Hallo und herzlich willkommen, heute zeige ich Ihnen wie Sie den Windows Debugger installieren und damit einen Crash Dump analysieren.

WinDbg herunterladen und installieren:

WinDbg download

Als aller erstes gehen wir einmal auf folgenden Link: www.windgb.org und laden uns dort wie im Bild markiert den Debugger herunter.

windbg herunterladen

Falls Sie ein 32 Bit System haben laden Sie bitte den x86 herunter andernfalls die x64 Variante. Die Installation des Debugger ist eigentlich recht einfach gehen Sie dazu in den Download Ordner doppelklicken Sie die Installationsdatei und nach einigen Augenblicken ist die Installation fertiggestellt dabei werden Sie feststellen dass keine Bestätigung angezeigt wird, die Installation hat dennoch funktioniert. In Ihrem Startmenü sollten Sie nun eine Verknüpfung mit dem Namen WinDbg vorfinden.

windbg starten

WinDbg starten und Konfigurieren

Um den Debugger zu starten müssen wir ihn zunächst einmal mit der rechten Maustaste anklicken und im Kontextmenü „als Administrator ausführen“ anklicken.

windbg als administrator starten

Das nachfolgende Fenster beantworten wir mit ja und schon sollte der Debugger starten. Bevor wir jetzt den Bluescreen analysieren können müssen wir zunächst einmal den Symbolpfad einstellen dazu gehen wir oben links auf File, dann auf Symbol File Path…

windbg symbol pfad zuweisen

Im nachfolgenden Dialog tragen wir folgendes ein:

http://msdl.microsoft.com/download/symbols

windbg symbol pfad zuweisen 2

Dies können Sie gern mit der Maus markieren, kopieren und in den Dialog einfügen. Im Anschluss bestätigen wir das ganze mit einem Klick auf OK.

Crashdump Analyse mit WinDbg

Crashdump öffnen

Um jetzt einen Crash Dump zu analysieren, gehen wir oben links im Menü auf File und dann auf Open Crash Dump,

windbg open crashdump

im nachfolgenden Auswahl Dialog navigieren wir ins Windows Verzeichnis und je nachdem wie es in der Systemsteuerung->System bei Starten und Wiederherstellen eingestellt ist befindet sich die Crash Dump Datei entweder als Mini Dump im Ordner Windows/MiniDump/ oder wie bei mir als Full Dump eingestellt im Windows Verzeichnis mit dem Namen Memory.dmp. Nun die Dump Datei auswählen und mit einem Klick auf öffnen, öffnen.

windbg open crashdump 2

Bei der Frage „Workspace base“ klicken wir auf Ja bzw. Yes.

windbg open crashdump 2 save workspace

Der Crash Dump wird jetzt geöffnet und analysiert das kann einen Moment dauern, im meinen Fall hatte ich ein Bluescreen mit dem Fehler 0x0000009F, dieser weist auf einen fehlerhaften Power State eines Treibers hin.

IRP Stack Trace ausführen

In den meisten Fällen wird wie hier im Bild gezeigt schon ein möglicher Übeltäter ausgegeben in meinem Fall der Treiber asmthub3.sys.

win 7 0x9F bluescreen crashdump analysieren

Um das ganze jetzt zu verifizieren geben wir unten in die Befehlszeile folgenden Befehl ein:

!irp Param4

win 7 0x9F bluescreen crashdump weitere analyse

Der Wert hinter !irp ist natürlich auf eurem System anders, das ist der 4. Parameter hinter Bugcheck 9F, {Param1,Param2,Param3,Param4}

Die Erklärung der Parameter in WinDbg nach einen Analyze:

windbg bedeutung der parameter

Parameter 4 ist also die Adresse des geblockten Input/Output Request Packets.

Jetzt bestätigen wir das ganze mit einem Tastendruck auf Enter.

Auch der IRP Stack Trace zeigt den Treiber asmthub3 als den Schuldigen an.

win 7 0x9F bluescreen crashdump uebeltaeter

Timestamp des Treibers anzeigen

Um jetzt einmal zu schauen wie alt der Treiber ist können wir über den Befehl:

lmvm asmthub3

win 7 0x9F bluescreen crashdump treiber zeitstempel pruefen

die Version und den Zeitstempel des Treibers auslesen, wie wir sehen ist der Treiber vom 8. Dezember 2010 und sollte daher erneuert werden.

Mögliche Lösung – Aktualisierung des Treibers

Falls ihr nicht wisst was das überhaupt für ein Treiber ist hilft es einfach nach dem Treibernamen zu googeln in diesem Fall ist es der USB 3.0 Treiber von Asus um eine neue Version zu finden einfach mal auf die Asus Webseite schauen.

Falls Ihr Hilfe benötigt dann schreibt mir doch einfach einen Kommentar. Durch ein Like, +1 oder Tweet können Bonusinhalte freigeschaltet werden. Danke!