Ein Betriebsystemabsturz in Form eines Bluescreen kann nur entstehen, wenn Code etwas illegales tut, der im so genannten Kernel-Mode ("Ring 0") läuft. Dazu gehören Gerätetreiber und der Mikrokernel selbst. Im Ring 0 teilen sich alle Treiber einen gemeinsamen Adressraum und können sich durchaus gegenseitig abschießen.
Um herauszufinden, welche Komponente genau den Fehler verursacht hat, muss man sich den Zustand des Systems unmittelbar vor dem Absturz ansehen. Einige Informationen zeigt schon der Bluescreen selbst: Eine Zeile die mit "*** STOP" gefolgt von einer achtstelligen Hexadezimalzahl beginnt, ist auf jedem BSOD zu sehen. Sie liefert einen ersten Hinweis auf die Art des Fehlers - wenn man sie denn zu interpretieren weiß. Manchmal findest sich in der Nähe der STOP-Zeile eine symbolische Beschreibung des Fehlers, etwa IRQL_NOT_LESS_OR_EQUAL oder INACCESSIBLE_BOOT_DEVICE, und damit zumindest ein Anhaltspunkt für eine Google-Suche. Mit etwas Glück enthält der Bluescreen auch einen Hinweis auf eine Datei mit der Endung .sys. Die ist damit natürlich verdächtig, aber leider noch lange nicht als eindeutig schuldig identifiziert.
Mit den Informationen auf dem Bluescreen selbst kommt man also meist nicht allzu weit. Ein Blick in das Speicherabbil ist angesagt. Glücklicherweise bietet Microsoft dafür ein geeignetes Werkzeug an: den Debugger WinDbg [1], den Sie über den Soft-Link herunterladen können. Die Download-Größe ist mit knapp 9MByte noch erträglich. Um den Debugger allerrdings sinnnvoll einsetzen zu können, benötigen Sie noch die so genannten Symboldataeien - und die schlagen je nach Windows-Version mit circa 70 bis 170 MByte zu Buche.
