Файлы дампа

Анализ дампа памяти

Рейтинг:   / 303

Просмотров: 726103

Общие сведения об аварийном дампе памяти

Все Windows-системы при обнаружении фатальной ошибки делают аварийный дамп (снимок) содержимого оперативной памяти и сохраняет его на жесткий диск. Существуют три типа дампа памяти:

Полный дамп памяти – сохраняет все содержимое оперативной памяти. Размер снимка равен размеру оперативной памяти + 1 Мб (заголовок). Используется очень редко, так как в системах с большим объемом памяти размер дампа будет слишком большим.

Дамп памяти ядра – сохраняет информацию оперативной памяти, касающуюся только режима ядра. Информация пользовательского режима не сохраняется, так как не несет в себе информации о причине краха системы. Объем файла дампа зависит от размера оперативной памяти и варьируется от 50 Мб (для систем с 128 Мб оперативной памяти) до 800 Мб (для систем с 8 Гб оперативной памяти).

Малый дамп памяти (мини дамп) – содержит довольно небольшое количество информации: код ошибки с параметрами, список драйверов загруженных в оперативную память на момент краха системы и т.д., но этих сведений достаточно, для определения сбойного драйвера. Еще одним преимуществом данного вида дампа является маленький размер файла.

Настройка системы

Для выявления драйвера вызвавшего синий экран нам достаточно будет использовать малый дамп памяти. Для того чтобы система при крахе сохраняла мини дамп необходимо выполнить следующие действия:

Для Windows Xp	Для Windows 7
Правой клавишей мыши нажать на значке Мой компьютер из контекстного меню выберите Свойства (или комбинация клавиш Win+Pause); Переходите на вкладку Дополнительно; В поле Загрузка и восстановление необходимо нажать кнопку Параметры; В поле Запись отладочной информации выбираем Малый дамп памяти (64 Кб).	Правой клавишей мыши нажать на значке Компьютер из контекстного меню выберите Свойства (или комбинация клавиш Win+Pause); В левом меню щелкаем на пункт Дополнительные параметры системы; Переходите на вкладку Дополнительно; В поле Загрузка и восстановление необходимо нажать кнопку Параметры; В поле Запись отладочной информации выбираем Малый дамп памяти (128 Кб).

Проделав все манипуляции, после каждого BSoD в папке C:\WINDOWS\Minidump будет сохраняться файл с расширение .dmp. Советую ознакомиться с материалом “Как создать папку”. Также можно установить галочку на “Заменить существующий файл дампа”. В этом случае каждый новый аварийный дамп будет записываться поверх старого. Я не советую включать данную опцию.

Анализ аварийного дампа памяти с помощью программы BlueScreenView

Программа состоит из трех основных блоков:

1. Блок главного меню и панель управления;
2. Блок списка аварийных дампов памяти;
3. В зависимости от выбранных параметров может содержать в себе:

• список всех драйверов находящихся в оперативной памяти до появления синего экрана (по умолчанию);
• список драйверов находящихся в стеке оперативной памяти;
• скриншот BSoD;
• и другие значения, которые мы использовать не будем.

В блоке списка дамп памяти (на рисунке помечен цифрой 2) выбираем интересующий нас дамп и смотрим на список драйверов, которые были загружены в оперативную память (на рисунке помечен цифрой 3). Розовым цветом окрашены драйвера, которые находились в стеке памяти. Они то и являются причиной появления BSoD. Далее переходите в Главное меню драйвера, определяйте к какому устройству или программе они принадлежат

В первую очередь обращайте внимание на не системные файлы, ведь системные файлы в любом случае загружены в оперативной памяти. Легко понять, что на изображении сбойным драйвером является myfault.sys. Скажу, что это программа была специально запущена для вызова Stop ошибки

После определения сбойного драйвера, необходимо его либо обновить, либо удалить из системы

Скажу, что это программа была специально запущена для вызова Stop ошибки. После определения сбойного драйвера, необходимо его либо обновить, либо удалить из системы.

Для того чтобы программа показывала список драйверов находящихся в стеке памяти во время возникновения BSoD необходимо зайти в пункт меню “Options” кликаем на меню “LowerPaneMode” и выбираем “OnlyDriversFoundInStack” (или нажмите клавишу F7), а для показа скриншота ошибки выбираем “BlueScreeninXPStyle” (F8). Что бы вернуться к списку всех драйверов, необходимо выбрать пункт “AllDrivers” (F6).

Буду признателен, если воспользуетесь кнопочками:

Добавить комментарий

Что делать при появлении ошибки «dumping physical memory to disk»

Проверка целостности системных файлов и корректности работы жёсткого диска

Это стандартный алгоритм проверки работы системы, который даже если не решит основную проблему, то поможет избавиться от мелких системных сбоев.

Утилита «sfc/scannow» предназначена для выявления повреждённых и отсутствующих системных файлов, с их последующим восстановлением.

Для её активации сделайте следующее:

• Нажмите «Пуск» и в строке поиска введите «».
• Кликните правой кнопкой мышки по найденному результату и выберите «Запустить от имени администратора».
• В открывшейся консоли командной строки введите и выполните команду «sfc/scannow».
• Дождитесь завершения сканирования и просмотрите отчёт утилиты.

Утилита «CHKDSK» предназначена для проверки физических носителей на наличие имеющихся ошибок и их автоматического исправления:

• Аналогичным образом запустите консоль командной строки.
• Введите и выполните команду «CHKDSK f/ r/» — параметр «f/» указывает на автоматический поиск и исправление ошибок, параметр «r/» — сканирует жёсткий диск на наличие повреждённых секторов и автоматически их исправляет.
• Процесс может занять длительное время, поэтому наберитесь терпения и не прерывайте работу утилиты.

Анализ и переустановка графического драйвера

В продолжение темы физической неисправности видеокарты, следует проверить её работу на наличие программных ошибок (в виде некорректно работающих драйверов программного обеспечения).

Если версия драйвера актуальна, то, возможно, причиной возникновения сбоя «dumping physical memory to disk» стала его некорректная установка.

Проверить это можно следующим образом:

• Нажмите комбинацию клавиш «WIN+R» и выполните «».
• В открывшемся окне «Диспетчер устройств» разверните строку/раздел «Видеоадаптеры».
• Кликните правой кнопкой мышки по найденному устройству и выберите «Свойства».
• Перейдите на вкладку «Драйвер» и нажмите на кнопку «Удалить».

Здесь возможно два варианта дальнейших действий:

1. Перезагрузить компьютер и предоставить операционной системе «карт бланш» на самостоятельную установку драйвера графического адаптера.
2. Воспользоваться специализированным программным обеспечением (DriverPack или Driver Booster) для самостоятельной полуавтоматической установки необходимых драйверов.

Анализ работы оперативной памяти

Как и с работой графического адаптера, так и в работе оперативной памяти возможны ошибки, которые также необходимо выявить на программном уровне.

Делается это достаточно просто:

• Наиболее популярная и качественная программа для диагностики работы оперативной памяти является «Memtest». Для работы вам потребуется скачать и записать образ программы на загрузочный носитель, с которого и будет осуществляться тестирование.
• Далее потребуется просто загрузиться с носителя (используя «Boot Menu» или установив соответствующий приоритет загрузки в BIOS) и начать работу с «Memtest».
• После загрузки с носителя сканирование и тестирование начнётся автоматически.
• Остаётся набраться терпения, так как сканирование займёт длительное время (это часы тестирования для каждой планки оперативной памяти).

Если по завершению работы «Memtest» внизу активного окна будет предоставлено уведомление «Pass complete, no errors, press Esc to Exit», то программа не обнаружила неисправных блоков.

Аварийный дамп памяти

Общие сведения об аварийном дампе памяти

Все Windows-системы при обнаружении фатальной ошибки делают аварийный дамп (снимок) содержимого оперативной памяти и сохраняет его на жесткий диск. Существуют три типа дампа памяти:

Полный дамп памяти – сохраняет все содержимое оперативной памяти. Размер снимка равен размеру оперативной памяти + 1 Мб (заголовок). Используется очень редко, так как в системах с большим объемом памяти размер дампа будет слишком большим.

Дамп памяти ядра – сохраняет информацию оперативной памяти, касающуюся только режима ядра. Информация пользовательского режима не сохраняется, так как не несет в себе информации о причине краха системы. Объем файла дампа зависит от размера оперативной памяти и варьируется от 50 Мб (для систем с 128 Мб оперативной памяти) до 800 Мб (для систем с 8 Гб оперативной памяти).

Малый дамп памяти (мини дамп) – содержит довольно небольшое количество информации: код ошибки с параметрами, список драйверов загруженных в оперативную память на момент краха системы и т.д., но этих сведений достаточно, для определения сбойного драйвера. Еще одним преимуществом данного вида дампа является маленький размер файла.

Настройка системы

Для выявления драйвера вызвавшего синий экран нам достаточно будет использовать малый дамп памяти. Для того чтобы система при крахе сохраняла мини дамп необходимо выполнить следующие действия:

Проделав все манипуляции, после каждого BSoD в папке C:WINDOWSMinidump будет сохраняться файл с расширение .dmp. Советую ознакомиться с материалом «Как создать папку». Также можно установить галочку на “Заменить существующий файл дампа”. В этом случае каждый новый аварийный дамп будет записываться поверх старого. Я не советую включать данную опцию.

Анализ аварийного дампа памяти с помощью программы BlueScreenView

Итак, после появления синего экрана смерти система сохранила новый аварийный дамп памяти. Для анализа дампа рекомендую использовать программу BlueScreenView. Её можно бесплатно скачать тут. Программа довольно удобная и имеет интуитивный интерфейс. После её установки первое, что необходимо сделать – это указать место хранение дампов памяти в системе. Для этого необходимо зайти в пункт меню “Options” и выбрать “Advanced Options”. Выбираем радиокнопку “Load from the following Mini Dump folder” и указываем папку, в которой хранятся дампы. Если файлы хранятся в папке C:WINDOWSMinidump можно нажатием кнопки “Default”. Нажимаем OK и попадаем в интерфейс программы.

Программа состоит из трех основных блоков:

1. Блок главного меню и панель управления;
2. Блок списка аварийных дампов памяти;
3. В зависимости от выбранных параметров может содержать в себе:

• список всех драйверов находящихся в оперативной памяти до появления синего экрана (по умолчанию);
• список драйверов находящихся в стеке оперативной памяти;
• скриншот BSoD;
• и другие значения, которые мы использовать не будем.

В блоке списка дамп памяти (на рисунке помечен цифрой 2) выбираем интересующий нас дамп и смотрим на список драйверов, которые были загружены в оперативную память (на рисунке помечен цифрой 3). Розовым цветом окрашены драйвера, которые находились в стеке памяти. Они то и являются причиной появления BSoD. Далее переходите в Главное меню драйвера, определяйте к какому устройству или программе они принадлежат

В первую очередь обращайте внимание на не системные файлы, ведь системные файлы в любом случае загружены в оперативной памяти. Легко понять, что на изображении сбойным драйвером является myfault.sys

Скажу, что это программа была специально запущена для вызова Stop ошибки. После определения сбойного драйвера, необходимо его либо обновить, либо удалить из системы.

Для того чтобы программа показывала список драйверов находящихся в стеке памяти во время возникновения BSoD необходимо зайти в пункт меню “Options” кликаем на меню “LowerPaneMode” и выбираем “OnlyDriversFoundInStack” (или нажмите клавишу F7), а для показа скриншота ошибки выбираем “BlueScreeninXPStyle” (F8). Что бы вернуться к списку всех драйверов, необходимо выбрать пункт “AllDrivers” (F6).

Буду признателен, если воспользуетесь кнопочками:

Параметры реестра

Раздел реестра, который определяет параметры аварийного дампа:

Параметр	Тип	Описание
AutoReboot	REG_DWORD	Включение/отключение автоматической перезагрузки при возникновении BSOD.
CrashDumpEnabled	REG_DWORD	Вид создаваемого дампа.

• 0 – не создавать дамп памяти;
• 1 – полный дамп памяти;
• 2 – дамп памяти ядра;
• 3 – малый дамп памяти;

DumpFile
REG_EXPAND_SZ
Путь и название дампа памяти ядра и полного дампа памяти.

DumpFilters
REG_MULTI_SZ
Драйвер-фильтр в стеке драйверов дампа памяти. Позволяет добавлять новый функционал на этапе создания аварийных дампов. Например, шифрование содержимого дампа. Изменять значение не рекомендуется.

LogEvent
REG_DWORD
Запись события в системный журнал.

MinidumpDir
REG_EZPAND_SZ
Путь и название малого дампа памяти.

MinidumpsCount
REG_DWORD
Максимальное количество малых дампов памяти. При превышении начинают затираться более старые версии.

Overwrite
REG_DWORD
Заменять существующий файл дампа. Только для дампа памяти ядра и полного дампа памяти.

IgnorePagefileSize
REG_DWORD
Игнорирует стандартный файл подкачки как место для временного (промежуточного) хранения дампа памяти. Указывает на необходимость записать дамп памяти в отдельный файл. Используется совместно с опцией DedicatedDumpFile.

DedicatedDumpFile
REG_EZPAND_SZ
Путь и название временного альтернативного файла для записи дампа памяти. Во втором проходе данные все равно будут перемещены в DumpFile/MinidumpDir.

Чтение файлов малого дампа памяти (dmp)

Небольшой файл дампа памяти записывает наименьший набор полезной информации, которая может помочь вам точно определить причину сбоя или неожиданной остановки приложения. Более новая версия Windows автоматически создает новый файл каждый раз, когда ваш компьютер неожиданно останавливается. История, связанная с этими файлами, хранится в папка. Тип файла дампа содержит следующую информацию:

1. Сообщение Stop, его параметры и другие данные
2. Список загруженных драйверов
3. Контекст процессора (PRCB) для процессора, который остановился.
4. Информация о процессе и контекст ядра (EPROCESS) для процесса, который остановился.
5. Информация о процессе и контекст ядра (ETHREAD) для остановившегося потока.
6. Стек вызовов режима ядра для остановившегося потока.

Пользователи могут использовать Отладчик Windows (WinDbg.exe) инструмент для чтения небольших файлов дампа памяти. Он (WinDbg) входит в состав последней версии пакета Debugging Tools for Windows.

Вы можете установить инструменты отладки как отдельный компонент из Windows Software Development Kit (SDK).

Во время установки, когда появится мастер установки SDK, установите флажок напротив Инструменты отладки для Windows. Это действие позволит вам установить инструменты отладки как отдельный компонент из пакета разработки программного обеспечения Windows (SDK).

После настройки отладчика Windows откройте дамп, выбрав Открыть аварийный дамп вариант из Файл меню или нажав CTRL + D.

Когда на экране компьютера появится диалоговое окно Open Crash Dump, введите полный путь и имя файла аварийного дампа в поле Имя файла или используйте диалоговое окно, чтобы выбрать правильный путь и имя файла.

Теперь, когда выбран правильный файл, выберите Открыть.

Подождите несколько секунд, чтобы файл дампа загрузился, когда он подключается к Интернету и загружает необходимые символы для отображения в считывании.

Debugee не подключен

Продолжение: MachineOwner.

Введите команду на панели команд в нижней части окна дампа, чтобы проанализировать файл дампа. Вы должны увидеть ссылку, в которой говорится под Анализ ошибок.

После этого подробный анализ проверки ошибок должен занять место на экране.

После выполнения команда ‘! Analysis’ определит инструкцию, которая, вероятно, вызвала ошибку, и отобразит ее в поле FOLLOWUP_IP.

• SYMBOL_NAME — показать символ
• MODULE_NAME — отображает модуль
• IMAGE_NAME — отображает имя изображения
• DEBUG_FLR_IMAGE_TIMESTAMP — показывает временную метку изображения, соответствующую этой инструкции

Примите необходимые меры для решения проблемы!

• Вы также можете используйте инструмент командной строки Dumpchk.exe, чтобы проверить файл дампа памяти.
• Кроме того, вы можете использовать WhoCrashed Home Edition для проверки ошибок одним щелчком мыши. Инструмент выполняет посмертный анализ аварийных дампов дампов памяти Windows и представляет всю собранную информацию в понятной форме.

Надеюсь, это поможет!

Связанные чтения:

1. Настройки дампа памяти Windows
2. Ограничения физической памяти в файлах аварийного дампа
3. Настройте Windows 10 для создания файлов аварийного дампа на синем экране
4. Контролируйте количество файлов дампа памяти, которые Windows создает и сохраняет.

Ручное создание дампа памяти

Выше мы описывали настройки для автоматического создания аварийных дампов системы в случае возникновения критической ошибки, то есть необрабатываемого исключения в коде ядра. Но ведь в реальной жизни, помимо падения операционной системы, существуют ситуации, когда необходимо получить дамп памяти системы в конкретный момент времени. Как быть в этом случае? Существуют методы получения мгновенной копии всей физической памяти, например с помощью команды .dump в отладчиках WinDbg/LiveKD. LiveKD – программа, позволяющая запускать отладчик ядра Kd в функционирующей системе в локальном режиме. В отладчике WinDbg тоже имеется подобная возможность. Однако метод получения дампа «на лету» не точен, поскольку дамп создается в этом случае «противоречивый», так как для создания дампа требуется время, а в случае использования отладчика режима ядра система продолжает работать и вносить изменения в страницы памяти.

Получение информацию о компьютере

Для начала надо искать информа­цию о:

• про­цес­сах;
• ис­тории бра­узе­ра;
• ис­тории запущен­ных команд в кон­соли.

Этих 3 пун­ктов хва­тит для опре­деле­ния направления даль­нейшей раз­ведки.

Процессы

Что­бы най­ти про­цес­сы, нам дос­таточ­но исполь­зовать коман­ду pstree. Есть еще pslist, но пер­вая коман­да удоб­нее, потому что показы­вает про­цес­сы в виде дерева — так нам­ного про­ще понять, на какие из них сто­ит обра­тить вни­мание.

$ vol.py -f challenge.vmem --profile Win10x64_18362 pstree

Ни­чего бро­сающе­гося в гла­за, вро­де pswd_manager.exe или not_a_virus.exe, не вид­но, поэто­му про­дол­жим нашу раз­ведку.

История браузера

Хоть в хин­те (см. первый скрин) и говори­лось, что «уда­лен­ный» не обя­затель­но зна­чит «бра­узер», мы про­верим этот век­тор. В Volatility есть готовый пла­гин для прос­мотра исто­рии Internet Explorer — iehistory. И не говорите, что им уже ник­то не поль­зует­ся!

$ vol.py -f challenge.vmem --profile Win10x64_18362 iehistory

Ко­ман­да работа­ла слиш­ком дол­го на моей машине (поряд­ка 20 минут) и завер­шать­ся не пла­ниро­вала. Это не счи­тает­ся нор­маль­ным поведе­нием для Volatility, сле­дова­тель­но, тут искать нечего.

Ес­ли вы подума­ете сос­тавлять задач­ки для CTF — имейте в виду, что задачи, в которых надо по пол­часа бру­тить извра­щен­ные пароли или искать неуло­вимый API endpoint, ник­то не любит, и сле­дующую задачу вам доверят делать еще не ско­ро.

Список команд в консоли

Есть еще одна удоб­ная фун­кция для про­вер­ки всех вве­ден­ных в кон­соль команд. Воз­можно, поль­зователь запус­кал что‑нибудь из кон­соли или хра­нил там важ­ные дан­ные (нап­ример, флаг). Про­верить все из кон­соли мож­но с помощью коман­ды cmdscan.

$ vol.py -f challenge.vmem --profile Win10x6_18362 cmdscan

Тут чис­то — сле­дова­тель­но, тер­минал тоже не при делах.

Полезный прием при анализе оперативной памяти

Пос­коль­ку до сих пор не наш­лось ничего инте­рес­ного — мы что‑то упус­тили. Мож­но при­менить еще один полез­ный при­ем при ана­лизе опе­ратив­ной памяти — пос­мотреть на скрин­шот рабоче­го сто­ла. Помога­ет он не силь­но час­то, но поз­воля­ет уви­деть более пол­ную кар­тину.

Сде­лать скрин­шот всех окон про­цес­сов в сис­теме мож­но с помощью коман­ды screenshot. Обя­затель­но нуж­но ука­зать сущес­тву­ющую конеч­ную дирек­торию, где будут находить­ся все сним­ки.

Важ­но понимать, что боль­шинс­тво кар­тинок будут пус­тыми: это свя­зано с тем, что не все окна вооб­ще могут отоб­ражать­ся (для луч­шего понима­ния рекомен­дую озна­комить­ся с до­кумен­таци­ей).

$ vol.py -f challenge.vmem --profile Win10x64_18362 screenshot -D shot/

К сожале­нию, коман­да закан­чива­ется с ошиб­кой, так что этот трюк тоже не про­шел и нам сто­ит вер­нуть­ся к самому началу.

Как избежать ошибок «памяти физического дампа»

Мы можем предложить 4 важных совета, которым вы должны следовать, чтобы уберечь свой компьютер от ошибки «Дампа физической памяти».

1. Проверьте совместимость оборудования

   Первое, что вам нужно сделать, это убедиться, что всё ваше оборудование совместимо. Если вы только что добавили какое-либо оборудование на свой компьютер (даже USB-накопитель), вам следует либо удалить его, либо немедленно вернуться к своей старой настройке.

   Поскольку всё оборудование создаётся разными компаниями, вероятность того, что какое-то оборудование не будет работать друг с другом, довольно высока. Вам следует проявлять бдительность к этой конкретной проблеме, если вы только что внесли какие-либо изменения в оборудование, такие как модификация оборудования или добавление нового устройства на свой компьютер.

2. Регулярно обновляйте программное обеспечение

   Эта ошибка может возникать не из-за аппаратного обеспечения вашей системы, а из-за проблем с программным обеспечением. Есть много проблем с программным обеспечением, которые могут вызвать ошибки на вашем компьютере. Но, одной из основных причин этой ошибки в Windows является то, что иногда программные приложения содержат .поврежденные файлы

   Такие приложения, как Adobe Photoshop, некоторые игры и другое программное обеспечение, для запуска которых требуется огромное количество программных файлов, могут вызывать эту ошибку. Чтобы избежать подобных ситуаций, необходимо своевременно обновлять программное обеспечение.

   Однако, в случае возникновения ошибки вам следует немедленно переустановить программу, так как это заменит все потенциально поврежденные программные файлы на вашем компьютере, восстановив работоспособность вашей системы.

3. Регулярно проверяйте работоспособность реестра

   Недействительные записи реестра являются одной из основных причин ошибки «Дампа физической памяти» на компьютере. Таким образом, если дело не в совместимости с аппаратным и программным обеспечением, это может быть проблема с базой данных реестра на вашем ПК.

   База данных реестра – это центральное хранилище всех настроек и опций, необходимых вашему компьютеру для работы. Это место, где Windows хранит все настройки, которые необходимо прочитать любому программному обеспечению на вашем ПК. К сожалению, это делает базу данных реестра одним из основных факторов, вызывающих ошибку дампа физической памяти, когда она оказывается поврежденной. Чтобы избежать этой ситуации, вы можете установить хорошее программное обеспечение для очистки реестра, которое восстанавливает поврежденный реестр и поддерживает его работоспособность. Это, безусловно, снизит риск появления ошибок дампа синего экрана.

   Проблема в том, что все ваши программы полагаются на эту базу данных для сохранения настроек. Если какие-либо из этих настроек повреждены или повреждены без возможности восстановления, многие программы не смогут прочитать то, что им нужно, и это приведёт к появлению на вашем ПК всевозможных ошибок, включая ошибки памяти.

4. Проверьте состояние жесткого диска

   Плохие сектора на жёстком диске или поврежденные диски могут привести к ошибкам дампа физической памяти. Однако, есть определенные способы обеспечить оптимальное состояние жесткого диска в долгосрочной перспективе.

   Вот что вы можете сделать:

   • Своевременное обновление операционной системы
   • Регулярно выполняйте дефрагментацию жесткого диска. Вы должны дефрагментировать его не реже одного раза в две недели.
   • Устанавливайте только полезные программы
   • Резервное копирование жесткого диска на случай неблагоприятных ситуаций, например, полного отказа диска

Это четыре основных совета, которым вы должны следовать, чтобы избежать ошибок «памяти физического дампа» на вашем компьютере.

Установка Microsoft Kernel Debugger

Установить WinDbg вы можете двумя методами:

• Microsoft Kernel Debugger входит в состав SDK, именно от туда вы можете его загрузить
• Microsoft Kernel Debugger можно скачать отдельным пакетом, но не всегда есть самые актуальные версии

Переходим на страницу SDK. У вас есть возможность скачать тонкий клиент, где потом придется выкачивать все из интернета, или же вы скачиваете ISO образ имеющий все пакеты, но он весит больше и подходит для сред, где нет интернета.

Предположим, что вы выбрали метод с тонким клиентом, где у вас был скачан файл e

Обращаю внимание, что установить Microsoft Kernel Debugger вы можете на любую систему из списка:

• Windows 10 версии 1507 или более поздняя версия
• Windows Server 2012 R2 (только для командной строки) Windows Server 2016 (только для командной строки)
• Windows 8.1
• Windows Server 2012 R2
• Windows 7 с пакетом обновления 1 (SP1)

Запускаем , убедитесь, что у вас есть доступ в интернет и 5-6 ГБ свободного, дискового пространства.

Далее вы можете подписаться на отправку анонимной статистики в программе качества, я не стал.

Принимаем лицензионное соглашение SDK нажимая «Accept».

Снимаем все пункты, кроме «Debugging Tools for Windows» и нажимаем Install.

Начнется процесс установки WinDbg.