Exceptioncode: c0000006
Если поле ExceptionCode содержит значение c0000006 (In-page I/O error), а второй параметр Parameter[2]: c000009a (Insufficient system resources exist to complete the API), то полное описание ошибки выглядит следующим образом:
«Inpage operation failed at , due to I/O error c000009a», что переводится как «Ошибка страничной операции (ошибка подкачки страницы) в следствии ошибки ввода-вывода с кодом c000009a». Так же, статус завершения может содержаться в поле с именем ERROR_CODE, а полная комбинированный код ошибки в поле EXCEPTION_STR.
Статус c000009a, в свою очередь, указывает на недостаток системных ресурсов для завершения вызова API, а недостаток ресурсов, чаще всего, является следствием исчерпания памяти. Из всего этого следует, что мы имеем дело с утечкой памяти в одном из сторонних модулей режима ядра, которая привела к исчерпанию системных ресурсов (в данном случае памяти), а это, в свою очередь, вызвало ошибку ввода-вывода при подкачке страницы, поскольку некуда была эту страницу подгрузить.
Утечка памяти (memory leak) — процесс неконтролируемого уменьшения объёма свободной (оперативной/виртуальной) памяти системы, связанный с ошибками в коде выполняющихся в данный момент программ, вовремя не освобождающих ненужные уже участки памяти, или с ошибками системных служб контроля памяти.
Память это конечный системный ресурс, и хорошая практика состоит в том, что как только часть памяти (минимальная единица выделения) становится не нужной какому-либо исполняемому коду, она должна быть возвращена в общий пул посредством освобождения (маркировки как свободная).
К сожалению, так случается не всегда. А иногда бывает, что ошибка в коде приводит к тому, что память вовремя не освобождается, а только постоянно резервируется. Естественно, что утечка происходит не в самих системных процессах (csrss.exe, smss.exe и прочих), которые могут фигурировать в качестве «упавшего» объекта, а где то еще, в каких-то сторонних модулях, работающих в ядре, скорее всего сторонних драйверах.
обратите внимание, что в выводе отладчика я выделил поля с именами NonPagedPool Usage, NonPagedPool Max. Они относятся к такому важному системному ресурсу, как невыгружаемый и выгружаемый пулы.
Выгружаемый и невыгружаемый пулы — ресурсы памяти, которые ядро операционной системы (включая драйверы устройств) использует для хранения собственных структур данных.
Сразу отмечу, что выгружаемые пулы обычно не являются причиной аварийных ситуаций из-за утечек памяти, поскольку они могут быть выгружены на диск, в файл подкачки. Стоит обращать своё внимание именно на невыгружаемые пулы. В случае, когда значения невыгружаемых пулов NonPagedPool Usage ~= NonPagedPool Max, можно сделать вывод об наличии факта исчерпания пулов.
В дополнение, в выводе могут встретиться такие строки как Excessive NonPaged Pool Usage и ???? pool allocations have failed, которые так же являются характерными признаками исчерпания пулов. Теперь мы можем вывести список всех процессов, использующих невыгружаемые пулы:
!poolused 7
Расширение !poolused даёт сводку по использованию памяти, на основании тэгов, применяемых для каждого пула, то есть показывает использование памяти для каждого тэга. Сам тэг характеризует конкретный модуль в ядре. Таким образом, !poolused собирает данные из механизма маркируемых пулов (pool tagging, группируемые по тэгу пулы), которая постоянно включена в ядре только в версиях Windows 2003 и старше. В расширении используются флаги, которые регламентируют количество выводимых данных и метод сортировки:
- Bit 0 (0x1) — Включает детализированный вывод;
- Bit 1 (0x2) — Сортирует вывод по количеству невыгружаемой памяти;
- Bit 2 (0x4) — Сортирует вывод по количеству выгружаемой памяти;
- Bit 3 (0x8) — Отображает вместо стандартных пулов пулы сессии;
Флаг 2 команды используется для вывода объема использования невыгружаемых пулов, 4 показало бы выгружаемые пулы.
NonPaged Paged
Tag Allocs Frees Diff Used Allocs Frees Diff Used
@GMM 86 63 23 2291256 1 0 1 2097152 (Intel video driver) Memory manager
Cont 267 8 259 2154640 0 0 0 0 Contiguous physical memory allocations for device drivers
EtwB 179 109 70 1779736 2 0 2 131072 Etw Buffer , Binary: nt!etw
VHAL 15 0 15 1578176 0 0 0 0 UNKNOWN pooltag ‘VHAL’, please update pooltag.txt
Ntfx 9682 1852 7830 1469264 0 0 0 0 General Allocation , Binary: ntfs.sys
File 82334 74244 8090 1446864 0 0 0 0 File objects
VoSm 62 41 21 1240192 0 0 0 0 Bitmap allocations , Binary: volsnap.sys
Pool 13 8 5 1156680 0 0 0 0 Pool tables, etc.
MmCa 6578 564 6014 904208 0 0 0 0 Mm control areas for mapped files , Binary: nt!mm
FMsl 9240 1461 7779 809016 0 0 0 0 STREAM_LIST_CTRL structure , Binary: fltmgr.sys
Thre 2216 1456 760 563216 0 0 0 0 Thread objects , Binary: nt!ps
IU3C 23 22 1 483328 73 71 2 48 IIS Utility Driver
Mm 443 434 9 456448 65 62 3 88 general Mm Allocations , Binary: nt!mm
MmCi 1592 0 1592 423008 0 0 0 0 Mm control areas for images , Binary: nt!mm
0AEC 189 2 187 414896 0 0 0 0 UNKNOWN pooltag ‘0AEC’, please update pooltag.txt
AmlH 6 0 6 393216 0 0 0 0 ACPI AMLI Pooltags
Devi 383 42 341 344960 0 0 0 0 Device objects
. . .
7:kd>!poolused7 ........ SortingbyNonPagedPoolConsumed NonPaged Paged Tag Allocs Frees Diff Used Allocs Frees Diff Used @GMM 86 63 23 2291256 1 0 1 2097152(Intelvideodriver)Memorymanager Cont 267 8 259 2154640 0 0 0 0Contiguousphysicalmemoryallocationsfordevicedrivers EtwB 179 109 70 1779736 2 0 2 131072EtwBuffer,Binary:nt!etw VHAL 15 0 15 1578176 0 0 0 0UNKNOWNpooltag‘VHAL’,pleaseupdatepooltag.txt Ntfx 9682 1852 7830 1469264 0 0 0 0GeneralAllocation,Binary:ntfs.sys File 82334 74244 8090 1446864 0 0 0 0Fileobjects VoSm 62 41 21 1240192 0 0 0 0Bitmapallocations,Binary:volsnap.sys Pool 13 8 5 1156680 0 0 0 0Pooltables,etc. MmCa 6578 564 6014 904208 0 0 0 0Mmcontrolareasformappedfiles,Binary:nt!mm FMsl 9240 1461 7779 809016 0 0 0 0STREAM_LIST_CTRLstructure,Binary:fltmgr.sys Thre 2216 1456 760 563216 0 0 0 0Threadobjects,Binary:nt!ps IU3C 23 22 1 483328 73 71 2 48IISUtilityDriver Mm 443 434 9 456448 65 62 3 88generalMmAllocations,Binary:nt!mm MmCi 1592 0 1592 423008 0 0 0 0Mmcontrolareasforimages,Binary:nt!mm 0AEC 189 2 187 414896 0 0 0 0UNKNOWNpooltag‘0AEC’,pleaseupdatepooltag.txt AmlH 6 0 6 393216 0 0 0 0ACPIAMLIPooltags Devi 383 42 341 344960 0 0 0 0Deviceobjects ... |
список обычно выдается просто огромный и приводить его тут целиком не имеет особого смысла, поэтому я показал лишь небольшую его часть, верхнюю. Конкретно в этом дампе у меня нет необходимой информации, однако обычно из подробного вывода видно, что у какой-то метки пула может присутствовать очень большое значение (обычно сотни тысяч) в столбце Diff у группировки NonPaged, которое говорит о том, что память, маркированная данным тэгом постоянно резервируется, но при этом мало освобождается.
Если в столбце Tag присутствует значение Irp, то имеются в виду IRP-пакеты (I/O request packet, пакеты запроса ввода-вывода), которые используются для обмена данными с драйверами. Поэтому, мы можем обратить своё внимание на пакеты драйверов (IRP), поскольку они могут дать нам подсказку по функциям, интенсивно использующим память. Для этого используем команду !irpfind отладчика:
Scanning large pool allocation table for tag 0x3f707249 (Irp?) (86bfb000 : 86cfb000)
Irp [ Thread ] irpStack: (Mj,Mn) DevObj [Driver] MDL Process
8612d828 [8760e030] irpStack: ( e,20) 868b4198 [ DriverAFD] 0x8759d6f8
87625530 [875e4398] irpStack: ( d, 0) 86110de8 [ FileSystemNpfs]
8619ec08 [8788c030] irpStack: ( e, 3) 868b4198 [ DriverAFD]
86eb8ad0 [876b30e0] irpStack: ( e,20) 868b4198 [ DriverAFD] 0x876a5980
87d31d20 [857a3c20] irpStack: ( e,2d) 868b4198 [ DriverAFD]
861a5c08 [00000000] Irp is complete (CurrentLocation 3 > StackCount 2)
86ac28e0 [00000000] Irp is complete (CurrentLocation 2 > StackCount 1) 0x00000000
86e911d0 [00000000] Irp is complete (CurrentLocation 7 > StackCount 6)
Searching nonpaged pool (80000000 : ffc00000) for tag 0x3f707249 (Irp?)
8563fe90 [00000000] irpStack: ( f, 0) 00000000 [00000000: Could not read device object or _DEVICE_OBJECT not found
]
856a2210 [00000000] irpStack: ( f, 0) 861d1b90 [ DriverACPI]
856a2600 [00000000] irpStack: (16, 0) 8563f328 [ DriverACPI]
856bb008 [00000000] Irp is complete (CurrentLocation 31 > StackCount 30)
856bb6a8 [00000000] Irp is complete (CurrentLocation 31 > StackCount 30)
856bbb58 [00000000] Irp is complete (CurrentLocation 31 > StackCount 30)
856bf368 [87611030] irpStack: ( d, 0) 86110de8 [ FileSystemNpfs]
856bf420 [00000000] Irp is complete (CurrentLocation 31 > StackCount 30)
856bf8d0 [00000000] Irp is complete (CurrentLocation 31 > StackCount 30)
856e30d8 [00000000] Irp is complete (CurrentLocation 2 > StackCount 1)
85713ae0 [876f7d48] irpStack: ( e,2d) 868b4198 [ DriverAFD]
85718300 [00000000] Irp is complete (CurrentLocation 2 > StackCount 1)
857190a0 [87b7ad48] irpStack: ( d, 0) 86110de8 [ FileSystemNpfs]
85719aa0 [87837420] irpStack: ( e, 0) 8782bd10 [ Drivermpsdrv]
8571a008 [87ace828] irpStack: ( c, 2) 86734020 [ FileSystemNtfs]
857676a8 [87b25d48] irpStack: ( e, 0) 86f0e030 [*** ERROR: Module load completed but symbols could not be loaded for iusb3hub.sys
Driveriusb3hub]
85768d48 [00000000] Irp is complete (CurrentLocation 4 > StackCount 3)
85775840 [00000000] Irp is complete (CurrentLocation 4 > StackCount 3)
85776408 [00000000] Irp is complete (CurrentLocation 4 > StackCount 3)
85776cc8 [00000000] Irp is complete (CurrentLocation 4 > StackCount 3)
85777338 [00000000] Irp is complete (CurrentLocation 4 > StackCount 3)
85777ce0 [00000000] Irp is complete (CurrentLocation 4 > StackCount 3)
857861d8 [00000000] Irp is complete (CurrentLocation 4 > StackCount 3)
857b2928 [00000000] Irp is complete (CurrentLocation 4 > StackCount 3)
857b3090 [00000000] Irp is complete (CurrentLocation 4 > StackCount 3)
857b5028 [00000000] Irp is complete (CurrentLocation 4 > StackCount 3)
. . .
7:kd>!irpfind Scanninglargepoolallocationtablefortag0x3f707249(Irp?)(86bfb000:86cfb000) Irp [Thread]irpStack:(Mj,Mn) DevObj [Driver] MDLProcess 8612d828[8760e030]irpStack:(e,20) 868b4198[DriverAFD]0x8759d6f8 87625530[875e4398]irpStack:(d,0) 86110de8[FileSystemNpfs] 8619ec08[8788c030]irpStack:(e,3) 868b4198[DriverAFD] 86eb8ad0[876b30e0]irpStack:(e,20) 868b4198[DriverAFD]0x876a5980 87d31d20[857a3c20]irpStack:(e,2d) 868b4198[DriverAFD] 861a5c08[00000000]Irpiscomplete(CurrentLocation3>StackCount2) 86ac28e0[00000000]Irpiscomplete(CurrentLocation2>StackCount1)0x00000000 86e911d0[00000000]Irpiscomplete(CurrentLocation7>StackCount6) Searchingnonpagedpool(80000000:ffc00000)fortag0x3f707249(Irp?) 8563fe90[00000000]irpStack:(f,0) 00000000[00000000:Couldnotreaddeviceobjector_DEVICE_OBJECTnotfound ] 856a2210[00000000]irpStack:(f,0) 861d1b90[DriverACPI] 856a2600[00000000]irpStack:(16,0) 8563f328[DriverACPI] 856bb008[00000000]Irpiscomplete(CurrentLocation31>StackCount30) 856bb6a8[00000000]Irpiscomplete(CurrentLocation31>StackCount30) 856bbb58[00000000]Irpiscomplete(CurrentLocation31>StackCount30) 856bf368[87611030]irpStack:(d,0) 86110de8[FileSystemNpfs] 856bf420[00000000]Irpiscomplete(CurrentLocation31>StackCount30) 856bf8d0[00000000]Irpiscomplete(CurrentLocation31>StackCount30) 856e30d8[00000000]Irpiscomplete(CurrentLocation2>StackCount1) 85713ae0[876f7d48]irpStack:(e,2d) 868b4198[DriverAFD] 85718300[00000000]Irpiscomplete(CurrentLocation2>StackCount1) 857190a0[87b7ad48]irpStack:(d,0) 86110de8[FileSystemNpfs] 85719aa0[87837420]irpStack:(e,0) 8782bd10[Drivermpsdrv] 8571a008[87ace828]irpStack:(c,2) 86734020[FileSystemNtfs] 857676a8[87b25d48]irpStack:(e,0) 86f0e030[***ERROR:Moduleloadcompletedbutsymbolscouldnotbeloadedforiusb3hub.sys Driveriusb3hub] 85768d48[00000000]Irpiscomplete(CurrentLocation4>StackCount3) 85775840[00000000]Irpiscomplete(CurrentLocation4>StackCount3) 85776408[00000000]Irpiscomplete(CurrentLocation4>StackCount3) 85776cc8[00000000]Irpiscomplete(CurrentLocation4>StackCount3) 85777338[00000000]Irpiscomplete(CurrentLocation4>StackCount3) 85777ce0[00000000]Irpiscomplete(CurrentLocation4>StackCount3) 857861d8[00000000]Irpiscomplete(CurrentLocation4>StackCount3) 857b2928[00000000]Irpiscomplete(CurrentLocation4>StackCount3) 857b3090[00000000]Irpiscomplete(CurrentLocation4>StackCount3) 857b5028[00000000]Irpiscomplete(CurrentLocation4>StackCount3) ... |
Время выполнения команды !irpfind может быть ЧУДОВИЩНО БОЛЬШИМ! У меня последний раз при дампе размером в 4 гигабайта, операция выполнялась в течении нескольких часов.
Список, традиционно, не маленький, и я привел лишь небольшую его часть. По команде !pool (адрес из первой колонки) можно получить данные о принадлежности к выгружаемому или невыгружаемому пулу памяти:
По команде !irp (адрес из первой колонки) можно получить информацию о принадлежности пакета к определенному устройству:
Как мы можем видеть, в последних строках есть ссылка на драйвер устройства, которому предназначался IRP пакет: DriverAFD. У нас имя драйвера устройства было сразу видно в выводе команды !irpfind, приведенном выше, однако если Вам по каким-либо причинам необходимо узнать имя драйвера, то можно выполнить команду !devstack <Device> (адрес из колонки Device), которая получает информацию об устройстве, получившем IRP пакет:
При обнаружении стороннего драйвера, информацию по нему можно посмотреть командной
lmvm
Стоит обращать внимание на время создания стороннего драйвера, поскольку некоторые проблемы могут вызывать драйвера, выпущенные довольно давно и плохо работающие в среде актуальной операционной системы.
Как отладить дамп памяти
Чтобы узнать, как отлаживать дамп памяти, чтобы узнать причину своего BSOD, загрузите и установите средства отладки Microsoft. Убедитесь, что ваш файл подкачки все еще находится в системном разделе. В противном случае Windows не сможет сохранить файлы отладки.
УСТРАНЕНИЕ НЕИСПРАВНОСТЕЙ В WINDOWS ОШИБКИ/BSOD.
1] Прежде всего, посмотрите, может ли Восстановление системы или Последняя удачная конфигурация решить эту проблему.
2] В противном случае запустите антивирусную и антишпионскую программу, а также утилиту очистки ПК от нежелательной почты и реестра. После этого запустите утилиту проверки дисков Windows.
3] Затем попытайтесь определить, были ли внесены какие-либо изменения в программное или аппаратное обеспечение.
4] В большинстве случаев программное обеспечение является жертвой, а не причиной BSOD. Так что не исключайте проблем с оборудованием. Это могут быть поврежденные жесткие диски, неисправная физическая оперативная память, перегретые микросхемы процессора или что-либо еще!
5] Проверьте, видите ли вы имя драйвера в деталях ошибки. Если вы можете, то простое отключение, удаление или откат этого драйвера до более ранней версии может помочь решить эту проблему. Чаще всего виноваты сетевые карты, контроллеры дисков и видеоадаптеры.
6] Проверьте свою память. Используйте средство диагностики памяти Windows. Перейдите в панель управления и введите «память» в поле поиска. В разделе «Администрирование» нажмите «Диагностировать проблемы с памятью». В средстве диагностики памяти Windows, показанном здесь, выберите один из вариантов.
7] Тщательно проверьте BIOS вашей системы. Доступно ли обновление от производителя системы или материнской платы? Внимательно проверьте документацию по BIOS; Сброс всех параметров BIOS до значений по умолчанию иногда может решить проблему, вызванную перестройкой.
8] Проверьте, не хватает ли вам системных ресурсов? Иногда критическая нехватка дискового пространства или оперативной памяти может вызвать BSOD.
9] Проверить, не поврежден ли системный файл? Работайте в безопасном режиме, так как активируются только основные драйверы и сервисы. Если ваша система запускается в безопасном режиме, но не нормально, скорее всего, у вас проблемный драйвер. Попробуйте запустить диспетчер устройств в безопасном режиме и удалить наиболее вероятное подозрение. Или запустите Восстановление системы в безопасном режиме.
10] Запустите средство устранения неполадок с синим экраном Windows 10 .
Для анализа аварийных дампов вам могут помочь ссылки на печать MSDN и ссылки BlueScreenView.
Определение типа объекта
Весьма желательно, что бы у Вас к этому моменту на руках уже имелся полный дамп памяти.
Запускаем отладчик WinDbg из комплекта Debugging Tools for Windows, затем открываем через меню File — Open Crash Dump… имеющийся у нас на руках (желательно полный) дамп памяти.В интерфейсе отладчика, в командной строке выполняем команду !analyze -v:
CRITICAL_OBJECT_TERMINATION (f4)
A process or thread crucial to system operation has unexpectedly exited or been
terminated.
Several processes and threads are necessary for the operation of the
system; when they are terminated (for any reason), the system can no
longer function.
Arguments:
Arg1: 0000000000000003, Process
Arg2: fffffa801723e730, Terminating object
Arg3: fffffa801723ea10, Process image file name
Arg4: fffff800043849c0, Explanatory message (ascii)
Debugging Details:
——————
ETW minidump data unavailable
DUMP_CLASS: 1
DUMP_QUALIFIER: 400
BUILD_VERSION_STRING: 7601.23539.amd64fre.win7sp1_ldr.160902-0600
SYSTEM_MANUFACTURER: MSI
SYSTEM_PRODUCT_NAME: MS-7758
SYSTEM_SKU: To be filled by O.E.M.
SYSTEM_VERSION: 1.0
BIOS_VENDOR: American Megatrends Inc.
BIOS_VERSION: V2.4
BIOS_DATE: 06/19/2021
BASEBOARD_MANUFACTURER: MSI
BASEBOARD_PRODUCT: Z77A-G43 (MS-7758)
BASEBOARD_VERSION: 1.0
DUMP_TYPE: 2
BUGCHECK_P1: 3
BUGCHECK_P2: fffffa801723e730
BUGCHECK_P3: fffffa801723ea10
BUGCHECK_P4: fffff800043849c0
KERNEL_LOG_FAILING_PROCESS: (null)
PROCESS_NAME: csrss.exe
CRITICAL_PROCESS: csrss.exe
IMAGE_NAME: csrss.exe
DEBUG_FLR_IMAGE_TIMESTAMP: 0
MODULE_NAME: csrss
FAULTING_MODULE: 0000000000000000
EXCEPTION_CODE: (Win32) 0x2119e060 (555343968) —
ERROR_CODE: (NTSTATUS) 0x2119e060 —
CPU_COUNT: 8
CPU_MHZ: da4
CPU_VENDOR: GenuineIntel
CPU_FAMILY: 6
CPU_MODEL: 3a
CPU_STEPPING: 9
CPU_MICROCODE: 6,3a,9,0 (F,M,S,R) SIG: 12’00000000 (cache) 12’00000000 (init)
CUSTOMER_CRASH_COUNT: 1
DEFAULT_BUCKET_ID: WIN7_DRIVER_FAULT
BUGCHECK_STR: 0xF4
CURRENT_IRQL: 0
ANALYSIS_SESSION_HOST:
ANALYSIS_SESSION_TIME: 11-09-2021 10:30:42.0059
ANALYSIS_VERSION: 10.0.14321.1024 amd64fre
STACK_TEXT:
fffff880`239039d8 fffff800`0440fb22 : 00000000`000000f4 00000000`00000003 fffffa80`1723e730 fffffa80`1723ea10 : nt!KeBugCheckEx
fffff880`239039e0 fffff800`043cd12b : 00000000`00000001 fffffa80`2119e060 fffffa80`1723e730 fffffa80`1f54eb01 : nt!PspCatchCriticalBreak 0x92
fffff880`23903a20 fffff800`04334eb4 : 00000000`00000001 00000000`0000239c fffffa80`1723e730 fffffa80`00000008 : nt! ?? ::NNGAKEGL::`string’ 0x282c6
fffff880`23903a70 fffff800`0407a413 : 00000000`0000239c fffffa80`2119e060 fffffa80`1723e730 fffffa80`21c24950 : nt!NtTerminateProcess 0x284
fffff880`23903ae0 00000000`7736bdfa : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd 0x13
00000000`2e94ebf8 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x7736bdfa
STACK_COMMAND: kb
THREAD_SHA1_HASH_MOD_FUNC: e9460336222f4471d8ae88a3d24ad7df3aff8ef1
THREAD_SHA1_HASH_MOD_FUNC_OFFSET: 9c238bf7ebe2405ac86e2eb68e7c228ca739e29c
THREAD_SHA1_HASH_MOD: f08ac56120cad14894587db086f77ce277bfae84
FOLLOWUP_NAME: MachineOwner
FAILURE_BUCKET_ID: X64_0xF4_csrss.exe_BUGCHECK_CRITICAL_PROCESS_TERMINATED_BY_ZennoPoster.ex_2119e060
BUCKET_ID: X64_0xF4_csrss.exe_BUGCHECK_CRITICAL_PROCESS_TERMINATED_BY_ZennoPoster.ex_2119e060
PRIMARY_PROBLEM_CLASS: X64_0xF4_csrss.exe_BUGCHECK_CRITICAL_PROCESS_TERMINATED_BY_ZennoPoster.ex_2119e060
TARGET_TIME: 2021-10-29T18:32:47.000Z
OSBUILD: 7601
OSSERVICEPACK: 1000
SERVICEPACK_NUMBER: 0
OS_REVISION: 0
SUITE_MASK: 272
PRODUCT_TYPE: 1
OSPLATFORM_TYPE: x64
OSNAME: Windows 7
OSEDITION: Windows 7 WinNt (Service Pack 1) TerminalServer SingleUserTS
OS_LOCALE:
USER_LCID: 0
OSBUILD_TIMESTAMP: 2021-09-02 17:56:46
BUILDDATESTAMP_STR: 160902-0600
BUILDLAB_STR: win7sp1_ldr
BUILDOSVER_STR: 6.1.7601.23539.amd64fre.win7sp1_ldr.160902-0600
ANALYSIS_SESSION_ELAPSED_TIME: aa9
ANALYSIS_SOURCE: KM
FAILURE_ID_HASH_STRING: km:x64_0xf4_csrss.exe_bugcheck_critical_process_terminated_by_zennoposter.ex_2119e060
FAILURE_ID_HASH: {84f37c38-3c29-3fb1-11f5-e9b6e5d2d6f8}
Followup: MachineOwner
******************************************************************************* * * * BugcheckAnalysis * * * ******************************************************************************* CRITICAL_OBJECT_TERMINATION(f4) Aprocessorthreadcrucialtosystemoperationhasunexpectedlyexitedorbeen terminated. Severalprocessesandthreadsarenecessaryfortheoperationofthe system; when they are terminated (for any reason), the system can no longerfunction. Arguments: Arg1:0000000000000003,Process Arg2:fffffa801723e730,Terminatingobject Arg3:fffffa801723ea10,Processimagefilename Arg4:fffff800043849c0,Explanatorymessage(ascii) DebuggingDetails: —————— ETWminidumpdataunavailable DUMP_CLASS:1 DUMP_QUALIFIER:400 BUILD_VERSION_STRING: 7601.23539.amd64fre.win7sp1_ldr.160902—0600 SYSTEM_MANUFACTURER: MSI SYSTEM_PRODUCT_NAME: MS—7758 SYSTEM_SKU: TobefilledbyO.E.M. SYSTEM_VERSION: 1.0 BIOS_VENDOR: AmericanMegatrendsInc. BIOS_VERSION: V2.4 BIOS_DATE: 06/19/2021 BASEBOARD_MANUFACTURER: MSI BASEBOARD_PRODUCT: Z77A—G43(MS—7758) BASEBOARD_VERSION: 1.0 DUMP_TYPE: 2 BUGCHECK_P1:3 BUGCHECK_P2:fffffa801723e730 BUGCHECK_P3:fffffa801723ea10 BUGCHECK_P4:fffff800043849c0 KERNEL_LOG_FAILING_PROCESS: (null) PROCESS_NAME: csrss.exe CRITICAL_PROCESS: csrss.exe IMAGE_NAME: csrss.exe DEBUG_FLR_IMAGE_TIMESTAMP: 0 MODULE_NAME:csrss FAULTING_MODULE:0000000000000000 EXCEPTION_CODE:(Win32)0x2119e060(555343968)— ERROR_CODE:(NTSTATUS)0x2119e060— CPU_COUNT:8 CPU_MHZ:da4 CPU_VENDOR: GenuineIntel CPU_FAMILY:6 CPU_MODEL:3a CPU_STEPPING:9 CPU_MICROCODE:6,3a,9,0(F,M,S,R) SIG:12‘00000000 (cache) 12’00000000(init) CUSTOMER_CRASH_COUNT: 1 DEFAULT_BUCKET_ID: WIN7_DRIVER_FAULT BUGCHECK_STR: 0xF4 CURRENT_IRQL: 0 ANALYSIS_SESSION_HOST: ANALYSIS_SESSION_TIME: 11—09—202110:30:42.0059 ANALYSIS_VERSION:10.0.14321.1024amd64fre STACK_TEXT: fffff880`239039d8fffff800`0440fb22:00000000`000000f400000000`00000003fffffa80`1723e730fffffa80`1723ea10:nt!KeBugCheckEx fffff880`239039e0fffff800`043cd12b:00000000`00000001fffffa80`2119e060fffffa80`1723e730fffffa80`1f54eb01:nt!PspCatchCriticalBreak 0x92 fffff880`23903a20fffff800`04334eb4:00000000`0000000100000000`0000239cfffffa80`1723e730fffffa80`00000008:nt!??::NNGAKEGL::`string‘ 0x282c6 fffff880`23903a70fffff800`0407a413:00000000`0000239cfffffa80`2119e060fffffa80`1723e730fffffa80`21c24950:nt!NtTerminateProcess 0x284 fffff880`23903ae000000000`7736bdfa:00000000`0000000000000000`0000000000000000`0000000000000000`00000000:nt!KiSystemServiceCopyEnd 0x13 00000000`2e94ebf800000000`00000000:00000000`0000000000000000`0000000000000000`0000000000000000`00000000:0x7736bdfa STACK_COMMAND: kb THREAD_SHA1_HASH_MOD_FUNC: e9460336222f4471d8ae88a3d24ad7df3aff8ef1 THREAD_SHA1_HASH_MOD_FUNC_OFFSET: 9c238bf7ebe2405ac86e2eb68e7c228ca739e29c THREAD_SHA1_HASH_MOD: f08ac56120cad14894587db086f77ce277bfae84 FOLLOWUP_NAME: MachineOwner FAILURE_BUCKET_ID: X64_0xF4_csrss.exe_BUGCHECK_CRITICAL_PROCESS_TERMINATED_BY_ZennoPoster.ex_2119e060 BUCKET_ID: X64_0xF4_csrss.exe_BUGCHECK_CRITICAL_PROCESS_TERMINATED_BY_ZennoPoster.ex_2119e060 PRIMARY_PROBLEM_CLASS: X64_0xF4_csrss.exe_BUGCHECK_CRITICAL_PROCESS_TERMINATED_BY_ZennoPoster.ex_2119e060 TARGET_TIME: 2021—10—29T18:32:47.000Z OSBUILD: 7601 OSSERVICEPACK: 1000 SERVICEPACK_NUMBER:0 OS_REVISION:0 SUITE_MASK: 272 PRODUCT_TYPE: 1 OSPLATFORM_TYPE: x64 OSNAME: Windows7 OSEDITION: Windows7WinNt(ServicePack1)TerminalServerSingleUserTS OS_LOCALE: USER_LCID: 0 OSBUILD_TIMESTAMP: 2021—09—0217:56:46 BUILDDATESTAMP_STR: 160902—0600 BUILDLAB_STR: win7sp1_ldr BUILDOSVER_STR: 6.1.7601.23539.amd64fre.win7sp1_ldr.160902—0600 ANALYSIS_SESSION_ELAPSED_TIME:aa9 ANALYSIS_SOURCE: KM FAILURE_ID_HASH_STRING: km:x64_0xf4_csrss.exe_bugcheck_critical_process_terminated_by_zennoposter.ex_2119e060 FAILURE_ID_HASH: {84f37c38—3c29—3fb1—11f5—e9b6e5d2d6f8} Followup: MachineOwner |
Вот это всё великое множество полей нам, конечно же, не потребуется. При анализе любого дампа памяти интерес для нас представляет, в первую очередь, описание и аргументы критической ошибки, которые следуют, как правило, непосредственно за «шапкой» Bugcheck Analysis:
Поиск ключевых структур
Не важно, виновником останова у нас был процесс или же поток, в любом случае, после определения типа вызвавшего сбой объекта, дальнейшее изучение приводит нас сюда. Само определение типа объекта (процесс/поток) и имени объекта (имя процесса) дают нам лишь минимально-необходимый набор информации для дальнейшего осмысления проблемы.
Конечно случаются и исключения, но в большинстве случаев в критической ошибке STOP 000000F4 участвует один из системных процессов, что усложняет дальнейший анализ. К примеру, виновником может запросто оказаться такой системный процесс, как csrss.exe или smss.exe, и что прикажете с этим фактом делать?
Обновлять/заменять системные процессы не имеет смысла, поскольку если исключить явную подмену модуля (вследствие вирусной активности), что случается довольно редко, то обычно в системе присутствует самая актуальная версия. В этом случае вопрос ЧТО именно упало заменяется на вопрос ПОЧЕМУ данный процесс/поток упал?
Природа критического сбоя такова, что настоящей причиной его может быть вовсе не сам процесс как таковой, а повреждение сторонних системных структур, например ошибка операции ввода-вывода при «подкачке» страницы из файла подкачки в физическую память.
Все это подталкивает нас к мысли о необходимости дальнейшего исследования инцидента. В самом начале исследования ошибки STOP 000000F4, мы выполняли в отладчике Windbg команду !analyze -v, а в выводе этой команды, в большинстве случаев, могут присутствовать дополнительные параметры, такие как код исключения в контексте процесса/потока. Попытайтесь найти в выводе структуру с именем EXCEPTION_RECORD, она может быть в такой форме:
а может быть и в такой:
..именно эта структура, в контексте данного сбоя, представляет особый интерес, поскольку имеет ряд значимых для дальнейшего изучения инцидента полей. Если структура присутствует в выводе, то обращаем внимания на поля ExceptionCode / EXCEPTION_CODE и Parameter[x] / ERROR_CODE, поскольку дальнейшее ориентирование будет происходить именно по их комбинациям.
Поле ExceptionCode указывает на код исключения (возможно с кратким описанием), а один из параметров Parameter[x] может содержать уточняющую информацию о характере возникшего исключения. Итак, значение поля ExceptionCode анализируется в совокупности с полями Parameter[x], обычно содержащими дополнительные коды ошибок, и только после этого выстраивается логическая цепочка дальнейших действий.
Проверка и чистка hdd
Первым подозреваемым становится жёсткий диск. Дело в том, что приложение может находится на секторе с ошибкой. И к падению системы приводит как раз взаимодействие с «битым сектором». В таком случае и возникает прерывание мониторинга состояния диска. И это прерывание приводит к синему экрану.
Чтобы проверить состояние диска можно воспользоваться сторонними программами MHDD или Victoria или воспользоваться средствами самой системы. Рассматривается второй случай, потому как об использовании специфического программного обеспечения можно прочесть у нас на сайте:
- Открываете «Проводник» и нажимаете правой кнопкой мыши на локальном диске. Процедуру потребуется повторить несколько раз (по разу для каждого локального диска). Выбираете пункт «Свойства».
- Переходите в «Свойствах» на вкладку «Сервис» и выбираете «Проверить».
- Читаете предупреждение и выбираете необходимые галочки: «Исправлять ошибки» и «Сканировать том». После чего запускаете процедуру.
Важно! Этот способ актуален для Windows 7 и выше. Для Windows XP подобный инструмент не предусмотрен, поэтому потребуется прибегнуть к использованию упомянутых выше программ.
Проверка озу
Вторым источником ошибки синего экрана 0x000000f4 может служить некорректное взаимодействие компонентов системы и оперативной памяти. При наличии отклонений в последней её работа будет выполняться не корректно и системный процесс, вместо нужных данных получит неверное значение. Это и приведёт к его падению. В процессе проверки состояния ОЗУ компьютер потребуется перезапустить:
- Открываем строку «Выполнить» («Ctrl R») и прописываем «msconfig».
- Переходим на вкладку «Загрузка» и отмечаем галочку «Сделать эти параметры загрузки постоянными».
Это требуется для того, чтобы активировать «Тайм-аут» при запуске системы, чтобы после перезагрузки запустить диагностику памяти.
- Перезагружаем компьютер и выбираем «Диагностика памяти» в окне выбора системы.
После этого выбираете настройки и запускаете процесс. Дело это не быстрое и отнимет определённое время. Пользоваться компьютером в это время не выйдет.
Способ справедлив для любой версии Windows. Альтернативным способом запуска диагностики является перезагрузка компьютера и нажатия F8 для отображения окна выбора загрузки. Такой способ больше подходит для Windows XP, поскольку там вместо «msconfig» используется текстовый файл «boot.ini».
Список ошибок windows stop
15 самых распространенных ошибок остановки/BSOD в окнах
STOP 0x000000D1 или DRIVER_IRQL_NOT_OR_EQUAL Наверное, самый распространенный BSOD! Происходит, когда драйвер незаконно получил доступ к области памяти, когда NT работает с определенным IRQL. Это ошибка кодирования драйвера, похожая на попытку доступа к неверной ячейке памяти. Восстановление/Обходной путь: Обычно нет. Но это может помочь KB810093, KB316208 и KB810980.
STOP 0x0000000A или IRQL_NOT_LESS_OR_EQUAL Процесс или драйвер в режиме ядра попытались получить доступ к области памяти без авторизации. Эта ошибка Stop обычно вызывается неисправным или несовместимым оборудованием или программным обеспечением.
Имя драйвера устройства-нарушителя часто появляется в сообщении «Ошибка остановки» и может служить важным ключом к решению проблемы. Если сообщение об ошибке указывает на определенное устройство или категорию устройств, попробуйте удалить или заменить устройства в этой категории.
STOP 0x00000050 или PAGE_FAULT_IN_NONPAGED_AREA Аппаратный драйвер или системная служба запросили данные, которых не было в памяти. Причиной может быть дефект физической памяти или несовместимое программное обеспечение, особенно удаленное управление и антивирусные программы.
STOP 0x000000C2 или BAD_POOL_CALLER Процесс или драйвер в режиме ядра попытались выполнить недопустимое выделение памяти. Проблема часто может быть связана с ошибкой в драйвере или программном обеспечении. Это также иногда вызвано отказом в аппаратном устройстве. Для получения дополнительной информации см. KB265879.
https://www.youtube.com/watch?v=subscribe_widget
STOP OX000000ED или UNMOUNTABLE_BOOT_VOLUME Происходит, если Windows не может получить доступ к тому, содержащему загрузочные файлы. Но если вы получаете это сообщение при обновлении до Vista, убедитесь, что у вас есть совместимые драйверы для контроллера диска, а также еще раз проверьте кабельную разводку диска и убедитесь, что он настроен правильно.
STOP 0x0000001E или KMODE_EXCEPTION_NOT_HANDLED Ядро Windows обнаружило недопустимую или неизвестную инструкцию процессора, часто являющуюся результатом неправильной памяти и нарушений доступа, вызванных неисправными драйверами или аппаратными устройствами.
STOP 0x00000024 или NTFS_FILE_SYSTEM Возникла проблема в драйвере файловой системы NTFS. Аналогичная ошибка остановки, 0x23, существует для дисков FAT32. Наиболее вероятная причина – аппаратный сбой диска или контроллера диска. Проверьте все физические соединения со всеми жесткими дисками в системе и запустите Check Disk. KB228888 поможет вам.
STOP 0x0000002E или DATA_BUS_ERROR Сбой или неисправность физической памяти (включая память, используемую в видеоадаптерах) является наиболее распространенной причиной этой ошибки Stop. Ошибка также может быть результатом поврежденного жесткого диска или поврежденной материнской платы.
STOP 0x0000003F или NO_MORE_SYSTEM_PTES В вашей системе закончились записи таблицы страниц (PTE). Причиной этой относительно необычной ошибки может быть неконтролируемая программа резервного копирования или неисправный драйвер устройства. Для получения дополнительной информации см. KB256004.
STOP 0x00000077 или KERNEL_STACK_INPAGE_ERROR Система попыталась прочитать данные ядра из виртуальной памяти (файл подкачки) и не смогла найти данные по указанному адресу памяти. Эта ошибка остановки может быть вызвана множеством проблем, включая дефектную память, неисправный жесткий диск, неправильно настроенный контроллер диска или кабель, поврежденные данные или вирусную инфекцию. Для получения дополнительной информации нажмите KB228753.
STOP 0x0000007F или UNEXPECTED_KERNEL_MODE_TRAP Скорее всего, из-за аппаратного сбоя, например, неисправных микросхем памяти, несоответствующих модулей памяти, неисправного процессора или отказа вашего вентилятора или блока питания, вероятными причинами этого BSOD.
STOP 0x000000D8 или DRIVER_USED_EXCESSIVE_PTES Это указывало на то, что плохо написанный драйвер заставляет ваш компьютер запрашивать большие объемы памяти ядра. Предложения по устранению неполадок идентичны тем, которые содержатся в сообщении STOP 0X3F.KB256004 поможет вам
STOP 0X000000EA или THREAD_STUCK_IN_DEVICE_DRIVER Может произойти после установки нового видеоадаптера или обновленного (и плохо написанного) видеодрайвера. Замена видеоадаптера или использование другого видеодрайвера может помочь. См. KB293078.
STOP 0XC000021A или STATUS_SYSTEM_PROCESS_TERMINATED Происходит, если существует серьезная проблема безопасности с Windows. Подсистема, такая как Winlogon или CSRSS, взломана; или из-за несоответствия в системных файлах; или если системные разрешения были неправильно изменены.
STOP 0XC00000221 или STATUS_IMAGE_CHECKSUM_MISMATCH Это указывает на поврежденный файл подкачки; или повреждение диска или файла; или неисправное оборудование. Ошибка будет указывать точный характер и имя поврежденного системного файла.
Для опытных пользователей Microsoft Advanced Windows отладки и устранения неполадок является удобной ссылкой! Дополнительное чтение на TechNet.
Кроме того, здесь обсуждались еще 10 распространенных ошибок остановки синего экрана Windows и возможные обходные пути.