Grund eines BlueScreens – Anleitung zur Fehlersuche

Ich hatte mir schon seit langem vorgenommen eine kurze Anleitung zum Thema BSOD zu schreiben.
Wie gehe ich bei der Suche nach dem Grund eines BlueScreens vor?
Wie hilft mir die “Memory.dmp“? Und Wie werte ich sie aus?.

Gestern musst ich mal wieder die Ursache für einen BlueScreen finden, also habe ich die Gelegenheit genutzt und hier eine kurze Anleitung zusammengefasst.
Systemabstürze werden in der Regel in einer Datei namens Memory.dmp gespeichert.
Diese Datei ist also die Voraussetzung für die Analyse.
Um den eigentlichen Grund eines BlueScreens finden zu können, muss die Memory.dmp dann mt den “Debugging Tools for Windows“ ausgelesen werden.

Vorraussetzungen für das Erzeugen einer “Memory.dmp” Datei

1. Diese Einstellung kann in den Systemeigenschaften des Windows Computers vorgenommen werden. Zu den Systemeingenschaften gelangt man über das System Applet “sysdm.cpl“.
2. Auf der Karteikarte “Erweitert” sollte man folgende Einstellungen vornehmen:
   – Deaktivieren der Option “Automatisch Neustart durchführen“
   – Im Listenfeld Debuginformationen sollte man idealerweise den Eintrag “Kernelspeicherabbild” auswählen.
   – Die Option “Vorhandene Datei überschreiben” sollte aktiviert werden.
   – Hier kann man auch den Ablageort der “Memory.dmp” Datei einsehen und ggf. anpassen.

Sollte keine neue “Memory.dmp“ Datei erzeugt werden oder erzeugt worden sein, so kann man auch manuel eine erzeugen lassen.
Wie man dieses macht in dem folgenden KB Artikel beschrieben.
Link : https://support.microsoft.com/kb/244139

Den STOP-Fehler nachschlagen

Um einen ersten Hinweis auf die Fehlerursache zu erhalten, kann man nach dem STOP-Fehler auf folgender Seite nachsehen. Hier sind die STOP-Fehler in Kategorien unterteilt und man kann jetzt schon feststellen aus welcher Richtung die Fehlerursache kommt.
Link : https://aumha.org/a/stop.htm

Die Memory.dmp Datei auswerten

Um diese Datei auswerten zu können müssen Sie auf einem Computer, die “Debugging Tools for Windows” installieren.
Dafür muss nicht der Computer verwendet werden, bei dem der Fehler aufgetreten ist.
Link : https://msdn.microsoft.com/en-us/windows/hardware/gg463009.aspx

Um den Grund eines BlueScreens zu finden, muss nach der Computer nach Installation der “WinDbg” noch konfiguriert werden.
Das ist notwendig, um die “Memory.dmp” Datei auswerten zu können.
Wir müssen hier konfigurieren, woher der Debugger seine “Symboldateien” bezieht um die Anlalyse auszuführen.
 

Konfiguration der Debugging Tools for Windows

1. Auf dem Computer einen Ordner anlegen z.B. “C:\WinDbg\Symbols“.
2. “WinDbg” starten und im Menü “File” den Befehl “Symbol File Path” auswählen. Hier tragen Sie dann folgende Zeile ein SRV*C:\WinDbg\Symbols*https://msdl.microsoft.com/download/symbols.
   Der Pfad “C:\WinDbg\Symbols” ist der Ordner welchen sie unter ( 1. ) angelegt haben.
3. Nun können Sie die “Memory.dmp” Datei auf den Computer kopieren und über das Menü “File” -> “Open Crash Dump“. Nun started der Windows Debugger mit der Auswertung der “Memory.dmp” Datei und wir bekommen einen ersten Tipp für die Ursache geliefert.
   => “Probably caused by“

    

4. Um eine ausführlichere Auswertung zu erhalten können wir in dem unteren Textfeld des “Command” Fensters den Befehl “!analyze -v” eingeben und mit der Enter Taste bestätigen. Nun werden mehr Informationen ausgegeben wobei die erste Zeil gleich für unsere Auswertung Interessant ist. In der ersten Zeile wird der symbolische Name des Fehlers in Großbuchstaben ausgegeben.
   z.B. ATTEMPTED_WRITE_TO_READONLY_MEMORYZu diesem Fehler kann es sein, dass der “WinDbg” bereits mehr weiß und schon Tipps zur Fehlerbehebung gibt.
   Sie können im unteren Textfeld des “Command” Fensters folgenden Befehl eingeben .hh gefolgt von dem Fehlernamen.
   z.B. .hh ATTEMPTED_WRITE_TO_READONLY_MEMORY
5. Ein Blick auf die weitere Ausgabe gibt uns weiteren Aufschluß über die Fehlerursache.
   STACK_TEXT = Hier wird der Inhalt des Stack aufgelistet, welcher vom Prozessor abgearbeitet wurde mit der zuletzt aufgerufenen Funktion in Hexadezimalwerten. In der letzten Spalte werden die Namen der beteiligten Treiber und Systemdateien. Der Eintrag vor dem Ausrufezeichen ist die entsprechende Datei, an deren Namen meist ein .sys anzuhängen ist. Die im Stack aufgelisteten Dateien kommen in den Kreis der Verdächtigen, sofern ihr Name nicht nt ist.
6. Nun machen wir uns daran herauszufinden wer der Hersteller der Dateien ist, welche den BlueScreen verursacht haben.
   Wenn man die Dateien auf dem Server gefunden hat, kann man an folgenden Stellen nach Hinweisen auf den Hersteller finden:
   – Ordnername in welcher die Datei liegt
   – Dateieigenschaften
   – Version
   – Herstellernamen
   Schon sind wir dem Grund eines Bluescreens wieder deutlich näher.
7. Nun kann man beim Hersteller auf der Supportseite nach einer Problemlösung oder nach einer neuen Version des Treibers/Datei suchen. Auch eine Suche bei Microsoft auf der Knowledge Base führt sehr oft zu Problemlösungen.
   Link : https://support.microsoft.com/search/