Speicherabbild

Speicherabbilder (Memory Dumps) mit den Debugging-Tools for Windows auswerten und Fehlerquellen ermitteln

von

Wenn Windows bei einem Absturz einen sogenannten Bluescreen anzeigt, sind die dort angezeigten Informationen nicht immer aufschlussreich genug, um auf die Fehlerquelle schließen zu können. Nachdem der Windows-Kernel einen dieser besagten Bluescreens ausgegeben hat, beginnt er aber mit einer Aufgabe, die ein wichtiger Schlüssel zur Problemermittlung darstellt.

Was ist ein Speicherabbild?

Ein Speicherabbild kann ein Abbild eines kompletten Speichers, eines Bereiches des Speichers sein oder einen Prozess so abbilden, wie er im Speicher zum Zeitpunkt des Anlegens vorhanden war. Ein Abbild eines Prozesses kann, wurde es etwa vor dessen Absturz aufgenommen, Aufschlüsse über die Fehlerursache geben. Um diese Speicherabbilder auswerten zu können, benötigen Sie aber noch ein geeignetes Programm. Mit „Debugging Tools for Windows“ stellt Microsoft ein an Windows angepasstes Programm bereit.

Debugging Tools für Windows vorbereiten

Um ein Speicherabbild auszuwerten, das Windows etwa nach einem Modulabsturz angelegt hat, müssen Sie tief ins System eingreifen – das geht nur mit Administratorrechten. Starten Sie „WinDbg“ deshalb immer als Administrator.

137-1

Zum Auswerten benötigt das Programm sogenannte “Symboldateien”. Um statt riesiger Pakete nur die benötigten Dateien herunterzuladen, gehen Sie wie folgt vor:

Erstellen Sie einen neuen Ordner auf einem Laufwerk, auf dem mindestens 2 Gigabytes Speicher frei sind. Im Beispiel ist dieser Ordner

C:\Ablage\DebuggingTools\symbols.

Klicken Sie auf “File” und “Symbol File Path”

Geben Sie im dort erscheinenden Fenster Folgendes ein:

SRV*C:\Ablage\DebuggingTools\symbols*http://msdl.microsoft.com/download/symbols

Wenn das Programm ab jetzt Symboldateien benötigt, werden diese von der HTTP-Adresse heruntergeladen und im zuvor erstellten Ordner abgelegt. Sollten Sie die Debugging Tools nicht mehr benötigen, können Sie den Ordner löschen.

Speicherabbilder auswerten

Wenn Sie ein Speicherabbild auswerten wollen, das Windows nach einem Absturz erzeugt hat, klicken Sie auf „File“, „Open Crash Dump…“…

137-2

und wählen Sie die Datei. Im Feld „Dateiname“ zeigt das Programm schon den Name „MEMORY“ an. Navigieren Sie zum Windows-Verzeichnis, welches Sie standardmäßig unter C:\Windows finden. Klicken Sie auf „Öffnen“, um das Speicherabbild zu laden.

137-3

Das letzte Speicherabbild heißt immer MEMORY.dmp, den Dateiname und den Speicherort können Sie in den erweiterten Systemeigenschaften anpassen, falls erwünscht. Ältere Speicherabbilder können Sie recht leicht an ihrem Dateiname zuordnen, der in der Form jjjjmmtt.dmp vergeben wird.

WinDbg gibt jetzt einen Hinweis, wie Sie mit der Analyse beginnen können. Geben Sie unten im Programmfenster

!analyze -v

ein. Das Ausrufezeichen (!) leitet einen Befehl ein, der Parameter -v steht für „verbose“, also „ausführlich“. Statt den Befehl einzugeben, können Sie ihn auch anklicken, wenn er blau und unterstrichen im Text angezeigt wird.

137-4

In der ausführlichen Ausgabe sollten sich spätestens jetzt Hinweise auf das Modul finden, das den Absturz verursacht hat. Im Beispiel war das dxgkrnl, der Kernel von DirectX. Es könnte also ein Problem mit dem Sound- oder Grafiktreiber oder einer DirectX-Komponente bestehen.

137-5

Wenn ein Modulname angezeigt wird, können Sie darauf klicken, um weitere Informationen dazu anzuzeigen. In diesem Fall wird der Dateiname mit Pfadangabe aufgelistet (blau markiert):

137-6

Falls Sie mehr über eine Datei wissen möchten, können Sie sich ihre Eigenschaften ansehen, indem sie diese in ihrem Verzeichnis suchen und aufrufen.

137-7

Problematische Module oder Treiber ersetzen

Im Beispielfall gibt es keine Lösung, da hier eine Komponente ein Problem verursacht hat, die ein fester, unveränderlicher Bestandteil des Betriebssystems ist. Tatsächlich treten Probleme, in denen Treiber das Betriebssystem abstürzten lassen, infolge der verstärkten Zusammenarbeit der Entwickler zunehmend seltener auf. Sehr häufig werden die Probleme dann durch die Treiber von Drittherstellern verursacht, zum Beispiel sorgen veraltete Treiber für den Chipsatz oder Grafikkarten bei hoher Belastung gelegentlich für Probleme. Durch die oben beschriebene Vorgehensweise können Sie die problematischen Module aufspüren und das Problem, sofern der Hersteller einen aktualisierten Treiber bereitstellt, etwa damit beheben.

Automatischen Neustart nach Absturz deaktivieren

von

Falls Windows abstürzt und der Computer neu startet, wird fast immer ein Bluescreen angezeigt. Die auf dem Bluescreen angezeigten Informationen können bei der Fehlersuche Hilfreich sein, zum Beispiel, weil hier Fehlerbeschreibungen, Dateinamen oder Adressen genannt werden können. Wenn der Bluescreen nicht oder nur zu kurz sichtbar ist, können Sie die Einstellung, dass Windows nach Absturz neu starten soll, deaktivieren – und die Meldungen auf dem Bluescreen lesen.

Drücken Sie die Windows-Taste + Pause, um die Systemeigenschaften aufzurufen. Klicken Sie unter Windows Vista/7 zusätzlich auf "Erweiterte Systemeinstellungen". Wechseln Sie im erscheinenden Fenster zur Registrierkarte "Erweitert" und klicken Sie unter "Starten und Wiederherstellen" auf "Einstellungen". Es erscheint ein weiteres Fenster, in dem Sie unter "Systemfehler" den Haken bei "Automatisch Neustart durchführen" entfernen können.

008-1

Schließen Sie die beiden Fenster mit Klick auf OK.

Ähnliche Themen oder Ergänzungen auf Partnerseiten:
Diese Themen könnten Sie interessieren: