25. März 2021

Keine Angst vor BlueScreens – WinDbg Preview und andere Perlen

english version

Ein weiterer Beitrag zur Reihe „Was tun wenn’s brennt“ 😊

Eine effektive & coole Möglichkeit, um (u.a) Crashdumps zu analysieren, bietet die Microsoft Store App „WinDbg Preview“

Deep Link zum Store:

Get WinDbg Preview – Microsoft Store

WinDbg Preview Download aus dem Store

Eine umfangreiche technische Dokumentation (leider nur in english) findet Ihr hier:

Debugging Using WinDbg Preview – Windows drivers | Microsoft Docs

Falls es – wider Erwarten – doch mal zu einem BSOD (Blue Screen Of Death) kommen sollte, empfehle ich folgendes Vorgehen:

Man suche das Dump File, was entweder c:\windows\memory.dmp (i.d.R. recht gross) oder c:\windows\minidump\<datum>-<nummer>-<fortlaufende zahl>.dmp heisst.

Anmerkung:

Ich empfehle die Verwendung der Minidumps und nur in „Härtefällen“ das grosse Memory.dmp, was man wie folgt über „sysdm.cpl“  einstellen kann:

empfohlene Crash Dump Settings via sysdm.cpl

Heutige Maschinen haben i.d.R. viel RAM, sodaß ein Memory Dump meist nicht effektiv ist.

Das sogenannte „kleine Speicherabbild“ produziert wesentlich kleinere Dumps im Verzeichnis C:\Windows\Minidump (mit Zeitstempel im Dateinamen).

Nun zur konkreten BSOD / Crash Dump Analyse:

„Blue Screen“ nun grün 🙂

Aktueller BSOD (Insider Developer Build 21343.1000, nettes GRÜN, obwohl das ja bekanntermassen eigentlich BLUE Screen of Death heisst, man beruhigt damit also den User mit „alles halb so wild“, „grün“, „Ruhe bewahren“ 😊 )

Diesen BSOD habe ich mit dem SysInternals Utility „NotMyFault“ von SysInternals „provoziert“  (s.u.) 😊

Der QR-Code darin ist „weniger hilfreich“ und eher als „Gag“ zu betrachten, dennoch stehen schon hier die relevanten Informationen zum „Verursacher“ des Crashes drin (hier der Treiber „myfault.sys“), weshalb sich durchaus ein Handy-Photo zu genau diesem Zeitpunkt empfiehlt 😊

An genau dieser Stelle sei ein erneuter Verweis auf meinen Beitrag „Was tun wenn’s brennt“ erlaubt 😊

Was tun wenn’s brennt? – Microsoft Windows Deployment Guru Blog DE

Nach Start der WinDbg PreView App nehme man aus dem Hauptmenue den Punkt „Open dump file“:

Auswahl Crash Dump

Dort lade man das entsprechende .dmp file und warte ein wenig

Anmerkung:

Eine schnelle Internet Verbindung ist hier sehr hilfreich, weil darüber werden auch die sog. „Symbols“ der MSFT Binaries angezogen.

Dann mache man genau das, was im Debug Fenster steht, nämlich „!analyze -v“

(in Amerikanisch lautmalerisch versucht: „bäng änaleis meinus vee“, habe ich oft genug genau so in vielen TechEd & Troubleshooting Sessions von den jeweiligen Speakern gehört, beim meist sehr lauten „bäng“ am Anfang wurden einige davon wieder wach) 😊

Crash Dump Analyse

Ergebnis von „!analyze -v“, wichtig hier: alles was NICHT mit „nt!“ anfängt, ist potentieller „Schuldiger“, weil alle „nt!.“ Sachen Funktionen von Windows Kernel dll’s sind & die i.d.R. stabil sind (mittlerweile tatsächlich!).

Heisst anderes ausgedrückt: i.d.R. sind 3rd Party Apps & Binaries & Treiber „schuld“ 😊

Tip:

Man kann Dump Files auch mit dem Taskmanager erzeugen.

Das wird gerne genommen, wenn eine App oder EXE extrem viel CPU „frisst“ oder „hängt“:

Dump File Generation via Taskmanager

Weitere Community-Tools zum Thema

BlueScreenView (von Nir Sofer)

Blue screen of death (STOP error) information in dump files. (nirsoft.net)

Das Teil zapft per Default den Ordner c:\windows\minidump an, was man aber auch einstellen kann.

Selbiges hat eine Reihe von Optionen, das Einfachste ist aber erst einmal der Doppelclick auf einen Crash Eintrag, der sagt quasi „alles“ 😊

BlueScreenView GUI

Hier das o.g. Beispiel, per notmyfault „provozierter“ Treiber-Crash 😊

AppCrashView (von Nir Sofer)

AppCrashView – View application crashes (.wer files) in Windows 7/Vista (nirsoft.net)

Das Teil zapft das Windows Error Reporting (WER) an, früher bzw. für die Insider hier auch als „Dr. Watson Engine“ bekannt 😊

AppCrashView GUI

Aktuelle Beispiel von meinem W10 Insider Dev Preview Client, wo (leider) das „Snip&Sketch“ Tool (BuiltIn App) ständig abstürzt (crashed)  ☹

Wichtige Anmerkung:

Etliche der Tools von Nir Sofer werden von 3rd party Virenscannern mit „false positives“ als Trojaner gemeldet, weil sie u.a. selten in „freier Wildbahn“ auftauchen (auch bekannt als sog. „Potentially Unwanted Software“)

NotMyFault (von SysInternals)

Das Tool kann man (zu Übungs-Zwecken!) zum Erzwingen von Abstürzen aller Art verwenden.

ACHTUNG: NIEMALS NIE auf der eigenen PRODUKTIVEN Maschine tun!

NotMyFault – Windows Sysinternals | Microsoft Docs

NotMyFault GUI

Tip (in Sachen „Perle“)

Eine selten genutzte & recht unbekannte (weil undokumentierte) “Perle” ist der „Zuverlässigkeitsmonitor“, den man per CMD wie folgt aufrufen kann:

perfmon /rel

Selbiges liefert folgendes aussagefähige Bild mit vielen Zusatzfunktionen, incl. Export des Ganzen in eine „schicke“ HTML Datei 😊

Zuverlässigkeitsmonitor GUI

Hier müsst Ihr selber mal ein wenig herumexperimentieren & clicken, das Ding spricht Bände 😊

HAPPY DEBUGGING!

PS.:

Weitere Beiträge zu ähnlich coolen Troubleshooting Tools & Vorgehen folgen 😊

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.