Mini Filter Driver触发Bugcheck D1问题分析

最新推荐文章于 2024-07-12 19:30:00 发布
最新推荐文章于 2024-07-12 19:30:00 发布
阅读量2k 收藏
点赞数
分类专栏: Windows调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/happylaodu/article/details/42389311
版权
本文分析了在开发文件加密Mini Filter Driver时遇到的Bugcheck D1问题,通过WinDbg解析错误栈,发现错误发生在高IRQL尝试访问可换页内存。通过对WDK的深入研究,理解了PostOperation回调函数的约束,特别是不能在DISPATCH_LEVEL访问分页池,并且回调函数本身不能是可换页的。修复这些问题后,蓝屏问题得到解决。
摘要由CSDN通过智能技术生成

前段时间帮朋友改进他做的文件加密Mini Filter Driver,好不容易把期待的功能完善好了,测试时开始频繁触发蓝屏,Bugcheck号是D1。WinDbg对这个错误号的简单解释如下:

DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid) address at an interrupt request level (IRQL) that is too high.  This is usually caused by drivers using improper addresses.

也就是在高IRQL试图访问可换页内存。看到这种错误的第一反应是头皮发麻。冷静下来后,我回想起以前自己总结出的经验,那就是碰到错误不要慌,首先把错误的所有信息解读清楚。

从栈回溯来看,发生错误的位置如下:

STACK_TEXT:  
8078ab6c 99298fff badb0d00 868992b8 89d28620 nt!KiTrap0E+0x1b3
8078ac30 84c587d1 868992b8 8078ac84 9db0cff8 S_Crypt!PostRead+0x27
8078ac60 84c33324 868992b8 0278ac84 9db0cff8 fltmgr!FltvPostOperation+0x71
8078acc8 84c36512 00899258 86899258 10000000 fltmgr!FltpPerformPostCallbacks+0x24a
8078acdc 84c36b46 86899258 8078ad90

最低0.47元/天 解锁文章
happylaodu
关注
专栏目录
IT技术 | 电脑蓝屏修复记录DRIVER_IRQL_NOT_LESS_OR_EQUAL
qdulgh的专栏
05-27 4883
在C盘搜索到两个TeeDriverW10x64.sys文件,一个是2021年的,一个是2024年的,把最新的那个改名后(比如前面加个1,让系统找不到),重启就好了。我的台式机是iMac 2015年的,硬盘是机械的,时间久了运行越来越慢。
bug反馈系统(BugCheck) v0.8
10-26
BugCheck是一个免费的bug测试系统,您如果需要测试项目bug的,可以下载该软件,自行架设使用,也可以使用作者网上的版本,免费给大家使用,只要注册一个账号,就可以建立任意项目,发起测试项目,你也可以邀请站内的用户一起帮忙参与,也可以建立公开项目,不用邀请,所有注册用户都可以帮你指出bug所在。
WIN10开机突然,过一会就自动重启蓝屏DRIVER_IRQL_NOT_LESS_OR_EQUAL
最新发布
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
07-12 1024
Win10 专业版DELL7080。
Visual Studio 2013开发 mini-filter driver step by step (3) - 查看运行结果
zhanghaiyang9999的专栏
08-24 1713
除了调试driver之外,诊断driver问题还有很重要的
Bug Check
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
05-04 1913
STOP  0x0000001E (0xC0000005,0xFDE38AF9,0x0000001,0x7E8B0EB4)   KMODE_EXCEPTION_NOT_HANDLED  其中错误的第一部分是停机码(Stop Code)也就是STOP 0x0000001E, 用于识别已发生错误的类型. 错误第二部分是被括号括起来的四个数字集, 表示随机的开发人员定义的参数(这个参数对于普通用户根
bug反馈系统(BugCheck) 0.8
05-01
bug反馈系统(BugCheck)是一个免费的bug测试系统,您如果需要测试项目bug的,可以下载该软件,自行架设使用,也可以使用作者网上的版本,免费给大家使用,只要注册一个账号,就可以建立任意项目,发起测试项目,你也可以邀请站内的用户一起帮忙参与,也可以建立公开项目,不用邀请,所有注册用户都可以帮你指出bug所在。 bug反馈系统(BugCheck) 0.8 更新说明: 修改了一些bug,增加了邮件功能(需要后台设置),增加了搜索功能,改进了一些用户体验,因为个人时间有限,所以更新比较慢,请见谅。
蓝屏 BUG Check 109
死胖子的博客
01-12 1874
蓝屏 BUG Check 109 PG被触发导致,驱动修改了内核不能动的东西。
bug反馈系统(BugCheck).7z
03-14
6. **数据分析组件**:通过统计和分析错误报告,识别问题的频率、关联性等。可能用到数据挖掘和机器学习算法。 深入研究"BugCheck"的源码,我们不仅能了解如何实现一个完整的Bug反馈系统,还能学习到异常处理、网络...
WinDbg Bug Check Code Reference
行路者的博客
05-30 1813
Bug Check Code ReferenceThis section contains descriptions of the common bug checks, including the parameters passed to the blue screen. It also describes how you can diagnose the fault which led to t...
学习笔记D1
Lucien_1984的博客
06-26 284
持之以恒
手动产生bugcheck的方法
【像男人一样去战斗】︻╋████◤
06-05 2754
在 HKLM/SYSTEM/CurrentControlSet/Services/i8042prt/Parameters下建dword CrashOnCtrlScroll = 1当机器挂住时按ctrl+scroll组合键
DbgPrint引起的蓝屏
T76230169的专栏
01-14 641
要说,我也是个人才,原来觉地没有任何问题的代码,编译签名,然后测试,没想到装上后一运行就蓝屏。 系统报: IRQL_NOT_LESS_OR_EQUAL (a) An attempt was made to access a pageable (or completely invalid) address at an interrupt request level (IRQL) that is too high. This is usually caused by drivers using improp
driver_irql_not_less_or_equal
热门推荐
fairyMitt的专栏
11-01 2万+
STOP 0x000000D1 DRIVER_IRQL_NOT_LESS_OR_EQUAL (0x0,0x0,0x0,0x0) 参数 1 - 引用的内存 2 - IRQL 3 - 值 0 = 读操作,1 = 写操作 4 - 引用内存的地址 //------------------------------------------------------------------------------
蓝屏总结(一) ——基本分析方法
VinWqx的博客
07-20 1万+
目录 一、蓝屏造成原因 二、通常的排查步骤 三、Debug步骤 四、使用Driver Verifier进行排查 五、Debug示例 1、分析示例 1 2、分析示例 2 一、蓝屏造成原因 关于停止错误(蓝屏或者错误检查)没有简单的解释,包含很多因素,目前大量研究表明停止错误通常不是由微软Windows组件导致的,而是厂商的硬件驱动或者三方软件的驱动,包括声卡、无线网卡、安全程序等等。 crash的根因一般都是由三方驱动代码引起的,另外一小部分是硬件问...
Windows server 2008 DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1) ("d1" means "0x000000D1" here)
肖飞figo的云计算专栏
06-20 2412
Typically, this error occurs when a driver uses an incorrect memory address. Other possible causes of this error are an incompatible device driver, a general hardware problem, and incompatible softwar
三次蓝屏对内核崩溃日志的分析记录
无情的搬砖人的Blog
10-30 8869
下面的所有内容都是WinDBG的输出内容 //后跟的所有内容都是针对下一行具体项的具体解释 Microsoft ® Windows Debugger Version 6.12.0002.633 AMD64 Copyright © Microsoft Corporation. All rights reserved. Loading Dump File [C:\Windows\Minidump\103021-8359-01.dmp] Mini Kernel Dump File: Only register
Windbg内核调试之四: Dump文件分析
fangchao918628的专栏
12-23 1326
Dump 文件分析很大程度上就是分析蓝屏产生的原因。这种系统级的错误算是Windows提示错误中比较严重的一种(更严重的还有启动黑屏等硬件或软件兼容性错误等等)。说它是比较严重,是因为毕竟Windows还提供了dump文件给用户分析,至少能比较容易的找到错误的原因。一般蓝屏要么是内核程序中的异常或违规,要么是数据结构的损坏,也有boot或shutdown的时候内核出错。有时候蓝屏是一闪而过,紧接着
bugcheck1001重启
05-31
Bugcheck 1001是Windows系统中的一个错误代码,它通常表示系统遇到了一个不可恢复的错误并需要重新启动。这可能是由于硬件故障、驱动程序问题、病毒等原因引起的。为了解决这个问题,你可以尝试以下方法: 1. 检查...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值