记录一个特别的蓝屏 0x1000007f

最新推荐文章于 2025-05-13 15:54:58 发布
最新推荐文章于 2025-05-13 15:54:58 发布
阅读量530 收藏 3
点赞数 5
分类专栏: Windows驱动开发 文章标签: c++ windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangmin1944/article/details/145440739
版权

在windows中这个蓝屏也是常见蓝屏之一,这里记录下在工作中遇到的这个蓝屏的一个特别之处。UNEXPECTED_KERNEL_MODE_TRAP_M (1000007f)

在用户环境的产品中,隔三差五就会反馈这个蓝屏代码,完全是随机概率的,而且很容易出现在某几个特别的用户环境下,那倒了dump之后开始对这个dump进行分析,发现这个蓝屏的位置居然发生在了Minifilter的重入中,有意思的是这个重入不是常见文件操作引发的而是:

//发生在了PsLookupProcessByProcessId这里
if (NT_SUCCESS(PsLookupProcessByProcessId((HANDLE)ProcessID, &pPep)))
    {
        uXid = (ULONG64)pPep + (ULONG64)ProcessID*2 + PsGetProcessCreateTimeQuadPart(pPep);
        ObDereferenceObject(pPep);
    }
    else
    {
        return callbackStatus;
    }

居然是在查询EPROCESS的API PsLookupProcessByProcessId中,这个API在调用的时候触发了注册的PreCall操作,而这个操作里需要执行这个查询,然后又再次循环,导致堆栈耗尽崩溃。

不是很清楚到底发生了什么,于是跟踪了下这个链路:

PsLookupProcessByProcessId -> PspReferenceCidTableEntry

故障发生在 nt!PspReferenceCidTableEntry+0x51的位置,这里触发了nt!KiPageFault,看汇编代码:

kd> u nt!PspReferenceCidTableEntry l+50
nt!PspReferenceCidTableEntry:
fffff802`6d4bf410 48895c2408      mov     qword ptr [rsp+8],rbx
fffff802`6d4bf415 48896c2410      mov     qword ptr [rsp+10h],rbp
fffff802`6d4bf41a 4889742418      mov     qword ptr [rsp+18h],rsi
fffff802`6d4bf41f 48897c2420      mov     qword ptr [rsp+20h],rdi
fffff802`6d4bf424 4156            push    r14
fffff802`6d4bf426 4883ec40        sub     rsp,40h
fffff802`6d4bf42a 488b0527766400  mov     rax,qword ptr [nt!PspCidTable (fffff802`6db06a58)]
fffff802`6d4bf431 0fb6ea          movzx   ebp,dl
fffff802`6d4bf434 f7c1fc030000    test    ecx,3FCh
fffff802`6d4bf43a 0f8461010000    je      nt!PspReferenceCidTableEntry+0x191 (fffff802`6d4bf5a1)
fffff802`6d4bf440 488bd1          mov     rdx,rcx
fffff802`6d4bf443 488bc8          mov     rcx,rax
fffff802`6d4bf446 e855730b00      call    nt!ExpLookupHandleTableEntry (fffff802`6d5767a0)
fffff802`6d4bf44b 488bf0          mov     rsi,rax
fffff802`6d4bf44e 4885c0          test    rax,rax
fffff802`6d4bf451 0f844a010000    je      nt!PspReferenceCidTableEntry+0x191 (fffff802`6d4bf5a1)
fffff802`6d4bf457 4c8b35fa756400  mov     r14,qword ptr [nt!PspCidTable (fffff802`6db06a58)]
fffff802`6d4bf45e 0f0d08          prefetchw [rax]
fffff802`6d4bf461 488b08          mov     rcx,qword ptr [rax]    //这里引发了分页故障
fffff802`6d4bf464 48894c2420      mov     qword ptr [rsp+20h],rcx
fffff802`6d4bf469 488b4808        mov     rcx,qword ptr [rax+8]
fffff802`6d4bf46d 48894c2428      mov     qword ptr [rsp+28h],rcx
fffff802`6d4bf472 488b7c2420      mov     rdi,qword ptr [rsp+20h]
fffff802`6d4bf477 48f7c7feff0100  test    rdi,1FFFEh
fffff802`6d4bf47e 7474            je      nt!PspReferenceCidTableEntry+0xe4 (fffff802`6d4bf4f4)
fffff802`6d4bf480 40f6c701        test    dil,1
fffff802`6d4bf484 0f8498a51c00    je      nt!PspReferenceCidTableEntry+0x1ca612 (fffff802`6d689a22)
fffff802`6d4bf48a 488d5ffe        lea     rbx,[rdi-2]
fffff802`6d4bf48e 488bc7          mov     rax,rdi
fffff802`6d4bf491 488bd1          mov     rdx,rcx
fffff802`6d4bf494 f0480fc70e      lock cmpxchg16b oword ptr [rsi]
fffff802`6d4bf499 488bf8          mov     rdi,rax
fffff802`6d4bf49c 4889442420      mov     qword ptr [rsp+20h],rax
fffff802`6d4bf4a1 488bca          mov     rcx,rdx
fffff802`6d4bf4a4 4889542428      mov     qword ptr [rsp+28h],rdx
fffff802`6d4bf4a9 0f852b010000    jne     nt!PspReferenceCidTableEntry+0x1ca (fffff802`6d4bf5da)
fffff802`6d4bf4af 488bc8          mov     rcx,rax
fffff802`6d4bf4b2 48d1e9          shr     rcx,1
fffff802`6d4bf4b5 6683f910        cmp     cx,10h
fffff802`6d4bf4b9 0f842d010000    je      nt!PspReferenceCidTableEntry+0x1dc (fffff802`6d4bf5ec)
fffff802`6d4bf4bf 48c1ff10        sar     rdi,10h
fffff802`6d4bf4c3 4883e7f0        and     rdi,0FFFFFFFFFFFFFFF0h
fffff802`6d4bf4c7 0fb607          movzx   eax,byte ptr [rdi]
fffff802`6d4bf4ca 247f            and     al,7Fh
fffff802`6d4bf4cc 403ac5          cmp     al,bpl
fffff802`6d4bf4cf 0f85c4000000    jne     nt!PspReferenceCidTableEntry+0x189 (fffff802`6d4bf599)
fffff802`6d4bf4d5 488bc7          mov     rax,rdi
fffff802`6d4bf4d8 488b5c2450      mov     rbx,qword ptr [rsp+50h]
fffff802`6d4bf4dd 488b6c2458      mov     rbp,qword ptr [rsp+58h]
fffff802`6d4bf4e2 488b742460      mov     rsi,qword ptr [rsp+60h]
fffff802`6d4bf4e7 488b7c2468      mov     rdi,qword ptr [rsp+68h]
fffff802`6d4bf4ec 4883c440        add     rsp,40h
fffff802`6d4bf4f0 415e            pop     r14
fffff802`6d4bf4f2 c3              ret
fffff802`6d4bf4f3 cc              int     3
fffff802`6d4bf4f4 488b0d5d756400  mov     rcx,qword ptr [nt!PspCidTable (fffff802`6db06a58)]
fffff802`6d4bf4fb 488bd6          mov     rdx,rsi
fffff802`6d4bf4fe 33db            xor     ebx,ebx
fffff802`6d4bf500 e8ffd1c9ff      call    nt!ExLockHandleTableEntry (fffff802`6d15c704)
fffff802`6d4bf505 84c0            test    al,al
fffff802`6d4bf507 0f8494000000    je      nt!PspReferenceCidTableEntry+0x191 (fffff802`6d4bf5a1)
fffff802`6d4bf50d 488b3e          mov     rdi,qword ptr [rsi]
fffff802`6d4bf510 48c1ff10        sar     rdi,10h
fffff802`6d4bf514 4883e7f0        and     rdi,0FFFFFFFFFFFFFFF0h
fffff802`6d4bf518 0fb607          movzx   eax,byte ptr [rdi]
fffff802`6d4bf51b 247f            and     al,7Fh
fffff802`6d4bf51d 403ac5          cmp     al,bpl
fffff802`6d4bf520 0f85b0000000    jne     nt!PspReferenceCidTableEntry+0x1c6 (fffff802`6d4bf5d6)
fffff802`6d4bf526 4080fd03        cmp     bpl,3
fffff802`6d4bf52a 747c            je      nt!PspReferenceCidTableEntry+0x198 (fffff802`6d4bf5a8)
fffff802`6d4bf52c 8b8760050000    mov     eax,dword ptr [rdi+560h]
fffff802`6d4bf532 2403            and     al,3
fffff802`6d4bf534 3c02            cmp     al,2
fffff802`6d4bf536 750a            jne     nt!PspReferenceCidTableEntry+0x132 (fffff802`6d4bf542)
fffff802`6d4bf538 488bce          mov     rcx,rsi
fffff802`6d4bf53b e87057c4ff      call    nt!ExSlowReplenishHandleTableEntry (fffff802`6d104cb0)
fffff802`6d4bf540 8bd8            mov     ebx,eax
fffff802`6d4bf542 448d4301        lea     r8d,[rbx+1]
fffff802`6d4bf546 0f0d4fd0        prefetchw [rdi-30h]
fffff802`6d4bf54a 488b47d0        mov     rax,qword ptr [rdi-30h]

发生故障的位置就在:

fffff802`6d4bf457 4c8b35fa756400  mov     r14,qword ptr [nt!PspCidTable]
fffff802`6d4bf45e 0f0d08          prefetchw [rax]
fffff802`6d4bf461 488b08          mov     rcx,qword ptr [rax]    //这里引发了分页故障

看一下prefetchw汇编指令的说明:

汇编指令prefetch的作用是预取数据或指令到缓存中,以提高程序的执行效率,减少内存访问的延迟。prefetch指令主要是提示处理器提前将指定地址的数据或指令加载到缓存中,它只是发起一个预取请求,并不实际访问数据。

 如果[rax]指向地址没有在当前的内存中,而是在分页文件上,那么这个预取操作就会触发分页故障,接下来就去进入到PageFile的读取流程中,如果没有过滤掉 FLTFL_OPERATION_REGISTRATION_SKIP_PAGING_IO ,那么就会引起上面的问题。

分析的过程受限于本人知识与经验,如有错误希望广大网友及时指出,感激不尽。

蓝屏代码0x1000007e 错误分析
jerryzhou的博客
08-15 3万+
1、dump分析:http://www.eui.cc/3489.html 2、360专栏dump分析:http://blogs.360.cn/360safe/2013/04/02/dump-analyze-1-debug-flag-abuse-of-wdf01000-sys-bsod/ 3、21.windbg-.lastevent、!analyze(dump分析、异常错误码查询)...
完整的蓝屏错误代码大全详解
热门推荐
IT-精英联盟
07-01 23万+
完整的BSOD错误代码列表从STOP 0x1到STOP 0xC0000221一个死机(BSOD)的蓝屏,技术上称为一个STOP错误,若在Windows遭受了严重的错误,被迫“停”的问题。在任何Windows操作系统中都会出现BSOD错误,包括Windows 10Windows 8,Windows 7,Windows Vista,Windows XP甚至Windows 98/95。由于蓝屏错误让...
推荐]该内存不能为“read”或“written”的解决方案!
Tercel99的专栏
04-29 1万+
有些人运行飚车程序的时候会弹出该内存不能为“read”的错误提示。希望以下文章能对大家有所帮助。使用Windows操作系统的人有时会遇到这样的错误信息,运行某些程序的时候,有时会出现内存错误的提示,然后该程序会自动关闭或点击后关闭,严重的会无法关闭。 “0x????????”指令引用的“0x????????”内存。该内存不能为“read”。 “0x????????”指令引用的“0x????????
由Win10系统ntoskrnl.exe引起电脑蓝屏几个解决参考
weixin_44681986的博客
08-06 1万+
同时还显示是由ntoskrnl.exe引起,那么这个ntoskrnl.exe是什么,对于它引起的蓝屏问题,我们应该如何手动解决呢?ntoskenl 是 Windows 的内核进程,负责 Windows 核心部分的操作,也就是负责操作系统核心的五大任务:处理机管理、存储管理、设备管理、文件管理、接口,这从它的 PID = 4 就能看出来它的地位是操作系统最先启动的进程。下载这款文件后,扫描一下电脑缺少的重要系统组件,根据电脑确实的系统文件来修复系统问题。依次打开控制面板——>管理工具——>任务计划程序。
再提windows server 2003蓝屏问题
weixin_34292287的博客
06-04 315
服务器windows server 2003系统,正常运行了几个月,某天本地连接远程桌面,服务器就自动中断,重启,几分钟后登陆,出现一个蓝屏代码界面。 描述: 错误代码 1000007f,参数1 00000008,参数2 80042000,参数3 00000000,参数4 00000000。 网上查了相关资料:1. 内存问题 2. 系统问题 3...
计算机组装配置(Win10蓝屏错误代码大全详解)
CodeAllen嵌入式
03-21 3万+
经常使用Windows系统的应该少不了蓝屏的时候,其实系统是有一些提示信息的,记录这个编号可以查询到大致是什么原因导致的,可以快速定位问题。 消息比较多,可以直接Ctrl + F搜索需要的信息即可。 一个死机(BSOD)的蓝屏,技术上称为一个STOP错误,若在Windows遭受了严重的错误,被迫“停”的问题。 在任何Windows 操作系统中都会出现BSOD错误,包括Windows 10,Wind...
win7蓝屏0x0000003b解决教程
yisago的博客
06-17 6961
win7蓝屏0x0000003b解决教程分享给大家,使用win7系统过程中,有时出现蓝屏0x0000003b的问题,那么win7系统出现蓝屏0x0000003b怎么办?不用慌,小编今天就来分享一下如何解决win7蓝屏0x0000003b的教程。 win7蓝屏0x0000003b解决教程 1、一般遇到这类问题都是通过手动获取该补丁来修复,代码蓝屏0x0000003b一般是指网络错误。 2、那么我们就要对系统浏览器的缓存进行一个清理,在win7系统自带的IE浏览器上在菜单栏里点击工具,点击internet选项,
蓝屏代码0x00000109 错误分析
jerryzhou的博客
02-15 1万+
背景: 全新的雷蛇灵刃15使用1周左右,正常上网浏览网页、玩网游过程中出现蓝屏,约有3次以上。 暂无法100%复现该蓝屏故障,无法确定是windows补丁、硬件驱动、第三方软件哪一方导致的问题,需要参考系统日志进行蓝屏故障分析。 环境: Windows 10 Pro 工具: winDbg Privew (winDbg的新版) 参考日志 windows 系统日志 miniDump 小内存转储文件 分析流程 参考windows系统日志进行初步分析 使用winDbg工具,进一步分析dump信息 一、故障.
蓝屏代码:_0x1000007F怎么解决.txt
02-24
蓝屏问题常常让电脑用户感到束手无策,尤其是在屏幕上出现代码_0x1000007F时。这个代码代表着一个名为"SYSTEM_SERVICE_EXCEPTION"的错误,它通常表明系统服务过程中出现了异常。这种异常可能源于多个原因,包括但不...
电脑蓝屏0x电脑报错查询
05-04
这类问题通常会伴随着一串错误代码,这些代码被称作“停止错误”或“蓝屏错误”。了解这些错误代码背后的含义对于诊断问题、避免频繁重装系统具有重要意义。 #### 错误代码解析 下面列出了一些常见的错误代码及其...
下面是一系列蓝屏中可能出现的代码
10-29
1014 0x000003F6 系统登录数据库中的一个档案必须使用记录或其它备份还原。 已经还原成功。 1015 0x000003F7 系统登录毁损。其中某个档案毁损、或者该档案的 系统映对内存内容毁损、会是档案无法复原。 1016 0x...
ntoskrnl.exe蓝屏0x0000007f
12-31
由于错误码 `0x0000007f` 常见于内存损坏的情况下发生,因此运行内置的记忆测试工具是一个明智的选择。可以通过启动计算机进入 BIOS 设置并启用内存自检功能;也可以下载第三方可靠的 RAM 测试应用程序来进行更深入...
开机蓝屏0x000000F4
04-03
好的,用户遇到了开机蓝屏问题,错误代码是0x000000F4。我需要先理解这个错误代码的含义以及可能的原因。根据提供的引用资料,这个错误可能与硬件有关,比如内存或硬盘问题,但最近出现的批量情况可能不是硬件导致的...
win10电脑蓝屏问题 ntoskrnl.exe导致蓝屏
DFFFAN的博客
04-23 1万+
之前两次打都打不开,直接送去重装系统了,文件丢失/软件重装/配置环境真的很崩溃 [2020/04/23] 第三次蓝屏 这次用回形针按了电脑背后的重启按钮,就是一个小圆点,成功重启了。 怕关机又打不开,尝试了如下修复: 蓝屏分析诊断 电脑:联想X1 系统:WIN10 之前蓝屏去联想维修中心送修时,帮我装了 “联想电脑管家” “工具...
C++双重释放内存问题
weixin_40398522的博客
05-09 468
C++中,双重释放内存会导致未定义行为,通常引发程序崩溃这是因为同一块内存被多次释放会破坏内存管理器的内部数据结构双重释放是什么意思呢?
深入浅出:C++数据处理类与计算机网络的巧妙类比
最新发布
weixin_56334307的博客
05-13 589
在计算机编程中,我们常常会遇到一些看似简单的代码结构,却能巧妙地映射到复杂的计算机网络概念中。本文将通过一个简单的C++数据处理类,探讨其与计算机网络中硬件设备和协议的类比关系,帮助读者更好地理解抽象的网络概念。
华为OD机试真题——单词接龙(首字母接龙)(2025A卷:100分)Java/python/JavaScript/C/C++/GO最佳实现
专注分享技术、实用优质教程、资源
05-11 569
华为OD机试真题——单词接龙(首字母接龙)(2025A卷:100分)Java/python/JavaScript/C/C++/GO最佳实现
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值