c:\windows\system32\drivers\dump_atapi.sys
c:\windows\system32\drivers\dump_wmilib.sys
dump_atapi.sys和dump_wmilib.sys,这两驱动程序文件只存在内存中,不存在硬盘上,以下是一些网上关于这两个文件的说法:
“微软在系统启动时加入到内核的,用来在蓝屏时产生dmp文件的驱动。”
“dump_atapi.sys是文件是Windows创建的虚拟组件,硬盘上不存在真实文件,所以没有图标等相关信息。”
“系统生成crash dump(崩溃转储)的当时其实并没有写入文件,而是实现在pagefile.sys中分配预留一块区域,将物理内存写入这块区域,等重启时再转储到文件中。之所以这么做,是因为WINDOWS不希望在转储时(BSOD时)使用文件系统相关功能,因为它可能已经被破坏了,而磁盘驱动其实也是可能被破坏的,因此 WINDOWS在Config CrashDump时,将系统中的atapi.sys磁盘端口驱动备份了一份,以dump_xxxx.sys的方式加载,等到BSOD时调用此驱动来写入 磁盘。”
“Dump_atapi.sys is a part of Microsoft Windows Operation system.Dump_atapi.sys is the IDE port driver.”
“dump_WMILIB.SYS is a part of Microsoft Windows Operation system.dump_WMILIB.SYS is the WMI driver.”
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/751.html
