求分析电脑蓝屏原因

沧桑浪子

求分析电脑蓝屏原因

murasame村雨

故障驱动是hookport.sys

看样子是360卫士和某些东西撞上了。。。。。。

myzuzong

目测楼上要被喷啊。

1: kd> !analyze -v
CRITICAL_OBJECT_TERMINATION (f4)
Arg1: 00000003, Process
Arg2: 96a82830, Terminating object
Arg3: 96a8299c, Process image file name
Arg4: 84451ea0, Explanatory message (ascii)

1: kd> dc 96a8299c
96a8299c  696e6977 2e74696e 00657865 03000000  wininit.exe.....

EXCEPTION_CODE: (Win32) 0x36b1 (14001) -
“The application has failed to start because its side-by-side configuration is incorrect. Please see the application event log or use the command-line sxstrace.exe tool for more detail.”（应用程序无法启动，因为应用程序的并行配置不正确。）

系统关键进程wininit.exe不知何故没有启动成功导致了蓝屏，不知发生了什么意外。如果反复出现，建议用windows安装光盘中的startup repair工具修复。

murasame村雨

myzuzong 发表于 2013-8-20 15:25
目测楼上要被喷啊。

1: kd> !analyze -v

我用BLUESCREENVIEW看到是这个文件。。。。。。所以我也觉得奇怪

zhq445078388

hookport.sys在内核入口点上.所有内核的堆栈上应该都有他 所以有些时候 自动分析工具会在找不到问题的时候把问题归罪于hookport.sys

zhq445078388

STACK_TEXT:  
953c9be8 845173fb 000000f4 00000003 96a82830 nt!KeBugCheckEx+0x1e
953c9c0c 84494fd5 84451ea0 96a8299c 96a828c8 nt!PspCatchCriticalBreak+0x71
953c9c3c 84494f18 96a82830 96b64030 000036b1 nt!PspTerminateAllThreads+0x2d
953c9c70 89f965e3 00000000 000036b1 00000000 nt!NtTerminateProcess+0x1a2
WARNING: Stack unwind information not available. Following frames may be wrong.
953c9d24 842768c6 00000000 000036b1 001ef7c0 Hookport+0x25e3
953c9d24 772170f4 00000000 000036b1 001ef7c0 nt!KiSystemServicePostCall
001ef7c0 00000000 00000000 00000000 00000000 0x772170f4

kd> r
eax=84370f84 ebx=96a82800 ecx=00000000 edx=00000000 esi=807ca120 edi=00000000
eip=84317bfc esp=953c9bd0 ebp=953c9be8 iopl=0         nv up ei pl nz na po nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00000202

kd> !process 96a82830
GetPointerFromAddress: unable to read from 843a2850
PROCESS 96a82830  SessionId: none  Cid: 0230    Peb: 7ffd8000  ParentCid: 0200
    DirBase: 748f10a0  ObjectTable: 90dfd1c8  HandleCount: <Data Not Accessible>
    Image: wininit.exe

从堆栈看是谁把wininit给杀了
但是
kd> !process
GetPointerFromAddress: unable to read from 843a2850
PROCESS 96a82830  SessionId: none  Cid: 0230    Peb: 7ffd8000  ParentCid: 0200
    DirBase: 748f10a0  ObjectTable: 90dfd1c8  HandleCount: <Data Not Accessible>
    Image: wininit.exe

自杀? 感觉是崩溃了?? 或者别的原因..

ForeverX

murasame村雨 发表于 2013-8-20 15:36
我用BLUESCREENVIEW看到是这个文件。。。。。。所以我也觉得奇怪

用这个工具分析，得有一半是错的

murasame村雨

ForeverX 发表于 2013-8-20 19:47
用这个工具分析，得有一半是错的

也许我该用WINDBG来着

ForeverX

murasame村雨 发表于 2013-8-20 20:19
也许我该用WINDBG来着

依靠什么软件无所谓，重要的是你对系统内核的理解