一个蓝屏的分析-The caller is unlocking a pageable section that is not currently locked.

最新推荐文章于 2023-08-22 10:13:32 发布
最新推荐文章于 2023-08-22 10:13:32 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: 蓝屏分析 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/T76230169/article/details/115457270
版权

同事,给了一个蓝屏文件,说是不知道操作什么了引起了系统蓝屏,使用自定义分析可看到

MEMORY_MANAGEMENT (1a)
    # Any other values for parameter 1 must be individually examined.
Arguments:
Arg1: 0000000000001010, The caller is unlocking a pageable section that is not
	currently locked.  (This section was either never locked or
	is being unlocked twice.)
Arg2: fffff8073d4ff000
Arg3: fffff8073d4f02c0
Arg4: ffffffffffffffff

使用windbg查看系统调用栈:

 # RetAddr           : Args to Child                                                           : Call Site
00 fffff807`21284696 : 00000000`0000001a 00000000`00001010 fffff807`3d4ff000 fffff807`3d4f02c0 : nt!KeBugCheckEx
01 fffff807`210bffc3 : fffff807`3d4f02c0 00000000`00000000 ffffa200`00000000 00000000`00000001 : nt!MiUnlockImageSection+0x1c4c1e
02 fffff807`210bfa6b : fffff807`3d4f00f0 ffffe10b`feaa29a0 00000000`00030000 ffffe10b`feaa29a0 : nt!MiLockPagableImageSection+0x213
03 fffff807`3d4f2141 : ffffe10c`006e11c0 ffffe10c`006e1070 ffff8287`f7f6f660 00000000`00000002 : nt!MmUnlockPagableImageSection+0xb
04 fffff807`210de109 : 00000000`00000010 fffff807`210de2e4 ffffffff`fff0bdc0 ffffe10b`feaa29a0 : ftser2k+0x2141
05 fffff807`3bb01839 : ffffe10b`ff737660 ffffe10c`03864400 00000000`00000001 ffffe10c`022e2080 : nt!IofCallDriver+0x59
06 fffff807`210de109 : ffffe10c`038644a0 ffffe10b`feaa29a0 ffffe10b`feaa29a0 ffffe10b`ff737838 : serenum!Serenum_CreateClose+0xb9
07 fffff807`2165e214 : 00000000`00000001 ffffe10c`038644a0 ffffe10b`feaa29a0 00000000`00000000 : nt!IofCallDriver+0x59
08 fffff807`21670590 : 00000000`00000001 00000000`00000000 ffffe10b`f52fed20 00000000`00000001 : nt!IopDeleteFile+0x124
09 fffff807`210dba89 : 00000000`00000000 00000000`00000000 00000000`00000001 ffffe10c`038644a0 : nt!ObpRemoveObjectRoutine+0x80
0a fffff807`21667b40 : 00000000`00000000 ffffe10b`f52fed20 ffffcb09`00000000 00000000`00000000 : nt!ObfDereferenceObjectWithTag+0xc9
0b fffff807`2166daae : ffffe10c`0009a080 00000000`00000001 ffff606e`9c95e3ae fffff591`1f7657b0 : nt!ObCloseHandleTableEntry+0x270
0c fffff807`2126e605 : ffffe10c`0009a080 ffffe10c`0009a080 ffff8287`f7f6fa80 00000000`00000113 : nt!NtClose+0xde
0d 00000000`774c1cbc : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x25
0e 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x774c1cbc

可以看到,从应用层的一个地址0x774c1cbc,进入系统调用KiSystemServiceCopyEnd,然后调用NtClose,然后可以基本确定 应用层回收系统资源引起的,而且是一个32位的进程引起的。

这里我们使用!thread命令查看线程信息

2: kd> !thread
THREAD ffffe10c0009a080  Cid 1aec.1a88  Teb: 0000000000284000 Win32Thread: ffffe10c030cf9f0 RUNNING on processor 2
IRP List:
    ffffe10bfeaa29a0: (0006,01f0) Flags: 00000404  Mdl: 00000000
Not impersonating
DeviceMap                 ffffcb093c43b8f0
Owning Process            ffffe10c022e2080       Image:         sscom5.13.1.exe
Attached Process          N/A            Image:         N/A
Wait Start TickCount      3386583        Ticks: 8 (0:00:00:00.125)
Context Switch Count      1621           IdealProcessor: 2             
UserTime                  00:00:00.078
KernelTime                00:00:00.140
Win32 Start Address 0x0000000000547001
Stack Init ffff8287f7f6fb90 Current ffff8287f7f6f250
Base ffff8287f7f70000 Limit ffff8287f7f69000 Call 0000000000000000
Priority 8 BasePriority 8 PriorityDecrement 0 IoPriority 2 PagePriority 5
Child-SP          RetAddr           : Args to Child                                                           : Call Site
ffff8287`f7f6f4e8 fffff807`21284696 : 00000000`0000001a 00000000`00001010 fffff807`3d4ff000 fffff807`3d4f02c0 : nt!KeBugCheckEx
ffff8287`f7f6f4f0 fffff807`210bffc3 : fffff807`3d4f02c0 00000000`00000000 ffffa200`00000000 00000000`00000001 : nt!MiUnlockImageSection+0x1c4c1e
ffff8287`f7f6f530 fffff807`210bfa6b : fffff807`3d4f00f0 ffffe10b`feaa29a0 00000000`00030000 ffffe10b`feaa29a0 : nt!MiLockPagableImageSection+0x213
ffff8287`f7f6f580 fffff807`3d4f2141 : ffffe10c`006e11c0 ffffe10c`006e1070 ffff8287`f7f6f660 00000000`00000002 : nt!MmUnlockPagableImageSection+0xb
ffff8287`f7f6f5b0 fffff807`210de109 : 00000000`00000010 fffff807`210de2e4 ffffffff`fff0bdc0 ffffe10b`feaa29a0 : ftser2k+0x2141
ffff8287`f7f6f650 fffff807`3bb01839 : ffffe10b`ff737660 ffffe10c`03864400 00000000`00000001 ffffe10c`022e2080 : nt!IofCallDriver+0x59
ffff8287`f7f6f690 fffff807`210de109 : ffffe10c`038644a0 ffffe10b`feaa29a0 ffffe10b`feaa29a0 ffffe10b`ff737838 : serenum!Serenum_CreateClose+0xb9
ffff8287`f7f6f6f0 fffff807`2165e214 : 00000000`00000001 ffffe10c`038644a0 ffffe10b`feaa29a0 00000000`00000000 : nt!IofCallDriver+0x59
ffff8287`f7f6f730 fffff807`21670590 : 00000000`00000001 00000000`00000000 ffffe10b`f52fed20 00000000`00000001 : nt!IopDeleteFile+0x124
ffff8287`f7f6f7b0 fffff807`210dba89 : 00000000`00000000 00000000`00000000 00000000`00000001 ffffe10c`038644a0 : nt!ObpRemoveObjectRoutine+0x80
ffff8287`f7f6f810 fffff807`21667b40 : 00000000`00000000 ffffe10b`f52fed20 ffffcb09`00000000 00000000`00000000 : nt!ObfDereferenceObjectWithTag+0xc9
ffff8287`f7f6f850 fffff807`2166daae : ffffe10c`0009a080 00000000`00000001 ffff606e`9c95e3ae fffff591`1f7657b0 : nt!ObCloseHandleTableEntry+0x270
ffff8287`f7f6f990 fffff807`2126e605 : ffffe10c`0009a080 ffffe10c`0009a080 ffff8287`f7f6fa80 00000000`00000113 : nt!NtClose+0xde
ffff8287`f7f6fa00 00000000`774c1cbc : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x25 (TrapFrame @ ffff8287`f7f6fa00)
00000000`0009eec8 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x774c1cbc

可以看到,完全和内核调用栈完全对的上。
所以这个锅就只能甩给sscom5.13.1.exe,这个串口调用工具了。

站长漫谈
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Devel-Caller-Perl-1.4.tar.gz
07-02
标题中的"Devel-Caller-Perl-1.4.tar.gz"是一个Perl编程语言的扩展模块,主要用于调试和分析代码执行。在Linux环境下,Perl是一种强大的脚本语言,广泛用于系统管理、网络编程以及各种自动化任务。这个模块是Devel::...
中国移动网站控件引发的蓝屏问题分析
weixin_30546189的博客
02-26 657
本周四(2月23日),我接到了我们同事的一个奇怪的蓝屏case,据他回忆,他最近没有安装任何软件和驱动,也没有更改计算机的硬件配置,除了Windows后台进行的自动更新之外,他实在想不起来到底对计算机有什么额外的改变。可是突然,就从前一天23日周三晚上起,他的计算机就开始蓝屏,重启之后,进系统之前就会蓝屏,或者进了系统用不到一会儿也会蓝屏。因此,他怀疑是硬件(如内存)故障导致的,或者是 Windo...
64位 regsrv win10_win10 专业版 64位 系统 频繁蓝屏,MEMORY_MANAGEMENT - Microsoft Community...
weixin_32321921的博客
01-15 3276
最近不管是网游戏 看视频 还是普通的用qq软件聊天,总是会突然蓝屏然后重启。收集了dump文件。http://pan.baidu.com/s/1geU4Uhd-------------最后一次crash后的dump------------Microsoft (R) Windows Debugger Version 10.0.14321.1024 AMD64Copyright (c) Microso...
android studio3.0蓝屏,再打开Android studio 的模拟器时,会出现蓝屏
weixin_36052776的博客
05-27 551
Microsoft (R) Windows Debugger Version 10.0.17674.1000 AMD64Copyright (c) Microsoft Corporation. All rights reserved.Loading Dump File [C:\Users\Noasme\Desktop\062118-8546-01.dmp]Mini Kernel Dump File...
Windows10蓝屏触发及分析
itgather的博客
01-28 5200
一、重现环境: 1、windows10版本 2、idapro7_5499 3、vs2008运行库(vcredist2008sp1.zip) 二、触发蓝屏 1、触发poc include include int main() { WCHAR fileName[] = L”\\.\globalroot\device\condrv\kernelconnect”; WIN32_FILE_ATTRIBUTE_DATA data; GetFileAttributesEx(fileName, GetFi
windbg常用命令
qq_41490873的博客
06-22 723
!pool +va 可以分析一个地址是不是通过ExAllocatePool分配的 以及是分页内存还是非分页内存 ba e1 +va 硬件断点 dps rsp 查看堆栈 会显示出相应的函数名 !pte + va 可以找出一个虚拟地址的pte 通过PTE知道这个地址读写以及可执行属性 !address +va 获得虚拟地址所在区域 .thread 列出当前线程结构体 !thread 当前线程信息 dt _KTHREAD TrapFrame+ 结构体地址 可以
Caller-Name---N-A-Hang-up-By-Customer-.-Agent-Name--DILLIP-KUMAR-GURU.-:挂断客户
05-31
"Caller-Name---N-A-Hang-up-By-Customer-.-Agent-Name--DILLIP-KUMAR-GURU.--master"这个标题和描述提供了一个具体的场景,即客户在与名为DILLIP KUMAR GURU的代理通话时主动挂断了电话。我们可以从这个简单的信息...
Caller-Id-DTMF.rar_caller id_full
09-21
标题中的"Caller-Id-DTMF.rar_caller id_full"提到了电话的呼叫者ID(Caller ID)和双音多频(DTMF)技术。这是一个关于这两种通信技术的详细资料包。呼叫者ID允许接收方在电话响起时知道来电者的身份,而DTMF则是...
perl-Devel-Caller-2.06-15.el8.aarch64.rpm
12-05
官方离线安装包,亲测可用
perl-Devel-Caller-2.06-15.el8.x86_64.rpm
12-05
官方离线安装包,亲测可用
21、WDK调试错误2
ljymoonlight的专栏
05-16 930
EXCEPTION_RECORD: 00000000000000dc -- (.exr 0xdc) Cannot read Exception record @ 00000000000000dc LAST_CONTROL_TRANSFER: from fffff80642d7bdf4 to fffff80642ec3b8a STACK_TEXT: fffff806`42b4a6b0 f...
Windows10内核逆向-1-系统调用
u013677637的博客
09-04 2130
Syscall KiSystemCall64的逆向
想请问下大神这个蓝屏是怎么原因
最新发布
V0o54bra的博客
08-22 186
Use!---------16: kd>!analyze -vArguments:
3. 内存管理(Memory Management)
qq_41278986的博客
06-21 1741
计算机有几兆字节的非常快速,昂贵,且易变的,几千兆字节的中速,中等价格,易变的,以及几千兆字节缓慢,便宜,非易变的磁盘/固态硬盘存储,不涉及可移除的存储,例如 DVDs 和 USB 存储器。这被称为。操作系统管理内存层级的部分被称为,它追踪处于使用中的内存,在需要时向进程分配内存,不需要时解分配内存。
内存管理 (Memory Management)
u010249118的博客
09-20 9199
内存管理 (Memory Management) 页式存储段式存储段页式存储
Win10 1903过TP的双机调试
被遗弃的庸才博客
11-16 4698
了解内核知识已经有一段时间了,想双机调试一下XP,网上也找了不少资料。https://bbs.pediy.com/thread-248912.htm https://blog.csdn.net/kingswb/article/details/51194105差不多我用到的大部分代码都是从上面cv(Ctrl+c---->Ctrl+v)下来的1、首先解决The context is parti...
CVE-2022-21882 Win32k内核提权漏洞深入分析
二狗的博客
01-30 720
CVE-2022-21882是对CVE-2021-1732漏洞的绕过,属于win32k驱动程序中的一个类型混淆漏洞。攻击者可以在user_mode调用相关的GUIAPI进行内核调用,如xxxMenuWindowProc、xxxSBWndProc、xxxSwitchWndProc、xxxTooltipWndProc等,这些内核函数会触发回调xxxClientAllocWindowClassExtraBytes。攻击者可以通过hook。
2021-10-10
weixin_45594565的博客
10-10 389
最近,win10总是在睡眠或者休眠启动蓝屏,重新启动后系统运转正常,用蓝屏修复工具检查后,信息如下: Microsoft ® Windows Debugger Version 10.0.22415.1003 AMD64 Copyright © Microsoft Corporation. All rights reserved. Loading Dump File [C:\WINDOWS\MEMORY.DMP] Kernel Bitmap Dump File: Kernel address space is
Allocator (GPU_0_bfc) ran out of memory trying to allocate 3.90GiB with freed_by_count=0. The caller indicates that this is not a failure, but may mean that there could be performance gains if more memory were available.
06-10
这个错误提示说明 GPU 内存不足,无法分配 3.90GB 的内存来完成某个操作。以下是一些解决方法: 1. 减小 batch_size 减小 batch_size 可以减少显存的占用,但会增加训练时间。可以逐渐调整 batch_size 的大小,找到一个合适的值。 2. 减少模型参数量 可以通过减少神经网络层数、减少每层的神经元数、使用更少的卷积核等方法,减少模型参数量。 3. 使用更小的数据类型 可以使用更小的数据类型,如 float16,来存储模型参数和激活值,从而减少显存占用。 4. 释放无用的显存 在训练过程中,可能会出现一些无用的显存占用,可以通过调用 K.clear_session() 来释放这些显存。 5. 减少卷积核大小 卷积核越大,需要的显存就越多。可以适当减小卷积核大小,从而减少显存占用。 6. 使用更大的 GPU 如果你有多个 GPU,可以考虑使用更大的 GPU 来完成训练任务。此时需要修改代码,使得模型能够在多个 GPU 上运行。 7. 使用分布式训练 使用分布式训练可以将模型参数存储在多个 GPU 上,从而减少单个 GPU 的显存占用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

站长漫谈

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值