Wie kann ich eine DMP-Datei lesen?

Jeder Computerbenutzer kennt dieses frustrierte, sinkende Gefühl, das bei einem Systemabsturz auftritt. Systemabstürze treten ohne Vorwarnung auf und führen zu geringerer Produktivität, verärgerten Benutzern und manchmal verlorenen Arbeiten.

Ein "Dump" ist eine Aufzeichnung des Zustands des Computers im Moment eines Absturzes. Dump-Dateien werden automatisch von Windows generiert, wenn ein Absturz auftritt. Sie werden von Entwicklern und fortgeschrittenen Benutzern verwendet, um herauszufinden, was den Absturz verursacht hat. DMP ist die Dateierweiterung, die Windows für Dump-Dateien verwendet.

Es gibt drei Arten von Speicherabbildern, die von Windows generiert werden können. Der erste und größte wird als vollständiger Speicherabzug bezeichnet. Bei dieser Art von Dump wird der gesamte Speicherinhalt in eine DMP-Datei geschrieben.

Der zweite und deutlich kleinere Dump-Typ ist der Kernel-Speicher-Dump. Wie der Name schon sagt, zeichnet ein Kernel-Speicherauszug nur den Kernel-Speicher auf. Nicht zugewiesener Speicher und jeglicher Speicher, der Benutzermodusprogrammen zugewiesen ist, wird ignoriert. Dies macht die Analyse der Dump-Datei einfacher und weniger zeitaufwändig als bei einem vollständigen Speicher-Dump.

Die dritte und kompakteste Art von Dump, Small Memory Dump genannt, erzeugt eine DMP-Datei mit einer Größe von nur 64 Kilobyte. Es enthält nur die folgenden Informationen: die Stoppnachricht und ihre Parameter, eine Liste der geladenen Treiber, den Prozessorkontext (PRCB) für den gestoppten Prozessor, die Prozessinformationen und Kernel-Kontext (EPROCESS)-Daten, die Prozessdaten und Kernel-Kontext (ETHREAD) für den gestoppten Thread und den Kernel-Modus-Aufruf-Stack für den gestoppten Gewinde.

Standardmäßig werden sowohl vollständige Speicherabbilder als auch Kernel-Speicherabbilder in %SystemRoot%\Memory.dmp geschrieben. Windows speichert jeweils nur eine dieser Dump-Dateien. Bei einem erneuten Absturz wird die vorhandene DMP-Datei überschrieben.

DMP-Dateien, die von einem kleinen Speicherabbild generiert wurden, werden jedoch im Verzeichnis %SystemRoot%\Minidump gespeichert. Im Gegensatz zu anderen Dump-Typen werden vorhandene kleine Speicher-Dump-Dateien nicht überschrieben, wenn neue erzeugt werden.

Windows fügt das Datum automatisch in den Dateinamen von DMP-Dateien mit kleinen Speicherabbildern ein. Beispielsweise wurde am 30. April 2014 eine DMP-Datei mit dem Namen "mini043014-01.dmp" erstellt. Das "-01" nach dem Datum im Dateinamen zeigt an, dass es sich um die erste DMP-Datei handelte, die an diesem Tag erstellt wurde.

Es gibt zwei Hauptsoftwareanwendungen, die zum Öffnen und Anzeigen von DMP-Dateien verwendet werden: Windows Debugging Tools und das Dump Check Utility, auch Dumpchk genannt. Windows Debugging Tools ist die beste Option zum Untersuchen vollständiger Speicherabbilder und Kernel-Speicherabbilder, während Dumpchk ideal für die Untersuchung kleiner Speicherabbilder ist. Beide Anwendungen können kostenlos von der Microsoft-Website heruntergeladen werden. Da sich die genauen URLs im Laufe der Zeit ändern können, suchen Sie die Programme am besten nach Namen unter http://www.microsoft.com und dann von den resultierenden Links herunterladen.

Um eine DMP-Datei mit den Windows-Debugging-Tools zu untersuchen, öffnen Sie eine Eingabeaufforderung und navigieren Sie zu dem Ordner, in dem Sie die Windows-Debugging-Tools installiert haben. Geben Sie dann einen der folgenden Befehle ein, um die Datei zu öffnen:

windbg -y SymbolPath -i ImagePath -z DumpFilePath

kd -y SymbolPath -i ImagePath -z DumpFilePath

Der erste Befehl öffnet die DMP-Datei im GUI-Debugger von Windows, während der zweite Befehl sie in einer textbasierten Oberfläche öffnet. Der Parameter SymbolPath bezieht sich auf die Position der Debugsymbole auf Ihrer Festplatte. Der Parameter ImagePath bezieht sich auf den Speicherort Ihrer Bilddateien. Schließlich ist der Parameter DumpFilePath der Speicherort Ihrer DMP-Datei.

Um eine DMP-Datei in Dumpchk zu öffnen, geben Sie einfach den folgenden Befehl in eine Eingabeaufforderung ein:

dumpchk DumpFilePath

Die Windows-Debugging-Tools bieten eine Reihe hilfreicher Befehle zum Analysieren von DMP-Dateien. Der Befehl !analyze -show gibt den Stop-Fehlercode und seine Parameter aus. Dies ist nützlich, um herauszufinden, was genau zum Absturz geführt hat. Der Befehl !analyze -v zeigt dieselben Informationen wie die ausführliche Ausgabe an. Der Befehl lm N T zeigt eine Liste der geladenen Module zum Zeitpunkt des Absturzes an.

Im Vergleich zu den Windows-Debugging-Tools ist Dumpchk ein ziemlich einfaches Dienstprogramm. Es wird hauptsächlich verwendet, um die Integrität von Dump-Dateien zu überprüfen und sie anzuzeigen. Um eine Dump-Datei auf Fehler zu testen, können Sie die Befehlszeilenerweiterung -e verwenden. Sie würden beispielsweise Folgendes in die Befehlszeile eingeben:

dumpchk -e DumpFilePath

Andere Dumpchk-Optionen umfassen -v, das den ausführlichen Modus aktiviert, -p, das nur den DMP-Header ausgibt, und -c, das eine schnelle Dump-Validierung durchführt.