win8经常蓝屏，附上DUMP求分析

infinte

错误号是多少

yaksayahc

SYSTEM_SERVICE_EXCEPTION (3b)
An exception happened while executing a system service routine.
Arguments:
Arg1: 00000000c0000005, Exception code that caused the bugcheck
Arg2: fffff8021468a1c8, Address of the instruction which caused the bugcheck
Arg3: fffff8800c548860, Address of the context record for the exception that caused the bugcheck
Arg4: 0000000000000000, zero.

Debugging Details:
------------------


EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - 0x%08lx

FAULTING_IP:
nt!ExFreePoolWithTag+68
fffff802`1468a1c8 0fbae019        bt      eax,19h

CONTEXT:  fffff8800c548860 -- (.cxr 0xfffff8800c548860)
rax=00000000020d000f rbx=fffffa800a7de460 rcx=fffffa800a7de470
rdx=0000000000000000 rsi=0000000000000002 rdi=0000000000000000
rip=fffff8021468a1c8 rsp=fffff8800c549260 rbp=fffff8800c5492d9
r8=fffff780000003b0  r9=0000000000000001 r10=fffff8800c549400
r11=0000000000000000 r12=0000000000000001 r13=0000000000000000
r14=000000000000000d r15=fffffa800a7de470
iopl=0         nv up ei pl zr na po nc
cs=0010  ss=0018  ds=002b  es=002b  fs=0053  gs=002b             efl=00010246
nt!ExFreePoolWithTag+0x68:
fffff802`1468a1c8 0fbae019        bt      eax,19h
Resetting default scope

CUSTOMER_CRASH_COUNT:  1

DEFAULT_BUCKET_ID:  WIN8_DRIVER_FAULT

BUGCHECK_STR:  0x3B

PROCESS_NAME:  YY.exe

mcq_2

:L问题在哪？LZ怎么看明白的

KULA

mcq_2 发表于 2013-8-28 22:29
问题在哪？LZ怎么看明白的

不是标红了yy.exe吗。。。

letmedie

YY.exe导致蓝屏，这也太丧心病狂了吧

zatsuza

yaksayahc 发表于 2013-8-28 22:10
SYSTEM_SERVICE_EXCEPTION (3b)
An exception happened while executing a system service routine.
Argum ...

你这肯定不对的
首先AV不可能发生在bt这种指令上，说明你加载的符号不匹配
其次kernel在执行DPC时可以在任何process context里面跑，如果没有完整的context光看process name是没有意义的

哈雅

可以连巨硬的符号服务器加载符号，楼主你得把操作系统版本给4楼的好人

nonmoi

mcq_2 发表于 2013-8-28 22:29
问题在哪？LZ怎么看明白的

软件问题导致蓝屏，具体程序叫yy.exe（是用来语聊那个？）可能楼主用的版本对这个版本的win8支持不良吧？

yaksayahc

zatsuza 发表于 2013-8-29 00:18
你这肯定不对的
首先AV不可能发生在bt这种指令上，说明你加载的符号不匹配
其次kernel在执行DPC时可以在 ...

av是可以发生在bt上的
加载符号跟指令的反汇编没关系，符号文件只是帮助你得到nt!ExFreePoolWithTag这个名字而已。而且俺用的M$的符号服务器而不是本地的符号文件，minidump自带windows版本号，只要符号服务器有相关版本的符号，解析是没有问题的。
至于是不是yy.exe，单看一个minidump确实是无法确定的（不过这个其实是在用户态挂掉的，比较好确定），不过楼主的几个貌似都掉到了yy.exe的领空。。。

ostcollector

yaksayahc 发表于 2013-8-31 20:29
av是可以发生在bt上的
加载符号跟指令的反汇编没关系，符号文件只是帮助你得到nt!ExFreePoolWithTag这个 ...

等等，NT系统中，用户态程序的bug应该直接被系统kill掉而不会造成bugcheck吧

那么当时LZ在使用什么设备？
现在手头没开发环境，暂时没法折腾

dahuatttt

你们可以问问LZ是不是开着语音或者摄像头的时候崩的呀！

zatsuza

不明白你为何要在完全不了解驱动开发的情况下作此回复

bt reg是不可能av的，你可以去查查intel的手册，我说对不上正是因为ip跟符号对不上，minidump有的只是stackframe
freepool是最常用的释放内存函数，以及这跟用户态可以说是一点关系都没有，当前cr3正好在YY上而已，至于什么好确定就更是无稽之谈了