Lesen der kleinen Speicherabbilddatei, die von Windows bei einem Absturz erstellt wird

  • Artikel

In diesem Artikel wird beschrieben, wie Sie eine kleine Speicherabbilddatei untersuchen. Eine kleine Speicherabbilddatei kann Ihnen helfen, den Grund für einen Computerfehler zu ermitteln.

Gilt für Alle unterstützten Versionen von Windows Client und Windows Server

Ursprüngliche KB-Nummer: 315263

Hinweis

Informationen zum Debuggen für Windows 8 oder höher finden Sie unter Debugtools für Windows (WinDbg, KD, CDB, NTSD). Weitere Informationen zu kleinen Speicherabbildern finden Sie unter Kleiner Speicherabbild.

Kleine Speicherabbilddateien

Wie können Sie bei einem Ausfall Ihres Computers feststellen, was aufgetreten ist, das Problem beheben und verhindern, dass es erneut auftritt? In diesem Fall ist die kleine Speicherabbilddatei möglicherweise hilfreich. Die kleine Speicherabbilddatei enthält die kleinste Menge nützlicher Informationen, mit denen Sie ermitteln können, warum Ihr Computer ausgefallen ist. Die Speicherabbilddatei enthält die folgenden Informationen:

  • Die Stop-Nachricht, ihre Parameter und andere Daten
  • Eine Liste der geladenen Treiber
  • Der Prozessorkontext (PRCB) für den Prozessor, der beendet wurde
  • Prozessinformationen und Kernelkontext (EPROCESS) für den beendeten Prozess
  • Die Prozessinformationen und der Kernelkontext (ETHREAD) für den thread, der beendet wurde
  • Aufrufliste im Kernelmodus für den beendeten Thread

Um eine Speicherabbilddatei zu erstellen, erfordert Windows eine Auslagerungsdatei auf dem Startvolume, die mindestens 2 Megabyte (MB) groß ist. Auf Computern, auf denen Microsoft Windows 2000 oder eine höhere Version von Windows ausgeführt wird, wird jedes Mal, wenn ein Computerfehler auftritt, eine neue Speicherabbilddatei erstellt. Ein Verlauf dieser Dateien wird in einem Ordner gespeichert. Wenn ein zweites Problem auftritt und Windows eine zweite kleine Speicherabbilddatei erstellt, behält Windows die vorherige Datei bei. Windows gibt jeder Datei einen eindeutigen, datumscodierten Dateinamen. Beispielsweise ist Mini022900-01.dmp die erste Speicherabbilddatei, die am 29. Februar 2000 generiert wurde. Windows führt eine Liste aller kleinen Speicherabbilddateien im Ordner %SystemRoot%\Minidump .

Die kleine Speicherabbilddatei kann nützlich sein, wenn der Speicherplatz auf der Festplatte begrenzt ist. Aufgrund der eingeschränkten Informationen, die enthalten sind, werden Fehler, die nicht direkt durch den Thread verursacht wurden, der zum Zeitpunkt des Problems ausgeführt wurde, möglicherweise nicht durch eine Analyse dieser Datei erkannt.

Konfigurieren des Speicherabbildtyps

Führen Sie die folgenden Schritte aus, um Start- und Wiederherstellungsoptionen für die Verwendung der kleinen Speicherabbilddatei zu konfigurieren.

Hinweis

Die folgenden Schritte können auf Ihrem Computer je nach Ihrer Windows-Version unterschiedlich sein. Wenn sie sich unterscheiden, lesen Sie ihre Produktdokumentation, um diese Schritte auszuführen.

  1. Wählen Sie Start>Systemsteuerung aus.

  2. Doppelklicken Sie auf System, und wählen Sie dann Erweiterte Systemeinstellungen>Erweitert aus.

  3. Wählen Sie unter Start und Wiederherstellung die Option Einstellungen aus.

  4. Wählen Sie in der Liste Debuginformationen schreiben die Option Kleiner Speicherabbild (256.000) aus.

    Screenshot: Option

Um den Ordnerspeicherort für die kleinen Speicherabbilddateien zu ändern, geben Sie einen neuen Pfad in das Feld Speicherabbilddatei oder in das Feld Kleines Speicherabbildverzeichnis ein (abhängig von Ihrer Version von Windows).

Tools zum Lesen der kleinen Speicherabbilddatei

Verwenden Sie das Hilfsprogramm für die Speicherabbildüberprüfung (Dumpchk.exe), um eine Speicherabbilddatei zu lesen oder zu überprüfen, ob die Datei ordnungsgemäß erstellt wurde.

Hinweis

Das Hilfsprogramm zur Sicherungsprüfung erfordert keinen Zugriff auf Debugsymbole. Symboldateien enthalten eine Vielzahl von Daten, die beim Ausführen der Binärdateien eigentlich nicht benötigt werden. Diese Daten können jedoch beim Debuggen sehr nützlich sein.

Weitere Informationen zur Verwendung des Hilfsprogramms für die Speicherabbildüberprüfung in Windows NT, Windows 2000, Windows Server 2003 oder Windows Server 2008 finden Sie unter Verwenden von Dumpchk.exe zum Überprüfen einer Speicherabbilddatei.

Weitere Informationen zur Verwendung des Hilfsprogramms zur Speicherabbildüberprüfung in Windows XP, Windows Vista oder Windows 7 finden Sie unter Verwenden von Dumpchk.exe zum Überprüfen einer Speicherabbilddatei.

Alternativ können Sie den Windows-Debugger (WinDbg.exe) oder den Kerneldebugger (KD.exe) verwenden, um kleine Speicherabbilddateien zu lesen. WinDbg.exe und KD.exe sind in der neuesten Version des Pakets Debugtools für Windows enthalten.

Informationen zum Installieren der Debugtools finden Sie auf der Webseite Herunterladen und Installieren von Debugtools für Windows . Wählen Sie die Typische Installation aus. Standardmäßig installiert das Installationsprogramm die Debugtools im folgenden Ordner:

C:\Programme\Debugging Tools für Windows

Die Toolwebseite bietet auch Zugriff auf die herunterladbaren Symbolpakete für Windows. Weitere Informationen zu Windows-Symbolen finden Sie unter Debuggen mit Symbolen und auf der Webseite Windows-Symbolpakete herunterladen .

Weitere Informationen zu Speicherabbilddateioptionen in Windows finden Sie unter Übersicht über Speicherabbilddateioptionen für Windows.

Öffnen der Speicherabbilddatei

Führen Sie die folgenden Schritte aus, um die Speicherabbilddatei nach Abschluss der Installation zu öffnen:

  1. Wählen Sie Ausführung starten> aus, geben Sie eincmd, und wählen Sie dann OK aus.

  2. Wechseln Sie zum Ordner Debugtools für Windows . Geben Sie hierzu Folgendes an der Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE:

    cd C:\Program Files\Debugging Tools For Windows

  3. Um die Speicherabbilddatei in einen Debugger zu laden, geben Sie einen der folgenden Befehle ein, und drücken Sie dann die EINGABETASTE:

    windbg -y SymbolPath -i ImagePath -z DumpFilePath

    kd -y SymbolPath -i ImagePath -z DumpFilePath

In der folgenden Tabelle wird die Verwendung der Platzhalter erläutert, die in diesen Befehlen verwendet werden.

Platzhalter Erklärung
SymbolPath Entweder der lokale Pfad, in den die Symboldateien heruntergeladen wurden, oder der Symbolserverpfad, einschließlich eines Cacheordners. Da eine kleine Speicherabbilddatei begrenzte Informationen enthält, müssen die eigentlichen Binärdateien zusammen mit den Symbolen geladen werden, damit die Speicherabbilddatei ordnungsgemäß gelesen wird.
Imagepath Der Pfad dieser Dateien. Die Dateien befinden sich im Ordner I386 auf der Windows XP-CD-ROM. Der Pfad kann z. B. sein C:\Windows\I386.
DumpFilePath Der Pfad und Der Dateiname für die Speicherabbilddatei, die Sie untersuchen.

Beispielbefehle

Sie können die folgenden Beispielbefehle verwenden, um die Speicherabbilddatei zu öffnen. Für diese Befehle wird Folgendes vorausgesetzt:

  • Der Inhalt des Ordners I386 auf der Windows-CD-ROM wird in den Ordner C:\Windows\I386 kopiert.
  • Die Speicherabbilddatei heißt C:\Windows\Minidump\Minidump.dmp.

Beispiel 1 (Befehlszeile):

kd -y srv*C:\Symbols*https://msdl.microsoft.com/download/symbols -i C:\Windows\i386 -z C:\Windows\Minidump\minidump.dmp

Beispiel 2 (grafische Benutzeroberfläche). Wenn Sie die grafische Version des Debuggers anstelle der Befehlszeilenversion bevorzugen, geben Sie stattdessen den folgenden Befehl ein:

windbg -y srv*C:\Symbols*https://msdl.microsoft.com/download/symbols -i C:\Windows\i386 -z C:\Windows\Minidump\minidump.dmp

Untersuchen der Speicherabbilddatei

Es gibt mehrere Befehle, die Sie verwenden können, um Informationen in der Speicherabbilddatei zu sammeln, einschließlich der folgenden Befehle:

  • Der !analyze -show Befehl zeigt den Stoppfehlercode und die zugehörigen Parameter an. Der Fehlercode zum Beenden wird auch als Fehlerprüfungscode bezeichnet.
  • Der !analyze -v Befehl zeigt eine ausführliche Ausgabe an.
  • Der lm N T Befehl listet die angegebenen geladenen Module auf. Die Ausgabe enthält die status und den Pfad des Moduls.

Hinweis

In älteren Versionen von Windows (vorab windows XP) zeigt der !drivers Erweiterungsbefehl eine Liste aller Treiber an, die auf dem Zielcomputer geladen werden, zusammen mit zusammenfassenden Informationen zur Speichernutzung. Der Erweiterungsbefehl !drivers ist jedoch in Windows XP und höheren Versionen veraltet. Verwenden Sie den lm Befehl, um Informationen zu geladenen Treibern und anderen Modulen anzuzeigen. Der lm N T Befehl zeigt Informationen in einem Format an, das der alten !drivers Erweiterung ähnelt.

Hilfe zu anderen Befehlen und eine vollständige Befehlssyntax finden Sie in der Hilfedokumentation zu Debugtools. Die Hilfedokumentation zu Debugtools finden Sie am folgenden Speicherort:

C:\Programme\Debugtools für Windows\Debugger.chm

Hinweis

Wenn Probleme mit Symbolen auftreten, verwenden Sie das Symchk-Hilfsprogramm, um zu überprüfen, ob die richtigen Symbole ordnungsgemäß geladen wurden. Weitere Informationen zur Verwendung von Symchk finden Sie unter Debuggen mit Symbolen.

Vereinfachen der Befehle mithilfe einer Batchdatei

Nachdem Sie den Befehl identifiziert haben, den Sie zum Laden von Speicherabbildern verwenden müssen, können Sie eine Batchdatei erstellen, um eine Speicherabbilddatei zu untersuchen. Erstellen Sie beispielsweise eine Batchdatei, und benennen Sie sie Dump.bat. Speichern Sie sie in dem Ordner, in dem die Debugtools installiert sind. Geben Sie den folgenden Text in die Batchdatei ein:

cd "C:\Program Files\Debugging Tools for Windows"

kd -y srv*C:\Symbols*https://msdl.microsoft.com/download/symbols -i C:\Windows\i386 -z %1

Wenn Sie eine Speicherabbilddatei untersuchen möchten, geben Sie den folgenden Befehl ein, um den Pfad der Speicherabbilddatei an die Batchdatei zu übergeben:

dump C:\Windows\Minidump\minidump.dmp