WCM Forum - Einzelnen Beitrag anzeigen

okuhl · 08.01.2005, 23:45

Hi,

da gab es neulich eine tolle Anleitung in der c't 10/2004, wie man die Kernel-Dumps unter Windows XP analysieren kann. Die schreibt Windows XP, wenn ein Bluescreen auftritt. Ich habe das neulich auch mal mit Erfolg gemacht. Hier mal ein Versuch, das in einer Kurzfassung zu erläutern:

1.) Kernel-Dump speichern
Rechte Maustaste auf Arbeitsplatz -> Eigenschaften -> Erweitert -> Einstellungen (bei Starten und Wiederherstellen) -> "Kernelspeicherabbild" auswählen (bei Debuginformationen speichern"

2.) Im gleichen Dialog wie bei 1.) "Vorhandene Dateien überschreiben anhaken". Somit kann das Abbild immer gespeichert werden - auch wenn da schon eine Datei liegt.

3.) Software runterladen
Die gibts hier: http://www.heise.de/ct/04/10/links/110.shtml

Unbedingt nötig: WinDbg - der Debugger, mit dem man das Abbild analysieren kann. Der braucht dann noch sog. Symboldateien, die mit 170 MB jedoch nur was für DSLer sind. Alternativ kann man den Debugger noch so konfigurieren, dass der nur die benötigten Symbole aus dem Internet runterlädt (siehe 5.)

4.) WinDbg installieren

5.) Symbolquellen im WinDbg angeben
Unter "File -> Symbol File Path" muss nun folgendes eingetragen werden, damit die Symbole aus dem Netz gesaugt werden:

SRV*C:\Symbols*http://msdl.microsoft.com/download/symbols

Verzeichnis C:\Symbols bitte vorher anlegen. Am besten GENAU DORT - ich hatte Probleme mit einem anderen Pfad.

Wer das dicke Symbol-Paket gesaugt hat, muss das dann hier wohl alternativ angeben.

6.) Speicherabbild laden
In WinDbg unter "File/Open Crash Dump" das Dumpfile laden. Sollte unter "%SystemRoot%\MEMORY.DMP" - also z.B. unter C:\MEMORY.DMP liegen.

7.) In dem Command-Fenster des WinDbg sieht man dann meist schon ein "Probably caused by", das meistens hinhaut. Ist das z.B. eine Treiberdatei à la "{Treibername}.sys", so sollte man den Treiber gleich mal updaten.

8.) Weiter analysieren
Unten im Command-Fenster kann man dann noch "!analyze -v" eingeben, was noch mehr verwirrendes Zeug enthält und auch noch diverse andere Befehle sind möglich. Aber das ist dann wohl nur noch was für Profis...

Na dann hau mal rein - vielleicht findest Du ja den Übeltäter. ;-)

Gruss,
Oliver.

08.01.2005, 23:45	#5
okuhl Jr. Member Registriert seit: 05.01.2003 Beiträge: 39	Crash-Analyse Hi, da gab es neulich eine tolle Anleitung in der c't 10/2004, wie man die Kernel-Dumps unter Windows XP analysieren kann. Die schreibt Windows XP, wenn ein Bluescreen auftritt. Ich habe das neulich auch mal mit Erfolg gemacht. Hier mal ein Versuch, das in einer Kurzfassung zu erläutern: 1.) Kernel-Dump speichern Rechte Maustaste auf Arbeitsplatz -> Eigenschaften -> Erweitert -> Einstellungen (bei Starten und Wiederherstellen) -> "Kernelspeicherabbild" auswählen (bei Debuginformationen speichern" 2.) Im gleichen Dialog wie bei 1.) "Vorhandene Dateien überschreiben anhaken". Somit kann das Abbild immer gespeichert werden - auch wenn da schon eine Datei liegt. 3.) Software runterladen Die gibts hier: http://www.heise.de/ct/04/10/links/110.shtml Unbedingt nötig: WinDbg - der Debugger, mit dem man das Abbild analysieren kann. Der braucht dann noch sog. Symboldateien, die mit 170 MB jedoch nur was für DSLer sind. Alternativ kann man den Debugger noch so konfigurieren, dass der nur die benötigten Symbole aus dem Internet runterlädt (siehe 5.) 4.) WinDbg installieren 5.) Symbolquellen im WinDbg angeben Unter "File -> Symbol File Path" muss nun folgendes eingetragen werden, damit die Symbole aus dem Netz gesaugt werden: SRVC:\Symbolshttp://msdl.microsoft.com/download/symbols Verzeichnis C:\Symbols bitte vorher anlegen. Am besten GENAU DORT - ich hatte Probleme mit einem anderen Pfad. Wer das dicke Symbol-Paket gesaugt hat, muss das dann hier wohl alternativ angeben. 6.) Speicherabbild laden In WinDbg unter "File/Open Crash Dump" das Dumpfile laden. Sollte unter "%SystemRoot%\MEMORY.DMP" - also z.B. unter C:\MEMORY.DMP liegen. 7.) In dem Command-Fenster des WinDbg sieht man dann meist schon ein "Probably caused by", das meistens hinhaut. Ist das z.B. eine Treiberdatei à la "{Treibername}.sys", so sollte man den Treiber gleich mal updaten. 8.) Weiter analysieren Unten im Command-Fenster kann man dann noch "!analyze -v" eingeben, was noch mehr verwirrendes Zeug enthält und auch noch diverse andere Befehle sind möglich. Aber das ist dann wohl nur noch was für Profis... Na dann hau mal rein - vielleicht findest Du ja den Übeltäter. ;-) Gruss, Oliver.