首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
奇怪的蓝屏!!!!
发表于: 2014-1-19 19:10 10104

奇怪的蓝屏!!!!

小W 活跃值
2014-1-19 19:10
10104
我在VMware运行游戏,什么过游戏保护的软件都不开,都会直接蓝屏,以下是蓝屏信息:

kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

UNEXPECTED_KERNEL_MODE_TRAP (7f)
This means a trap occurred in kernel mode, and it's a trap of a kind
that the kernel isn't allowed to have/catch (bound trap) or that
is always instant death (double fault).  The first number in the
bugcheck params is the number of the trap (8 = double fault, etc)
Consult an Intel x86 family manual to learn more about what these
traps are. Here is a *portion* of those codes:
If kv shows a taskGate
        use .tss on the part before the colon, then kv.
Else if kv shows a trapframe
        use .trap on that value
Else
        .trap on the appropriate frame will show where the trap was taken
        (on x86, this will be the ebp that goes with the procedure KiTrap)
Endif
kb will then show the corrected stack.
Arguments:
Arg1: 00000008, EXCEPTION_DOUBLE_FAULT
Arg2: 80042000
Arg3: 00000000
Arg4: 00000000

Debugging Details:
------------------

Unable to get PEB pointer
Unable to get PEB pointer

BUGCHECK_STR:  0x7f_8

TSS:  00000028 -- (.tss 0x28)
eax=00000000 ebx=f79890d8 ecx=00000000 edx=00000000 esi=00000000 edi=00000158
eip=805209dd esp=f7989000 ebp=f798904c iopl=0         nv up ei pl zr na pe nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00210246
nt!MmAccessFault+0x1b:
805209dd ff1508914d80    call    dword ptr [nt!_imp__KeGetCurrentIrql (804d9108)] ds:0023:804d9108={hal!KeGetCurrentIrql (806e7428)}
Resetting default scope

DEFAULT_BUCKET_ID:  DRIVER_FAULT

TRAP_FRAME:  f79891c0 -- (.trap 0xfffffffff79891c0)
ErrCode = 00000000
eax=d0000006 ebx=f79892a8 ecx=00000000 edx=00000000 esi=00000000 edi=00000158
eip=80545627 esp=f7989234 ebp=f7989234 iopl=0         nv up ei pl zr na pe nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00210246
nt!KiTrap0E+0x17f:
80545627 83be5801000000  cmp     dword ptr [esi+158h],0 ds:0023:00000158=????????
Resetting default scope

LAST_CONTROL_TRANSFER:  from 80545578 to 805209dd

STACK_TEXT:  
f798904c 80545578 00000000 00000158 00000000 nt!MmAccessFault+0x1b
f798904c 80545627 00000000 00000158 00000000 nt!KiTrap0E+0xd0
f79890d8 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798914c 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f79891c0 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f7989234 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f79892a8 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798931c 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f7989390 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f7989404 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f7989478 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f79894ec 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f7989560 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f79895d4 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f7989648 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f79896bc 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f7989730 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f79897a4 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f7989818 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798988c 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f7989900 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f7989974 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f79899e8 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f7989a5c 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f7989ad0 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f7989b44 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f7989bb8 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f7989c2c 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f7989ca0 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f7989d14 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f7989d88 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f7989dfc 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f7989e70 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f7989ee4 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f7989f58 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f7989fcc 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798a040 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798a0b4 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798a128 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798a19c 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798a210 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798a284 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798a2f8 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798a36c 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798a3e0 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798a454 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798a4c8 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798a53c 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798a5b0 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798a624 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798a698 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798a70c 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798a780 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798a7f4 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798a868 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798a8dc 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798a950 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798a9c4 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798aa38 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798aaac 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798ab20 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798ab94 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798ac08 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798ac7c 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798acf0 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798ad64 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798add8 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798ae4c 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798aec0 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798af34 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798afa8 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798b01c 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798b090 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798b104 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f
f798b178 80545627 badb0d00 00000000 00000158 nt!KiTrap0E+0x17f

STACK_COMMAND:  .tss 0x28 ; kb

MODULE_NAME: nt

IMAGE_NAME:  ntkrpamp.exe

FOLLOWUP_NAME:  MachineOwner

DEBUG_FLR_IMAGE_TIMESTAMP:  4802516a

FOLLOWUP_IP:
nt!KiTrap0E+d0
80545578 85c0            test    eax,eax

SYMBOL_STACK_INDEX:  1

SYMBOL_NAME:  nt!KiTrap0E+d0

FAILURE_BUCKET_ID:  TRAP_FRAME_RECURSION

BUCKET_ID:  TRAP_FRAME_RECURSION

Followup: MachineOwner
---------

[招生]科锐逆向工程师培训(2025年3月11日实地,远程教学同时开班, 第52期)!

收藏
免费
支持
分享
最新回复 (23)
rqqeq
雪    币: 11
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
Too simple.....
游戏肯定是检测虚拟机了……
2014-1-19 19:33
0
小W
雪    币: 49
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
你怎么知道是检测虚拟机了?之前运行都是提示不能在虚拟机运行,难道这会连提示都没有了?直接蓝屏。。。。。

这游戏可是同时在线70W人的啊,这么没水准的保护,是不应该有的???
2014-1-19 20:26
0
李不空
雪    币: 70
活跃值: (1969)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
DNF是吧,DEBUG模式启动虚拟机的时候运行DNF直接蓝屏。你不双机调试就不会蓝屏了。
2014-1-20 08:14
0
小W
雪    币: 49
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
可问题是我就是要Debugger 它啊,不然我托他进VMware干嘛?
2014-1-20 12:18
0
李不空
雪    币: 70
活跃值: (1969)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
那你就得运用内核知识过掉这个反双机调试蓝屏了,good luck
2014-1-20 12:59
0
小W
雪    币: 49
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
呵呵,跟我发帖之前想的一样,还是得自己自强解决啊。。。。。。。。。
2014-1-20 13:08
0
小W
雪    币: 49
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
难道没人碰到过这游戏蓝屏问题?说明了就是DNF这2B游戏。。。。。。。。
2014-1-21 11:48
0
rqqeq
雪    币: 11
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
这些游戏公司搞的保护向来没有下限……
一看这个dump就知道是动了手脚的噻
2014-1-21 12:10
0
小W
雪    币: 49
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
老实说了,我搞的就是TP这2B货,难道你们在VMware里运行DNF都正常?为什么我的就直接蓝屏?????
2014-1-21 18:24
0
goddkiller
雪    币: 485
活跃值: (108)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
私信
11
不会分析DUMP还调游戏。。。明显双误, 不太可能是TP引起的
2014-1-24 17:37
0
小W
雪    币: 49
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
大牛说的双误?指的是?????
2014-1-25 19:38
0
Hacksign
雪    币: 2313
活跃值: (4199)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
私信
13
在处理一个异常的时候,再次发生异常。
参考 格蠹汇编
2014-1-27 12:18
0
wuzhiwen
雪    币: 281
活跃值: (262)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
这个TP调试模式下蓝屏是什么个原理?
2014-2-3 16:49
0
wtxpwh
雪    币: 38
活跃值: (581)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
15
双误,DOUBLE  FAULT。严重错误哦。
2014-2-3 16:56
0
rqqeq
雪    币: 11
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
说不定是游戏故意造成的……
2014-2-3 17:31
0
小W
雪    币: 49
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
17
就是故意造成的,低版本没这个现象。
2014-2-4 15:08
0
笔笔
雪    币: 100
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
18
cpu的pxe开了吗?
2014-2-4 15:44
0
小W
雪    币: 49
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
19
pxe是跟无盘有关的,这好像跟虚拟机没什么联系吧?
2014-2-4 23:02
0
笔笔
雪    币: 100
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
20
哦,我写错了字母了,不好意思啊!是PAE/NX开了吗?
2014-2-5 12:29
0
nfgfgo
雪    币: 130
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
21
不准虚拟机运行是不是要干坏事
2014-2-5 14:02
0
cubes
雪    币: 39
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
22
楼主,现在是怎么解决的呀
2014-3-6 13:02
0
jeppeter
雪    币: 28
活跃值: (223)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
23
http://answers.microsoft.com/zh-hans/windows/forum/windows_7-system/probably-caused-by-ntkrpampexe/66a622fc-2152-e011-8dfc-68b599b31bf5?msgId=5ff5c396-f355-e011-8dfc-68b599b31bf5
2014-3-6 13:27
0
cubes
雪    币: 39
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
24
这个好像不是解决的方法呀
2014-3-6 14:20
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回

账号登录
验证码登录

忘记密码?
没有账号?立即免费注册
我已同意 《看雪服务条款》 《看雪课程免责声明》 《看雪隐私政策》