Windows内存转储

Microsoft Windows支持两种内存转储格式，如下所述。

内核模式转储有五种类型：

• 完整的内存转储–包含目标系统的完整物理内存。
• 内核内存转储–包含崩溃时内核正在使用的所有内存。

• 小内存转储–包含各种信息，例如停止代码、参数、已加载的设备驱动程序列表等。
• 自动内存转储（Windows 8和更高版本）–与内核内存转储相同，但是如果页面文件既是系统管理的又太小而无法捕获内核内存转储，它将自动将页面文件增加到至少RAM的大小，以便四周，然后将其缩小为较小的尺寸。
• 活动内存转储（Windows 10和更高版本）–包含内核和用户模式应用程序正在使用的大部分内存。

要分析Windows内核模式转储，请使用Windows调试工具。

用户模式内存转储，也称为minidump，是单个进程的内存转储。它包含选定的数据记录：全部或部分（过滤的）过程存储器；线程列表及其调用堆栈和状态（例如寄存器或TEB）；有关内核对象句柄的信息；加载和卸载库列表。MINIDUMP_TYPE枚举中可用选项的完整列表。