Introducción a los volcados de memoria en Windows

Un volcado de memoria, o memory dump en inglés, es una instantánea del estado interno de un programa, ya sea una aplicación en modo usuario o el núcleo del sistema operativo. En otros sistemas se emplea más el término core dump con un significado similar o equivalente. El estado interno comprende, entre otros, los valores de los registros “visibles” del procesador y porciones significativas del espacio de direcciones de memoria que incluyen código, datos y pila.

Los volcados de memoria se pueden clasificar atendiendo al tipo de información capturada o a su extensión (nivel de detalle). Así podemos tener volcados de memoria de una aplicación o del sistema, y volcados pequeños, completos o solamente del núcleo del sistema operativo.

Nota: lo siguiente se aplica a la familia Windows NT, especialmente a Windows 2000 y sus sucesores. Quedan excluidos Windows 95, Windows 98 y Windows Millennium: estos sistemas incluyen una herramienta de diagnóstico de errores de aplicación denominada Dr. Watson que no tiene nada que ver con la de los sistemas Windows NT. Véanse KB185837 y KB275481 para obtener más información.

Volcados de memoria de aplicación

La familia Windows NT incorpora el programa Dr. Watson, un tipo de herramienta que se conoce como depurador Just-In-Time (JIT) o post-mortem. Dr. Watson entra en acción cuando una aplicación encuentra un error, típicamente una infracción de acceso a memoria, para el que no tiene previsto un gestor de excepciones. Dr. Watson crea un archivo en el que registra diversa información técnica sobre el error y captura el estado interno de la aplicación en un volcado de memoria (archivo User.dmp) para un análisis posterior.

Se puede encontrar más información sobre Dr. Watson en KB103861, KB308538, El Just-In-Time Debugger… (por Rodrigo Corral), Ese “extraño” mensaje: La memoria no se puede “read” (por Daniel Martín) y otros muchos sitios, incluyendo la propia ayuda de Windows.

Microsoft también proporciona herramientas más avanzadas, como User Mode Process Dump o ADPlus (véase KB286350), que permiten generar volcados de memoria de aplicaciones, verdaderas instantáneas de ejecución, de forma automatizada o interactiva (por línea de comandos). Esto puede ser útil para diagnosticar bloqueos y otras situaciones anómalas sin tener que interrumpir bruscamente dichas aplicaciones.

Volcados de memoria del sistema

Los sistemas operativos más comunes, con ayuda de la plataforma hardware subyacente, contemplan al menos dos modos de ejecución fundamentales: modo núcleo (o kernel) y modo usuario. El núcleo del sistema y los controladores de dispositivo se ejecutan en modo núcleo, por lo que tienen acceso total a los recursos del equipo. Sin embargo, las aplicaciones se ejecutan en modo usuario, más restringido. El sistema operativo les expone un conjunto de interfaces de programación como único medio de interacción con él, impidiéndoles el acceso directo al hardware. En general el sistema no se viene abajo ante un fallo en modo usuario, sino que cesa su ejecución solamente la aplicación afectada.

Como ya hemos comentado, el modo núcleo carece de restricciones, por tanto cualquier fallo o descuido es potencialmente catastrófico. Si Windows detecta o es informado de una anomalía que no puede ignorar ni gestionar de ningún modo razonable, entonces muestra la temida pantalla azul de la muerte y se detiene. En otros sistemas operativos esta circunstancia recibe el nombre de kernel panic.

Windows puede generar tres tipos de volcados de memoria del sistema: pequeño (minidump), del núcleo o completo. La única opción antes de Windows 2000 era el volcado completo.

  • El volcado pequeño es un archivo de 64 kilobytes en sistemas de 32 bits, o de 128 KB en sistemas de 64 bits. Contiene información muy básica sobre el problema sucedido y el estado del sistema, por lo que sólo aguanta análisis muy superficiales.
  • El volcado del núcleo contiene las porciones del núcleo y los controladores que están presentes en la memoria física. Su tamaño es variable.
  • El volcado completo recoge una instantánea de toda la memoria física. Esta opción no está disponible en sistemas de 32 bits que disponen de más de 2 GB de memoria física.

Se necesita disponer de un archivo de paginación en el volumen en que está instalado Windows y, además, proporcionarle un tamaño mínimo que sea suficiente para alojar un volcado del tipo configurado. La ubicación definitiva del volcado también deberá tener espacio libre de sobra.

De acuerdo con el artículo KB254649, los sistemas Windows clientes (Windows 2000 Professional y todas las ediciones Windows XP) vienen configurados para generar un volcado pequeño, mientras que los sistemas servidores (Windows Server 2003 y ediciones Server de Windows 2000) generan volcados completos de forma predeterminada. En sistemas de escritorio sugiero la configuración de volcado de memoria del núcleo sin reinicio automático: más detallado que el volcado pequeño, más reducido que el volcado completo, y con opción a leer el texto de la pantalla azul.

Ventana de inicio y recuperación de Windows XP

Una configuración sensata del volcado de memoria permitirá investigar y analizar STOPs, ya que es prácticamente imposible determinar la causa real mediante la simple observación de los datos técnicos de la pantalla azul y las circunstancias en que se produjo. Dichos análisis se llevarán a cabo con las herramientas del paquete Microsoft Debugging Tools for Windows, y en especial WinDBG.

22 thoughts on “Introducción a los volcados de memoria en Windows

  1. Braaaavo… Ni un chimpancé lo hubiese expresado mejor. Hmm

    (Por si no lo has notado, estoy siendo sarcástico. Intenta ser más creativo, o creativa, la próxima vez.)

  2. Mucho animal es que piensa que todo se soluciona formateando un disco, sera que estudio sistemas con la abuelita, buena informacion acerca del volcado de memoria, pero cual deberia ser la configuracion sensata para prevenir el volcado de memoria y el reinicio de la maquina

  3. Saludos, Jorge. Disculpa la tardanza en responder a tu comentario.

    La “configuración sensata” alude a la última frase del párrafo anterior: “En sistemas de escritorio sugiero la configuración de volcado de memoria del núcleo sin reinicio automático.” Esto no evita los pantallazos azules; más bien permite, después de que se haya producido el error, registrar información suficiente para determinar sus causas o llevar a cabo acciones de prevención o diagnóstico, con apoyo de gente experta en la materia si fuera necesario.

    Si la cuestión no está totalmente resuelta o tienes algo más que comentar al respecto, no dudes en hacerlo. [:)]

  4. Agradezco tu inteligente explicaciòn, ya que me inicio en esta nueva tecnologìa, con la natural desconfianza que genera el no conocer las armas con què repeler las intromisiones y violaciòn de privacidad que estos sistemas de comando unilateral
    proveen al consumidor” y /o/u/”usuario. te seguirè consultando mientras no me mientas. reitero…GRACIAS

  5. todo es bueno dependiendo el animo de como se vean las cosa, m parecio bien x q das referncias de donde puede uno buscar mas y ampliar el conocimiento, y algo muyimportante, hay q saber leer, espero me entiendan.

  6. Bueno gente paso a contarles,hace mas de una semana se me viene reiniciando la pc, el error es este:”irql_not_less_or_squal”, lei las explicaciones del error y dice, drivers imcopatibles o mal hechos,desintale todo y volvi a instalar y sigue igual,lo unico que hace dos meses agregue a la pc 2gb de ram.¿me darian una mano?
    saludos

  7. traten de formatear la memoria cada semana, para que este no guarde ningun archivo de paginacion ……….y aqui les dejo un pequño detalle entren a propiedades del sistema, luego le dan a informe de errores lo desavilitan y ponen que no dosnotifique cuando tengamos un error grave………….luego nos iremos donde dise inicio y recuperacion y les damo a configuracion y donde dice errores desmarcamos todas las casillas ……… y luego reiniciamos la pc

  8. ??????????????????????????

    ¿¿¿Matar al mensajero???

    ¿Qué quiere decir lo de “formatear la memoria cada semana para que no guarde ningún archivo de paginación”? ¿Qué objetivo se pretende conseguir con esas acciones? No le veo ningún sentido al comentario, la verdad.

  9. No se de esto para nada y estoy bastante asustado ya que ayer me empezó a salir un mensaje de error que decía algo así como: “Microsoft c++ falta tipo de librería” y en la barra de inicio me aparece el icono de servicios de media manager tachado,y el ordenador no va, no furula bien,los programas me dan errores del sistema todo el rato con el mismo mensaje de error(tipo de libreria faltante)que puedo hacer?por favor si me pudiesen ayudar.Gracias de antemano

  10. Hola

    me parece muy util la informacion, pero si te recomiendo que expliques mejor como llegara a la configuracion idonea del volcado de memoria, ya que la teoria sin practica no es 100% util

  11. (la página Web se encuentra en el google-Organizacion Argentina de Aviacion Civil)

    Estaba leyendo los distintos conceptos sobre el Volacado de memoria, yo logré para la página azul y leer él mensaje: según dice, es que es para protejer a la PC de un error fatal, y que recomienda: enviar el informe a microsoft cuando dice “su máquina se ha recuperado de un grave error”   esto me parece que es producido por microsoft para saber que tipo de Windows XP es el que está instalado. Después agrega, en el mensaje, que es conveniente actualizar la BIOS y habla de los controladores de la placa de video. Desintale un anti Crash pero el problema sigue igual, he llegado a tener hasta 7 pantallas azules con el internet apagado y 7 de los mensajes “” su máquina se ha recuperado de un fatal error””  esto es un programa que te instalan cuando estás con internet.   El grave error o falla fatal te lo hace microsoft. saludos de Córdoba-ARG

  12. OK gracias   voy a copiar la dirección de tu blog para después leer el mensaje y a ver si alguien me contesta  

    saludos

    Edward

    [Edición: dirección de correo eliminada para evitarle spam]

    OK  ya copié la URL del blog    gracias

  13. Leí lo de la memoria Read escrito por daniel Martín , y es lo que dije en mi anterior, y esto está realcionado cuando instalas un Anti Rootkit, cuando el buscador del Antivirus se encuentra con un rootkit, que sucede: se produce un crash y es lo que dice el señor Daniel Martín.  Esto es espionaje con los rootkit .   saludos

  14. No tengo estadísticas concretas a mano, pero de los numerosos informes de error de sistema que recibe y analiza Microsoft a través del servicio de envío de informes, me consta que la fracción correspondiente a errores de código de la propia Microsoft es muy poco significativa frente a errores en otros controladores (de “terceros”, que se suele decir) y análisis que dictaminan fallos de hardware.

    Y, desde luego, aunque suene corporativista por mi parte, la función de envío de informes de error a Microsoft no está concebida para “espiar a los usuarios”, sino como ayuda a la mejora de la calidad del software. Para ello es necesario recoger algunos datos del sistema, como la versión de Windows (aunque no necesariamente la edición específica, Home, Professional, etc.), el nivel de service pack o la información de versiones de algunos archivos de sistema o controladores.

  15. Hola bueno, debo decir que es exacto lo que dice,  efectivamente existe una multiplicidad de códigos de errores, que es muy difícil conocer con exactitud el origen o las causas, se puede llegar a estudiar y/o experimentar con algunos programas, por ejemplo, he probado el Visual Express y el Visual Studio, creo que crean conflictos de software.

    Es sospechozo lo del antivirus AVG 9 que trae un anti Rootkit, cuando lo activas, (no en todas las computadoras)  antes que empiece a scanear : CRASH y pantalla azul, y me pasa con otros anti Rootkit ( el McAfee anti Rootkit, el Panda, etc )

    Por lo menos en la definición de Rootkit, en Wikipedia,  es un sitio bloqueado para los antivirus, (¿?) y es en donde se alojan los Spyware. Lo de microsoft es extraño, ya que cuando cesa la actividad de los CRASH aparece un lindo cartel que avisa ” Se ha superado un grave error en su PC” (esta todo estudiado)

    De su nota    “” Dr. Watson entra en acción cuando una aplicación encuentra un error, típicamente una infracción de acceso a memoria, para el que no tiene previsto un gestor de excepciones. Dr. Watson crea un archivo en el que registra diversa información técnica sobre el error y captura el estado interno de la aplicación en un volcado de memoria (archivo User.dmp) para un análisis posterior.””       El  informe para microsoft  se basa en el Dr Watson, y lo que conocemos como Volcado de memoria no es otra cosa que la transferencia de información a una clave o archivo. o sea, para concluir, que el Crash o pantalla azul no es otra cosa que un programa diseñado para capturar información (de ahi viene el nombre de rootkit)      

    Saludos  

  16. el pantallazo aparece a partir de instalar unas “acualizaciones” de microsoft que llegaron cuando estaba navegando.  Sucede cuando ejecuto la aplicación antivirus kaspersky -analisis completo- puede tener razon la observacion citada mas arriba respecto a que Microsoft produce los fallos a proposito para sabotera programas de la competencia. vaya panda de gansters…

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *