Todo usuário de computador conhece aquela sensação de frustração e desânimo que ocorre quando ocorre uma falha no sistema. As falhas do sistema acontecem sem aviso e resultam em produtividade reduzida, usuários exasperados e, às vezes, trabalho perdido.
Um "dump" é um registro do estado do computador no momento de uma falha. Os arquivos de despejo são gerados automaticamente pelo Windows quando ocorre uma falha. Eles são usados por desenvolvedores e usuários avançados para ajudar a descobrir o que causou a falha. DMP é a extensão de arquivo que o Windows usa para arquivos de despejo.
Formato de dados do arquivo DMP
Existem três tipos de despejos de memória que podem ser gerados pelo Windows. O primeiro, e maior, é chamado de despejo de memória completo. Quando esse tipo de dump é criado, o conteúdo total da memória é gravado em um arquivo DMP.
O segundo, e notavelmente menor, tipo de despejo é o despejo de memória do kernel. Como o próprio nome indica, um despejo de memória do kernel registra apenas a memória do kernel. A memória não alocada e qualquer memória alocada para programas em modo de usuário são ignoradas. Isso torna a análise do arquivo de despejo mais fácil e menos demorada do que com um despejo de memória completo.
O terceiro e mais compacto tipo de despejo, chamado de despejo de memória pequeno, gera um arquivo DMP com apenas 64 kilobytes de tamanho. Inclui apenas as seguintes informações:a mensagem Stop e seus parâmetros, uma lista de drivers carregados, o contexto do processador (PRCB) para o processador parado, as informações do processo e os dados do contexto do kernel (EPROCESS), os dados do processo e o contexto do kernel (ETHREAD ) para o thread parado e a pilha de chamadas do modo Kernel para o thread parado.
Como localizar um arquivo DMP
Por padrão, os despejos de memória completos e os despejos de memória do kernel são gravados em %SystemRoot%\Memory.dmp. O Windows salva apenas um desses arquivos de despejo por vez. Quando ocorre uma nova falha, o arquivo DMP existente é substituído.
Os arquivos DMP gerados por um pequeno despejo de memória, no entanto, são salvos no diretório %SystemRoot%\Minidump. Ao contrário de outros tipos de despejo, os pequenos arquivos de despejo de memória existentes não são substituídos quando novos são gerados.
O Windows inclui automaticamente a data no nome do arquivo de arquivos DMP de despejo de memória pequenos. Por exemplo, um arquivo DMP com o nome "mini043014-01.dmp" foi criado em 30 de abril de 2014. O "-01" após a data no nome do arquivo indica que foi o primeiro arquivo DMP criado naquele dia.
Abrir e visualizar um arquivo DMP
Existem dois principais aplicativos de software usados para abrir e visualizar arquivos DMP:Ferramentas de depuração do Windows e o utilitário Dump Check, também chamado de Dumpchk. As Ferramentas de Depuração do Windows são a melhor opção para examinar despejos de memória completos e despejos de memória do kernel, enquanto o Dumpchk é ideal para examinar pequenos despejos de memória. Ambos os aplicativos podem ser baixados gratuitamente no site da Microsoft. Como os URLs exatos podem mudar com o tempo, é melhor pesquisar os programas pelo nome em http://www.microsoft.com e fazer o download dos links resultantes.
Para examinar um arquivo DMP usando as Ferramentas de Depuração do Windows, abra um prompt de comando e navegue até a pasta onde você instalou as Ferramentas de Depuração do Windows. Em seguida, digite um dos seguintes comandos para abrir o arquivo:
windbg -y SymbolPath -i ImagePath -z DumpFilePath
kd -y SymbolPath -i ImagePath -z DumpFilePath
O primeiro comando abrirá o arquivo DMP no depurador de GUI do Windows, enquanto o segundo comando o abrirá em uma interface baseada em texto. O parâmetro SymbolPath refere-se à localização dos símbolos de depuração em seu disco rígido. O parâmetro ImagePath refere-se ao local de seus arquivos de imagem. Por fim, o parâmetro DumpFilePath é o local do seu arquivo DMP.
Para abrir um arquivo DMP no Dumpchk, basta digitar o seguinte comando em um prompt de comando:
dumpchk DumpFilePath
Analisando o conteúdo de um arquivo DMP
As Ferramentas de Depuração do Windows oferecem vários comandos úteis para analisar arquivos DMP. O comando !analyze -show gera o código de erro Stop e seus parâmetros. Isso é útil para descobrir o que, exatamente, levou diretamente à falha. O comando !analyze -v exibe as mesmas informações que a saída detalhada. O comando lm NT exibe uma lista de módulos carregados no momento da falha.
Comparado com as ferramentas de depuração do Windows, o Dumpchk é um utilitário bastante simples. É usado principalmente para verificar a integridade dos arquivos de despejo e visualizá-los. Para testar um arquivo de despejo quanto a erros, você pode usar a extensão de linha de comando -e. Por exemplo, você digitaria o seguinte na linha de comando:
dumpchk -e DumpFilePath
Outras opções do Dumpchk incluem -v, que ativa o modo detalhado, -p, que gera apenas o cabeçalho DMP e -c, que executa uma validação de despejo rápido.
