Frage System-Speicherabbild-Dateien vs. DMP-Dateien

Ich habe festgestellt, daß ich eine ganze Menge an Daten auf der Systempartition habe, die von CCleaner unter dem Begriff "System-Speicherabbilder" angezeigt werden.



Zeitlich korrelieren die Dateien schon mit Problem(chen) auf meinem Rechner. Der mag es beispielsweise überhaupt nicht, wenn ich den Laptop-Ausschalter drücke und anschließend sofort den Bildschirm zuklappe. Dann geht er in einen undefinierten Zustand, der sich nur wieder durch Langes Drücken des Ausschalters (> 4 Sekunden) und Neubooten beenden läßt. Das ist aber für mich kein Problem, damit kann ich gut leben.

Die Zeiten sieht man im Screenshot oben nicht, ich kann sie aber im Explorer anschauen.

Ich suche schlicht nach einer Erklärung dafür, wie diese Speicherabbilder zusammenhängen mit den dmp-Files, die andere Forumsteilnehmer im Ordner C:\Windows\Minidumps haben (oder auch nicht zusammenhängen). Der Ordner Minidumps ist bei mir leer (außer, wenn ich absichtlich einen Bluescreen auslöse, wie in einem anderen Thread beschrieben)

Können diese Speicherabbild-Dateien auch ausgewertet werden ähnlich der dmp-Files?

Noch was: bitte hier keine Diskussion über CCleaner selbst - ich weiß, was ich damit machen kann und was nicht.

.

Hallo @PeteM92!
Die von dir aufgezeigten "DMP"-Dateien haben nichts mit den Minidump-Files zu tun. Schon allein von der Größe her kann es nicht passen. Minidumps (Kleines Speicherabbild oder Kernelspeicherabbild) sind zwischen 250 kB und 800 kB groß. Wenn mal eine Minidump nur 150 kB war, war mit Sicherheit keine Stack und keine Sysinfo gespeichert.

Also die DMP-Dateien in deinem Bild stammen vom SearchprotokolHost. Sie enthalten sicher auch Speicherinhalte, die aber mit einer Dumpfile nichts zu tun haben.

Versuche folgendes:
-> lade eine dieser Dateien in den Editor. Sind es Textdateien?
-> versuche, ob du eine solche Datei in BluescreenViewer oder WhoCrashed zu laden kannst. Falls du schon den Debugger installiert hast, kannst du sie auch in den Debugger laden. Kommen plausible Ergebnisse dabei heraus?

Wenn dir das alles nichts bringt, schicke mir eine dieser SearchProtocolHost.exexxxx.dmp als RAR- oder ZIP-Datei.

Nachtrag:
Das hatte ich vergessen

...die von CCleaner unter dem Begriff "System-Speicherabbilder" angezeigt werden....

Zum Vergrößern anklicken....

Der CCleaner hat sich hier einzig an der Dateierweiterung orientiert, weil diese unter Windows üblicherweise für Dumpfiles (Speicherabbilder) verwendet wird.

@Ari45
Also ich kann zumindest die Dumps aus LiveKernelReports debuggen. Ob sich die Dumps der Appcrashes auch debuggen lassen, müsste man probieren.

Der BlueScreenViewer kann mit diesen Dateien nichts anfangen, ein Text-Editor auch nicht. Am Anfang der Dateien sind ein paar lesbare ASCII-Zeichen, der Rest ist HEX.

Die 1,5 GByte große C:\Windows\LiveKernelReports\PoW32kWatchdog-20170712-1922.dmp ist gezippt immer noch 430 MByte groß, das macht kaum Sinn, die hochzuladen.

Die C:\Users\MeinUserName\AppData\Local\CrashDumps\SearchProtocolHost.exe.12860.dmp schrumpft mit 7Zip von 7 MByte auf 389 kByte, die habe ich mal hier angehängt.

Ja, @areiland, diese DMP-Datei ist ja auch 1,5 MB groß. Dort sind dann sicher auch debuggfähige Speicherabbilder enthalten.
Ich kann das leider nicht nachvollziehen, da bei mir weder in LiveKernelReport noch unter SearchProtocolHost Dateien hinterlegt sind (weder Win 7 noch 8.1 )

Du hast insofern Recht, dass sich die Dumpfile aus LiveKernelReport (unter Win 10 habe ich da eine) debuggen läßt. Aber die ist auch 286 kB groß, also im unteren Bereich der üblichen MiniDumpfiles.

Nachtrag:
Die nachgelieferte DMP-File läßt sich nicht debuggen, da sie kein Kernelspeicherabbild enthält.

Der Dump ist von einer mso...dll -> Office.