IRQL_NOT_LESS_OR_EQUAL蓝屏分析

最新推荐文章于 2025-02-07 14:10:55 发布
最新推荐文章于 2025-02-07 14:10:55 发布
阅读量6.4w 收藏 21
点赞数 13
分类专栏: Windows调试 文章标签: less
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiangbaohui/article/details/120698628
版权
本文通过对IRQL_NOT_LESS_OR_EQUAL蓝屏的DUMP文件分析,探讨了可能导致该问题的原因,包括在DISPATCH_LEVEL访问缺页内存、非法内存等。文章详细梳理了分析过程,涉及堆栈信息、资源锁的删除以及潜在的内存管理问题。总结指出,代码编写时的细致和充分测试是避免此类问题的关键。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

IRQL_NOT_LESS_OR_EQUAL蓝屏分析

最近有朋友遇到了一个客户电脑出现蓝屏,由于朋友最近比较忙,简单看一下没有发现问题就将dump发给我,刚好最近有点空闲时间而且自己似乎很久没有排查和分析过问题了,因此就私下分析了一下,有了今天的文章。

1. 背景

由于这个问题并非可以重现的必现问题,因此在这里只能分析一下DUMP文件,初步看一下错误码信息,如下:

IRQL_NOT_LESS_OR_EQUAL (a)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high.  This is usually
caused by drivers using improper addresses.
If a kernel debugger is available get the stack backtrace.
Arguments:
Arg1: ffffaa098cf769e0, memory referenced
Arg2: 0000000000000002, IRQL
Arg3: 0000000000000000, bitfield :
	bit 0 : value 0 = read operation, 1 = write operation
	bit 3 : value 0 = not an execute operation, 1 = execute operation (only on chips which support this level of status)
Arg4: fffff8042f088821, address which referenced memory

对于IRQL_NOT_LESS_OR_EQUAL这个蓝屏,是一个非常通用的问题,一般来说在DISPATCH_LEVEL以及以上的中断请求级别上面访问缺页内存或者非法内存的情况下就会导致这个问题。

从上面的摘要,我们也可以发现,此时:

  1. IRQL 级别为DISPATCH_LEVEL。
  2. 访问的内存为ffffaa098cf769e0。
  3. 并且可以知道是读取ffffaa098cf769e0内存。

那么接下来我们就具体分析一下产生的原因。

2. 分析

首先第一件事情,我们应当看一下蓝屏发生在哪个地方,如下:

2: kd> !thread
THREAD ffffd38d08a7c080  Cid 0684.0c68  Teb: 0000000aba729000 Win32Thread: 0000000000000000 RUNNING on processor 2
Not impersonating
DeviceMap                 ffffaa098a5c8c50
Owning Process            ffffd38d0702b080       Image:         svchost.exe
Attached Process          N/A            Image:         N/A
Wait Start TickCount      36169          Ticks: 50 (0:00:00:00.781)
Context Switch Count      46             IdealProcessor: 0             
UserTime                  00:00:00.000
KernelTime                00:00:00.000
Win32 Start Address 0x00007ff944013ce0
Stack Init fffff500d6f6bdd0 Current fffff500d6f6b5a0
Base fffff500d6f6c000 Limit fffff500d6f66000 Call 0000000000000000
Priority 8 BasePriority 8 PriorityDecrement 0 IoPriority 2 PagePriority 5
Child-SP          RetAddr           : Args to Child                                                           : Call Site
fffff500`d6f6b508 fffff804`2f1d5d29 : 00000000`0000000a ffffaa09`8cf769e0 00000000`00000002 00000000`00000000 : nt!KeBugCheckEx
fffff500`d6f6b510 fffff804`2f1d2069 : 00000000`00000000 00000000`00000003 00000000`000000a0 00000000`00000001 : nt!KiBugCheckDispatch+0x69
fffff500`d6f6b650 fffff804`2f088821 : ffffd38d`002b5d20 00000000`00000000 ffffaa09`88ddb8f0 fffff804`2f36e0a9 : nt!KiPageFault+0x469 (TrapFrame @ fffff500`d6f6b650)
fffff500`d6f6b7e0 fffff804`2f64331e : fffff804`2f373830 fffff804`00000000 00000000`00000000 ffffd38d`002b5d20 : nt!ExDeleteResourceLite+0xa1
fffff500`d6f6b830 fffff804`2f63fac0 : 00000000`00000000 00000000`00000000 00000000`00000000 ffffd38d`08a7c1c0 : nt!SepTokenDeleteMethod+0xfe
fffff500`d6f6b860 fffff804`2f04d684 : 00000000`00000000 00000000`00000000 fffff804`2f373830 ffffaa09`88ddb8f0 : nt!ObpRemoveObjectRoutine+0x80
fffff500`d6f6b8c0 fffff804`2f671660 : 00000000`00000000 ffffaa09`8a476e00 ffffaa09`8a476e00 00000000`00000000 : nt!ObfDereferenceObject+0xa4
fffff500`d6f6b900 fffff804`2f63fac0 : ffffd38d`078f63a0 00000000`00000000 ffffaa09`88ddb8f0 00000000`0017e190 : nt!AlpcpDeletePort+0x140
fffff500`d6f6b930 fffff804`2f04d684 : 00000000`00000000 00000000`00000000 fffff804`2f373830 ffffd38d`078f63d0 : nt!ObpRemoveObjectRoutine+0x80
fffff500`d6f6b990 fffff804`2f6b6100 : ffffaa09`8ef553b0 ffffaa09`8ef553b0 0000000a`ba59f988 ffffffff`ffffffff : nt!ObfDereferenceObject+0xa4
fffff500`d6f6b9d0 fffff804`2f61ce22 : 00000000`00000001 00000000`00000000 00000000`80000000 00000000`fa000000 : nt!AlpcMessageCleanupProcedure+0x30
fffff500`d6f6ba00 fffff804`2f617c4c : ffffffff`ffffffff 00000000`00000000 ffffaa09`8ef55380 00000176`ee682160 : nt!AlpcpDestroyBlob+0x32
fffff500`d6f6ba30 fffff804`2f617425 : 00000000`00000030 00000000`00000000 0000000a`ba59f968 00000000`00000000 : nt!AlpcpReceiveMessage+0x66c
fffff500`d6f6bb10 fffff804`2f1d5755 : ffffd38d`08a7c080 fffff500`d6f6bcc0 fffff500`d6f6bbe8 00000000`00000000 : nt!NtAlpcSendWaitReceivePort
最低0.47元/天 解锁文章
IRQL_NOT_LESS_OR_EQUAL的问题最终算攻克了
aofan9566的博客
03-12 8871
今日想提高我那台古董笔记本extensa 4620Z的执行效率。方便我编程。 我先用万能的硬件检測工具,反正也就那几个流氓软件看了下。内存是ddr2的。我也顺带补习了一下许久不碰的硬件知识。ddr2和ddr3是不兼容的。 可是usb3.0却和usb2.0是兼容的。 话题回来,我就准备买一条2g的ddr2的内存。淘宝看看,蛮廉价的。才50多一根。好吧,那我就大手笔。买两根。咱...
driverirqlnotlessorequal蓝屏
qq_32775541的博客
02-26 2301
简单来说,“driverirqlnotlessorequal”是一种错误代码,通常出现在Windows操作系统中。它告诉我们,系统检测到某个驱动程序在访问硬件时,权限等级不符合要求,这就是所谓的“权限越界”。总之,遇到“driverirqlnotlessorequal蓝屏问题,不要慌,按照上面的方法一步步来,相信很快就能解决。别急,咱们一步一步来。更新驱动程序:首先检查所有硬件的驱动程序是否更新到最新版本,特别是显卡、网卡等。驱动程序冲突:可能是新装的驱动和旧驱动不兼容,或者是某些软件安装了错误的驱动。
IRQL_NOT_LESS_OR_EQUAL的问题终于算解决了
热门推荐
滴水穿石,点石成金
07-19 45万+
IRQL_NOT_LESS_OR_EQUAL的问题终于算解决了
IRQL_NOT_LESS_OR_EUQAL,间歇性蓝屏,4800h笔记本,暗影精灵6,解决办法,蓝屏问题排查
qq_27144923的博客
04-18 1万+
本文章所列出解决方法适用于AMD Ryzen 4800H处理器(其他amd处理器亦可参考),在低功耗下间歇性蓝屏、卡死、黑屏等情况,蓝屏代码不定(黑屏、卡死下无蓝屏代码)
IT技术 | 电脑蓝屏修复记录DRIVER_IRQL_NOT_LESS_OR_EQUAL
qdulgh的专栏
05-27 9499
在C盘搜索到两个TeeDriverW10x64.sys文件,一个是2021年的,一个是2024年的,把最新的那个改名后(比如前面加个1,让系统找不到),重启就好了。我的台式机是iMac 2015年的,硬盘是机械的,时间久了运行越来越慢。
电脑蓝屏死机_IRQL_NOT_LESS_OR_EQUAL_错误代码大全
轨 迹
01-24 15万+
1、0x0000000A:IRQL_NOT_LESS_OR_EQUAL  ◆错误分析:主要是由问题的驱动程序、有缺陷或不兼容的硬件与软件造成的. 从技术角度讲. 表明  在内核模式中存在以太高的进程内部请求级别(IRQL)访问其没有权限访问的内存地址.  ◇解决方案:请用前面介绍的解决方案中的2、3、5、8、9方案尝试排除. 2、0x00000012:TRAP_CAUSE_UNKNOW
记一次解决电脑频繁蓝屏问题,蓝屏代码:IRQL_NOT_LESS_OR_EQUAL
Junson142099的博客
04-22 5万+
用户电脑频繁蓝屏蓝屏代码:IRQL_NOT_LESS_OR_EQUAL,这里分享使用WinDbg工具分析蓝屏文件来找出蓝屏原因并解决的过程
Windows蓝屏错误:IRQL_NOT_LESS_OR_EQUAL停止原因
2501_90390904的博客
02-07 8095
IRQL_NOT_LESS_OR_EQUAL是一个常见的Windows操作系统蓝屏错误代码,通常与驱动程序或硬件故障有关。
[分享]Windows非法操作详解
ξσ Dicky's Blog σξ
12-26 2388
转自:http://bbs.dvbbs.net/dispbbs.asp?BoardID=18&ID=869290&Page=1&replyID=2168504&skin=1     一般的“非法操作”有两个选项:“关闭”和“详细资料”。可是“详细资料”里面的内容大多数人都看不明白,只好草草的关闭了。现在不用怕了,我来给大家讲解一下非法作的每个详细资料的具体含义。 1.停止错误编号:0x0000
记一次蓝屏的解决,错误代码IRQL_NOT_LESS_OR_EQUAL
aoqiao7983的博客
06-10 21万+
这两天不知为何,电脑总是正在运行时自动重启,今天忍无可忍,百度了一下解决方法。 有方法说,我的电脑右键-属性-高级-“启动和故障恢复”中的设置-“系统失败”中取消勾选“自动重新启动”能解决问题,所以就先照做了。如下图: 不设置还好,没想到一设置,重启的问题是解决了,但一天内电脑还蓝屏了4次,而且蓝屏界面提示的终止代码都是IRQL_NOT_LESS_OR_EQUAL。看来问题...
IRQL_NOT_LESS_OR_EQUAL错误
木易云清
03-29 2万+
对于像我这样的windows驱动开发新手,对分页内存、非分页内存和IRQL这些只是有个概念印象,必须通过驱动中犯的错误总结才能真正领悟。 今天我的驱动遇到了IRQL_NOT_LESS_OR_EQUAL错误,导致蓝屏,查了一些资料,总结如下: 找到的例子和技巧,     今天在调试驱动的时候,发现一个开始觉得很奇怪的问题,就是调用RtlStringCbPrintfW函数来格式化WCHAR字符串
蓝屏代码IRQL_NOT_LESS_OR_EQUAL
最新发布
05-06
</think>### 分步解决方案:IRQL_NOT_LESS_OR_EQUAL蓝屏错误修复 #### 1. **检查近期硬件/软件变更** - **驱动更新回退**:若近期更新过驱动程序(尤其是显卡、网卡、外设驱动),尝试回退到稳定版本。 - 右击...
irql_not_less_or_equal蓝屏代码
09-17
irql_not_less_or_equal是一个常见的蓝屏错误代码,它通常与操作系统内核、设备驱动程序或硬件冲突有关。当操作系统在内核模式下执行时,发现一个无效的内存地址,这可能是由于以下原因引起的: 1. 驱动程序冲突:...
DRIVER_IRQL_NOT_LESS_OR_EQUAL
02-04
DRIVER_IRQL_NOT_LESS_OR_EQUAL是一个Windows操作系统的蓝屏错误代码,通常表示驱动程序在访问无效的内存地址或者以错误的IRQL(中断请求级别)访问了内核模式下的资源。这个错误通常与驱动程序的问题有关。 当系统...
Win10 IRQL_NOT_LESS_OR_EQUAL错误快速解决手册
Yori_22的博客
11-18 7649
遇到Win10 IRQL_NOT_LESS_OR_EQUAL错误时,用户不必过于焦虑。通过本文提供的快速解决手册,您可以逐一排查并解决问题。记住,保持系统和驱动程序的更新是预防此类问题的关键。同时,定期检查硬件健康状况、及时卸载不兼容软件也是维护系统稳定的重要措施。希望本文能帮助您顺利解决Win10 IRQL_NOT_LESS_OR_EQUAL错误,让您的操作系统更加稳定、流畅地运行。
WIN10 系统的 IRQL NOT LESS OR EQUAL 蓝屏问题
cv小学dl三年级
03-26 6万+
WIN10 系统的 IRQL NOT LESS OR EQUAL 蓝屏问题 解决方法(一) 请参考以下步骤 1.Win+r,输入:msconfig 2.点击”服务”标签卡,选择”隐藏所有的微软服务”,然后点击全部禁用(若您启用了指纹识别功能,请不要关闭相关服务) 3.点击”启动”标签卡, 点击”打开任务管理器”,然后禁用全部启动项并确定 4. 重启设备。当弹出“系统配置实用程序”的时候,选中此对话...
记一次系统蓝屏处理IRQL_NOT_LESS_OR_EQUAL
rocsoft
09-23 1万+
在码代码(摸鱼)时,系统突然蓝屏,正确来说是绿屏(Win11永久解决了蓝屏问题!),错误代码提示:IRQL_NOT_LESS_OR_EQUAL。处理措施如下: 重启电脑,找到C:/Windows/Minidump的崩溃日志 由于osronline网站已经关闭了在线DUMP分析功能,参考Microsoft的建议,在应用商店下载WinDbg Preview 以管理员身份打开WinDbg Preview,快捷键Ctrl+D,打开第一步找到的崩溃日志。等待软件下载所需组件后,点击蓝色的 analyze -v。
Win11蓝屏代码IRQL NOT LESS OR EQUAL的处理方法
xitongzhijianet的博客
11-22 6万+
该命令会检查您 PC 上的 C: 驱动器,因为我们对系统分区(默认情况下为 C:)感兴趣,但如果您想检查其他分区,则可以替换盘符。接下来,我们建议选择云下载选项,但如果您有 Windows 11 套件,您也可以选择第二个选项。如果您怀疑最近的更新导致了此问题,您还可以从上一个菜单中选择卸载更新并回滚任何最近的更新。从同一菜单中,您还可以选择“系统还原”并将系统回滚到以前的还原时间点,此时尚未发生此错误。单击任务栏中的搜索按钮,键入cmd,然后选择以管理员身份运行以使用完全权限启动命令提示符。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值