Analysieren einer Kernelmodusabbilddatei mit WinDbg
Sie können Speicherabbilddateien im Kernelmodus mithilfe von WinDbg analysieren.
WinDbg starten
Dumpdateien enden in der Regel mit der Erweiterung .dmp oder MDMP. Sie können Netzwerkfreigaben oder Universal Naming Convention-Dateinamen für die Speicherabbilddatei verwenden. Die Prozessor- oder Windows-Version, die zum Erstellen einer Dumpdatei verwendet wird, muss nicht mit der Plattform übereinstimmen, auf der KD ausgeführt wird.
Um eine Dumpdatei zu analysieren, starten Sie WinDbg, und schließen Sie die Befehlszeilenoption -z ein:
windbg -y <SymbolPath> -i <ImagePath> -z <DumpFileName>
Die Option -v , die im ausführlichen Modus ist, ist ebenfalls nützlich. Eine vollständige Liste der Optionen finden Sie unter WinDbg-Befehlszeilenoptionen.
Wenn WinDbg bereits im ruhenden Modus ausgeführt wird, öffnen Sie ein Absturzabbild, indem Sie datei | Öffnen Sie den Menübefehl Absturzabbild , oder drücken Sie STRG+D. Wenn das Dialogfeld Absturzabbild öffnen angezeigt wird, geben Sie den vollständigen Pfad und namen der Absturzabbilddatei in Dateiname ein, oder verwenden Sie das Dialogfeld, um einen Pfad und dateinamen auszuwählen. Nachdem Sie eine Datei angegeben haben, wählen Sie Öffnen aus.
Oder öffnen Sie eine Dumpdatei, nachdem der Debugger ausgeführt wird, indem Sie den Befehl OPENDUMP (Open Dump File) und anschließend den Befehl g (Go) verwenden.
Sie können mehrere Abbilddateien gleichzeitig debuggen. Schließen Sie mehrere -z-Schalter in die Befehlszeile ein, jeweils gefolgt von einem anderen Dateinamen, oder führen Sie .opendump aus, um andere Dumpdateien als Debuggerziele hinzuzufügen. Weitere Informationen zum Steuern einer Sitzung mit mehreren Zielen finden Sie unter Debuggen mehrerer Ziele.
Dumpdateien können in eine CAB-Datei gepackt werden. Wenn Sie den Dateinamen, einschließlich der .cab Dateinamenerweiterung, nach der Option -z oder als Argument für einen OPENDUMP-Befehl angeben, liest der Debugger die Dumpdateien direkt.
Wenn mehrere Dumpdateien in einer einzelnen CAB-Datei gespeichert sind, liest der Debugger nur eine davon. Der Debugger liest keine anderen Dateien aus dem CAB, auch wenn Symboldateien oder andere Dateien der Dumpdatei zugeordnet sind.
Analysieren der Dumpdatei
Um ein Kernelspeicherabbild oder ein kleines Speicherabbild zu analysieren, müssen Sie möglicherweise den Pfad des ausführbaren Images so festlegen, dass während des Absturzes auf ausführbare Dateien im Arbeitsspeicher verweist.
Die Analyse einer Dumpdatei ähnelt der Analyse einer Livedebugsitzung. Ausführliche Informationen zu Befehlen, die zum Debuggen von Dumpdateien im Kernelmodus verfügbar sind, finden Sie im Abschnitt Referenz zu Debuggerbefehlen .
Beginnen Sie in den meisten Fällen mit !analyze. Dieser Erweiterungsbefehl führt eine automatische Analyse der Dumpdatei durch, die häufig nützliche Informationen liefert.
Der Befehl .bugcheck (Fehlerüberprüfungsdaten anzeigen) zeigt den Fehlerüberprüfungscode und die zugehörigen Parameter an. Informationen zu einem bestimmten Fehler finden Sie in der Referenz zu Fehlerüberprüfungscode.
Die folgenden Debuggererweiterungen sind besonders nützlich für die Analyse eines Absturzabbilds im Kernelmodus:
Techniken zum Lesen bestimmter Arten von Informationen aus einer Dumpdatei finden Sie unter Extrahieren von Informationen aus einer Dumpdatei.
Weitere Informationen
Erste Schritte mit WinDbg (Kernelmodus)
Herunterladen und Installieren des Windows-Debuggers von WinDbg
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für