So lesen Sie die kleine Speicherabbilddatei, die von Windows erstellt wird, wenn ein Absturz auftritt

In diesem Artikel wird beschrieben, wie Sie eine kleine Speicherabbilddatei untersuchen. Mithilfe einer kleinen Speicherabbilddatei können Sie ermitteln, warum Ihr Computer abgestürzt ist.

Gilt für:   Windows 10 – alle Editionen, Windows Server 2012 R2
Ursprüngliche KB-Nummer:   315263

Hinweis

If you are looking for debug information for Windows 8 or later, please check Debugging Tools for Windows (WinDbg, KD, CDB, NTSD). Weitere Informationen zum kleinen Speicherabbild finden Sie unter "Kleines Speicherabbild".

Kleine Speicherabbilddateien

Wenn Ihr Computer abstürzt, wie können Sie herausfinden, was passiert ist, das Problem beheben und verhindern, dass es erneut passiert? Möglicherweise ist die kleine Speicherabbilddatei in dieser Situation hilfreich. Die kleine Speicherabbilddatei enthält die kleinste Menge nützlicher Informationen, mit denen Sie ermitteln können, warum Ihr Computer abgestürzt ist. Die Speicherabbilddatei enthält die folgenden Informationen:

  • Die Stoppnachricht, ihre Parameter und andere Daten
  • Eine Liste der geladenen Treiber
  • Der Prozessorkontext (PRCB) für den angehaltenen Prozessor
  • Die Prozessinformationen und der Kernelkontext (EPROCESS) für den prozess, der beendet wurde
  • Prozessinformationen und Kernelkontext (ETHREAD) für den beendeten Thread
  • Der Kernelmodus-Aufrufstapel für den beendeten Thread

Um eine Speicherabbilddatei zu erstellen, benötigt Windows eine Auslagerungsdatei auf dem Startvolume mit einer Größe von mindestens 2 MB. Auf Computern mit Microsoft Windows 2000 oder einer neueren Version von Windows wird bei jedem Absturz des Computers eine neue Speicherabbilddatei erstellt. Ein Verlauf dieser Dateien wird in einem Ordner gespeichert. Wenn ein zweites Problem auftritt und Windows eine zweite kleine Speicherabbilddatei erstellt, behält Windows die vorherige Datei bei. Windows jeder Datei einen eindeutigen, datumscodierten Dateinamen zu. Mini022900-01.dmp ist beispielsweise die erste Speicherabbilddatei, die am 29. Februar 2000 generiert wurde. Windows führt eine Liste aller kleinen Speicherabbilddateien im %SystemRoot%\Minidump Ordner.

Die kleine Speicherabbilddatei kann nützlich sein, wenn der Speicherplatz auf der Festplatte begrenzt ist. Aufgrund der eingeschränkten Informationen, die enthalten sind, werden Fehler, die nicht direkt durch den Thread verursacht wurden, der zum Zeitpunkt des Problems ausgeführt wurde, möglicherweise nicht durch eine Analyse dieser Datei erkannt.

Konfigurieren des Speicherabbildtyps

Führen Sie die folgenden Schritte aus, um Start- und Wiederherstellungsoptionen für die Verwendung der kleinen Speicherabbilddatei zu konfigurieren.

Hinweis

Da es mehrere Versionen von Microsoft Windows gibt, können sich die folgenden Schritte auf Ihrem Computer unterscheiden. Wenn dies der Typ ist, lesen Sie die Produktdokumentation, um diese Schritte auszuführen.

  1. Klicken Sie auf Start und dann auf Systemsteuerung.

  2. Doppelklicken Sie auf "System", und klicken Sie dann auf "Erweiterte Systemeinstellungen".

  3. Klicken Sie auf die Registerkarte "Erweitert" und dann auf Einstellungen unter "Start und Wiederherstellung".

  4. Klicken Sie in der Liste "Debuggen schreiben" auf "Kleines Speicherabbild" (256k).

    Screenshot der Option "Kleines Speicherabbild " (256k) in der Liste "Debuggen schreiben" im Start- und Wiederherstellungsfenster.

Um den Ordnerspeicherort für die kleinen Speicherabbilddateien zu ändern, geben Sie einen neuen Pfad in das Feld "Speicherabbilddatei" oder in das Feld "Kleines Speicherabbildverzeichnis" ein, je nach Ihrer Version von Windows).

Tools zum Lesen der kleinen Speicherabbilddatei

Verwenden Sie das Dump Check Utility (Dumpchk.exe), um eine Speicherabbilddatei zu lesen oder zu überprüfen, ob die Datei ordnungsgemäß erstellt wurde.

Hinweis

Das Hilfsprogramm für die Dumpüberprüfung benötigt keinen Zugriff auf Debuggingsymbole. Symboldateien enthalten eine Vielzahl von Daten, die beim Ausführen der Binärdateien nicht wirklich benötigt werden, die aber für den Debugvorgang sehr nützlich sein können.

Weitere Informationen zur Verwendung des Dump Check Utility in Windows NT, Windows 2000, Windows Server 2003 oder Windows Server 2008 finden Sie im Microsoft Knowledge Base-Artikel 156280: Verwenden von Dumpchk.exe zum Überprüfen einer Speicherabbilddatei.

Weitere Informationen zur Verwendung des Speicherabbildprüfungsprogramms in Windows XP, Windows Vista oder Windows 7 finden Sie im Microsoft Knowledge Base-Artikel 315271: Verwenden von Dumpchk.exe zum Überprüfen einer Speicherabbilddatei.

Sie können auch das Tool Windows Debugger (WinDbg.exe) oder das Kerneldebuggertool (KD.exe) verwenden, um kleine Speicherabbilddateien zu lesen. WinDbg und KD.exe sind in der neuesten Version der Debugtools für Windows-Paket enthalten.

Informationen zum Installieren der Debugtools finden Sie unter "Download and Install Debugging Tools for Windows webpage". Wählen Sie die typische Installation aus. Standardmäßig installiert das Installationsprogramm die Debugtools im folgenden Ordner:

C:\Program Files\Debugging Tools for Windows

Diese Webseite bietet auch Zugriff auf die herunterladbaren Symbolpakete für Windows. Weitere Informationen zu Windows Symbolen finden Sie unter Debuggen mit Symbolen und der Webseite zum Herunterladen Windows Symbolpakete.

Weitere Informationen zu Speicherabbilddateioptionen in Windows finden Sie unter Overview of memory dump file options for Windows.

Öffnen der Speicherabbilddatei

Führen Sie die folgenden Schritte aus, um die Speicherabbilddatei nach Abschluss der Installation zu öffnen:

  1. Klicken Sie auf "Start", " Ausführen", "Eingeben cmd" und dann auf "OK".

  2. Wechseln Sie zu den Debugtools für Windows Ordner. Geben Sie dazu an der Eingabeaufforderung Folgendes ein, und drücken Sie dann die EINGABETASTE:

    cd c:\program files\debugging tools for windows
    
  3. Geben Sie einen der folgenden Befehle ein, und drücken Sie dann die EINGABETASTE, um die Speicherabbilddatei in einen Debugger zu laden:

    windbg -y SymbolPath -i ImagePath -z DumpFilePath
    

    oder

    kd -y SymbolPath -i ImagePat -z *DumpFilePath
    

In der folgenden Tabelle wird die Verwendung der Platzhalter erläutert, die in diesen Befehlen verwendet werden.

Platzhalter Erklärung
SymbolPath Entweder der lokale Pfad, in den die Symboldateien heruntergeladen wurden, oder der Pfad des Symbolservers, einschließlich eines Cacheordners. Da eine kleine Speicherabbilddatei begrenzte Informationen enthält, müssen die eigentlichen Binärdateien zusammen mit den Symbolen geladen werden, damit die Speicherabbilddatei korrekt gelesen wird.
Imagepath Der Pfad dieser Dateien. Die Dateien sind im I386-Ordner auf der Windows XP CD-ROM enthalten. Beispielsweise kann der Pfad .C:\Windows\I386
DumpFilePath Der Pfad und der Dateiname für die Speicherabbilddatei, die Sie untersuchen.

Beispielbefehle

Sie können die folgenden Beispielbefehle verwenden, um die Speicherabbilddatei zu öffnen. Bei diesen Befehlen wird Folgendes vorausgesetzt:

  • Der Inhalt des I386-Ordners auf dem Windows CD-ROM wird in den C:\Windows\I386 Ordner kopiert.
  • Die Speicherabbilddatei heißt C:\Windows\Minidump\Minidump.dmp.

Beispiel 1:

kd -y srv*c:\symbols*http://msdl.microsoft.com/download/symbols -i c:\windows\i386 -z c:\windows\minidump\minidump.dmp

Beispiel 2. Wenn Sie die grafische Version des Debuggers anstelle der Befehlszeilenversion bevorzugen, geben Sie stattdessen den folgenden Befehl ein:

windbg -y srv*c:\symbols*http://msdl.microsoft.com/download/symbols -i c:\windows\i386 -z c:\windows\minidump\minidump.dmp

Untersuchen der Speicherabbilddatei

Es gibt mehrere Befehle, mit denen Sie Informationen in der Speicherabbilddatei sammeln können, einschließlich der folgenden Befehle:

  • Der !analyze -show Befehl zeigt den Fehlercode "Beenden" und dessen Parameter an. Der Stoppfehlercode wird auch als Fehlerüberprüfungscode bezeichnet.
  • Der !analyze -v Befehl zeigt eine ausführliche Ausgabe an.
  • Der lm N T Befehl listet die angegebenen geladenen Module auf. Die Ausgabe enthält den Status und den Pfad des Moduls.

Hinweis

Der Erweiterungsbefehl !drivers zeigt eine Liste aller Treiber an, die auf dem Zielcomputer geladen sind, zusammen mit zusammenfassenden Informationen zur Speichernutzung. Die Erweiterung !drivers ist in Windows XP und höher veraltet. Verwenden Sie den lm Befehl, um Informationen zu geladenen Treibern und anderen Modulen anzuzeigen. Der lm N T Befehl zeigt Informationen in einem Format an, das der alten !drivers-Erweiterung ähnelt.

Hilfe zu anderen Befehlen und zur vollständigen Befehlssyntax finden Sie in der Hilfedokumentation zu den Debugtools. Die Hilfedokumentation zu den Debugtools finden Sie an folgendem Speicherort:

C:\Program Files\Debugging Tools for Windows\Debugger.chm

Hinweis

Wenn Sie Probleme mit Symbolen haben, überprüfen Sie mit dem Hilfsprogramm Symchk, ob die richtigen Symbole richtig geladen wurden. Weitere Informationen zur Verwendung von Symchk finden Sie unter Debuggen mit Symbolen.

Vereinfachen der Befehle mithilfe einer Batchdatei

Nachdem Sie den Befehl identifiziert haben, der zum Laden von Speicherabbilds benötigt wird, können Sie eine Batchdatei erstellen, um eine Speicherabbilddatei zu untersuchen. Erstellen Sie beispielsweise eine Batchdatei, und nennen Sie sie Dump.bat. Speichern Sie ihn in dem Ordner, in dem die Debugtools installiert sind. Geben Sie den folgenden Text in die Batchdatei ein:

cd "c:\program files\debugging tools for windows"

kd -y srv*c:\symbols*http://msdl.microsoft.com/download/symbols -i c:\windows\i386 -z %1

Wenn Sie eine Speicherabbilddatei untersuchen möchten, geben Sie den folgenden Befehl ein, um den Pfad der Speicherabbilddatei an die Batchdatei zu übergeben:

dump c:\windows\minidump\minidump.dmp