Windows 7: Minidump auslesen nach Bluescreen
Hallo ihr Lieben,
Ich habe hier für Euch eine Schritt-für-Schritt-Anleitung, um selbstständig die mysteriösen Bluescreens von Windows zu analysieren. Wahrscheinlich alles kalter Kaffee für die alten Hasen, aber vielleicht hilft es dennoch dem einen oder anderen Spielkind wie mir weiter
Getestet habe ich es mit dem aktuellen SDK unter Windows 7:
1. VorbereitungUm ein Minidump auswerten zu können, muß er überhaupt erst mal angelegt werden.
Dazu sollte in den erweiterten Systemeinstellungen das Kernelspeicherabbild eingeschaltet und "Automatisch Neustart durchführen" ausgeschaltet sein (der Pfad zum Minidump ist in der Regel %SystemRoot%MEMORY.DMP):
Nun benötigt man die richtige Version des Windows Debug-Tools WinDbg aus dem SDK, um die Minidum-Datei analysieren zu können:
a) 32-bit: [url='http://www.microsoft.com/whdc/devtools/debugging/installx86.mspx']klick[/url]
b) 64-bit: [url='http://www.microsoft.com/whdc/devtools/debugging/install64bit.mspx']klick[/url]
Der Minidump ist eben nur Mini - für den großen Rundumschlag benötigt Windows einen Cache-Ordner, in dem die Binärdateien zur vollständigen Analyse geladen werden können und in dem die sogenannten Symbole der Abbilddatei gespeichert werden können. Hierzu muß zum einen ein Dateipfad mit einem Ordner angelegt werden, zum anderen wird dieser Dateipfad später im Debugger eingetragen.
Man erstellt also einen Ordner mit folgendem Pfad und Namen (Name ist aber frei wählbar):
c:\symbolsNun die richtige Version des Debuggers installieren und diesen dann starten.
Der Debugger kontaktiert zur Analyse online den Windows-Server. Diesen muß man manuell als Sympol Path File eintragen, zusammen mit dem oben angelegten Pfad für die Symbole.
Dazu unter dem Menüpunkt File -> Symbol Path File (Strg + S) folgendes eintragen (eventuell den Teil "c:\symbols" durch den eigenen Pfad ersetzen):
SRV*c:\symbols*http://msdl.microsoft.com/download/symbolsAls letzte Vorbereitung gibt man dem Debugger noch das Windows-Systemverzeichnis bekannt:
File -> Image File Path (Strg + I) auswählen und folgendes eintragen:
C:\Windows\System322. Analyse startenNun im Debugger unter File -> Open Crash Dumb (Ctrl + D) den Pfad zum gewünschten Minidump einstellen:
Der Debugger kontaktiert nun den oben eingestellten Windows-Server, erstellt die Symbole und bereitet die Analyse vor. Dies kann einige Zeit dauern.
Wenn er fertig ist, sieht man links unten im Fenter der Analyse die Zeichen:
0: kd>Während er arbeitet steht dort:
*BUSY*Im Textfeld findet man einen blau unterlegten Link mit Namen:
!analyze -vDiesen anklicken, und es werden weitere Daten online abgefragt, was wieder einige Zeit dauern kann.
Eine weitere "Bug Check Analysis" taucht in dem Fenter auf. Diesmal mit mehr Informationen.
Interessant ist hier nun der Bereich
DEFAULT_BUCKET_ID: Hier steht nun der erste Hinweis auf den Übeltäter - er bekommt ein Gesicht.
In meinem Beispiel findet man den den Eintrag
COMMON_SYSTEM_FAULT(aha - dann ist ja alles klar...)
Etwas weiter unten wird es konkreter - man sucht nach den Einträgen:
IMAGE_NAME: und
MODULE_NAMEUnd lernt die Datei
win32k.sys kennen - der Übeltäter bekommt einen Namen, auch wenn der "Peter Schmidt" der Windows-Dateien noch keine wirkliche Erleuchtung bringt.
Aber noch ist man nicht am Ende der Möglichkeiten: um an weitere Informationen zu kommen, muß man allerdings tiefer graben.
3. Ergebnis deutenUm den Debugger mehr Informationen zu entlocken, braucht man zum Glück keine Kristallkugel - man kann unten im Fenster des Debuggers nebem dem Infofeld (mit dem Inhalt"0: kd>") weitere Parameter mitgeben.
Hier gibt man nun folgenden Befehl mit:
lmvWieder dauert das Ergebnis eine Weile. Wenn unten im Infofeld die Anzeige wieder von "*BUSY*" auf "0: kd>" umspringt, ist der Debugger fertig und man kann unter Edit -> Find (Ctrl + F) den Übeltäter weiter entzaubern (Suchrichtung beachten):
Etwas unterhalb des Suchergebnisses enttarnt sich der Schuldige endgültig. Der Eintrag
FileDescription z.B. gibt Gewissheit:
Der Grafikkarten-Treiber quält das System
Weitere Infos zu dem Thema findet man
hier: MS KB315263.
Das war´s!
Sollten sich noch Fehler eingeschlichen haben, bitte korrigieren.
Ab jetzt gibt es also keine Ausrede mehr - jeder kann selbst zum Analyse-Profi werden. Auch wenn die Suchergebnisse nicht immer leicht zu interpretieren sein werden, aber für Restzweifel gibt es ja noch das Forum.
lg
Deva