2 новых ноутбука HP Pavilion с 7 Home Premium, предварительно загруженными с помощью Norton. Первым делом я использовал утилиту для удаления Norton, загрузил ZoneAlarm free и AVG Free. Частые случайные BSOD с тех пор ...Я нашел свой путь в Debug и получил различные отчеты о ntoskrnl, в зависимости от состояния символов. Прошло много лет с тех пор, как я поиграл с (DOS 3.x) отладкой, так что это было довольно сложно. Далее следуют выдержки, и любые идеи будут с благодарностью, так как я не разработчик:
ADDITIONAL_DEBUG_TEXT:
Используйте '!команда findthebuild 'для поиска целевой информации о сборке.
Если информация о сборке доступна, запустите '!найти thebuild -s; .reload ', чтобы установить путь символа и загрузить символы.
MODULE_NAME: нет
FAULTING_MODULE: fffff8000305d000, нт
DEBUG_FLR_IMAGE_TIMESTAMP: 4b88cfeb
BUGCHECK_STR: 0x7f_8
CUSTOMER_CRASH_COUNT: 1
DEFAULT_BUCKET_ID: VISTA_DRIVER_FAULT
CURRENT_IRQL: 0
LAST_CONTROL_TRANSFER: от fffff800030ccb69 до fffff800030cd600
STACK_TEXT:
fffff800 04d6fd28 fffff800
030ccb69: 00000000 0000007f 00000000
00000008 00000000 80050033 00000000
000006f8: нт +0x70600 fffff800 04d6fd30 00000000
0000007f: 00000000 00000008 00000000
80050033 00000000 000006f8 fffff800
03095e58: нт +0x6fb69 fffff800 04d6fd38 00000000
00000008: 00000000 80050033 00000000
000006f8 fffff800 03095e58 00000000
00000000: 0x7F fffff800 04d6fd40 00000000
80050033: 00000000 000006f8 fffff800
03095e58 00000000 00000000 00000000
00000000: 0x8 fffff800 04d6fd48 00000000
000006f8: fffff800 03095e58 00000000
00000000 00000000 00000000 00000000
00000000: 0x80050033 fffff800 04d6fd50 fffff800
03095e58: 00000000 00000000 00000000
00000000 00000000 00000000 00000000
00000000: 0x6f8 fffff800 04d6fd58 00000000
00000000: 00000000 00000000 00000000
00000000 00000000 00000000 00000000
00000000: нт +0x38e58
STACK_COMMAND: кб
FOLLOWUP_IP: nt+70600 fffff800`030cd600 48894c2408 mov qword ptr [rsp+8], rcx
SYMBOL_STACK_INDEX: 0
SYMBOL_NAME: NT +70600
FOLLOWUP_NAME: MachineOwner
IMAGE_NAME: ntoskrnl.exe
BUCKET_ID: WRONG_SYMBOLS
Продолжение: MachineOwner ............................................... ....................... 0: kd>!lmi nt Информация о загруженном модуле: [nt] Модуль: ntkrnlmp Базовый адрес: fffff8000305d000 Имя изображения: ntkrnlmp.exe Тип машины: 34404 (X64) Отметка времени: 4b88cfeb Сб 27 февраля 00:55:23 Размер: 5dc000 Контрольная сумма: 545094 Характеристики: 22 DIR Отладочные данные DIR: Тип Размер VA Указатель CODEVIEW 25, 19c65c, 19bc5c RSDS - GUID: {7E9A3CAB-6268-45DE-8E10-816E3080A3B7} Возраст: 2, Pdb: ntkrnlmp.pdb CLSID 4, 19c658, 19bc, 19bc ] Тип изображения: ФАЙЛ - Изображение успешно прочитано из отладчика. ntkrnlmp.exe Тип символа: PDB - Символы успешно загружены с сервера символов. d:\debugsymbols\ntkrnlmp.pdb\7E9A3CAB626845DE8E10816E3080A3B72\ntkrnlmp.pdb Отчет о загрузке: общедоступные символы, не проиндексированные с исходным кодом d:\debugsymbols\ntkrnlmp.pdb\7E9A1D0686106106106106106408B6106406108анализировать -v
- *
- Анализ ошибок *
- *
UNEXPECTED_KERNEL_MODE_TRAP (7f) Это означает, что в режиме ядра произошла ловушка, и это такая ловушка, которую ядру не разрешено иметь /catch (связанная ловушка), или это всегда мгновенная смерть (двойная ошибка). Первое число в параметрах bugcheck - это номер ловушки (8 = двойной отказ и т.д.). Чтобы узнать больше, что это за ловушки, обратитесь к руководству по семейству Intel x86. Вот часть этих кодов: Если kv показывает taskGate, используйте .tss на части перед двоеточием, тогда kv. Иначе, если kv показывает трапфрейм, используйте .trap для этого значения. Иначе .trap в соответствующем фрейме покажет, где ловушка была взята (на x86 это будет ebp, который идет с процедурой KiTrap). Endif kb покажет исправленный стек. , Аргументы: Arg1: 0000000000000008, EXCEPTION_DOUBLE_FAULT Arg2: 0000000080050033 Arg3: 00000000000006f8 Arg4: fffff80003095e58
Детали отладки:
BUGCHECK_STR: 0x7f_8
CUSTOMER_CRASH_COUNT: 1
DEFAULT_BUCKET_ID: VISTA_DRIVER_FAULT
PROCESS_NAME: система
CURRENT_IRQL: 2
LAST_CONTROL_TRANSFER: от fffff800030ccb69 до fffff800030cd600
STACK_TEXT:
fffff800 04d6fd28 fffff800
030ccb69: 00000000 0000007f 00000000
00000008 00000000 80050033 00000000
000006f8: нет!KeBugCheckEx fffff800 04d6fd30 fffff800
030cb032: 00000000 00000000 00000000
00000000 00000000 00000000 00000000
00000000: нет!KiBugCheckDispatch+0x69 fffff800 04d6fe70 fffff800
03095e58: 00000000 00000000 00000000
00000000 00000000 00000000 00000000
00000000: нет!KiDoubleFaultAbort+0xb2 fffff880 089efc60 00000000
00000000: 00000000 00000000 00000000
00000000 00000000 00000000 00000000
00000000: нет!SeAccessCheckFromState+0x58
STACK_COMMAND: кб
FOLLOWUP_IP: нет!KiDoubleFaultAbort+b2 fffff800`030cb032 90 nop
SYMBOL_STACK_INDEX: 2
SYMBOL_NAME: нет!KiDoubleFaultAbort+b2
FOLLOWUP_NAME: MachineOwner
MODULE_NAME: нет
IMAGE_NAME: ntkrnlmp.exe
DEBUG_FLR_IMAGE_TIMESTAMP: 4b88cfeb
FAILURE_BUCKET_ID: X64_0x7f_8_nt!KiDoubleFaultAbort+b2
BUCKET_ID: X64_0x7f_8_nt!KiDoubleFaultAbort+b2
Продолжение: MachineOwner
Я попытался запустить Rootkit Revealer, но я не думаю, что он работает на системах x64. Точно так же Blacklight, кажется, состарился. Я сейчас использую Sophos Anti-Rootkit. Все идет нормально...