Die Einstellungen für das Speicherabbild findet man, indem man im Startmenü “Erweiterte Systemeinstellungen anzeigen” (eng.: “View advanced system settings”)  eingibt (die ersten Buchstaben sind ausreichend, um den Menüpunkt zum Vorschein zu bringen). In dem Fenster mit den erweiterten Einstellungen klickt man nun auf den Button “Starten und Wiederherstellen” (eng.: “Setup and Restore”), nun kommt zum Einstellungsfenster für die Speicherabbilddatei. Hier kann man nun das Erstellen des Speicherabbildes aktivieren bzw. deaktivieren und den Pfad zum Speichern angeben (%SYSTEMROOT% steht für das Windows-Verzeichnis,üblicherweise C:\Windows).

Mit Hilfe des Programms WinDbg, welches Bestandteil der “Debugging Tools for Windows” ist, ist es nun möglich ein beim einem Absturz erzeugtes Speicherabbild zu analysieren, um so eventuell den Verursacher des Absturzes auf die Spur zu kommen. Dazu muss man zunächst das komplette Debugging-Packet für seine Plattform von der Homepage laden und installieren, dann findet man im Startmenü das Programm. Um ein Speicherabbild mit WinDbg zu ladeb, benötigt man nun noch die Symbole des benutzten Betriebssystems. Die Symbol-Dateien kann man entweder herunterladen oder lässt sie, je nach Bedarf, vom Programm automatisch laden.

Starten sollte man WinDbg mit Administrator-Rechten, da diese benötigt werden um das Speicherabbild zu öffnen. Nun kann man in WinDbg über “File->Open Crash Dump…” das Speicherabbild laden, welches im Windows-Verzeichnis zu finden ist (üblicherweise unter C:\Windows\Memory.dmp). Das Laden kann unter Umständen einige Zeit dauern, insbesondere wenn die Symbole automatisch aus dem Netz geladen werden. Nach dem Laden ist es sinnvoll in unten stehenden Kommandozeile den Befehl “analyze -v” einzugeben um weitere Informationen anzuzeigen. Nun sollte man schon die ersten brauchbaren Informationen im Programm sehen: der Name des Modul, welches den Absturz verursacht hat, eine Fehlermeldung und ein oder mehrere Fehlercodes. Diese Informationen sollte man mit Hilfe einer Suchmaschine zu Recherchen verwenden, um mehr Details in Erfahrung zu bringen.

Dies sollte zum Einstieg zur Analyse erstmal genügen. Die ausgelesenen Informationen sollten auf alle Fälle zunächst erst einmal genügen um einen Ansatzpunkt für die Fehlerbehebung zu liefern. Meiner Erfahrung nach werden die meisten Abstürze durch Treiber verursacht, da diese tief im System sitzen und entsprechenden Schaden anrichten können. Reine Anwendungsprogramme bringen Windows 7 (üblicherweise) nicht mehr zum Totalabsturz.  Ebenfalls in Betracht ziehen, sollte man Hardwarefehler sei es durch die Grafikkarte, defekten Arbeitsspeicher oder fehlerhafte Festplatten. Um hier Sicherheit zu erlangen sollte man die verdächtigen Komponenten austauschen und/oder mit spezialisierten Analyse-Tools auf Herz und Nieren prüfen.

Viel Erfolg bei der Fehlersuche.

Downloads und erweiterte Informationen

• Debugging Tools for Windows
  (Homepage der Debugging Tools und Download)
• Download Windows Symbol Packages
  (Download der Symbol-Dateien für verschiedene Windows-Versionen)
• How to read the small memory dump files that Windows creates for debugging
  (Microsoft Support – Artikel)
• WinDbg: Windows-Symbole automatisch herunterladen