para diagnosticar bloqueos y otras situaciones anómalas sin tener que interrumpir bruscamente dichas aplicaciones.

Volcados de memoria del sistema

Los sistemas operativos más comunes, con ayuda de la plataforma hardware subyacente, contemplan al menos dos modos de ejecución fundamentales: modo núcleo (o kernel) y modo usuario. El núcleo del sistema y los controladores de dispositivo se ejecutan en modo núcleo, por lo que tienen acceso total a los recursos del equipo. Sin embargo, las aplicaciones se ejecutan en modo usuario, más restringido. El sistema operativo les expone un conjunto de interfaces de programación como único medio de interacción con él, impidiéndoles el acceso directo al hardware. En general el sistema no se viene abajo ante un fallo en modo usuario, sino que cesa su ejecución solamente la aplicación afectada.

Como ya hemos comentado, el modo núcleo carece de restricciones, por tanto cualquier fallo o descuido es potencialmente catastrófico. Si Windows detecta o es informado de una anomalía que no puede ignorar ni gestionar de ningún modo razonable, entonces muestra la temida pantalla azul de la muerte y se detiene. En otros sistemas operativos esta circunstancia recibe el nombre de kernel panic.

Windows puede generar tres tipos de volcados de memoria del sistema: pequeño (minidump), del núcleo o completo. La única opción antes de Windows 2000 era el volcado completo.

  • El volcado pequeño es un archivo de 64 kilobytes en sistemas de 32 bits, o de 128 KB en sistemas de 64 bits. Contiene información muy básica sobre el problema sucedido y el estado del sistema, por lo que sólo aguanta análisis muy superficiales.
  • El volcado del núcleo contiene las porciones del núcleo y los controladores que están presentes en la memoria física. Su tamaño es variable.
  • El volcado completo recoge una instantánea de toda la memoria física. Esta opción no está disponible en sistemas de 32 bits que disponen de más de 2 GB de memoria física.

Se necesita disponer de un archivo de paginación en el volumen en que está instalado Windows y, además, proporcionarle un tamaño mínimo que sea suficiente para alojar un volcado del tipo configurado. La ubicación definitiva del volcado también deberá tener espacio libre de sobra.

De acuerdo con el artículo KB254649, los sistemas Windows clientes (Windows 2000 Professional y todas las ediciones Windows XP) vienen configurados para generar un volcado pequeño, mientras que los sistemas servidores (Windows Server 2003 y ediciones Server de Windows 2000) generan volcados completos de forma predeterminada. En sistemas de escritorio sugiero la configuración de volcado de memoria del núcleo sin reinicio automático: más detallado que el volcado pequeño, más reducido que el volcado completo, y con opción a leer el texto de la pantalla azul.

Ventana de inicio y recuperación de Windows XP

Una configuración sensata del volcado de memoria permitirá investigar y analizar STOPs, ya que es prácticamente imposible determinar la causa real mediante la simple observación de los datos técnicos de la pantalla azul y las circunstancias en que se produjo. Dichos análisis se llevarán a cabo con las herramientas del paquete Microsoft Debugging Tools for Windows, y en especial WinDBG.

Published 13/10/2007 9:27 por Ramón Sola
Archivado en: ,,,,
Comparte este post:

Comentarios

# bdfgdfg said on 12 November, 2007 06:20 AM

la mejor solucion contra el volcado de memoria es:

format c:

luego instala linux...

xD

# Ramón Sola said on 12 November, 2007 06:50 AM

Braaaavo... Ni un chimpancé lo hubiese expresado mejor. Hmm

(Por si no lo has notado, estoy siendo sarcástico. Intenta ser más creativo, o creativa, la próxima vez.)

# Jorge Cardona said on 29 November, 2007 04:35 PM

Mucho animal es que piensa que todo se soluciona formateando un disco, sera que estudio sistemas con la abuelita,       buena informacion acerca del volcado de memoria,  pero cual deberia ser la configuracion sensata para prevenir el volcado de memoria y el reinicio de la maquina

# Ramón Sola said on 09 December, 2007 05:34 AM

Saludos, Jorge. Disculpa la tardanza en responder a tu comentario.

La "configuración sensata" alude a la última frase del párrafo anterior: "En sistemas de escritorio sugiero la configuración de volcado de memoria del núcleo sin reinicio automático." Esto no evita los pantallazos azules; más bien permite, después de que se haya producido el error, registrar información suficiente para determinar sus causas o llevar a cabo acciones de prevención o diagnóstico, con apoyo de gente experta en la materia si fuera necesario.

Si la cuestión no está totalmente resuelta o tienes algo más que comentar al respecto, no dudes en hacerlo. Smile

# otro loco said on 07 June, 2008 04:59 AM

Agradezco tu inteligente explicaciòn, ya que me inicio en esta nueva tecnologìa, con la natural desconfianza que genera el no conocer las armas con què repeler las intromisiones y violaciòn de privacidad que estos sistemas de comando unilateral

proveen al consumidor" y /o/u/"usuario. te seguirè consultando mientras no me mientas. reitero...GRACIAS

# Andres B said on 29 July, 2008 06:02 AM

La pregunta es: debido a que se generan los volcados de memoria???

# elefantito said on 03 October, 2008 07:25 PM

todo es bueno dependiendo el animo de como se vean las cosa, m parecio bien x q das referncias de donde puede uno buscar mas y ampliar el conocimiento, y algo muyimportante, hay q saber leer, espero me entiendan.

# Dante said on 31 October, 2008 10:54 PM

Bueno gente paso a contarles,hace mas de una semana se me viene reiniciando la pc, el error es este:"irql_not_less_or_squal", lei las explicaciones del error y dice, drivers imcopatibles o mal hechos,desintale todo y volvi a instalar y sigue igual,lo unico que hace dos meses agregue a la pc 2gb de ram.¿me darian una mano?

saludos

# Ramón Sola said on 01 November, 2008 01:59 AM

Por enésima vez, esto no es un foro.

# xp-belliard@ said on 08 November, 2008 01:14 AM

traten de formatear la memoria cada semana, para que este no guarde ningun archivo de paginacion ..........y aqui les dejo un pequño detalle entren a propiedades del sistema, luego le dan a informe de errores lo desavilitan y ponen que no dosnotifique cuando tengamos un error grave.............luego nos iremos donde dise inicio y recuperacion y les damo a configuracion y donde dice errores desmarcamos todas las casillas ......... y luego reiniciamos la pc

# Ramón Sola said on 08 November, 2008 01:59 AM

??????????????????????????

¿¿¿Matar al mensajero???

¿Qué quiere decir lo de "formatear la memoria cada semana para que no guarde ningún archivo de paginación"? ¿Qué objetivo se pretende conseguir con esas acciones? No le veo ningún sentido al comentario, la verdad.

# Raul said on 09 December, 2008 09:59 AM

No se de esto para nada y estoy bastante asustado ya que ayer me empezó a salir un mensaje de error que decía algo así como: "Microsoft c++ falta tipo de librería" y en la barra de inicio me aparece el icono de servicios de media manager tachado,y el ordenador no va, no furula bien,los programas me dan errores del sistema todo el rato con el mismo mensaje de error(tipo de libreria faltante)que puedo hacer?por favor si me pudiesen ayudar.Gracias de antemano  

# Oscar Vesga said on 25 February, 2009 05:05 PM

Hola

me parece muy util la informacion, pero si te recomiendo que expliques mejor como llegara a la configuracion idonea del volcado de memoria, ya que la teoria sin practica no es 100% util

# Edward said on 10 November, 2009 01:34 AM

(la página Web se encuentra en el google-Organizacion Argentina de Aviacion Civil)

Estaba leyendo los distintos conceptos sobre el Volacado de memoria, yo logré para la página azul y leer él mensaje: según dice, es que es para protejer a la PC de un error fatal, y que recomienda: enviar el informe a microsoft cuando dice "su máquina se ha recuperado de un grave error"   esto me parece que es producido por microsoft para saber que tipo de Windows XP es el que está instalado. Después agrega, en el mensaje, que es conveniente actualizar la BIOS y habla de los controladores de la placa de video. Desintale un anti Crash pero el problema sigue igual, he llegado a tener hasta 7 pantallas azules con el internet apagado y 7 de los mensajes "" su máquina se ha recuperado de un fatal error""  esto es un programa que te instalan cuando estás con internet.   El grave error o falla fatal te lo hace microsoft. saludos de Córdoba-ARG

# Edward said on 10 November, 2009 01:37 AM

OK gracias   voy a copiar la dirección de tu blog para después leer el mensaje y a ver si alguien me contesta  

saludos

Edward

[Edición: dirección de correo eliminada para evitarle spam]

OK  ya copié la URL del blog    gracias

# Edward said on 10 November, 2009 01:41 AM

Este es mi blog  es sobre aviacion [Edición: dirección eliminada por ser irrelevante para la cuestión tratada]

# Edward said on 10 November, 2009 01:55 AM

Leí lo de la memoria Read escrito por daniel Martín , y es lo que dije en mi anterior, y esto está realcionado cuando instalas un Anti Rootkit, cuando el buscador del Antivirus se encuentra con un rootkit, que sucede: se produce un crash y es lo que dice el señor Daniel Martín.  Esto es espionaje con los rootkit .   saludos

# Edward said on 10 November, 2009 01:58 AM

Gracias por publicar mis sospechas sobre los crash. Voy a seguir investigando   saludos  

Edward

# Ramón Sola said on 10 November, 2009 02:47 AM

No tengo estadísticas concretas a mano, pero de los numerosos informes de error de sistema que recibe y analiza Microsoft a través del servicio de envío de informes, me consta que la fracción correspondiente a errores de código de la propia Microsoft es muy poco significativa frente a errores en otros controladores (de "terceros", que se suele decir) y análisis que dictaminan fallos de hardware.

Y, desde luego, aunque suene corporativista por mi parte, la función de envío de informes de error a Microsoft no está concebida para "espiar a los usuarios", sino como ayuda a la mejora de la calidad del software. Para ello es necesario recoger algunos datos del sistema, como la versión de Windows (aunque no necesariamente la edición específica, Home, Professional, etc.), el nivel de service pack o la información de versiones de algunos archivos de sistema o controladores.

# Edward said on 10 November, 2009 04:57 AM

Hola bueno, debo decir que es exacto lo que dice,  efectivamente existe una multiplicidad de códigos de errores, que es muy difícil conocer con exactitud el origen o las causas, se puede llegar a estudiar y/o experimentar con algunos programas, por ejemplo, he probado el Visual Express y el Visual Studio, creo que crean conflictos de software.

Es sospechozo lo del antivirus AVG 9 que trae un anti Rootkit, cuando lo activas, (no en todas las computadoras)  antes que empiece a scanear : CRASH y pantalla azul, y me pasa con otros anti Rootkit ( el McAfee anti Rootkit, el Panda, etc )

Por lo menos en la definición de Rootkit, en Wikipedia,  es un sitio bloqueado para los antivirus, (¿?) y es en donde se alojan los Spyware. Lo de microsoft es extraño, ya que cuando cesa la actividad de los CRASH aparece un lindo cartel que avisa " Se ha superado un grave error en su PC" (esta todo estudiado)

De su nota    "" Dr. Watson entra en acción cuando una aplicación encuentra un error, típicamente una infracción de acceso a memoria, para el que no tiene previsto un gestor de excepciones. Dr. Watson crea un archivo en el que registra diversa información técnica sobre el error y captura el estado interno de la aplicación en un volcado de memoria (archivo User.dmp) para un análisis posterior.""       El  informe para microsoft  se basa en el Dr Watson, y lo que conocemos como Volcado de memoria no es otra cosa que la transferencia de información a una clave o archivo. o sea, para concluir, que el Crash o pantalla azul no es otra cosa que un programa diseñado para capturar información (de ahi viene el nombre de rootkit)      

Saludos  

# Edward said on 10 November, 2009 05:48 AM

Estimados

ya recibí el mensaje para suscribirse al portal Web.-

Gracias

Saludos

# sacharuna said on 01 April, 2010 01:26 PM

el pantallazo aparece a partir de instalar unas "acualizaciones" de microsoft que llegaron cuando estaba navegando.  Sucede cuando ejecuto la aplicación antivirus kaspersky -analisis completo- puede tener razon la observacion citada mas arriba respecto a que Microsoft produce los fallos a proposito para sabotera programas de la competencia. vaya panda de gansters...

Licencia

El contenido de este blog se ofrece bajo el siguiente tipo de licencia de Creative Commons:

Creative Commons License

Búsqueda

Ir

Sindicación

Notas

  • Se ha deshabilitado el formulario de contacto del blog debido a abusos.

    Por decisión del administrador de Geeks.ms, los visitantes que no inicien sesión (visitantes anónimos) no podrán enviar comentarios a los blogs, para lo cual deberán registrar una cuenta de usuario e identificarse a través de la misma. También pueden usar una identificación de tipo OpenID. Disculpen las molestias que esto pueda causarles.

Acerca de los contenidos

La información ofrecida en este blog se proporciona tal cual, sin garantías de ningún tipo, y no otorga ningún derecho. Usted asume el riesgo de poner en práctica cuantos procedimientos se expongan aquí. En particular, si ha venido buscando alguna solución para una tarea o duda escolar y no le ha servido el contenido, por favor, no me eche la culpa. ;)

Las anotaciones del blog representan una visión válida en el momento en que fueron publicadas o actualizadas. Más allá de esas fechas no se puede garantizar la veracidad de la información expuesta ni la exactitud o fiabilidad de los enlaces.

Los comentarios son responsabilidad exclusiva de sus autores respectivos. El dueño del blog se reserva el derecho de editar, eliminar o no publicar aquellos comentarios que a su criterio infrinjan reglas básicas de respeto y convivencia en la red. En el caso de la edición, se expondrá claramente esta circunstancia y el motivo de la misma. El dueño del blog podrá asimismo borrar los enlaces que se desvíen demasiado de los temas tratados, muestren intenciones de autopromoción (publicidad descarada, spam convencional, etc.) o en general no inspiren confianza. Las direcciones de correo electrónico serán eliminadas o alteradas con el fin de reducir el riesgo de que sean objeto de "cosechadores" para el envío de mensajes basura masivos. El envío de comentarios implica el conocimiento de estas condiciones y la adhesión a las mismas.

Etiquetas

Archivo

Colegas en Geeks.ms

Otros bloggers españoles

Bloggers de Microsoft

Herramientas interesantes

Geeks.ms

Mi blog personal

Webs y comunidades amigas