none
resultado DMP RRS feed

  • Pregunta

  • Hola alguin podría ayudarme a interpretar este resultado:

    1: kd> !analyze -v
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************

    KERNEL_SECURITY_CHECK_FAILURE (139)
    A kernel component has corrupted a critical data structure.  The corruption
    could potentially allow a malicious user to gain control of this machine.
    Arguments:
    Arg1: 0000000000000003, A LIST_ENTRY has been corrupted (i.e. double remove).
    Arg2: ffffd00026338950, Address of the trap frame for the exception that caused the bugcheck
    Arg3: ffffd000263388a8, Address of the exception record for the exception that caused the bugcheck
    Arg4: 0000000000000000, Reserved

    Debugging Details:
    ------------------

    Unable to open image file: C:\ProgramData\dbg\sym\ntoskrnl.exe\550F41A6794000\ntoskrnl.exe
    El sistema no puede encontrar el archivo especificado.

    Unable to open image file: C:\ProgramData\dbg\sym\ntoskrnl.exe\550F41A6794000\ntoskrnl.exe
    El sistema no puede encontrar el archivo especificado.

    Unable to open image file: C:\ProgramData\dbg\sym\ntoskrnl.exe\550F41A6794000\ntoskrnl.exe
    El sistema no puede encontrar el archivo especificado.

    Unable to open image file: C:\ProgramData\dbg\sym\ntoskrnl.exe\550F41A6794000\ntoskrnl.exe
    El sistema no puede encontrar el archivo especificado.

    Unable to open image file: C:\ProgramData\dbg\sym\ntoskrnl.exe\550F41A6794000\ntoskrnl.exe
    El sistema no puede encontrar el archivo especificado.

    Unable to open image file: C:\ProgramData\dbg\sym\ntoskrnl.exe\550F41A6794000\ntoskrnl.exe
    El sistema no puede encontrar el archivo especificado.

    Unable to open image file: C:\ProgramData\dbg\sym\ntoskrnl.exe\550F41A6794000\ntoskrnl.exe
    El sistema no puede encontrar el archivo especificado.

    Unable to open image file: C:\ProgramData\dbg\sym\ntoskrnl.exe\550F41A6794000\ntoskrnl.exe
    El sistema no puede encontrar el archivo especificado.

    Unable to open image file: C:\ProgramData\dbg\sym\ntoskrnl.exe\550F41A6794000\ntoskrnl.exe
    El sistema no puede encontrar el archivo especificado.


    TRAP_FRAME:  ffffd00026338950 -- (.trap 0xffffd00026338950)
    NOTE: The trap frame does not contain all registers.
    Some register values may be zeroed or incorrect.
    rax=ffffe0015eec4080 rbx=0000000000000000 rcx=0000000000000003
    rdx=0000000000000001 rsi=0000000000000000 rdi=0000000000000000
    rip=fffff802cee1409a rsp=ffffd00026338ae0 rbp=0000000000000000
     r8=0000000000000000  r9=000000000000002f r10=ffffe0015eec4080
    r11=ffffd00026338a40 r12=0000000000000000 r13=0000000000000000
    r14=0000000000000000 r15=0000000000000000
    iopl=0         nv up ei ng nz na po cy
    nt! ?? ::FNODOBFM::`string'+0x32eda:
    fffff802`cee1409a cd29            int     29h
    Resetting default scope

    EXCEPTION_RECORD:  ffffd000263388a8 -- (.exr 0xffffd000263388a8)
    ExceptionAddress: fffff802cee1409a (nt! ?? ::FNODOBFM::`string'+0x0000000000032eda)
       ExceptionCode: c0000409 (Security check failure or stack buffer overrun)
      ExceptionFlags: 00000001
    NumberParameters: 1
       Parameter[0]: 0000000000000003

    DEFAULT_BUCKET_ID:  LIST_ENTRY_CORRUPT

    BUGCHECK_STR:  0x139

    PROCESS_NAME:  System

    CURRENT_IRQL:  2

    ERROR_CODE: (NTSTATUS) 0xc0000409 - El sistema detect  una saturaci n de un b fer basado en pilas en esta aplicaci n. Esta saturaci n podr a permitir que un usuario malintencionado tome el control de la aplicaci n.

    EXCEPTION_CODE: (NTSTATUS) 0xc0000409 - El sistema detect  una saturaci n de un b fer basado en pilas en esta aplicaci n. Esta saturaci n podr a permitir que un usuario malintencionado tome el control de la aplicaci n.

    EXCEPTION_PARAMETER1:  0000000000000003

    ANALYSIS_VERSION: 6.3.9600.17336 (debuggers(dbg).150226-1500) amd64fre

    LAST_CONTROL_TRANSFER:  from fffff802ceddc7e9 to fffff802cedd0ca0

    STACK_TEXT: 
    ffffd000`26338628 fffff802`ceddc7e9 : 00000000`00000139 00000000`00000003 ffffd000`26338950 ffffd000`263388a8 : nt!KeBugCheckEx
    ffffd000`26338630 fffff802`ceddcb10 : 00000000`00000090 00000000`00000801 ffff0b43`63f988e9 00000000`00000000 : nt!KiBugCheckDispatch+0x69
    ffffd000`26338770 fffff802`ceddbd34 : ffffe001`55e3b340 ffffe001`5c906270 ffffd000`66f27180 ffffe001`56782430 : nt!KiFastFailDispatch+0xd0
    ffffd000`26338950 fffff802`cee1409a : 00000000`00000050 00000000`74654e56 00000000`00000000 fffff801`70d91c00 : nt!KiRaiseSecurityCheckFailure+0xf4
    ffffd000`26338ae0 fffff801`70d8cb24 : ffffe001`00000000 00000000`00000000 fffff801`70d8c900 ffffe001`00000000 : nt! ?? ::FNODOBFM::`string'+0x32eda
    ffffd000`26338ba0 fffff802`ced2d3ac : ffffe001`5b225fb0 fffff801`71700100 fffff801`702e1950 00000000`00000000 : vnetflt+0x1b24
    ffffd000`26338c20 fffff802`ced2d6bc : fffff801`71700130 fffff802`ced2d32c ffffe001`5b225fb0 fffff802`cef32340 : nt!IopProcessWorkItem+0x80
    ffffd000`26338c90 fffff802`ced8036c : 00000000`00000000 ffffe001`5e638880 00000000`00000080 ffffe001`5e638880 : nt!ExpWorkerThread+0x28c
    ffffd000`26338d40 fffff802`cedd72c6 : ffffd000`66f63180 ffffe001`5e638880 ffffe001`5d8c2880 00000000`00000246 : nt!PspSystemThreadStartup+0x58
    ffffd000`26338da0 00000000`00000000 : ffffd000`26339000 ffffd000`26333000 00000000`00000000 00000000`00000000 : nt!KiStartSystemThread+0x16


    STACK_COMMAND:  kb

    FOLLOWUP_IP:
    vnetflt+1b24
    fffff801`70d8cb24 498bcd          mov     rcx,r13

    SYMBOL_STACK_INDEX:  5

    SYMBOL_NAME:  vnetflt+1b24

    FOLLOWUP_NAME:  MachineOwner

    MODULE_NAME: vnetflt

    IMAGE_NAME:  vnetflt.sys

    DEBUG_FLR_IMAGE_TIMESTAMP:  5360e4da

    FAILURE_BUCKET_ID:  0x139_3_vnetflt+1b24

    BUCKET_ID:  0x139_3_vnetflt+1b24

    ANALYSIS_SOURCE:  KM

    FAILURE_ID_HASH_STRING:  km:0x139_3_vnetflt+1b24

    FAILURE_ID_HASH:  {bcc686de-d36f-564e-0579-9ddf8bce08f1}

    Followup: MachineOwner
    ---------

    1: kd> .exr 0xffffd000263388a8
    ExceptionAddress: fffff802cee1409a (nt! ?? ::FNODOBFM::`string'+0x0000000000032eda)
       ExceptionCode: c0000409 (Security check failure or stack buffer overrun)
      ExceptionFlags: 00000001
    NumberParameters: 1
       Parameter[0]: 0000000000000003
    1: kd> lmvm vnetflt
    start             end                 module name
    fffff801`70d8b000 fffff801`70d9f000   vnetflt    (no symbols)          
        Loaded symbol image file: vnetflt.sys
        Image path: \??\C:\Windows\system32\Drivers\vnetflt.sys
        Image name: vnetflt.sys
        Timestamp:        Wed Apr 30 06:56:10 2014 (5360E4DA)
        CheckSum:         00013543
        ImageSize:        00014000
        Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4

    miércoles, 3 de junio de 2015 18:06

Todas las respuestas

  • Hola Edgarga como estas,

    Claramente el file "vnetflt.sys" tiene problemas, recomiendo realizar un backup y tener el ultimo Service Pack instalado incluso los updates al día.
    Tambien verifica sino tienes un problema de versionado del file.

    Espero sirva de ayuda. Saludos.


    lunes, 15 de junio de 2015 3:50