3

Мы исследуем BSOD на терминальном сервере Windows 2008 R2.

Мы обнаружили, что результаты WinDbg и BlueScreenView были противоречивыми, и поэтому мы опробовали WhoCrashed Home и WhoCrashed Pro . (Всегда самые последние версии).

Вот результаты:

BlueScreenView

Кто разбил дом

WhoCrashed Pro

WhoCrashed Pro и WinDbg имеют меньше противоречий.

WinDbg часто не может определить вызывающий драйвер, поэтому мы использовали BlueScreenView в прошлом. Но кажется, что ни один из инструментов не может это установить.

В чем причина этих различий?

Инструменты делают больше, чем просто ходят по стеку и распознают символы из разных источников (как любой вид эвристического анализа), что может быть правильным, но не всегда надежным?

редактировать
Детали

Деталь BlueScreenView

Подробно WhoCrashed Home

crash dump file: C:\Windows\Minidump\111014-20841-01.dmp
This was probably caused by the following module: ntoskrnl.exe (nt+0x75BC0) 
Bugcheck code: 0xFC (0xFFFFF880009C6FB8, 0x800000000292F963, 0xFFFFF8800D2F8EB0, 0x2)
Error: ATTEMPTED_EXECUTE_OF_NOEXECUTE_MEMORY
file path: C:\Windows\system32\ntoskrnl.exe
product: Microsoft® Windows® Operating System
company: Microsoft Corporation
description: NT Kernel & System

Описание проверки ошибки: Это указывает на то, что была предпринята попытка выполнить неисполняемую память. Это может быть случай повреждения памяти. Чаще всего повреждение памяти происходит из-за программных ошибок в драйверах с ошибками, а не из-за неисправных модулей ОЗУ. Существует вероятность того, что эта проблема была вызвана вирусом или другим вредоносным ПО. Сбой произошел в ядре Windows. Возможно, эта проблема вызвана другим драйвером, который не может быть идентифицирован в настоящее время.

Подробно WhoCrashed Pro

Crash dump file:        C:\ZZAnalyze\BAIL\Minidump\111014-20841-01.dmp
Date/time:              10.11.2014 08:45:04 GMT
Uptime:                 9 days, 15:04:22
Machine:                VMW7X64
Bug check name:         ATTEMPTED_EXECUTE_OF_NOEXECUTE_MEMORY
Bug check code:         0xFC
Bug check parm 1:       0xFFFFF880009C6FB8
Bug check parm 2:       0x800000000292F963
Bug check parm 3:       0xFFFFF8800D2F8EB0
Bug check parm 4:       0x2
Probably caused by:     mfehidk.sys
Driver description:     
Driver product:         
Driver company:         
OS build:               Built by: 7601.18409.amd64fre.win7sp1_gdr.140303-2144
Architecture:           x64 (64 bit)
CPU count:              4
Page size:              4096

Bug check description: 
This indicates that an attempt was made to execute non-executable memory.

Комментарии: Это может быть случай повреждения памяти. Чаще всего повреждение памяти происходит из-за программных ошибок в драйверах с ошибками, а не из-за неисправных модулей ОЗУ. Существует вероятность того, что эта проблема была вызвана вирусом или другим вредоносным ПО. Драйвер стороннего производителя был определен как вероятная основная причина этой системной ошибки. Рекомендуется поискать обновление для следующего драйвера: mfehidk.sys.

0