Tool das Abstürze und die verursachenden Programme Dateien mitloggt
Hallo zusammen,
ich hab bei einigen unserer Windows XP Clients das Problem das sie in unregelmäßige Abständen "Bluescreens" bekommen, aber ich komm nicht darauf was dies plötzlich auslösen soll, die Windowsprotokollierung gibt mir da leider auch keine Auskunft, kennt jemand ein Tool das mir solche Vorgänge im Hintergrund mitloggt? Damit ich den Auslöser für unser Bluescreenproblem finde.
Vielen Dank.
ich hab bei einigen unserer Windows XP Clients das Problem das sie in unregelmäßige Abständen "Bluescreens" bekommen, aber ich komm nicht darauf was dies plötzlich auslösen soll, die Windowsprotokollierung gibt mir da leider auch keine Auskunft, kennt jemand ein Tool das mir solche Vorgänge im Hintergrund mitloggt? Damit ich den Auslöser für unser Bluescreenproblem finde.
Vielen Dank.
Please also mark the comments that contributed to the solution of the article
Content-Key: 117490
Url: https://administrator.de/contentid/117490
Printed on: April 23, 2024 at 08:04 o'clock
5 Comments
Latest comment
Hallo,
da gibt es einiges zu tun.
Als erstes solltest du folgendes kontrollieren:
Start\Einstellungen\Systemsteuerung\System\Starten und Wiederherstellen.
Hier Option "Automatischer Neustart durchführen" ausschalten
gleichzeitig sollte unter Debuginformationen Speichern die Option "Kleines Speicherbild" ausgewählt werden.
Die dadurch erzeugten Dateien nennt man Minidumps und werden meist in %SystemRoot%Minidump gespeichert.
Wenn du nun einen BlueScreen bekommst, wird eine Minidup Datei erzeugt.
Diese kann man auslesen und auswerten.
Von der Microsoft Seite das Tool : Debugging Tool für Windows 32 bit Version runterladen und installieren
http://www.microsoft.com/whdc/devtools/debugging/installx86.mspx
Als nächstes unter C:\ einen Ordner Symbols erstellen
Windebugger starten
Damit WinDbg etwas mit den Daten anfangen kann, die sich in der Speicherabbilddatei befinden, braucht es
zusätzliche Informationsdateien.
Diese muss man ebenfalls von Microsoft runterladen.
Das Problem: Diese Daten müssen zu der installierten Version von Windows inkl. aller Patches und Updates passen.
Dazu:
Im Win Debugger auf File klicken
Symbol File Path auswählen und folgeden Pfad eintragen:
SRV*c:\Symbols*http://msdl.Microsoft.com/download/symbol
Als nächstes öffnen wir eine Speicherabbild-Datei.
Dazu wählt man im Menü „File“ den Befehl „Open Crash Dump...“
Um die Speicherabbild-Datei Analyse zu starten, klickt man nun auf den !analyze –v Link oder gibt den Befehl:
!analyze –v in die Kommandozeile ein.
WinDbg beginnt nun mit der Analyse der Speicherabbild-Datei und zeigt alle möglichen Informationen an. Die
Informationen, die Aufschluss über die Ursache des Blue Screens geben, erhält man In der Zeile:
„Probably caused by: abcDriver.sys (abcDriver+xyz123)
Eine Bestätigung erhält man, nachdem die Speicherabbild-Dateien analysiert wurden, in der Zeile:
Failure_Bucket_ID: abcDriver.sys!abc+xyz123
Nun kennt man den Treiber der für den Absturz verantwortlich ist, und kann zur Lösung des Problems (falls
noch nötig und falls Windows nicht selber das Problem behoben hat) übergehen.
Darüber habe ich mal eine Hausarbeit geschrieben ^^
da gibt es einiges zu tun.
Als erstes solltest du folgendes kontrollieren:
Start\Einstellungen\Systemsteuerung\System\Starten und Wiederherstellen.
Hier Option "Automatischer Neustart durchführen" ausschalten
gleichzeitig sollte unter Debuginformationen Speichern die Option "Kleines Speicherbild" ausgewählt werden.
Die dadurch erzeugten Dateien nennt man Minidumps und werden meist in %SystemRoot%Minidump gespeichert.
Wenn du nun einen BlueScreen bekommst, wird eine Minidup Datei erzeugt.
Diese kann man auslesen und auswerten.
Von der Microsoft Seite das Tool : Debugging Tool für Windows 32 bit Version runterladen und installieren
http://www.microsoft.com/whdc/devtools/debugging/installx86.mspx
Als nächstes unter C:\ einen Ordner Symbols erstellen
Windebugger starten
Damit WinDbg etwas mit den Daten anfangen kann, die sich in der Speicherabbilddatei befinden, braucht es
zusätzliche Informationsdateien.
Diese muss man ebenfalls von Microsoft runterladen.
Das Problem: Diese Daten müssen zu der installierten Version von Windows inkl. aller Patches und Updates passen.
Dazu:
Im Win Debugger auf File klicken
Symbol File Path auswählen und folgeden Pfad eintragen:
SRV*c:\Symbols*http://msdl.Microsoft.com/download/symbol
Als nächstes öffnen wir eine Speicherabbild-Datei.
Dazu wählt man im Menü „File“ den Befehl „Open Crash Dump...“
Um die Speicherabbild-Datei Analyse zu starten, klickt man nun auf den !analyze –v Link oder gibt den Befehl:
!analyze –v in die Kommandozeile ein.
WinDbg beginnt nun mit der Analyse der Speicherabbild-Datei und zeigt alle möglichen Informationen an. Die
Informationen, die Aufschluss über die Ursache des Blue Screens geben, erhält man In der Zeile:
„Probably caused by: abcDriver.sys (abcDriver+xyz123)
Eine Bestätigung erhält man, nachdem die Speicherabbild-Dateien analysiert wurden, in der Zeile:
Failure_Bucket_ID: abcDriver.sys!abc+xyz123
Nun kennt man den Treiber der für den Absturz verantwortlich ist, und kann zur Lösung des Problems (falls
noch nötig und falls Windows nicht selber das Problem behoben hat) übergehen.
Darüber habe ich mal eine Hausarbeit geschrieben ^^
Laut dieser Anleitung Bluescreenanalyse unter Windows
soll sich der Pfad der Symbols Ordner geändert haben.
Falls es mit dem oberen Pfad nicht funktioniert, versuche diesen:
SRV*c:\websymbols*http://msdl.microsoft.com/download/symbol ...
PS:
Was noch wichtig ist, die Analyse de MInidump Dateien sollte nach Möglichkeit auf dem selben PC durchgeführt werden auf dem auch die Bluescreens erscheinen.
Grund ist der, dass ein anderer PC unter Umständen einen anderen Patchstand hat und somit andere Symbols läd, die dann nicht mehr zur Minidump passen und somit eine Analyse nicht möglich ist, bzw fehlerhaft.
Was in der oben schon existierenden Anleitung nicht erwähnt wird, ist die Dateiausführungsverhinderung. Diese sollte nach Möglichkeit abgeschaltet werden, da sie ja ein Mitverursacher eines Bluescreens sein kann und somit die Minidump verfälscht.
Diese schaltet man am Besten in der Boot.ini Datei auf C:\ aus, mit der Option /nonexecute=AlwaysOff
soll sich der Pfad der Symbols Ordner geändert haben.
Falls es mit dem oberen Pfad nicht funktioniert, versuche diesen:
SRV*c:\websymbols*http://msdl.microsoft.com/download/symbol ...
PS:
Was noch wichtig ist, die Analyse de MInidump Dateien sollte nach Möglichkeit auf dem selben PC durchgeführt werden auf dem auch die Bluescreens erscheinen.
Grund ist der, dass ein anderer PC unter Umständen einen anderen Patchstand hat und somit andere Symbols läd, die dann nicht mehr zur Minidump passen und somit eine Analyse nicht möglich ist, bzw fehlerhaft.
Was in der oben schon existierenden Anleitung nicht erwähnt wird, ist die Dateiausführungsverhinderung. Diese sollte nach Möglichkeit abgeschaltet werden, da sie ja ein Mitverursacher eines Bluescreens sein kann und somit die Minidump verfälscht.
Diese schaltet man am Besten in der Boot.ini Datei auf C:\ aus, mit der Option /nonexecute=AlwaysOff
Den verantwortlichen Treiber müsste man in Verbindung mit dem Processexplorer, dem unteren Panel mit den geladenen Files, die dazu gehöre Base-Adresse und der Fehleradresse auch rausbekommen können, vorausgesetzt natürlich, das System läuft nicht vorher wieder in einen Bluescreen.
Zur Deaktivierung der Datenausführungsverhinderung
reicht auch ein /EXECUTE, das nur in einer 32-Bit-Softwareumgebung Wirkung zeigt.
Zur Deaktivierung der Datenausführungsverhinderung
der Boot.ini Datei auf C:\ aus, mit der Option /nonexecute=AlwaysOff
reicht auch ein /EXECUTE, das nur in einer 32-Bit-Softwareumgebung Wirkung zeigt.