Hallo und herzlich willkommen, heute zeige ich Ihnen wie Sie den Windows Debugger installieren und damit einen Crash Dump analysieren.
WinDbg herunterladen und installieren:
WinDbg download
Als aller erstes gehen wir einmal auf folgenden Link: www.windgb.org und laden uns dort wie im Bild markiert den Debugger herunter.
Falls Sie ein 32 Bit System haben laden Sie bitte den x86 herunter andernfalls die x64 Variante. Die Installation des Debugger ist eigentlich recht einfach gehen Sie dazu in den Download Ordner doppelklicken Sie die Installationsdatei und nach einigen Augenblicken ist die Installation fertiggestellt dabei werden Sie feststellen dass keine Bestätigung angezeigt wird, die Installation hat dennoch funktioniert. In Ihrem Startmenü sollten Sie nun eine Verknüpfung mit dem Namen WinDbg vorfinden.
WinDbg starten und Konfigurieren
Um den Debugger zu starten müssen wir ihn zunächst einmal mit der rechten Maustaste anklicken und im Kontextmenü „als Administrator ausführen“ anklicken.
Das nachfolgende Fenster beantworten wir mit ja und schon sollte der Debugger starten. Bevor wir jetzt den Bluescreen analysieren können müssen wir zunächst einmal den Symbolpfad einstellen dazu gehen wir oben links auf File, dann auf Symbol File Path…
Im nachfolgenden Dialog tragen wir folgendes ein:
http://msdl.microsoft.com/download/symbols
Dies können Sie gern mit der Maus markieren, kopieren und in den Dialog einfügen. Im Anschluss bestätigen wir das ganze mit einem Klick auf OK.
Crashdump Analyse mit WinDbg
Crashdump öffnen
Um jetzt einen Crash Dump zu analysieren, gehen wir oben links im Menü auf File und dann auf Open Crash Dump,
im nachfolgenden Auswahl Dialog navigieren wir ins Windows Verzeichnis und je nachdem wie es in der Systemsteuerung->System bei Starten und Wiederherstellen eingestellt ist befindet sich die Crash Dump Datei entweder als Mini Dump im Ordner Windows/MiniDump/ oder wie bei mir als Full Dump eingestellt im Windows Verzeichnis mit dem Namen Memory.dmp. Nun die Dump Datei auswählen und mit einem Klick auf öffnen, öffnen.
Bei der Frage „Workspace base“ klicken wir auf Ja bzw. Yes.
Der Crash Dump wird jetzt geöffnet und analysiert das kann einen Moment dauern, im meinen Fall hatte ich ein Bluescreen mit dem Fehler 0x0000009F, dieser weist auf einen fehlerhaften Power State eines Treibers hin.
IRP Stack Trace ausführen
In den meisten Fällen wird wie hier im Bild gezeigt schon ein möglicher Übeltäter ausgegeben in meinem Fall der Treiber asmthub3.sys.
Um das ganze jetzt zu verifizieren geben wir unten in die Befehlszeile folgenden Befehl ein:
!irp Param4
Der Wert hinter !irp ist natürlich auf eurem System anders, das ist der 4. Parameter hinter Bugcheck 9F, {Param1,Param2,Param3,Param4}
Die Erklärung der Parameter in WinDbg nach einen Analyze:
Parameter 4 ist also die Adresse des geblockten Input/Output Request Packets.
Jetzt bestätigen wir das ganze mit einem Tastendruck auf Enter.
Auch der IRP Stack Trace zeigt den Treiber asmthub3 als den Schuldigen an.
Timestamp des Treibers anzeigen
Um jetzt einmal zu schauen wie alt der Treiber ist können wir über den Befehl:
lmvm asmthub3
die Version und den Zeitstempel des Treibers auslesen, wie wir sehen ist der Treiber vom 8. Dezember 2010 und sollte daher erneuert werden.
Mögliche Lösung – Aktualisierung des Treibers
Falls ihr nicht wisst was das überhaupt für ein Treiber ist hilft es einfach nach dem Treibernamen zu googeln in diesem Fall ist es der USB 3.0 Treiber von Asus um eine neue Version zu finden einfach mal auf die Asus Webseite schauen.
Falls Ihr Hilfe benötigt dann schreibt mir doch einfach einen Kommentar. Durch ein Like, +1 oder Tweet können Bonusinhalte freigeschaltet werden. Danke!