一个蓝屏的分析-The caller is unlocking a pageable section that is not currently locked.

最新推荐文章于 2023-08-22 10:13:32 发布
最新推荐文章于 2023-08-22 10:13:32 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: 蓝屏分析 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/T76230169/article/details/115457270
版权

同事,给了一个蓝屏文件,说是不知道操作什么了引起了系统蓝屏,使用自定义分析可看到

MEMORY_MANAGEMENT (1a)
    # Any other values for parameter 1 must be individually examined.
Arguments:
Arg1: 0000000000001010, The caller is unlocking a pageable section that is not
	currently locked.  (This section was either never locked or
	is being unlocked twice.)
Arg2: fffff8073d4ff000
Arg3: fffff8073d4f02c0
Arg4: ffffffffffffffff

使用windbg查看系统调用栈:

 # RetAddr           : Args to Child                                                           : Call Site
00 fffff807`21284696 : 00000000`0000001a 00000000`00001010 fffff807`3d4ff000 fffff807`3d4f02c0 : nt!KeBugCheckEx
01 fffff807`210bffc3 : fffff807`3d4f02c0 00000000`00000000 ffffa200`00000000 00000000`00000001 : nt!MiUnlockImageSection+0x1c4c1e
02 fffff807`210bfa6b : fffff807`3d4f00f0 ffffe10b`feaa29a0 00000000`00030000 ffffe10b`feaa29a0 : nt!MiLockPagableImageSection+0x213
03 fffff807`3d4f2141 : ffffe10c`006e11c0 ffffe10c`006e1070 ffff8287`f7f6f660 00000000`00000002 : nt!MmUnlockPagableImageSection+0xb
04 fffff807`210de109 : 00000000`00000010 fffff807`210de2e4 ffffffff`fff0bdc0 ffffe10b`feaa29a0 : ftser2k+0x2141
05 fffff807`3bb01839 : ffffe10b`ff737660 ffffe10c`03864400 00000000`00000001 ffffe10c`022e2080 : nt!IofCallDriver+0x59
06 fffff807`210de109 : ffffe10c`038644a0 ffffe10b`feaa29a0 ffffe10b`feaa29a0 ffffe10b`ff737838 : serenum!Serenum_CreateClose+0xb9
07 fffff807`2165e214 : 00000000`00000001 ffffe10c`038644a0 ffffe10b`feaa29a0 00000000`00000000 : nt!IofCallDriver+0x59
08 fffff807`21670590 : 00000000`00000001 00000000`00000000 ffffe10b`f52fed20 00000000`00000001 : nt!IopDeleteFile+0x124
09 fffff807`210dba89 : 00000000`00000000 00000000`00000000 00000000`00000001 ffffe10c`038644a0 : nt!ObpRemoveObjectRoutine+0x80
0a fffff807`21667b40 : 00000000`00000000 ffffe10b`f52fed20 ffffcb09`00000000 00000000`00000000 : nt!ObfDereferenceObjectWithTag+0xc9
0b fffff807`2166daae : ffffe10c`0009a080 00000000`00000001 ffff606e`9c95e3ae fffff591`1f7657b0 : nt!ObCloseHandleTableEntry+0x270
0c fffff807`2126e605 : ffffe10c`0009a080 ffffe10c`0009a080 ffff8287`f7f6fa80 00000000`00000113 : nt!NtClose+0xde
0d 00000000`774c1cbc : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x25
0e 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x774c1cbc

可以看到,从应用层的一个地址0x774c1cbc,进入系统调用KiSystemServiceCopyEnd,然后调用NtClose,然后可以基本确定 应用层回收系统资源引起的,而且是一个32位的进程引起的。

这里我们使用!thread命令查看线程信息

2: kd> !thread
THREAD ffffe10c0009a080  Cid 1aec.1a88  Teb: 0000000000284000 Win32Thread: ffffe10c030cf9f0 RUNNING on processor 2
IRP List:
    ffffe10bfeaa29a0: (0006,01f0) Flags: 00000404  Mdl: 00000000
Not impersonating
DeviceMap                 ffffcb093c43b8f0
Owning Process            ffffe10c022e2080       Image:         sscom5.13.1.exe
Attached Process          N/A            Image:         N/A
Wait Start TickCount      3386583        Ticks: 8 (0:00:00:00.125)
Context Switch Count      1621           IdealProcessor: 2             
UserTime                  00:00:00.078
KernelTime                00:00:00.140
Win32 Start Address 0x0000000000547001
Stack Init ffff8287f7f6fb90 Current ffff8287f7f6f250
Base ffff8287f7f70000 Limit ffff8287f7f69000 Call 0000000000000000
Priority 8 BasePriority 8 PriorityDecrement 0 IoPriority 2 PagePriority 5
Child-SP          RetAddr           : Args to Child                                                           : Call Site
ffff8287`f7f6f4e8 fffff807`21284696 : 00000000`0000001a 00000000`00001010 fffff807`3d4ff000 fffff807`3d4f02c0 : nt!KeBugCheckEx
ffff8287`f7f6f4f0 fffff807`210bffc3 : fffff807`3d4f02c0 00000000`00000000 ffffa200`00000000 00000000`00000001 : nt!MiUnlockImageSection+0x1c4c1e
ffff8287`f7f6f530 fffff807`210bfa6b : fffff807`3d4f00f0 ffffe10b`feaa29a0 00000000`00030000 ffffe10b`feaa29a0 : nt!MiLockPagableImageSection+0x213
ffff8287`f7f6f580 fffff807`3d4f2141 : ffffe10c`006e11c0 ffffe10c`006e1070 ffff8287`f7f6f660 00000000`00000002 : nt!MmUnlockPagableImageSection+0xb
ffff8287`f7f6f5b0 fffff807`210de109 : 00000000`00000010 fffff807`210de2e4 ffffffff`fff0bdc0 ffffe10b`feaa29a0 : ftser2k+0x2141
ffff8287`f7f6f650 fffff807`3bb01839 : ffffe10b`ff737660 ffffe10c`03864400 00000000`00000001 ffffe10c`022e2080 : nt!IofCallDriver+0x59
ffff8287`f7f6f690 fffff807`210de109 : ffffe10c`038644a0 ffffe10b`feaa29a0 ffffe10b`feaa29a0 ffffe10b`ff737838 : serenum!Serenum_CreateClose+0xb9
ffff8287`f7f6f6f0 fffff807`2165e214 : 00000000`00000001 ffffe10c`038644a0 ffffe10b`feaa29a0 00000000`00000000 : nt!IofCallDriver+0x59
ffff8287`f7f6f730 fffff807`21670590 : 00000000`00000001 00000000`00000000 ffffe10b`f52fed20 00000000`00000001 : nt!IopDeleteFile+0x124
ffff8287`f7f6f7b0 fffff807`210dba89 : 00000000`00000000 00000000`00000000 00000000`00000001 ffffe10c`038644a0 : nt!ObpRemoveObjectRoutine+0x80
ffff8287`f7f6f810 fffff807`21667b40 : 00000000`00000000 ffffe10b`f52fed20 ffffcb09`00000000 00000000`00000000 : nt!ObfDereferenceObjectWithTag+0xc9
ffff8287`f7f6f850 fffff807`2166daae : ffffe10c`0009a080 00000000`00000001 ffff606e`9c95e3ae fffff591`1f7657b0 : nt!ObCloseHandleTableEntry+0x270
ffff8287`f7f6f990 fffff807`2126e605 : ffffe10c`0009a080 ffffe10c`0009a080 ffff8287`f7f6fa80 00000000`00000113 : nt!NtClose+0xde
ffff8287`f7f6fa00 00000000`774c1cbc : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x25 (TrapFrame @ ffff8287`f7f6fa00)
00000000`0009eec8 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x774c1cbc

可以看到,完全和内核调用栈完全对的上。
所以这个锅就只能甩给sscom5.13.1.exe,这个串口调用工具了。

站长漫谈
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Win10 1903过TP的双机调试
被遗弃的庸才博客
11-16 4697
了解内核知识已经有一段时间了,想双机调试一下XP,网上也找了不少资料。https://bbs.pediy.com/thread-248912.htm https://blog.csdn.net/kingswb/article/details/51194105差不多我用到的大部分代码都是从上面cv(Ctrl+c---->Ctrl+v)下来的1、首先解决The context is parti...
Winodws x64系统服务调用的那头4个参数
muy的专栏
07-03 4175
前几天有朋友遇到一个问题来问我。他有一个Windows 7 x64下的minidump文件,经过初步分析,知道系统崩溃最初是因用户态调用了NtDeviceIoControlFile造成的,KeBugCheckEx调用已经位于多重函数调用的深处,问如何找到最初NtDeviceIoControlFile的参数,尤其是头4个参数。经过一番努力,我总算是把问题解决了,其中得到一些领悟,想趁热记录。
This device is not currently connected
计算机学习园
01-02 1847
今天在用IPHONE 5的时候,突然 櫿的一声 organizer里显示了, This device is not currently connected 最后解决的办法是 手机还原所有设置。OK
中国移动网站控件引发的蓝屏问题分析
weixin_30546189的博客
02-26 657
本周四(2月23日),我接到了我们同事的一个奇怪的蓝屏case,据他回忆,他最近没有安装任何软件和驱动,也没有更改计算机的硬件配置,除了Windows后台进行的自动更新之外,他实在想不起来到底对计算机有什么额外的改变。可是突然,就从前一天23日周三晚上起,他的计算机就开始蓝屏,重启之后,进系统之前就会蓝屏,或者进了系统用不到一会儿也会蓝屏。因此,他怀疑是硬件(如内存)故障导致的,或者是 Windo...
想请问下大神这个蓝屏是怎么原因
最新发布
V0o54bra的博客
08-22 183
Use!---------16: kd>!analyze -vArguments:
Devel-Caller-Perl-1.4.tar.gz
07-02
标题中的"Devel-Caller-Perl-1.4.tar.gz"是一个Perl编程语言的扩展模块,主要用于调试和分析代码执行。在Linux环境下,Perl是一种强大的脚本语言,广泛用于系统管理、网络编程以及各种自动化任务。这个模块是Devel::...
Caller-Name---N-A-Hang-up-By-Customer-.-Agent-Name--DILLIP-KUMAR-GURU.-:挂断客户
05-31
"Caller-Name---N-A-Hang-up-By-Customer-.-Agent-Name--DILLIP-KUMAR-GURU.--master"这个标题和描述提供了一个具体的场景,即客户在与名为DILLIP KUMAR GURU的代理通话时主动挂断了电话。我们可以从这个简单的信息...
Caller-Id-DTMF.rar_caller id_full
09-21
标题中的"Caller-Id-DTMF.rar_caller id_full"提到了电话的呼叫者ID(Caller ID)和双音多频(DTMF)技术。这是一个关于这两种通信技术的详细资料包。呼叫者ID允许接收方在电话响起时知道来电者的身份,而DTMF则是...
perl-Devel-Caller-2.06-15.el8.aarch64.rpm
12-05
官方离线安装包,亲测可用
perl-Devel-Caller-2.06-15.el8.x86_64.rpm
12-05
官方离线安装包,亲测可用
请大神们帮忙分析一下蓝屏
weixin_42172349的博客
03-03 584
WARNING Unable to verify timestamp for Unknown_Module_00000000`00000000 ERROR Module load completed but symbols could not be loaded for Unknown_Module_00000000`00000000
[DBT-11211] 当物理内存总量大于4GB时,不允许使用自动内存管理选项
文档搬运工
05-04 5604
OS :Windows 10 1809 ,Memory 16G (比较奇怪的是,DBCA认为OS只有15G) DB:RDBMS 12.2.0.1 因为要测试个功能,刚好Win10上有Oracle 12cR2,在DBCA建库的时候,选择了自动内存管理,结果提示错误。 查了一下MOS,有两篇文章 DBCA does not set AMM as default for 11.2.0.3 o...
Oracle 12c CDB&PDBs管理
cuiyu3003的博客
03-28 906
本文摘取Database Administrator’s Guide(12.1.0.2)中40,42等章节部分内容,概括介绍管理CDB、PDBs任务。摘取翻译的内容侧重操作和实例,详细内容请参考官方文档: ...
Memory Management (内存管理)
BLOG域名:programb.blog.csdn.net
04-19 5887
内存管理子系统是操作系统的重要部分。从计算机发展早期开始,就存在对于大于系统中物理能力的内存需要。为了克服这种限制,开发了许多种策略,其中最成功的就是虚拟内存。虚拟内存通过在竞争进程之间共享内存的方式使系统显得拥有比实际更多的内存。 虚拟内存不仅仅让你的计算机内存显得更多,内存管理子系统还提供: Large Address Spaces (巨大的地址空间)操作系统使系统显得拥有比实际更大量的内存。...
WIN7 X64 SSDT函数获得
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-14 2109
曾经在网上看到一片文章, 在早期64位系统,内核函数开头地址的低四位一般是0,形如:xxxxxxxx`xxxxxxx0,这一特征在SSDT表中有很强大的引用,SSDT表在64位系统于32位系统有较大的差别。以下是在64位系统下的KeServiceDescriptorTable: kd> dp KeServiceDescriptorTable fffff800`0117bb80  fffff8
蓝屏总结(一) ——基本分析方法
热门推荐
VinWqx的博客
07-20 1万+
目录 一、蓝屏造成原因 二、通常的排查步骤 三、Debug步骤 四、使用Driver Verifier进行排查 五、Debug示例 1、分析示例 1 2、分析示例 2 一、蓝屏造成原因 关于停止错误(蓝屏或者错误检查)没有简单的解释,包含很多因素,目前大量研究表明停止错误通常不是由微软Windows组件导致的,而是厂商的硬件驱动或者三方软件的驱动,包括声卡、无线网卡、安全程序等等。 crash的根因一般都是由三方驱动代码引起的,另外一小部分是硬件问...
vscode win10笔记本 蓝屏_win10 最近突然频繁蓝屏
weixin_39944595的博客
12-20 1409
蓝屏错误:A critical system process diedProbably caused by : ntdll.dll ( ntdll!RtlLookupFunctionEntry+11a )PROCESS_NAME: svchost.exeCRITICAL_PROCESS: svchost.exeEXCEPTION_CODE: (Win32) 0x2931b080 (691122...
Allocator (GPU_0_bfc) ran out of memory trying to allocate 3.90GiB with freed_by_count=0. The caller indicates that this is not a failure, but may mean that there could be performance gains if more memory were available.
06-10
这个错误提示说明 GPU 内存不足,无法分配 3.90GB 的内存来完成某个操作。以下是一些解决方法: 1. 减小 batch_size 减小 batch_size 可以减少显存的占用,但会增加训练时间。可以逐渐调整 batch_size 的大小,找到一个合适的值。 2. 减少模型参数量 可以通过减少神经网络层数、减少每层的神经元数、使用更少的卷积核等方法,减少模型参数量。 3. 使用更小的数据类型 可以使用更小的数据类型,如 float16,来存储模型参数和激活值,从而减少显存占用。 4. 释放无用的显存 在训练过程中,可能会出现一些无用的显存占用,可以通过调用 K.clear_session() 来释放这些显存。 5. 减少卷积核大小 卷积核越大,需要的显存就越多。可以适当减小卷积核大小,从而减少显存占用。 6. 使用更大的 GPU 如果你有多个 GPU,可以考虑使用更大的 GPU 来完成训练任务。此时需要修改代码,使得模型能够在多个 GPU 上运行。 7. 使用分布式训练 使用分布式训练可以将模型参数存储在多个 GPU 上,从而减少单个 GPU 的显存占用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

站长漫谈

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值