Usuario
resultado DMP

Pregunta
-
Hola alguin podría ayudarme a interpretar este resultado:
1: kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************KERNEL_SECURITY_CHECK_FAILURE (139)
A kernel component has corrupted a critical data structure. The corruption
could potentially allow a malicious user to gain control of this machine.
Arguments:
Arg1: 0000000000000003, A LIST_ENTRY has been corrupted (i.e. double remove).
Arg2: ffffd00026338950, Address of the trap frame for the exception that caused the bugcheck
Arg3: ffffd000263388a8, Address of the exception record for the exception that caused the bugcheck
Arg4: 0000000000000000, ReservedDebugging Details:
------------------Unable to open image file: C:\ProgramData\dbg\sym\ntoskrnl.exe\550F41A6794000\ntoskrnl.exe
El sistema no puede encontrar el archivo especificado.Unable to open image file: C:\ProgramData\dbg\sym\ntoskrnl.exe\550F41A6794000\ntoskrnl.exe
El sistema no puede encontrar el archivo especificado.Unable to open image file: C:\ProgramData\dbg\sym\ntoskrnl.exe\550F41A6794000\ntoskrnl.exe
El sistema no puede encontrar el archivo especificado.Unable to open image file: C:\ProgramData\dbg\sym\ntoskrnl.exe\550F41A6794000\ntoskrnl.exe
El sistema no puede encontrar el archivo especificado.Unable to open image file: C:\ProgramData\dbg\sym\ntoskrnl.exe\550F41A6794000\ntoskrnl.exe
El sistema no puede encontrar el archivo especificado.Unable to open image file: C:\ProgramData\dbg\sym\ntoskrnl.exe\550F41A6794000\ntoskrnl.exe
El sistema no puede encontrar el archivo especificado.Unable to open image file: C:\ProgramData\dbg\sym\ntoskrnl.exe\550F41A6794000\ntoskrnl.exe
El sistema no puede encontrar el archivo especificado.Unable to open image file: C:\ProgramData\dbg\sym\ntoskrnl.exe\550F41A6794000\ntoskrnl.exe
El sistema no puede encontrar el archivo especificado.Unable to open image file: C:\ProgramData\dbg\sym\ntoskrnl.exe\550F41A6794000\ntoskrnl.exe
El sistema no puede encontrar el archivo especificado.
TRAP_FRAME: ffffd00026338950 -- (.trap 0xffffd00026338950)
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=ffffe0015eec4080 rbx=0000000000000000 rcx=0000000000000003
rdx=0000000000000001 rsi=0000000000000000 rdi=0000000000000000
rip=fffff802cee1409a rsp=ffffd00026338ae0 rbp=0000000000000000
r8=0000000000000000 r9=000000000000002f r10=ffffe0015eec4080
r11=ffffd00026338a40 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0 nv up ei ng nz na po cy
nt! ?? ::FNODOBFM::`string'+0x32eda:
fffff802`cee1409a cd29 int 29h
Resetting default scopeEXCEPTION_RECORD: ffffd000263388a8 -- (.exr 0xffffd000263388a8)
ExceptionAddress: fffff802cee1409a (nt! ?? ::FNODOBFM::`string'+0x0000000000032eda)
ExceptionCode: c0000409 (Security check failure or stack buffer overrun)
ExceptionFlags: 00000001
NumberParameters: 1
Parameter[0]: 0000000000000003DEFAULT_BUCKET_ID: LIST_ENTRY_CORRUPT
BUGCHECK_STR: 0x139
PROCESS_NAME: System
CURRENT_IRQL: 2
ERROR_CODE: (NTSTATUS) 0xc0000409 - El sistema detect una saturaci n de un b fer basado en pilas en esta aplicaci n. Esta saturaci n podr a permitir que un usuario malintencionado tome el control de la aplicaci n.
EXCEPTION_CODE: (NTSTATUS) 0xc0000409 - El sistema detect una saturaci n de un b fer basado en pilas en esta aplicaci n. Esta saturaci n podr a permitir que un usuario malintencionado tome el control de la aplicaci n.
EXCEPTION_PARAMETER1: 0000000000000003
ANALYSIS_VERSION: 6.3.9600.17336 (debuggers(dbg).150226-1500) amd64fre
LAST_CONTROL_TRANSFER: from fffff802ceddc7e9 to fffff802cedd0ca0
STACK_TEXT:
ffffd000`26338628 fffff802`ceddc7e9 : 00000000`00000139 00000000`00000003 ffffd000`26338950 ffffd000`263388a8 : nt!KeBugCheckEx
ffffd000`26338630 fffff802`ceddcb10 : 00000000`00000090 00000000`00000801 ffff0b43`63f988e9 00000000`00000000 : nt!KiBugCheckDispatch+0x69
ffffd000`26338770 fffff802`ceddbd34 : ffffe001`55e3b340 ffffe001`5c906270 ffffd000`66f27180 ffffe001`56782430 : nt!KiFastFailDispatch+0xd0
ffffd000`26338950 fffff802`cee1409a : 00000000`00000050 00000000`74654e56 00000000`00000000 fffff801`70d91c00 : nt!KiRaiseSecurityCheckFailure+0xf4
ffffd000`26338ae0 fffff801`70d8cb24 : ffffe001`00000000 00000000`00000000 fffff801`70d8c900 ffffe001`00000000 : nt! ?? ::FNODOBFM::`string'+0x32eda
ffffd000`26338ba0 fffff802`ced2d3ac : ffffe001`5b225fb0 fffff801`71700100 fffff801`702e1950 00000000`00000000 : vnetflt+0x1b24
ffffd000`26338c20 fffff802`ced2d6bc : fffff801`71700130 fffff802`ced2d32c ffffe001`5b225fb0 fffff802`cef32340 : nt!IopProcessWorkItem+0x80
ffffd000`26338c90 fffff802`ced8036c : 00000000`00000000 ffffe001`5e638880 00000000`00000080 ffffe001`5e638880 : nt!ExpWorkerThread+0x28c
ffffd000`26338d40 fffff802`cedd72c6 : ffffd000`66f63180 ffffe001`5e638880 ffffe001`5d8c2880 00000000`00000246 : nt!PspSystemThreadStartup+0x58
ffffd000`26338da0 00000000`00000000 : ffffd000`26339000 ffffd000`26333000 00000000`00000000 00000000`00000000 : nt!KiStartSystemThread+0x16
STACK_COMMAND: kbFOLLOWUP_IP:
vnetflt+1b24
fffff801`70d8cb24 498bcd mov rcx,r13SYMBOL_STACK_INDEX: 5
SYMBOL_NAME: vnetflt+1b24
FOLLOWUP_NAME: MachineOwner
MODULE_NAME: vnetflt
IMAGE_NAME: vnetflt.sys
DEBUG_FLR_IMAGE_TIMESTAMP: 5360e4da
FAILURE_BUCKET_ID: 0x139_3_vnetflt+1b24
BUCKET_ID: 0x139_3_vnetflt+1b24
ANALYSIS_SOURCE: KM
FAILURE_ID_HASH_STRING: km:0x139_3_vnetflt+1b24
FAILURE_ID_HASH: {bcc686de-d36f-564e-0579-9ddf8bce08f1}
Followup: MachineOwner
---------1: kd> .exr 0xffffd000263388a8
ExceptionAddress: fffff802cee1409a (nt! ?? ::FNODOBFM::`string'+0x0000000000032eda)
ExceptionCode: c0000409 (Security check failure or stack buffer overrun)
ExceptionFlags: 00000001
NumberParameters: 1
Parameter[0]: 0000000000000003
1: kd> lmvm vnetflt
start end module name
fffff801`70d8b000 fffff801`70d9f000 vnetflt (no symbols)
Loaded symbol image file: vnetflt.sys
Image path: \??\C:\Windows\system32\Drivers\vnetflt.sys
Image name: vnetflt.sys
Timestamp: Wed Apr 30 06:56:10 2014 (5360E4DA)
CheckSum: 00013543
ImageSize: 00014000
Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4
Todas las respuestas
-
Hola Edgarga como estas,
Claramente el file "vnetflt.sys" tiene problemas, recomiendo realizar un backup y tener el ultimo Service Pack instalado incluso los updates al día.
Tambien verifica sino tienes un problema de versionado del file.Espero sirva de ayuda. Saludos.
- Editado Ignacio Barrios martes, 16 de junio de 2015 17:48