Toon posts:

Windows debugger - Debug een dumpfile

Pagina: 1
Acties:

Onderwerpen

Microsoft Windows 7

dinsdag 22 december 2009 10:49

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Ik heb sinds kort een vreemd probleem met een Windows 2003 Terminal Server. Deze reboot spontaan op verschillende tijden. Het enige wat afgelopen week is gebeurd is het keer op keer opnieuw installeren van Java 1.5 i.v.m. een specifieke java applet die alleen werkt met 1.5.

Achteraf blijkt er een probleem in het profiel van de gebruiker te zitten.

Maar nu plotseling reboot de server spontaan. Nu heb ik mij meer verdiept in het debuggen van .DMP files, maar ik snap 1 ding niet.

Een uitleg die ik heb gevonden wat perfect helpt is: http://www.networkworld.com/news/2005/041105-windows-crash.html?page=1

Vervolgens de debugger gedownload en geinstalleerd en vervolgens het pad naar de symbols ingesteld. Na het analyseren komt er deze output uit:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127

Microsoft (R) Windows Debugger Version 6.11.0001.404 X86
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\Documents and Settings\Administrator\Bureaublad\MEMORY\MEMORY.DMP]
Kernel Summary Dump File: Only kernel address space is available

Symbol search path is: SRV*c:\local cache*http://msdl.microsoft.com/download/symbols
Executable search path is: 
Windows Server 2003 Kernel Version 3790 (Service Pack 2) MP (4 procs) Free x86 compatible
Product: Server, suite: TerminalServer
Built by: 3790.srv03_sp2_gdr.070304-2240
Machine Name:
Kernel base = 0x80800000 PsLoadedModuleList = 0x808af9c8
Debug session time: Tue Jul 15 08:57:38.476 2008 (GMT+1)
System Uptime: 18 days 23:13:08.851
Loading Kernel Symbols
...............................................................
.............................................
Loading User Symbols
PEB is paged out (Peb.Ldr = 7ffde00c).  Type ".hh dbgerr001" for details
Loading unloaded module list
......
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck D0, {8, d0000002, 0, 80899707}

PEB is paged out (Peb.Ldr = 7ffde00c).  Type ".hh dbgerr001" for details
PEB is paged out (Peb.Ldr = 7ffde00c).  Type ".hh dbgerr001" for details
Probably caused by : Ntfs.sys

Followup: MachineOwner
---------

3: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

DRIVER_CORRUPTED_MMPOOL (d0)
Arguments:
Arg1: 00000008, memory referenced
Arg2: d0000002, IRQL
Arg3: 00000000, value 0 = read operation, 1 = write operation
Arg4: 80899707, address which referenced memory
    An attempt was made to access a pageable (or completely invalid) address at an
    interrupt request level (IRQL) that is too high.  This is
    caused by drivers that have corrupted the system pool.  Run the driver
    verifier against any new (or suspect) drivers, and if that doesn't turn up
    the culprit, then use gflags to enable special pool.  You can also set
    HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\ProtectNonPagedPool
    to a DWORD 1 value and reboot.  Then the system will unmap freed nonpaged pool,
    preventing drivers (although not DMA-hardware) from corrupting the pool.

Debugging Details:
------------------

PEB is paged out (Peb.Ldr = 7ffde00c).  Type ".hh dbgerr001" for details
PEB is paged out (Peb.Ldr = 7ffde00c).  Type ".hh dbgerr001" for details

READ_ADDRESS:  00000008 

CURRENT_IRQL:  2

FAULTING_IP: 
nt!MiFreePoolPages+8a3
80899707 8b4608          mov     eax,dword ptr [esi+8]

DEFAULT_BUCKET_ID:  DRIVER_FAULT

BUGCHECK_STR:  0xD0

PROCESS_NAME:  avp.exe

IRP_ADDRESS:  8624b008

DEVICE_OBJECT: 89e0b718

DRIVER_OBJECT: 8a7a43c8

IMAGE_NAME:  Ntfs.sys

DEBUG_FLR_IMAGE_TIMESTAMP:  45d6a04b

MODULE_NAME: Ntfs

FAULTING_MODULE: f71f5000 Ntfs

TRAP_FRAME:  a493fb64 -- (.trap 0xffffffffa493fb64)
ErrCode = 00000000
eax=86001000 ebx=00000008 ecx=81400000 edx=00000000 esi=00000000 edi=00000000
eip=80899707 esp=a493fbd8 ebp=a493fc00 iopl=0         nv up ei ng nz ac pe cy
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010297
nt!MiFreePoolPages+0x8a3:
80899707 8b4608          mov     eax,dword ptr [esi+8] ds:0023:00000008=????????
Resetting default scope

LAST_CONTROL_TRANSFER:  from 80899707 to 80836de5

STACK_TEXT:  
a493fb64 80899707 badb0d00 00000000 de285800 nt!KiTrap0E+0x2a7
a493fc00 8089c36d 86001000 8600a660 86001026 nt!MiFreePoolPages+0x8a3
a493fc58 80841805 20206f49 00000000 00000000 nt!ExFreePoolWithTag+0x277
a493fcac 80938c66 8624b048 a493fcec a493fcf8 nt!IopCompleteRequest+0xf9
a493fd48 80833bdf 000009e0 04a9fbc0 03cc227c nt!NtQueryInformationFile+0x5c4
a493fd48 7c9385ec 000009e0 04a9fbc0 03cc227c nt!KiFastCallEntry+0xfc
WARNING: Frame IP not in any known module. Following frames may be wrong.
04a9fba0 00000000 00000000 00000000 00000000 0x7c9385ec


STACK_COMMAND:  kb

FOLLOWUP_NAME:  MachineOwner

FAILURE_BUCKET_ID:  0xD0_IMAGE_Ntfs.sys_DATE_2007_02_17

BUCKET_ID:  0xD0_IMAGE_Ntfs.sys_DATE_2007_02_17

Followup: MachineOwner


Nu zie je bij PROCESS_NAME avp.exe staan. Dit is van kaspersky.
Vervolgens bij IMAGE_NAME staat Ntfs.sys

Nu las ik dat zogauw de debugger windows bestanden gaat aangeven je het niet 100% moet vertrouwen, maar hoe kom ik erarchter wat dan wel het probleem veroorzaakt?

Ik ga na werktijd een CHKDKS /f of /r uitvoeren om dat in ieder geval te controleren.
Daarnaast staat van de reboot niks in de logboeken vermeld, afgezien van een onverwachte reboot.

Iemand die mij misschien wat tips kan geven?

dinsdag 22 december 2009 17:21

Acties:
  • 0 Henk 'm!
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Je hebt wel last van wat geheugenconsumptie waardoor je debug info gedeeltelijk wordt uitgepaged (PEB - http://msdn.microsoft.com/en-us/library/cc267325.aspx ).

Het kan zijn dat je KAV inderdaad een probleem heeft - al zou je dan eerder de filesystem driver (klif.sys) verwachten te zien dan de main executable als het echt om een NTFS benadering zou gaan.
Welke versie is et?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq