巨硬日常更新重启 卡登陆 二次重启蓝屏 不知道是否与火绒有关 问下KFAN老师

jddcs3

@火绒工程师




谢谢

jddcs3

@火绒工程师

火绒工程师

收到，我们看一下，之后给您回复~

火绒工程师

您好，我们需要详细分析下这个dump，从现有的信息来看应该是属于极端条件下的同步问题，如果问题不反复出现不需要担心，查到问题我们会后续通过升级解决，非常感谢您的反馈~

jddcs3

火绒工程师 发表于 2019-1-14 10:25
您好，我们需要详细分析下这个dump，从现有的信息来看应该是属于极端条件下的同步问题，如果问题不反复出现 ...

暂时没有复现

谢谢老师解答

wowocock

崩溃函数是火绒驱动sysdiag.sys访问了无效指针导致,问题在于驱动在访问数据之前没有做有效性检测。导致蓝屏
sysdiag+0x24fd4:
fffff801`4aac4fd4 488b1b          mov     rbx,qword ptr [rbx] ds:00000000`00000000=????????????????

fffff801`4aac4f40 4057            push    rdi
fffff801`4aac4f42 4883ec30        sub     rsp,30h
fffff801`4aac4f46 f6819004000002  test    byte ptr [rcx+490h],2
fffff801`4aac4f4d 488db980000000  lea     rdi,[rcx+80h]
fffff801`4aac4f54 48895c2448      mov     qword ptr [rsp+48h],rbx
fffff801`4aac4f59 48896c2450      mov     qword ptr [rsp+50h],rbp
fffff801`4aac4f5e 488bea          mov     rbp,rdx
fffff801`4aac4f61 4889742428      mov     qword ptr [rsp+28h],rsi
fffff801`4aac4f66 488bf1          mov     rsi,rcx
fffff801`4aac4f69 7412            je      sysdiag+0x24f7d (fffff801`4aac4f7d)
fffff801`4aac4f6b 4c8d442440      lea     r8,[rsp+40h]
fffff801`4aac4f70 b201            mov     dl,1
fffff801`4aac4f72 488bcf          mov     rcx,rdi
fffff801`4aac4f75 ff1535910100    call    qword ptr [sysdiag+0x3e0b0 (fffff801`4aade0b0)]
fffff801`4aac4f7b eb11            jmp     sysdiag+0x24f8e (fffff801`4aac4f8e)
fffff801`4aac4f7d ff15cd950100    call    qword ptr [sysdiag+0x3e550 (fffff801`4aade550)]
fffff801`4aac4f83 b201            mov     dl,1
fffff801`4aac4f85 488bcf          mov     rcx,rdi
fffff801`4aac4f88 ff157a950100    call    qword ptr [sysdiag+0x3e508 (fffff801`4aade508)]
fffff801`4aac4f8e 488b4670        mov     rax,qword ptr [rsi+70h]
fffff801`4aac4f92 4883c670        add     rsi,70h
fffff801`4aac4f96 488b18          mov     rbx,qword ptr [rax]
fffff801`4aac4f99 483bc6          cmp     rax,rsi
fffff801`4aac4f9c 7443            je      sysdiag+0x24fe1 (fffff801`4aac4fe1)
fffff801`4aac4f9e 4c89742420      mov     qword ptr [rsp+20h],r14
fffff801`4aac4fa3 4533f6          xor     r14d,r14d
fffff801`4aac4fa6 483968f8        cmp     qword ptr [rax-8],rbp
fffff801`4aac4faa 488d48f8        lea     rcx,[rax-8]
fffff801`4aac4fae 7521            jne     sysdiag+0x24fd1 (fffff801`4aac4fd1)
fffff801`4aac4fb0 488b5108        mov     rdx,qword ptr [rcx+8]
sysdiag+0x24fb4:
fffff801`4aac4fb4 488b4110        mov     rax,qword ptr [rcx+10h]
fffff801`4aac4fb8 48894208        mov     qword ptr [rdx+8],rax
fffff801`4aac4fbc 488910          mov     qword ptr [rax],rdx
fffff801`4aac4fbf ba69737054      mov     edx,54707369h
fffff801`4aac4fc4 4c897110        mov     qword ptr [rcx+10h],r14
fffff801`4aac4fc8 4c897108        mov     qword ptr [rcx+8],r14
fffff801`4aac4fcc e82f54feff      call    sysdiag+0xa400 (fffff801`4aaaa400)
fffff801`4aac4fd1 488bc3          mov     rax,rbx
fffff801`4aac4fd4 488b1b          mov     rbx,qword ptr [rbx]

程序管理猿

wowocock 发表于 2019-1-15 10:55
崩溃函数是火绒驱动sysdiag.sys访问了无效指针导致,问题在于驱动在访问数据之前没有做有效性检测。导致蓝屏 ...

您这是比火绒官方都厉害啊。卡饭真是卧虎藏龙。

jddcs3

wowocock 发表于 2019-1-15 10:55
崩溃函数是火绒驱动sysdiag.sys访问了无效指针导致,问题在于驱动在访问数据之前没有做有效性检测。导致蓝屏 ...

谢谢老师解答

请问我要如何操作防止后续复现?

wowocock

jddcs3 发表于 2019-1-15 19:09
谢谢老师解答

请问我要如何操作防止后续复现?

如果继续出现蓝屏就先卸载火绒等他更新再用，如果暂时没问题就不用管了。看运气。

jddcs3

wowocock 发表于 2019-1-15 19:11
如果继续出现蓝屏就先卸载火绒等他更新再用，如果暂时没问题就不用管了。看运气。

谢谢老师您耐心回复