none
蓝屏IRQL_NOT_LESS_OR_EQUAL,附dmp分析日志 RRS feed

  • 问题

  • 早上起来开机,xp在登录前出现蓝屏。于是吧昨天在xp上的操作倒带回放了一下:

    1、将支付宝快递来的支付盾做激活(主要是嫌数字证书麻烦。要¥58的key费,貌似以后每年还要续费,真是安全的代价啊),支付宝也提示激活成功了
    2、偶然间看到xp的防火墙处于关闭状态(在装nis2009之前一直是开着的,有可能是xp的防火墙被nis2009接管),于是做了如下操作,吧xp防火墙打开。过了一会儿,发现任务栏上nis的小图标有个红色感叹号,感觉不爽,就点击nis修复功能,xp的防火墙自动被关闭(这期间xp没有做引导)

    蓝屏后,直接关机重启,第二次引导正常,但是还是想知道问题到底出在哪,于是用debugging tools for windows 做细分析。

    以下是windbg分析日志,各位前辈帮我看看,问题处在哪里?


    Microsoft (R) Windows Debugger Version 6.11.0001.404 X86
    Copyright (c) Microsoft Corporation. All rights reserved.


    Loading Dump File [E:\LiveSync_Temporary\Windbg\Mini072309-01.dmp]
    Mini Kernel Dump File: Only registers and stack trace are available

    Symbol search path is: SRV*c:\temp*http://msdl.microsoft.com/download/symbols
    Executable search path is:
    Windows XP Kernel Version 2600 (Service Pack 3) MP (2 procs) Free x86 compatible
    Product: WinNt, suite: TerminalServer SingleUserTS
    Built by: 2600.xpsp_sp3_gdr.090206-1234
    Machine Name:
    Kernel base = 0x804d8000 PsLoadedModuleList = 0x8055e720
    Debug session time: Thu Jul 23 07:55:42.031 2009 (GMT+8)
    System Uptime: 0 days 0:00:26.703
    Loading Kernel Symbols
    ...............................................................
    ................................................................
    ...................
    Loading User Symbols
    Loading unloaded module list
    ....
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************

    Use !analyze -v to get detailed debugging information.

    BugCheck 1000000A, {0, 2, 1, 8050dbf8}

    Probably caused by : memory_corruption ( nt!MmCreateSection+378 )

    Followup: MachineOwner


    1: kd> !analyze -v
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************

    IRQL_NOT_LESS_OR_EQUAL (a)
    An attempt was made to access a pageable (or completely invalid) address at an
    interrupt request level (IRQL) that is too high.  This is usually
    caused by drivers using improper addresses.
    If a kernel debugger is available get the stack backtrace.
    Arguments:
    Arg1: 00000000, memory referenced
    Arg2: 00000002, IRQL
    Arg3: 00000001, bitfield :
     bit 0 : value 0 = read operation, 1 = write operation
     bit 3 : value 0 = not an execute operation, 1 = execute operation (only on chips which support this level of status)
    Arg4: 8050dbf8, address which referenced memory

    Debugging Details:
    ------------------


    WRITE_ADDRESS:  00000000

    CURRENT_IRQL:  2

    FAULTING_IP:
    nt!MmCreateSection+378
    8050dbf8 8901            mov     dword ptr [ecx],eax

    CUSTOMER_CRASH_COUNT:  1

    DEFAULT_BUCKET_ID:  DRIVER_FAULT

    BUGCHECK_STR:  0xA

    PROCESS_NAME:  winlogon.exe

    LAST_CONTROL_TRANSFER:  from 805ac4dd to 8050dbf8

    STACK_TEXT: 
    ba327cd0 805ac4dd ba327d1c 0000000f 00000000 nt!MmCreateSection+0x378
    ba327d40 8054262c 0006f298 0000000f 00000000 nt!NtCreateSection+0x12f
    ba327d40 7c92e514 0006f298 0000000f 00000000 nt!KiFastCallEntry+0xfc
    WARNING: Frame IP not in any known module. Following frames may be wrong.
    0006f1d8 00000000 00000000 00000000 00000000 0x7c92e514


    STACK_COMMAND:  kb

    FOLLOWUP_IP:
    nt!MmCreateSection+378
    8050dbf8 8901            mov     dword ptr [ecx],eax

    SYMBOL_STACK_INDEX:  0

    SYMBOL_NAME:  nt!MmCreateSection+378

    FOLLOWUP_NAME:  MachineOwner

    MODULE_NAME: nt

    DEBUG_FLR_IMAGE_TIMESTAMP:  498c11d3

    IMAGE_NAME:  memory_corruption

    FAILURE_BUCKET_ID:  0xA_nt!MmCreateSection+378

    BUCKET_ID:  0xA_nt!MmCreateSection+378

    Followup: MachineOwner
    ---------

    多谢

    2009年7月23日 2:06

答案

  • 我认为是防火墙冲突导致内存崩溃,从而引起的蓝屏,一般来说,为了防止冲突,杀软或系统自带只允许打开一个防火墙的,因此建议重新启动计算机的时候,开启一个防火墙就可以了,NIS或系统自带的防火墙,不过就XP而说,我更推荐你开启NIS的防火墙。

    • 已标记为答案 qz110 2009年7月24日 19:19
    2009年7月23日 3:52

全部回复

  • 如果以後的啟動過程中多次出現藍屏, 並且發生在滾動條結束之後, 請在 NIS 設置界面禁用所有實時防護功能, 并不接入互聯網, 以防止其他程序在此期間可能無意當中下載惡意代碼.
    Folding@Home
    • 已编辑 repl 2009年7月23日 2:23
    2009年7月23日 2:16
  • 我认为是防火墙冲突导致内存崩溃,从而引起的蓝屏,一般来说,为了防止冲突,杀软或系统自带只允许打开一个防火墙的,因此建议重新启动计算机的时候,开启一个防火墙就可以了,NIS或系统自带的防火墙,不过就XP而说,我更推荐你开启NIS的防火墙。

    • 已标记为答案 qz110 2009年7月24日 19:19
    2009年7月23日 3:52