Livespeicherabbild des Task-Managers

Überblick

Der Task-Manager kann verwendet werden, um ein Live-Kernelspeicherabbild zu erstellen. Dies ist zusätzlich zu der vorhandenen Möglichkeit, den Task-Manager zum Erstellen eines Speicherabbilds eines bestimmten Prozesses zu verwenden.

Ein Live-Kernelspeicherabbild enthält eine konsistente Momentaufnahme des Kernelspeichers (und optional auch anderer Speichertypen) und speichert es in einer Speicherabbilddatei. Im Gegensatz zu anderen Methoden zum manuellen Generieren eines Kernelspeicherabbilds verursacht diese Methode keinen Systemabsturz.

Programmierer mit Zugriff auf entsprechende Symboldateien und Quellcode können die Speicherabbilddatei analysieren, um den Systemzustand zu untersuchen und Probleme zu diagnostizieren.

Die Option zum Erstellen eines Live-Kernelspeicherabbilds ist im Systemprozess verfügbar, ähnlich wie eine Option zum Erstellen einer Speicherabbilddatei für Benutzermodusprozesse verfügbar ist.

Ein Full-Kernel-Speicherabbild enthält aktiven Kernelspeicher mit optionalem Hypervisorspeicher und Benutzermodusspeicher. Die Optionen zum Erfassen von Hypervisor- und Benutzerseiten sind für vollständige Live-Kernelabbilder verfügbar. Alternativ ist ein Kernelstapelspeicherabbild eine kleinere Datei, die auf Kernelprozessorzustände und alle Kernelthreadstapel beschränkt ist.

Allgemeine Informationen zu Speicherabbildern des Live-Kernels finden Sie unter Kernel Live Memory Dump Code Reference.

Das Feature "Task Manager-Liveabbild" wurde Anfang 2023 veröffentlicht und war erstmals in Windows Insider Preview Builds im Canary Channel (Build 25276 und höher) und Dev Channel (Build 23419 und höher) und im Juli 2023 verfügbar und ist in Windows-Betriebssystembuild 22621.1992 und höher verfügbar.

Erstellen eines Live-Kernelspeicherabbilds des Systems mithilfe des Task-Managers

Führen Sie die folgenden Schritte aus, um ein Live-Kernelspeicherabbild mit dem Task-Manager zu erfassen.

1. Starten Sie Windows Task-Manager.

2. Navigieren Sie zu Prozesse oder Details.

3. Suchen Sie den Systemprozess .

4. Klicken Sie mit der rechten Maustaste, und wählen Sie Live-Kernelspeicherabbilddatei erstellen aus.

5. Wählen Sie im Pulldownmenü entweder ein vollständiges Kernelspeicherabbild oder ein Kernelstapelspeicherabbild aus.

Erstellen eines Speicherabbilds für einen Benutzermodusprozess

Ein ähnliches Verfahren wird im Task-Manager verwendet, um ein Speicherabbild eines Prozesses zu erstellen. Markieren Sie den gewünschten Benutzermodusprozess, klicken Sie dann mit der rechten Maustaste, und wählen Sie Speicherabbilddatei erstellen aus. Weitere Informationen zu Speicherabbilddateien im Benutzermodus finden Sie unter Benutzermodusabbilddateien.

Erweiterte Optionen für Live-Kernelspeicherabbilddatei

Die Optionen für die Speicherabbilddatei des Live-Kernels sind unter den Task-Manager-Einstellungen verfügbar.

Die obere Schaltfläche rückgängig machen die Speicherabbildeinstellungen des Live-Kernels auf die Standardwerte.

Wenn die Option Abbruch bei Arbeitsspeicherauslastung ausgewählt ist, wird der Liveabbildprozess beendet, wenn die Speicherverfügbarkeit als nicht ausreichend angesehen wird. Dies ist die Standardeinstellung, um die potenziellen Auswirkungen der Erfassung des Live-Kernelabbilds auf die Reaktionsfähigkeit des Systems zu minimieren.

Die Einstellungen der Kernel-Livespeicherabbilddatei bieten mehrere Optionen für die Informationen, die in das Speicherabbild eingeschlossen werden sollen.

• Erfassen von Hypervisor-Speicherseiten (mit oder ohne nicht wesentliche Seiten)
• Erfassen von Benutzerseiten

Das Hinzufügen zusätzlicher Informationen zur Speicherabbilddatei erhöht ihre Größe und verwendet zusätzlichen Arbeitsspeicher, wenn das Speicherabbild aufgezeichnet wird.

Erfassen von Hypervisor-Speicherseiten

Wählen Sie die Option Hypervisorspeicherseiten erfassen aus, um Speicherbereiche zu erfassen, die vom Hypervisor zur Unterstützung von Hyper-V und virtuellen Computern verwendet werden. Weitere Informationen finden Sie unter Hyper-V unter Windows.

Sie können nicht benötigte Hypervisor-Speicherseiten einschließen oder nicht einschließen.

Erfassen von Benutzerseiten

Aktivieren Sie Benutzerseiten erfassen , wenn für das Problem, das Sie behandeln, Arbeitsspeicher im Benutzermodus erforderlich ist.

Allgemeine Informationen zur Verwendung von Windows-Speicher und -Seiten finden Sie unter Windows Internals von Pavel Yosifovich, Alex Ionescu, Mark Russinovich und David Solomon.

Speicherort der Livespeicherabbilddatei

Wenn das Speicherabbild abgeschlossen ist, wird ein Dialogfeld angezeigt, das den Speicherort der Speicherabbilddatei .dmp angibt. Klicken Sie auf Dateispeicherort öffnen , um den Ordner zu öffnen.

Speicherabbilder des Live-Kernels

Die Speicherabbilder des Live-Kernels werden standardmäßig hier gespeichert.

%LocalAppData%\Microsoft\Windows\TaskManager\LiveKernelDumps

%LocalAppData% ist in der Regel C:\Users\<YourUserName>\AppData\Local\

Speicherabbilder im Livebenutzermodus

Speicherabbilddateien im Live-Benutzermodus werden im Verzeichnis %localappdata%\Temp gespeichert, das sich in der Regel im Verzeichnis Benutzer befindet.

C:\Users\<YourUserName>\AppData\Local\Temp

Problembehandlung bei der Aufnahme eines Livespeicherabbilds

Wenn das Livespeicherabbild einen Fehler zurückgibt, überprüfen Sie die Fehlermeldung auf Details. Beispiel:

• Der Task-Manager muss als Benutzer auf Administratorebene ausgeführt werden.

• Versuchen Sie bei Timeoutproblemen in wenigen Minuten erneut, das Speicherabbild zu verwenden.

• Warten Sie, bis ein angeforderter Speicherabbild abgeschlossen ist, bevor Sie zusätzliche Speicherabbilder erstellen.

• Es ist möglich, dass die Erstellung des Live-Kernelspeicherspeichers erfolgreich ist, aber möglicherweise nicht den vollständigen Inhalt des Arbeitsspeichers enthält. Die Erfassung erfordert vorübergehend genügend verfügbaren freien physischen Arbeitsspeicher, um eine Kopie des Arbeitsspeichers zu speichern, der in die Speicherabbilddatei geschrieben werden soll. Das Schließen nicht benötigter Anwendungen oder das Deaktivieren der Erfassung von Hyper-V- und Benutzermodus-Speicherseiten kann die Menge an Arbeitsspeicher erhöhen, die in der Speicherabbilddatei gespeichert werden kann.

Analysieren von Livespeicherabbilddateien

Wenn ein Livespeicherabbild auftritt, kann die Speicherabbilddatei mit denselben Techniken analysiert werden, die auch für andere Speicherabbilddateien verwendet werden. Um den Inhalt des Arbeitsspeichers während eines Fehlers zu verstehen, sind in der Regel Kenntnisse über Prozessorspeicherregister und Assemblyprogrammierung erforderlich. Darüber hinaus ermöglicht der Zugriff auf den fehlerhaften Quellcode, dass das Problem vom Entwickler behoben werden kann.

Weitere Informationen finden Sie unter

• Analysieren einer Kernel-Mode-Speicherabbilddatei mit WinDbg

• !Analysieren

• Codereferenz für Kernel-Livespeicherabbild

Fehlerprüfungscode: 0x161 – LIVE_SYSTEM_DUMP

Der Fehlerüberprüfungscode für ein Task Manager-Livespeicherabbild lautet Bug Check 0x161: LIVE_SYSTEM_DUMP.

Weitere Informationen

• Verschiedene Kernel-Mode-Speicherabbilddateien.

• Fehlerprüfung 0x161: LIVE_SYSTEM_DUMP

• Generieren eines Kernel- oder eines vollständigen Speicherabbilds