информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Все любят медГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / beginners
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.
Module_name: unknown_module 29.07.05 07:22  
Автор: Box Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Добрый день!
ПРостите, что подымаю ветку поновой, подобное уже обсуждалось...
Win2003server, no SP. DHCP, Outpost, DrWeb.
периодически падает безсистемно, тоесть не удается поймать какую-то манипуляцию, после чего происходит обвал.
Скачал WinDbg с символами. Анализ дает вот что... Я так пониаю, проблема в драйвере, но на какой драйвер ссылается? Подозреваю глючную память...
Microsoft (R) Windows Debugger Version 6.5.0003.7
Loading Dump File [C:\WINDOWS\MEMORY.DMP]
Kernel Complete Dump File: Full address space is available
Executable search path is:
Windows Server 2003 Kernel Version 3790 UP Free x86 compatible
Product: Server, suite: Enterprise TerminalServer SingleUserTS
Built by: 3790.srv03_rtm.030324-2048
Kernel base = 0x804de000 PsLoadedModuleList = 0x80568c08
System Uptime: 0 days 2:16:59.872
Loading Kernel Symbols
* Bugcheck Analysis *
BugCheck D1, {31a005, 2, 1, 77f509dc}
Probably caused by : Unknown_Image ( nt!KiTrap0E+21f )
Followup: MachineOwner
---------
kd> !analyze -v
* Bugcheck Analysis *
DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.
If kernel debugger is available get stack backtrace.
Arguments:
Arg1: 0031a005, memory referenced
Arg2: 00000002, IRQL
Arg3: 00000001, value 0 = read operation, 1 = write operation
Arg4: 77f509dc, address which referenced memory

Debugging Details:
------------------
WRITE_ADDRESS: 0031a005
CURRENT_IRQL: 2
FAULTING_IP:
ntdll!RtlpFindAndCommitPages+197
77f509dc c6400510 mov byte ptr [eax+0x5],0x10
DEFAULT_BUCKET_ID: DRIVER_FAULT
BUGCHECK_STR: 0xD1
LAST_CONTROL_TRANSFER: from 804eaa00 to 8053eec8
TRAP_FRAME: f4477d64 -- (.trap fffffffff4477d64)
ErrCode = 00000006
eax=0031a000 ebx=00300640 ecx=00b5eebc edx=00005000 esi=003005c8 edi=00319000
eip=77f509dc esp=00b5ee7c ebp=00b5ee90 iopl=0 nv up ei pl nz na po nc
cs=001b ss=0023 ds=0023 es=0023 fs=0038 gs=0000 efl=00010206
ntdll!RtlpFindAndCommitPages+0x197:
001b:77f509dc c6400510 mov byte ptr [eax+0x5],0x10 ds:0023:0031a005=??
Resetting default scope
STACK_TEXT:
f4477d48 804eaa00 0000000a 0031a005 00000002 nt!KeBugCheckEx+0x19
f4477d48 77f509dc 0000000a 0031a005 00000002 nt!KiTrap0E+0x21f
00b5ee90 77f50cc5 00300000 0031a000 00b5eebc ntdll!RtlpFindAndCommitPages+0x197
00b5eec8 77f613d7 00300000 000040a0 00000000 ntdll!RtlpExtendHeap+0xa4
00b5f0e0 77f46f5c 00300000 00010000 00004093 ntdll!RtlAllocateHeapSlowly+0x670
00b5f310 76eec3f4 00300000 00010000 00004093 ntdll!RtlAllocateHeap+0xe3a
00b5f324 76eec469 76ef3800 00000000 00004093 DNSAPI!Dns_HeapAllocEx+0x1d
00b5f334 76ee7cef 00004093 76ee0640 00004093 DNSAPI!Dns_HeapAlloc+0x11
00b5f33c 76ee0640 00004093 00000000 00b5f404 DNSAPI!Dns_AllocZero+0xf
00b5f354 76ee3274 00004000 00321468 00b5f4dc DNSAPI!Dns_AllocateMsgBuf+0x39
00b5f3ec 76ede8d0 16000000 0000232b 00b5f4dc DNSAPI!Send_AndRecv+0x56
00b5f47c 76ede9f0 00b5f4dc 00310dd8 00b5f4dc DNSAPI!Query_SingleName+0xb5
00b5f4a8 766c1ede 16000000 00092a94 16000000 DNSAPI!Query_Main+0xed
00b5f4bc 766c1795 00b5f4dc 00b5f904 00b5fae4 dnsrslvr!ResolverQuery+0x2d
00b5f900 77c52360 00000000 00092a94 00000001 dnsrslvr!R_ResolverQuery+0xda
00b5f928 77ce51d0 766c16bf 00b5fae8 00000005 RPCRT4!Invoke+0x30
00b5fd04 77ce53a7 00000000 00000000 00095838 RPCRT4!NdrStubCall2+0x229
00b5fd20 77c51d67 00095838 0008fd50 00095838 RPCRT4!NdrServerCall2+0x17
00b5fd54 77c51c29 766c1315 00095838 00b5fdf8 RPCRT4!DispatchToStubInCNoAvrf+0x38
00b5fda8 77c51ce9 00000007 00000000 766ca01c RPCRT4!RPC_INTERFACE::DispatchToStubWorker+0x112
00b5fdcc 77c54f60 00095838 00000000 766ca01c RPCRT4!RPC_INTERFACE::DispatchToStub+0xa1
00b5fe04 77c54cfa 000955d0 0008fb60 00092a48 RPCRT4!LRPC_SCALL::DealWithRequestMessage+0x2eb
00b5fe28 77c52621 0008fb98 00b5fe40 000955d0 RPCRT4!LRPC_ADDRESS::DealWithLRPCRequest+0x16b
00b5ff8c 77c65159 77c650a1 0008fb60 00000000 RPCRT4!LRPC_ADDRESS::ReceiveLotsaCalls+0x423
00b5ff90 77c650a1 0008fb60 00000000 00000000 RPCRT4!RecvLotsaCallsWrapper+0x9
00b5ffb0 77c65187 00084138 77e4a990 00095110 RPCRT4!BaseCachedThreadRoutine+0x9c
00b5ffb8 77e4a990 00095110 00000000 00000000 RPCRT4!ThreadStartRoutine+0x17
00b5ffec 00000000 77c65170 00095110 00000000 kernel32!BaseThreadStart+0x34
FOLLOWUP_IP:
nt!KiTrap0E+21f
804eaa00 833da078568000 cmp dword ptr [nt!KiFreezeFlag (805678a0)],0x0
SYMBOL_STACK_INDEX: 1
FOLLOWUP_NAME: MachineOwner
SYMBOL_NAME: nt!KiTrap0E+21f
IMAGE_NAME: Unknown_Image
DEBUG_FLR_IMAGE_TIMESTAMP: 0
STACK_COMMAND: kb
BUCKET_ID: RAISED_IRQL_USER_FAULT
MODULE_NAME: Unknown_Module
Followup: MachineOwner

Заранее спасибо за ответы, или хотя бы идею, куда двигаться...
По всей видимости, либо какой-то драйвер "расписал" чужую... 29.07.05 11:24  
Автор: leo <Леонид Юрьев> Статус: Elderman
<"чистая" ссылка>
По всей видимости, либо какой-то драйвер "расписал" чужую память, либо (с меньшей вероятностью) аппаратные проблемы (больные чипы памяти и т.д.). Алгоритм такой:
1) Ставим SP1;
2) Outpost и Dr.Web, либо только последние и без "кряков", либо убираем вовсе;
3) Обновляем драйвера на Video, Net, Raid, Звук (AC97 ?), отключаем WinModem (если есть);
4) По-возможности отключаем все драйвера/устройства около-китайского производства;
5) Включаем Driver Verifier (verifier.exe из командной строки) и включаем все проверки (кроме симуляции нехватки ресурсов) для подозрительных драйверов;
6) Смотрим что будет и анализируем дампы;
Такая же фигня. 20.09.05 01:45  
Автор: Soonts Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Такая же фигня.
Windows server 2003 SP1 лицензионный, outpost последний и лицензионный, антивирусов нет вообще, компутер shuttle barebone, память kingston..
Call stack немного другой (разный набор хотфиксов) ?

DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.
If kernel debugger is available get stack backtrace.
Arguments:
Arg1: 00345035, memory referenced
Arg2: 00000002, IRQL
Arg3: 00000001, value 0 = read operation, 1 = write operation
Arg4: 7c81d2da, address which referenced memory

Debugging Details:
------------------


OVERLAPPED_MODULE: rdbss

WRITE_ADDRESS: 00345035

CURRENT_IRQL: 2

FAULTING_IP:
ntdll!RtlAllocateHeapSlowly+8cc
7c81d2da 884f05 mov [edi+0x5],cl

DEFAULT_BUCKET_ID: INTEL_CPU_MICROCODE_ZERO

BUGCHECK_STR: 0xD1

LAST_CONTROL_TRANSFER: from 7c81d2da to 80837ed5

STACK_TEXT:
b95ffd64 7c81d2da badb0d00 0000037f 00000000 nt!KiTrap0E+0x2a7
0072ed44 7c81d4df 00330000 00010000 00000034 ntdll!RtlAllocateHeapSlowly+0x8cc
0072ef74 76ed2abe 00330000 00010000 00000034 ntdll!RtlAllocateHeap+0xe9f
0072ef8c 76ed2a96 76ef3c80 00000000 00000034 DNSAPI!Dns_HeapAllocEx+0x1f
0072efa0 76ed2ae9 00000034 0072efbc 76ed7821 DNSAPI!Dns_HeapAlloc+0x15
0072efac 76ed7821 00000034 00358110 0072f0d4 DNSAPI!Dns_AllocZero+0x13
0072efbc 76ef1352 0000001c 00358088 76ed000b DNSAPI!Dns_AllocateRecord+0x16
0072f0d4 76ed8240 0072f164 00000001 00358088 DNSAPI!Ptr_RecordRead+0x60
0072f2a8 76ed8617 0072f2cc 00358088 0000010c DNSAPI!Dns_ParseMessage+0x305
0072f2fc 76ed85e7 00358088 0000010c 00000001 DNSAPI!Dns_ExtractRecordsFromBuffer+0x27
0072f314 76ed8c87 00357ff8 00000001 0072f434 DNSAPI!Dns_ExtractRecordsFromMessage+0x23
0072f3b4 76ed8ad9 06000000 0000232b 0072f4ac DNSAPI!Send_AndRecv+0x21d
0072f444 76ed88a0 0072f4ac 00357cb8 0072f4ac DNSAPI!Query_SingleName+0xb7
0072f470 766c31fe 00000001 000be104 06000000 DNSAPI!Query_Main+0xe2
0072f488 766c17a2 0072f4ac 0072f8d4 0072fadc dnsrslvr!ResolverQuery+0x31
0072f8d0 77c70f3b 00000000 000be104 00000001 dnsrslvr!R_ResolverQuery+0xec
0072f8f8 77ce23f7 766c16be 0072fae0 00000005 RPCRT4!Invoke+0x30
0072fcf8 77ce26ed 00000000 00000000 000bfe7c RPCRT4!NdrStubCall2+0x299
0072fd14 77c709be 000bfe7c 0008d318 000bfe7c RPCRT4!NdrServerCall2+0x19
0072fd48 77c7093f 766c16b3 000bfe7c 0072fdec RPCRT4!DispatchToStubInCNoAvrf+0x38
0072fd9c 77c70865 00000007 00000000 766ca0a4 RPCRT4!RPC_INTERFACE::DispatchToStubWorker+0x117
0072fdc0 77c734b1 000bfe7c 00000000 766ca0a4 RPCRT4!RPC_INTERFACE::DispatchToStub+0xa3
0072fdfc 77c71bb3 0009e158 0008c8a8 000be0b8 RPCRT4!LRPC_SCALL::DealWithRequestMessage+0x42c
0072fe20 77c75458 0008c8e0 0072fe38 0009e158 RPCRT4!LRPC_ADDRESS::DealWithLRPCRequest+0x127
0072ff84 77c5778f 0072ffac 77c5f7dd 0008c8a8 RPCRT4!LRPC_ADDRESS::ReceiveLotsaCalls+0x430
0072ff8c 77c5f7dd 0008c8a8 00000000 00000000 RPCRT4!RecvLotsaCallsWrapper+0xd
0072ffac 77c5de88 000845c8 0072ffec 77e66063 RPCRT4!BaseCachedThreadRoutine+0x9d
0072ffb8 77e66063 000bb8e0 00000000 00000000 RPCRT4!ThreadStartRoutine+0x1b
0072ffec 00000000 77c5de6d 000bb8e0 00000000 kernel32!BaseThreadStart+0x34


FOLLOWUP_IP:
nt!KiTrap0E+2a7
80837ed5 833d00ee8a8000 cmp dword ptr [nt!KiFreezeFlag (808aee00)],0x0

SYMBOL_STACK_INDEX: 0

FOLLOWUP_NAME: MachineOwner

SYMBOL_NAME: nt!KiTrap0E+2a7

MODULE_NAME: nt

IMAGE_NAME: ntkrnlmp.exe

DEBUG_FLR_IMAGE_TIMESTAMP: 42435e60

STACK_COMMAND: kb

FAILURE_BUCKET_ID: 0xD1_W_nt!KiTrap0E+2a7

BUCKET_ID: 0xD1_W_nt!KiTrap0E+2a7

Followup: MachineOwner
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach