Механизм создания дампов памяти в Windows работает следующим образом: 2

1. В момент критического сбоя операционная система Windows прерывает работу и показывает синий экран смерти (BSOD). 2
2. Содержимое оперативной памяти и вся информация о возникшей ошибке записываются в файл подкачки. 2
3. При следующей загрузке Windows создаётся аварийный дамп c отладочной информацией на основе сохранённых данных. 2 В системном журнале событий создаётся запись о критической ошибке. 2

Существуют разные типы дампов памяти: 2

• Мини дамп памяти (256 КБ). 2 Этот тип файла включает минимальный объём информации. 2 Он содержит только сообщение об ошибке BSOD, информацию о драйверах, процессах, которые были активны в момент сбоя, а также какой процесс или поток ядра вызвал сбой. 2
• Дамп памяти ядра (Kernel memory dump). 2 Как правило, небольшой по размеру — одна треть объёма физической памяти. 2 Дамп памяти ядра является более подробным, чем мини дамп. 2 Он содержит информацию о драйверах и программах в режиме ядра, включает память, выделенную ядру Windows и аппаратному уровню абстракции (HAL), а также память, выделенную драйверам и другим программам в режиме ядра. 2
• Полный дамп памяти (Complete memory dump). 2 Самый большой по объёму. 2 Он требует памяти, равной оперативной памяти системы плюс 1МБ, необходимый Windows для создания этого файла. 2
• Автоматический дамп памяти (Automatic memory dump). 2 Соответствует дампу памяти ядра с точки зрения информации. 2 Отличается только тем, сколько места использует для создания файла дампа. 2
• Активный дамп памяти (Active memory dump). 2 Этот тип отсеивает элементы, которые не могут определить причину сбоя системы. 2

По умолчанию файлы дампа размещаются на диске, на котором установлена операционная система. 1 В большинстве случаев это диск C:. 1