In einer Serie von TechNet-Videos zum Einsatz von MDOP können sich Administratoren kurze Walkthrough-Beiträge zur effektiven Verwendung der darin enthaltenden Tools anschauen. Interessant ist insbesondere ein ca. 1½-minütiger Beitrag darüber, wie man Crash Analyzer und Computer-Management-Tools aus dem DaRT aus zur Analyse und Behebung von BSODs verwendet.

Diese werden in der überwiegenden Zahl, geschätzt etwa ¾ aller Fälle, durch fehlerhaft programmierte Treibern verursacht. Ein durch DaRT erstelltes ERD-Bootmedium bietet die Möglichkeit, sowohl diesen Treiber ausfindig zu machen als auch abzuschalten, während das System offline ist.

Vom Crash zur Lösung – Schritt für Schritt

Für unser Beispiel verwenden wir das Tool NotMyFault, mit dem man neben anderen Systemfehlern auch einen BSOD provozieren kann. Es muss mit Administratorrechten gestartet werden und installiert für seine Ausführung den Treiber myfault.sys in Windows’ Treiberverzeichnis, der durch (absichtliche) Fehlprogrammierung den Systemfehler erzeugt.

Wichtig für die Behandlung eines BSOD ist, den von Windows dabei erstellten Speicherauszug (Memory Dump) bis zu Ende laufen zu lassen, was einige Sekunde bis Minuten dauern kann. Er wird unter %SystemRoot%\memory.dmp gespeichert. Danach startet man das ERD-Bootmedium, was man auch außerhalb der Simulation tun müsste, etwa wenn der Treiber automatisch startet.

Nach dem ERD-Start wählt man die Optionen, das Netzwerk im Hintergrund zu verbinden und die Laufwerke entsprechend dem laufenden System zuzuordnen. Die deutsche Tastaturbelegung erreicht man am schnellsten, indem man im entsprechenden Dialog 6× g drückt.

Zum Crash Dump Analyzer gelangt man durch das Anklicken der Links Microsoft® Diagnostics and Recovery Toolset und Crash Analyzer. Ist ein Speicherauszug am Standardort auf der Platte vorhanden, zeigt das Tool dies durch die Option Automatically configure tools, symbols, and analyze most recent crash dump file an. Wählt man diese ab, kann man eine andere DMP-Datei aus einem Dateidialog auswählen. Nach einiger Zeit identifiziert das Tool den Treiber und zeigt das Ergebnis an.

Nun kann man den Crash Analyzer schließen und startet das DaRT-Tool Computer Management. Hier klickt man auf den Knoten Services and Drivers → Drivers und such den schuldigen Treiber heraus. Mit der rechten Maustaste klickt man auf den Menüpunkt Properties und stellt den Startup type auf Disabled.

Danach kann man das normale System wieder starten; die Ursache für den Bluescreen wurde eliminiert. Nun sollte man – wenn der Treiber für das korrekte Funktionieren eines Gerätes erforderlich ist – ein Update für diesen suchen. Ist er verzichtbar, löscht man am besten seinen Eintrag in der Registry unter HKLM\System\CurrentControlSet\Services sowie die zugehörige Datei unter %SystemRoot%\System32\drivers.