Windows Error Reporting

05.02.2021

Служба регистрации ошибок Windows (Windows Error Reporting - WER, кодовое имя Watson) — подсистема современных ОС Windows, служащая для отправки сообщений об ошибках в Microsoft. Используется в настольных версиях начиная с Windows XP и в Windows Mobile версий 5 и 6. Не следует путать с отладочной утилитой Dr. Watson, которая сохраняет образы памяти.

В случае сбоя приложения служба регистрации ошибок Windows собирает различную информацию о системе и программе (например, образ памяти) и затем отправляет её через интернет в Microsoft.

WER работает как служба ("Отчеты об ошибках Windows") и может быть отключен администратором компьютера.

История

Windows XP

Впервые служба была реализована компанией Microsoft в Windows XP. Список отчетов WER доступен для просмотра с помощью утилиты msinfo32.

Windows Vista

В следующей версии ОС, Vista, служба регистрации ошибок Windows была улучшена, появились публичные API для того, чтобы приложения могли отправлять через механизм не только отчеты о критичных ошибках.

Обновленный WER смог составлять отчеты даже в сложных случаях, например, когда у процесса закончился стек, были нарушены PEB/TEB или куча и т.п. В более ранних версиях подобные ситуации приводили к аварийному останову процесса без составления отчета о падении.

Появился апплет Панели управления, "Problem Reports and Solutions", который хранит список ошибок приложений и системы.

Windows 7

В Windows 7 и Windows Server 2008 R2, апплет Панели управления "Отчеты об ошибках Windows" был заменен на раздел Обслуживание в Центре поддержки Windows.

Средство записи действий по воспроизведению неполадок - приложение, поставляющееся во все сборки Windows 7, позволяет записать действия, выполняемые пользователем во время возникновения ошибки, чтобы тестеры и разработчики смогли воспроизвести ситуацию для анализа и отладки.

Приватность

Microsoft заявляет, что в составе отправленного отчета размером в сотни килобайт может содержаться персональная информация. Компания настаивает на том, что не будет использовать таковую информацию для идентификации пользователя при её наличии.

Старые версии WER отправляют данных без шифрования. Поддержка шифрования TLS при передаче отчетов WER появилась только в Windows 8.

В декабре 2013 года независимая лаборатория заявила, что WER автоматически отсылает в Microsoft некоторую информацию при подключении к системе нового периферийного устройства (например, USB).

Согласно документам Сноудена, отчеты об ошибках, посланные службой, анализировались хакерским подразделением АНБ Tailored Access Operations для поиска уязвимостей. Потенциально для создания новой zero-day атаки может быть достаточно единичного отчета WER.

Интересные факты

  • По данным Websense с ссылкой на оценки Microsoft, служба регистрации ошибок Windows остается включенной на 80 % персональных компьютеров с ОС Windows, подключенных к сети Интернет, то есть примерно на 800 миллионах компьютеров..