La herramienta oficial de lectura de dumps completos de memoria es windbg. Hablaremos arduo y tendido sobr ella en otro post, herramienta potente para análisis forense de servidores.
Pero hoy, os voy a sorprender con una herramienta pequeña pero muy potente.
Pongamos un ejemplo práctico. tenemos un equipo con Windows 7 Ultimate 64 bits, un equipo sencillo que haciendo tareas rutinarias, se reinicia, no sin antes dejarnos esta maravilla en pantalla. La máquina acaba de ser formateada, instalados los drivers correspondientes con el CD del fabricante y parcheada hasta arriba. En momentos aleatorios, la máquina se reinicia y nos deja esta preciosidad:
Seguidamente se reinicia la máquina... lo que estuviéramos haciendo en ese momento, se nos fue al garete. Bien, continuamos trabajando y se repite la operación varias veces... aunque el mensaje de error con la tabla de página de memoria varía, sigue mostrando error de ntoskrnl.exe.
Pero uno de los reinicios no "nos da tiempo de leer el mensaje", curiosamente los de ntoskernel tienen un tiempo mayor de visualización,por lo que pensamos, ha debido ser por otro motivo.
Pues bien, descargamos la aplicación y ella sola entiende la ruta por defecto de los ficheros minidump la cual es para windows 7 windows 2008 "C:\Windows\MiniDump" . Tras abrirla, veremos todos los dumps que se han quedado guardados en la máquina, el motivo, y una previsualización del mensaje que nos dejó en pantalla.
Si podéis ver, la quinta columna es "Caused by Address" y esta ultima vez, el motivo mostrado ha sido nvlddmkm.sys. Una simple búsqueda y cotejamos que dicho fichero es un driver de nvidia. Como buena práctica, comprobamos si existe un driver más actual en la web del fabricante y esta vez, fue así de fácil. Problema resuelto y se acabaron los bluescreen de la muerte.
Espero que os valga de ayuda para determinar problemas HW o Software en servidores o equipos.
P.D Gracias a mi amigo Daniel por su inspiración en la correción de errores... de todo tipo.
