首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]minifilter驱动调用FltSendMessage时蓝屏
发表于: 2016-8-3 16:29 7347

[求助]minifilter驱动调用FltSendMessage时蓝屏

wacpguo 活跃值
2016-8-3 16:29
7347
各位老大,帮忙看下,指点下解决思路,在此谢过!!!

kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

INVALID_PROCESS_ATTACH_ATTEMPT (5)
Arguments:
Arg1: 8bf45950
Arg2: 8a1b5c10
Arg3: 00000001
Arg4: 00000001

Debugging Details:
------------------

DEFAULT_BUCKET_ID:  VISTA_DRIVER_FAULT

BUGCHECK_STR:  0x5

PROCESS_NAME:  System

CURRENT_IRQL:  2

ANALYSIS_VERSION: 6.3.9600.17237 (debuggers(dbg).140716-0327) x86fre

LAST_CONTROL_TRANSFER:  from 818f2e8a to 8190eb0d

STACK_TEXT:  
819369cc 818f2e8a 00000005 8bf45950 8a1b5c10 nt!KeBugCheckEx+0x1e
81936a00 81ac2b89 8bf45950 81936a20 5afa4feb nt!KeStackAttachProcess+0x41
81936a58 8cbca4c8 8be3b0e8 8bf45950 00000001 nt!MmProbeAndLockProcessPages+0x32
81936b10 98ba0d37 81936ab8 8be677c0 8bf22588 fltmgr!FltSendMessage+0x1dc
81936b50 98ba1035 98ba306c 8bf22588 8be3be98 fnotify!NotifyFileEvent+0x25d
81936b6c 8cbc50f3 8be3be40 81936b90 9c48fa70 fnotify!fltPostOperationCallback+0x1d1
81936bd0 8cbc8090 00e3bde0 8ac84aab 8be3bde0 fltmgr!FltpPerformPostCallbacks+0x1f1
81936be4 8cbc85c6 8be3bde0 8ac84960 81936c28 fltmgr!FltpProcessIoCompletion+0x10
81936bf4 818e81fb 8a4d0628 8ac84960 8be3bde0 fltmgr!FltpPassThroughCompletion+0x94
81936c28 8cf7dd5f 81936c5c 8cf7d3ee 8a611678 nt!IopfCompleteRequest+0x11d
81936c30 8cf7d3ee 8a611678 8ac84960 00000001 CLASSPNP!ClassCompleteRequest+0x11
81936c5c 818e81fb 00000000 8a9fcb48 009fcd28 CLASSPNP!TransferPktComplete+0x2b6
81936c94 8cb79047 8a9fcdd4 81936cd8 8cb7c658 nt!IopfCompleteRequest+0x11d
81936ca0 8cb7c658 8a9fcb48 00000001 00000000 storport!RaidCompleteRequestEx+0x1c
81936cd8 8cb7931f 8adac008 8193b300 81936d50 storport!RaidUnitCompleteRequest+0x8f
81936ce8 818eb6a2 8a5609cc 8a560958 00000000 storport!RaidpAdapterDpcRoutine+0x28
81936d50 818e987d 00000000 0000000e 00000000 nt!KiRetireDpcList+0x147
81936d54 00000000 0000000e 00000000 00000000 nt!KiIdleLoop+0x49

STACK_COMMAND:  kb

FOLLOWUP_IP:
NotifyFileEvent+25d
98ba0d37 685352676d      push    6D675253h

FAULTING_SOURCE_LINE:  

FAULTING_SOURCE_FILE:  

FAULTING_SOURCE_LINE_NUMBER:  1832

FAULTING_SOURCE_CODE:  

  1831:                 FltSendMessage(serviceData.Filter,&serviceData.Agent.ClientPort,msgbuffer,AllocSize,NULL,NULL,&timeout);
> 1832:                 ExFreePoolWithTag(msgbuffer,FCNOTIFY_MESSAGE_TAG);

SYMBOL_STACK_INDEX:  4

FOLLOWUP_NAME:  MachineOwner

DEBUG_FLR_IMAGE_TIMESTAMP:  55dd78ad

FAILURE_BUCKET_ID:  fnotify!NotifyFileEvent+25d

BUCKET_ID: fnotify!NotifyFileEvent+25d

ANALYSIS_SOURCE:  KM

FAILURE_ID_HASH_STRING:  km:fnotify!notifyfileevent+25d

FAILURE_ID_HASH:  {3781bde5-e624-f862-9b50-70d03a11160f}

Followup: MachineOwner
---------

server 2008 32位虚拟机中抓的dmp,文件较大,放在网盘上:https://pan.baidu.com/s/1o7Nyjge

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (3)
woshidc
雪    币: 0
活跃值: (143)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
错误代码都知道了,下断点调试一下应该能ok吧。。。是不是msgbuffer的问题啊
2016-8-15 13:03
0
hnwyllmm
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
This is a Windows 2000 character-mode Stop message. It indicates a problem with an owned mutex or a mutex with a process already attached.
这是重复加锁的提示吧
2016-8-16 13:37
0
wacpguo
雪    币: 2
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
首先感谢两位的回复!
msgbuffer已检查,未发现问题;相关部分没有用到锁。

补充一下:此驱动会监视若干目录,发现有内容变化,即通知应用层;当监视的目录包含了system32/config目录时出现该问题(监视此目录属意外,排除后一切正常)。查了下资料,system32/config应是注册表数据所在目录。
2016-8-22 11:13
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//