首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
如何查找driver unload被挂起?
发表于: 2024-5-30 19:50 3691

如何查找driver unload被挂起?

rambo_dong 活跃值
2024-5-30 19:50
3691

0: kd> !locks -v 0xffffd1092a8d7258

Resource @ 0xffffd1092a8d7258 Exclusively owned
Threads: ffffd10924d0b400-01<*>

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
THREAD ffffd10924d0b400  Cid 0004.0154  Teb: 0000000000000000 Win32Thread: 0000000000000000 WAIT: (Executive) KernelMode Non-Alertable
    ffffe10e11971da8  SynchronizationEvent
Not impersonating
DeviceMap                 ffff990972809a20
Owning Process            ffffd10924cf1040       Image:         System
Attached Process          N/A            Image:         N/A
Wait Start TickCount      15963          Ticks: 10903 (0:00:02:50.359)
Context Switch Count      6807           IdealProcessor: 5            
UserTime                  00:00:00.000
KernelTime                00:00:00.140
Win32 Start Address nt!ExpWorkerThread (0xfffff80666ad7c30)
Stack Init ffffe10e11972530 Current ffffe10e11971650
Base ffffe10e11973000 Limit ffffe10e1196c000 Call 0000000000000000
Priority 12  BasePriority 12  IoPriority 2  PagePriority 5
Child-SP          RetAddr               Call Site
ffffe10e`11971690 fffff806`66a3ba05     nt!KiSwapContext+0x76
ffffe10e`119717d0 fffff806`66a3dbe7     nt!KiSwapThread+0xab5
ffffe10e`11971920 fffff806`66a3fb06     nt!KiCommitThreadWait+0x137
ffffe10e`119719d0 fffff806`66a8fe98     nt!KeWaitForSingleObject+0x256
ffffe10e`11971d70 fffff806`66ad70b4     nt!ExfWaitForRundownProtectionRelease+0xf4
ffffe10e`11971de0 fffff806`67c7370e     nt!ExWaitForRundownProtectionRelease+0x24
ffffe10e`11971e10 fffff806`67cc1850     FLTMGR!FltpWaitForRundownProtectionReleaseInternal+0x11a
ffffe10e`11971f20 fffff806`67cd8376     FLTMGR!FltUnregisterFilter+0xf0
ffffe10e`11971fe0 fffff80b`98f364c9     FLTMGR!FltvUnregisterFilter+0x16
ffffe10e`11972010 fffff806`67cccb99     fsflt!FilterUnload+0x89 [D:\filter.c @ 479]
ffffe10e`11972050 fffff806`67ccce36     FLTMGR!FltpDoUnloadFilter+0x19d
ffffe10e`11972240 fffff806`670ce773     FLTMGR!FltpMiniFilterDriverUnload+0x146
ffffe10e`11972280 fffff806`66ad7d85     nt!IopLoadUnloadDriver+0x191653
ffffe10e`119722c0 fffff806`66b6e8e7     nt!ExpWorkerThread+0x155
ffffe10e`119724b0 fffff806`66c1e0f4     nt!PspSystemThreadStartup+0x57
ffffe10e`11972500 00000000`00000000     nt!KiStartSystemThread+0x34

如何接着查找具体的原因在哪里?


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (4)
rambo_dong
雪    币: 0
活跃值: (163)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
!fltkd.filter FFFF9B0E2402F9A0 8 1

FLT_FILTER: ffff9b0e2402f9a0 "fsflt" "141001"
   InstanceList             : (ffff9b0e2402fa08)
      Resource (ffff9b0e2402fa70) List [ffff9b0e2402fa70-ffff9b0e2402fa70] rCount=0 
   Object usage/reference information: 
      References to FLT_CONTEXT                : 0 
      Allocations of FLT_CALLBACK_DATA         : 0 
      Allocations of FLT_DEFERRED_IO_WORKITEM  : 0 
      Allocations of FLT_GENERIC_WORKITEM      : 0 
      References to FLT_FILE_NAME_INFORMATION  : 0 
      Open files                               : 0 
      References to FLT_OBJECT                 : 20 
   List of objects used/referenced:: 
      FLT_VERIFIER_OBJECT: ffff9b0e23f1a500 
         Object: ffff9b0e1a7391c0  Type: (null)  RefCount: 00000020

FLT_OBJECT是什么东西?有人帮忙回复一下吗?
2024-5-31 17:20
0
mb_kkryygzw
雪    币: 225
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
3
是文件对象
2024-6-6 11:21
0
rambo_dong
雪    币: 0
活跃值: (163)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
不是的,谢谢。
2024-6-27 12:30
0
Adventure
雪    币: 4402
活跃值: (1366)
能力值: ( LV7,RANK:113 )
在线值:
发帖
回帖
粉丝
私信
5
上dump
2024-7-9 15:35
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//