Close

Noch kein Benutzer?Registrier Dich jetzt.

lock and key

Benutzeranmeldung

Account Login
Passwort vergessen?

Analyse eines Bluescreens (BSOD) - Minidump Auswertung

Sie sind hier

Startseite » Tipps und Tricks
Windows-Debugger WinDbg - Minidump Auswertung

Durch fehlerhafte Treiber oder defekte Hardware kann unter Windows der "Bluescreen of Death" (BSOD) auftreten. Eine Hilfestellung zur Fehleranalyse:

Vorbereitende Einstellungen für Systemfehler

In der "Systemsteuerung" -> "System" findet Ihr unter dem Tab "Erweitert" den Button "Einstellungen". Klickt auf den Button und ihr landet im Bereich "Starten und Wiederherstellen".

Unter "Systemfehler" den Haken bei "Automatisch Neustart durchführen" deaktivieren und ggf. den Haken bei "Ereignis in das Systemprotokoll eintragen" setzen.

Unter"Debuginformationen speichern" folgendes einstellen:

  • Art des Speicherabbildes: Hier reicht für die meisten Anwender völlig die Einstellung "Kleines Speicherabbild" aus, da man mit den restlichen Informationen in den meisten Fällen sowieso nichts anfangen kann. 
  •  Verzeichnis für kleines Speicherabbild: Hier wird das Verzeichnis festgelegt, wo das Speicherabbild abgelegt werden soll. Der Standardeintrag ist hier "%SystemRoot%\Minidump". Das Verzeichnis "Minidump" wird automatisch angelegt, sobald ein Speicherabbild erzeugt wird. 

Nach Installation des Programmes könnt ihr den Debugger über "Start" -> "Programme" -> "Debugging Tools für Windows" -> "WinDbg" starten.

Einrichten des Windows-Debugger WinDbg

Um mit dem Debugger wirklich sinnvoll Arbeiten können, werden auch noch die sog. Symboldateien benötigt. Die benötigten Dateien findet Ihr unter bei Microsoft. Nach der Installation der Symboldateien startet ihr WinDbg mit Adminrechten.

Geht nun auf "Files" -> "Symbol File Path"… (alternativ kann man auch Strg+S drücken)

Im erscheinenden Fenster gebt Ihr den folgenden Wert ein:
SRV*C:\Windows\symbols*http://msdl.microsoft.com/download/symbols

(Wobei C:\Windows\symbols mit dem Pfad zu ersetzen ist, unter welchem Ihr die Symbols installiert habt.)

Danach wählt Ihr "Files" -> "Image File Path" (alternativ Strg+I drücken)
Hier gebt Ihr den folgenden Wert ein:
C:\Windows\System32

(Wobei C:\Windows durch das Windows-System-Verzeichnis zu ersetzen ist).

Anschließend öffnet ihr mit dem Programm die Dumpdatei aus dem Verzeichnis "%SystemRoot%\Minidump" über "File" -> "Open Crash Dump". Die Datei wird geladen und die Informationen dazu angezeigt.

Es werden zwei Fenster geöffnet "Command" und "Disassembly". Das Fenster "Disassembly" könnt ihr ruhig wieder schließen, da deren Auswertung doch schon erhebliche Programmierkenntnisse voraussetzt. Das "Command"-Fenster enthält dagegen meist schon durchaus wertvolle Informationen.

Analyse der DUMP-Datei

Die interessanten Informationen findet ihr im Abschnitt:

*************************** * Bugcheck Analysis * ***************************

Hier findet man z.B.: hinter "BugCheck" einen Fehlercode. Diesen Fehlercode kann man anschließend auch für die Suche in der Microsoft Knowledge Base verwenden. Ist der Fehlercode bekannt, finden sich hier meist genauere Angaben dazu, welcher Treiber diesen Fehler verursacht hat und oft auch entsprechende Lösungsansätze.

Aber auch im Debugger kann man schon mehr Informationen zu diesem Fehlercode ermitteln. Dazu muss im Command-Fenster der Befehl "!analyze -v" eingegeben werden. Anschließend werden eine Menge von Informationen ausgegeben; hier ist in den ersten Zeilen das in Grossbuchstaben geschriebene Wort, welches die Art des Fehlers wiedergibt. Wenn ihr darüber hinaus noch weitere Informationen aus der Hilfe benötiget, dann gebt im Command-Fenster ".hh [Das Word in Großbuchstaben]" ein.

Weiterhin findet ihr hier auch die Zeile "Probably caused by" (= Fehler verursacht von:). Hier wird angegeben, welche Datei vermutlich den Fehler verursacht hat. Mit dieser Datei kann man auch wieder eine entsprechende Suche im Internet starten.

Hat man einen Dateinamen, kann man sich auch im Command-Fenster weitere Informationen dazu anzeigen lassen. Mit dem Befehl "lm v m[Dateiname]" bekommt ihr weitere Infos (Dateiname muss ohne Dateiendung und gleich hinter dem Parameter m eingegeben werden).

Über den Befehl "!devnode 0 1" könnt ihr euch noch eine Liste aller geladenen Treiber ausgeben lassen.

Über den Befehl "!thread" im Command-Fenster, gibt es weitere Informationen. Findet ihr in der Ausgabe die Zeile "IRP List", dann solltet ihr euch weitere Informationen über die Adressen ausgeben lassen. Dazu den Befehl "!irp [Addresse]" aufrufen. In der folgenden Auflistung findet ihr wieder Treibernamen, die am Fehler beteiligt waren.

Anwendungen über das Tool "Application Verifier" überwachen

Das Tool Application Verifier (AppVerifier.exe) ermöglicht die Identifizierung von Problemen bei der Anwendungskompatibilität, Stabilität und Sicherheit, indem die Verwendung des Betriebssystems durch die Anwendung überwacht wird. Dies schließt das Dateisystem, die Registrierung, den installierten Arbeitsspeicher und die aufgerufenen APIs ein.

Man startet das Tool über "Start" -> "Ausführen" und gibt "verifier" ein. Anschließend fügt man einfach über File" -> "Add Application" die zu überprüfende Anwendung hinzu

Mit diesem Tool sollte man allerdings vorsichtig umgehen. Die Überwachung kostet Zeit kostet und sollte nur für die Fehlersuche verwendet werden. Auch kann es passieren, dass der Rechner überhaupt nicht mehr hochfährt. Eine entsprechende Sicherung von Windows sollte also vorhanden sein.

Kategorie: 
System
Tags: 
Windows 7
Windows XP
Windows Vista
Files->Symbol File Path Files->Image File Path Application Verifier