Vidok08, разбор вашего последнего дампа с кодом
Цитата ibarg:
|
SYSTEM_THREAD_EXCEPTION_NOT_HANDLED »
|
Скрытый текст
6: kd> .exr 0xffffab8271317648
ExceptionAddress: fffff80d95290bea (Ntfs!NtfsAcquireAllFiles+0x00000000000614c6)
ExceptionCode: c0000005 (Access violation)
ExceptionFlags: 00000000
NumberParameters: 2
Parameter[0]: 0000000000000000
Parameter[1]: 0000000000000820
Attempt to read from address 0000000000000820
6: kd> !error c0000005
Error code: (NTSTATUS) 0xc0000005 (3221225477) - The instruction at 0x%08lx referenced memory at 0x%08lx. The memory could not be %s.
6: kd> .cxr 0xffffab8271316e90
rax=ffffd40eda96e118 rbx=ffff828714a06ab0 rcx=0000000000000800
rdx=0000000000000000 rsi=ffffd40ecf269400 rdi=ffffd40ecf269180
rip=fffff80d95290bea rsp=ffffab8271317880 rbp=ffffd40ed561e9a8
r8=00000000ffffffff r9=7fffd40ecf269400 r10=7ffffffffffffffc
r11=ffffab8271317850 r12=0000000000000010 r13=0000000000000000
r14=0000000000000000 r15=ffffd40ed50b6a00
iopl=0 nv up ei pl nz na po nc
cs=0010 ss=0018 ds=002b es=002b fs=0053 gs=002b efl=00010206
Ntfs!NtfsAcquireAllFiles+0x614c6:
fffff80d`95290bea 488b4920 mov rcx,qword ptr [rcx+20h] ds:002b:00000000`00000820=????????????????
6: kd> !pte @rcx
VA 0000000000000800
PXE at FFFFD369B4DA6000 PPE at FFFFD369B4C00000 PDE at FFFFD36980000000 PTE at FFFFD30000000000
contains 0A000000AE170867 contains 0000000000000000
pfn ae170 ---DA--UWEV not valid
Нарушение доступа было вызвано в функции Ntfs!NtfsAcquireAllFiles.
В самой функции выполнялась инструкция перемещения (команда mov) содержимого регистра rcx в rcx+20h.
Как видно из команды !pte изначально содержимое регистра rcx было недействительным (нарушенным и др синонимичные прилагательные).
Вот почему было сгенерировано нарушение доступа и инструкция завершилась неправильно.
Так почему содержимое было недействительным ? Теперь просмотрим стек для заданного нами контекста (.cxr) и увидеть,что происходило до вызова нашей проблемной функции:
Скрытый текст
6: kd> knL
*** Stack trace for last set context - .thread/.cxr resets it
# Child-SP RetAddr Call Site
00 ffffab82`71317880 fffff80d`9514429b Ntfs!NtfsAcquireAllFiles+0x614c-> здесь была вызвано нарушение доступа
01 ffffab82`71317900 fffff80d`952b08c1 Ntfs!NtfsCheckpointForVolumeSnapshot+0x103 -> незадокументированная функция NTFS.sys. Что-то мутное получится,если перевести название - создание ntfs'ом контрольной точки для снимка тома.
02 ffffab82`713179a0 fffff80d`9512035c Ntfs!NtfsCommonDeviceControl+0x391 -> функция общего управления устройством.
03 ffffab82`71317ad0 fffff803`674844f7 Ntfs!NtfsFspDispatch+0x57c -> инициализация File Service Protocol
04 ffffab82`71317c10 fffff803`675c1b06 nt!PspSystemThreadStartup+0x47
05 ffffab82`71317c60 00000000`00000000 nt!KiStartSystemThread+0x16 -> запуск потока в "режиме ядра"
В итого всё указывает на проблемы с дисковой подсистемой.
