更新完8.1.0.1002i后开始蓝屏，谁来给分析下dump

小蚂蚁的梦想

我木有问题

Tron

轻巧夺命 发表于 2011-7-10 12:37
非常感谢

应该是金山的问题，可以卸载金山毒霸试试。

轻巧夺命

Tron 发表于 2011-7-10 13:47
应该是金山的问题，可以卸载金山毒霸试试。

果然如你所说是金山的问题，谢了。

轻巧夺命

Tron 发表于 2011-7-10 13:47
应该是金山的问题，可以卸载金山毒霸试试。

我保留毒霸，完全卸载8.1.0.1002i 后，重新安装8.1.0.1002h 版本，这次没有再引起蓝屏。貌似这个版本和蓝屏时安装的 i 或 j 版本的差别是360Box.sys一个是1.0.0.1017，一个是1.0.0.1019；并且appd.dll一个是7.0.0.1011，一个是7.1.0.1001。所以我感觉可能蓝屏是不是跟这两个文件的升级有一点关系，有可能不完全是有毒霸引起的。


替换 8.1.0.1002j 版的ipc文件夹为 h 版的后，这个问题不会再出现了。这两个文件嫌疑很大啊。

kl123213

表示一点事都没有啊！！

xxqqwx

我这里没问题。

轻巧夺命

xxqqwx 发表于 2011-7-10 17:06
我这里没问题。

单独装应该没问题，和毒霸一起装可能会引起蓝屏。并且我这里的蓝屏是由7月8号签名的360Box.sys引起的，使用6月30日签名的360Box.sys则无此问题。

七宝

轻巧夺命 发表于 2011-7-10 17:10
单独装应该没问题，和毒霸一起装可能会引起蓝屏。并且我这里的蓝屏是由7月8号签名的360Box.sys引起的，使 ...

看样子应该是沙箱部分冲突

wowocock

1: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

UNEXPECTED_KERNEL_MODE_TRAP (7f)
This means a trap occurred in kernel mode, and it's a trap of a kind
that the kernel isn't allowed to have/catch (bound trap) or that
is always instant death (double fault).  The first number in the
bugcheck params is the number of the trap (8 = double fault, etc)
Consult an Intel x86 family manual to learn more about what these
traps are. Here is a *portion* of those codes:
If kv shows a taskGate
        use .tss on the part before the colon, then kv.
Else if kv shows a trapframe
        use .trap on that value
Else
        .trap on the appropriate frame will show where the trap was taken
        (on x86, this will be the ebp that goes with the procedure KiTrap)
Endif
kb will then show the corrected stack.
Arguments:
Arg1: 00000008, EXCEPTION_DOUBLE_FAULT
Arg2: 807c5750
Arg3: 00000000
Arg4: 00000000

Debugging Details:
------------------

PEB is paged out (Peb.Ldr = 7ffd800c).  Type ".hh dbgerr001" for details
PEB is paged out (Peb.Ldr = 7ffd800c).  Type ".hh dbgerr001" for details

OVERLAPPED_MODULE: Address regions for 'spsys' and 'spsys.sys' overlap

BUGCHECK_STR:  0x7f_8

TSS:  00000028 -- (.tss 0x28)
eax=00000000 ebx=a58150c0 ecx=00010000 edx=00010001 esi=00000000 edi=876350d0
eip=8442fb37 esp=a5815000 ebp=a5815048 iopl=0         nv up ei pl zr na pe nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010246
nt!ObpCaptureObjectCreateInformation+0x1f:
8442fb37 e80433e1ff      call    nt!memset (84242e40)
Resetting default scope

DEFAULT_BUCKET_ID:  VISTA_DRIVER_FAULT

PROCESS_NAME:  PotPlayerMini.

CURRENT_IRQL:  0

LAST_CONTROL_TRANSFER:  from 8442e26a to 8442fb37

STACK_TEXT:  
a5815048 8442e26a 00000000 87978d00 a58150c0 nt!ObpCaptureObjectCreateInformation+0x1f
a5815084 8443a405 00000000 86fe9760 a58150c0 nt!ObCreateObject+0x79
a58150dc 8444ee9a a58151ac 89588020 89417858 nt!IopAllocRealFileObject+0x50
a58151d0 8442eab5 89417858 87fe9760 87978d20 nt!IopParseDevice+0xac4
a581524c 8443eec6 00000000 a58152a0 00000240 nt!ObpLookupObjectName+0x4fa
a58152a8 844359a4 a58153d0 86fe9760 a5815400 nt!ObOpenObjectByName+0x165
a5815324 84476ed2 a581545c 00100080 a58153d0 nt!IopCreateFile+0x673
a5815380 a2ab27aa a581545c 00100080 a58153d0 nt!IoCreateFileEx+0x9e
WARNING: Stack unwind information not available. Following frames may be wrong.
a5815404 a2ab2d8f a5815454 00100080 00000001 kisknl+0xa7aa
a5815424 a2ab33c8 a5815454 00100080 00000001 kisknl+0xad8f
a5815460 a2aaf143 a58155e8 a5815480 00000000 kisknl+0xb3c8
a58154a8 a2ab0077 a58154e0 a58155f8 a58155f4 kisknl+0x7143
a581560c a2ab03f8 9d9cb020 879556d0 87a42c98 kisknl+0x8077
00000000 00000000 00000000 00000000 00000000 kisknl+0x83f8


STACK_COMMAND:  .tss 0x28 ; kb

FOLLOWUP_IP:
kisknl+a7aa
a2ab27aa 56              push    esi

SYMBOL_STACK_INDEX:  8

SYMBOL_NAME:  kisknl+a7aa

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: kisknl

IMAGE_NAME:  kisknl.sys
打开 这个文件的时候挂了。
5c 00 3f 00 3f 00 5c 00-44 00 3a 00 5c 00 33 00  \.?.?.\.D.:.\.3.
87a356f8  36 00 30 00 53 00 41 00-4e 00 44 00 42 00 4f 00  6.0.S.A.N.D.B.O.
87a35708  58 00 5c 00 53 00 48 00-41 00 44 00 4f 00 57 00  X.\.S.H.A.D.O.W.
87a35718  5c 00 50 00 72 00 6f 00-67 00 72 00 61 00 6d 00  \.P.r.o.g.r.a.m.
87a35728  20 00 46 00 69 00 6c 00-65 00 73 00 5c 00 50 00   .F.i.l.e.s.\.P.
87a35738  6f 00 74 00 70 00 6c 00-61 00 79 00 65 00 72 00  o.t.p.l.a.y.e.r.
87a35748  5c 00 50 00 6f 00 74 00-50 00 6c 00 61 00 79 00  \.P.o.t.P.l.a.y.
87a35758  65 00 72 00 4d 00 69 00-6e 00 69 00 2e 00 65 00  e.r.M.i.n.i...e.
1: kd> d
87a35768  78 00 65 00 00 00 00 00-00 00 00 00 00 00 00 00  x.e.............


DEBUG_FLR_IMAGE_TIMESTAMP:  4e093f07

FAILURE_BUCKET_ID:  0x7f_8_kisknl+a7aa

BUCKET_ID:  0x7f_8_kisknl+a7aa

Followup: MachineOwner

wowocock

内核 堆栈溢出了。