Hallo ihr Lieben,
hier aus aktuellem Anlaß eine Schritt-für-Schritt-Anleitung, um selbstständig die mysteriösen Bluescreens von Windows zu analysieren.
Getestet habe ich es mit dem aktuellen SDK unter Windows 7:
1. Vorbereitung
Um ein Minidump auswerten zu können, muß er überhaupt erst mal angelegt werden.
Dazu sollte in den erweiterten Systemeinstellungen das Kernelspeicherabbild eingeschaltet und "Automatisch Neustart durchführen" ausgeschaltet sein (der Pfad zum Minidump ist in der Regel %SystemRoot%MEMORY.DMP):
[Blockierte Grafik: http://img841.imageshack.us/img841/7417/kernelabbild.jpg]
Nun benötigt man die richtige Version des Windows Debug-Tools WinDbg aus dem SDK, um die Minidum-Datei analysieren zu können:
a) 32-bit: klick
b) 64-bit: klick
Der Minidump ist eben nur Mini - für den großen Rundumschlag benötigt Windows einen Cache-Ordner, in dem die Binärdateien zur vollständigen Analyse geladen werden können und in dem die sogenannten Symbole der Abbilddatei gespeichert werden können. Hierzu muß zum einen ein Dateipfad mit einem Ordner angelegt werden, zum anderen wird dieser Dateipfad später im Debugger eingetragen.
Man erstellt also einen Ordner mit folgendem Pfad und Namen (Name ist aber frei wählbar):
c:\symbols
Nun die richtige Version des Debuggers installieren und diesen dann starten.
Der Debugger kontaktiert zur Analyse online den Windows-Server. Diesen muß man manuell als Sympol Path File eintragen, zusammen mit dem oben angelegten Pfad für die Symbole.
Dazu unter dem Menüpunkt File -> Symbol Path File (Strg + S) folgendes eintragen (eventuell den Teil "c:\symbols" durch den eigenen Pfad ersetzen):
SRV*c:\symbols*msdl.microsoft.com/download/symbols
[Blockierte Grafik: http://img530.imageshack.us/img530/6958/sympols.jpg]
Als letzte Vorbereitung gibt man dem Debugger noch das Windows-Systemverzeichnis bekannt:
File -> Image File Path (Strg + I) auswählen und folgendes eintragen:
C:\Windows\System32
[Blockierte Grafik: http://img97.imageshack.us/img97/8868/filepath.jpg]
2. Analyse starten
Nun im Debugger unter File -> Open Crash Dumb (Ctrl + D) den Pfad zum gewünschten Minidump einstellen:
[Blockierte Grafik: http://img814.imageshack.us/img814/9502/opendump.jpg]
Der Debugger kontaktiert nun den oben eingestellten Windows-Server, erstellt die Symbole und bereitet die Analyse vor. Dies kann einige Zeit dauern.
Wenn er fertig ist, sieht man links unten im Fenter der Analyse die Zeichen:
0: kd>
Während er arbeitet steht dort:
*BUSY*
Im Textfeld findet man einen blau unterlegten Link mit Namen:
!analyze -v
[Blockierte Grafik: http://img706.imageshack.us/img706/4421/analyseu.jpg]
Diesen anklicken, und es werden weitere Daten online abgefragt, was wieder einige Zeit dauern kann.
Eine weitere "Bug Check Analysis" taucht in dem Fenter auf. Diesmal mit mehr Informationen.
Interessant ist hier nun der Bereich DEFAULT_BUCKET_ID: Hier steht nun der erste Hinweis auf den Übeltäter - er bekommt ein Gesicht.
In meinem Beispiel findet man den den Eintrag
COMMON_SYSTEM_FAULT
(aha - dann ist ja alles klar...)
[Blockierte Grafik: http://img227.imageshack.us/img227/8526/analyse2.jpg]
Etwas weiter unten wird es konkreter - man sucht nach den Einträgen:
IMAGE_NAME: und MODULE_NAME
[Blockierte Grafik: http://img687.imageshack.us/img687/9438/analyse3.jpg]
Und lernt die Datei win32k.sys kennen - der Übeltäter bekommt einen Namen, auch wenn der "Peter Schmidt" der Windows-Dateien noch keine wirkliche Erleuchtung bringt.
Aber noch ist man nicht am Ende der Möglichkeiten: um an weitere Informationen zu kommen, muß man allerdings tiefer graben.
3. Ergebnis deuten
Um den Debugger mehr Informationen zu entlocken, braucht man zum Glück keine Kristallkugel -man kann unten im Fenster des Debuggers nebem dem Infofeld (mit dem Inhalt"0: kd>") weitere Parameter vorgeben.
Hier gibt man nun folgenden Befehl mit:
lmv
[Blockierte Grafik: http://img20.imageshack.us/img20/9967/lmvn.jpg]
Wieder dauert das Ergebnis eine Weile. Wenn unten im Infofeld die Anzeige von "*BUSY*" auf "0: kd>" umspringt, ist der Debugger fertig und man kann unter Edit -> Find (Ctrl + F) den Übeltäter weiter entzaubern (Suchrichtung beachten):
[Blockierte Grafik: http://img221.imageshack.us/img221/9793/find.jpg]
Etwas unterhalb des Suchergebnisses enttarnt sich der Schuldige endgültig. Der Eintrag FileDescription gibt hier Gewissheit:
Der Grafikkarten-Treiber quält das System (welch Überraschung)!
[Blockierte Grafik: http://img839.imageshack.us/img839/3743/beltter.jpg]
Weitere Infos zu dem Thema findet man hier.
Das war´s!
Sollten sich noch Fehler eingeschlichen haben, bitte korrigieren.
Ab jetzt gibt es also keine Ausrede mehr - jeder kann selbst zum Analyse-Profi werden. Auch wenn die Suchergebnisse nicht immer leicht zu interpretieren sein werden, aber für Restzweifel gibt es ja noch das Forum.
lg
Deva
hier aus aktuellem Anlaß eine Schritt-für-Schritt-Anleitung, um selbstständig die mysteriösen Bluescreens von Windows zu analysieren.
Getestet habe ich es mit dem aktuellen SDK unter Windows 7:
1. Vorbereitung
Um ein Minidump auswerten zu können, muß er überhaupt erst mal angelegt werden.
Dazu sollte in den erweiterten Systemeinstellungen das Kernelspeicherabbild eingeschaltet und "Automatisch Neustart durchführen" ausgeschaltet sein (der Pfad zum Minidump ist in der Regel %SystemRoot%MEMORY.DMP):
[Blockierte Grafik: http://img841.imageshack.us/img841/7417/kernelabbild.jpg]
Nun benötigt man die richtige Version des Windows Debug-Tools WinDbg aus dem SDK, um die Minidum-Datei analysieren zu können:
a) 32-bit: klick
b) 64-bit: klick
Der Minidump ist eben nur Mini - für den großen Rundumschlag benötigt Windows einen Cache-Ordner, in dem die Binärdateien zur vollständigen Analyse geladen werden können und in dem die sogenannten Symbole der Abbilddatei gespeichert werden können. Hierzu muß zum einen ein Dateipfad mit einem Ordner angelegt werden, zum anderen wird dieser Dateipfad später im Debugger eingetragen.
Man erstellt also einen Ordner mit folgendem Pfad und Namen (Name ist aber frei wählbar):
c:\symbols
Nun die richtige Version des Debuggers installieren und diesen dann starten.
Der Debugger kontaktiert zur Analyse online den Windows-Server. Diesen muß man manuell als Sympol Path File eintragen, zusammen mit dem oben angelegten Pfad für die Symbole.
Dazu unter dem Menüpunkt File -> Symbol Path File (Strg + S) folgendes eintragen (eventuell den Teil "c:\symbols" durch den eigenen Pfad ersetzen):
SRV*c:\symbols*msdl.microsoft.com/download/symbols
[Blockierte Grafik: http://img530.imageshack.us/img530/6958/sympols.jpg]
Als letzte Vorbereitung gibt man dem Debugger noch das Windows-Systemverzeichnis bekannt:
File -> Image File Path (Strg + I) auswählen und folgendes eintragen:
C:\Windows\System32
[Blockierte Grafik: http://img97.imageshack.us/img97/8868/filepath.jpg]
2. Analyse starten
Nun im Debugger unter File -> Open Crash Dumb (Ctrl + D) den Pfad zum gewünschten Minidump einstellen:
[Blockierte Grafik: http://img814.imageshack.us/img814/9502/opendump.jpg]
Der Debugger kontaktiert nun den oben eingestellten Windows-Server, erstellt die Symbole und bereitet die Analyse vor. Dies kann einige Zeit dauern.
Wenn er fertig ist, sieht man links unten im Fenter der Analyse die Zeichen:
0: kd>
Während er arbeitet steht dort:
*BUSY*
Im Textfeld findet man einen blau unterlegten Link mit Namen:
!analyze -v
[Blockierte Grafik: http://img706.imageshack.us/img706/4421/analyseu.jpg]
Diesen anklicken, und es werden weitere Daten online abgefragt, was wieder einige Zeit dauern kann.
Eine weitere "Bug Check Analysis" taucht in dem Fenter auf. Diesmal mit mehr Informationen.
Interessant ist hier nun der Bereich DEFAULT_BUCKET_ID: Hier steht nun der erste Hinweis auf den Übeltäter - er bekommt ein Gesicht.
In meinem Beispiel findet man den den Eintrag
COMMON_SYSTEM_FAULT
(aha - dann ist ja alles klar...)
[Blockierte Grafik: http://img227.imageshack.us/img227/8526/analyse2.jpg]
Etwas weiter unten wird es konkreter - man sucht nach den Einträgen:
IMAGE_NAME: und MODULE_NAME
[Blockierte Grafik: http://img687.imageshack.us/img687/9438/analyse3.jpg]
Und lernt die Datei win32k.sys kennen - der Übeltäter bekommt einen Namen, auch wenn der "Peter Schmidt" der Windows-Dateien noch keine wirkliche Erleuchtung bringt.
Aber noch ist man nicht am Ende der Möglichkeiten: um an weitere Informationen zu kommen, muß man allerdings tiefer graben.
3. Ergebnis deuten
Um den Debugger mehr Informationen zu entlocken, braucht man zum Glück keine Kristallkugel -man kann unten im Fenster des Debuggers nebem dem Infofeld (mit dem Inhalt"0: kd>") weitere Parameter vorgeben.
Hier gibt man nun folgenden Befehl mit:
lmv
[Blockierte Grafik: http://img20.imageshack.us/img20/9967/lmvn.jpg]
Wieder dauert das Ergebnis eine Weile. Wenn unten im Infofeld die Anzeige von "*BUSY*" auf "0: kd>" umspringt, ist der Debugger fertig und man kann unter Edit -> Find (Ctrl + F) den Übeltäter weiter entzaubern (Suchrichtung beachten):
[Blockierte Grafik: http://img221.imageshack.us/img221/9793/find.jpg]
Etwas unterhalb des Suchergebnisses enttarnt sich der Schuldige endgültig. Der Eintrag FileDescription gibt hier Gewissheit:
Der Grafikkarten-Treiber quält das System (welch Überraschung)!
[Blockierte Grafik: http://img839.imageshack.us/img839/3743/beltter.jpg]
Weitere Infos zu dem Thema findet man hier.
Das war´s!
Sollten sich noch Fehler eingeschlichen haben, bitte korrigieren.
Ab jetzt gibt es also keine Ausrede mehr - jeder kann selbst zum Analyse-Profi werden. Auch wenn die Suchergebnisse nicht immer leicht zu interpretieren sein werden, aber für Restzweifel gibt es ja noch das Forum.
lg
Deva
[Blockierte Grafik: http://img135.imageshack.us/img135/7013/xpsteamdeva.png]
XPS M1730 - Smoke Grey • Core 2 Extreme X9000 3.0 Ghz • Dual SLI 512MB 8800GTX • 8 GB RAM • 500 GB Seagate Momentus • 120 GB SSD Intel 320
XPS M1730 - Smoke Grey • Core 2 Extreme X9000 3.0 Ghz • Dual SLI 512MB 8800GTX • 8 GB RAM • 500 GB Seagate Momentus • 120 GB SSD Intel 320
Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von Deva () aus folgendem Grund: Fehlerkorrektur