认识Dump文件

一、什么是Dump文件

又叫内存转储文件或者叫内存快照文件。是一个进程或系统在某一给定的时间的快照。比如在进程崩溃时或则进程有其他问题时，甚至是任何时候，我们都可以通过工具将系统或某进程的内存备份出来供调试分析用。dump文件中包含了程序运行的模块信息、线程信息、堆栈调用信息、异常信息等数据。

二、分类

Windows下Dump文件分为两大类：内核模式Dump和用户模式Dump

2.1、内核模式Dump

是操作系统创建的崩溃转储，最经典的就是系统蓝屏，这时候会自动创建内核模式的Dump。如果你抓取整个系统的内存dump文件, 那么你抓取的是内核态的dump文件.

2.2、用户模式Dump

如果你抓一个进程的dump文件, 那么你抓取的是用户态的dump文件。进一步可以分为完整Dump（Full Dump）和迷你Dump（Minidump）。

• Full Dump
  包含了某个进程完整的地址空间数据，以及许多用于调试的信息
• Minidump
  随着Windows XP，微软发布了一组新的被称为“minidump”的崩溃转存技术。Minidump很容易定制。按照最常用的配置，一个minidump只包括了最必要的信息，用于恢复故障进程的所有线程的调用堆栈，以及查看故障时刻局部变量的值。这样的dump文件通常很小（只有几K字节）。所以，很容易通过电子方式发送给软件开发人员。一旦需要，minidump甚至可以包含比原来的crash dump更多的信息。minidump可以定制，给我们带来了一个问题-保存多少应用程序状态信息才能既保证调试有效，又能够尽量保证minidump文件尽可能小？尽管调试简单的异常访问只需要调用堆栈和局部变量的信息，但是解决更复杂的问题需要更多的信息。例如，我们可能需要查看全局变量的值、检查堆的完整性和分析进程虚拟内存的布局。同时，可执行程序的代码段往往是多余的，开发用的机器上可以很容易找到这些执行程序。

 三、Dump文件的使用场景

场景一：对我们程序员来说，当我们的应用程序发布出去，在客户机上出线了问题（崩溃、失去响应、资源消耗过高，性能不理想），由于这些问题不是发生在开发环境下的，这时我们就需要在客户机上想办法抓取dmp文件，拿回来进行分析。总之，Dump文件对我们编程人员，特别是Windows系统上进行C++开发应用的开发人员，进行问题定位非常有帮助。

场景二：windows系统自己出了问题，比如蓝屏了，这时系统会自动产生dump文件，被微软收集分析