내 Windows 7 컴퓨터는 부팅 직후 발생하는 블루스크린으로 인해 어려움을 겪고 있습니다.
Windbg를 사용하여 이벤트의 멍청한 파일을 분석했지만 그것이 나에게 말하는 내용을 이해했는지 잘 모르겠습니다.
다음 내용은 흥미로운 것 같습니다.
DEFAULT_BUCKET_ID: WIN7_DRIVER_FAULT
PROCESS_NAME: fsgk32.exe
이는 문제가 드라이버나 fsgk32.exe(F-secure의 일부) 또는 둘 다에 있음을 의미합니까?
전체 결과:
2: kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************
KMODE_EXCEPTION_NOT_HANDLED (1e)
This is a very common bugcheck. Usually the exception address pinpoints
the driver/function that caused the problem. Always note this address
as well as the link date of the driver/image that contains this address.
Arguments:
Arg1: ffffffffc0000005, The exception code that was not handled
Arg2: fffff80002ed05ce, The address that the exception occurred at
Arg3: 0000000000000000, Parameter 0 of the exception
Arg4: ffffffffffffffff, Parameter 1 of the exception
Debugging Details:
------------------
READ_ADDRESS: GetPointerFromAddress: unable to read from fffff800030f7100
GetUlongFromAddress: unable to read from fffff800030f71c0
0000000000000000 Nonpaged pool
EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - The instruction at 0x%08lx referenced memory at 0x%08lx. The memory could not be %s.
FAULTING_IP:
nt!MiUnlinkPageFromLockedList+36e
fffff800`02ed05ce 49890cc0 mov qword ptr [r8+rax*8],rcx
BUGCHECK_STR: 0x1E_c0000005_R
CUSTOMER_CRASH_COUNT: 1
DEFAULT_BUCKET_ID: WIN7_DRIVER_FAULT
PROCESS_NAME: fsgk32.exe
CURRENT_IRQL: 2
ANALYSIS_VERSION: 6.3.9600.17237 (debuggers(dbg).140716-0327) amd64fre
LAST_CONTROL_TRANSFER: from fffff80002f0a738 to fffff80002ebfbc0
STACK_TEXT:
fffff880`060eed48 fffff800`02f0a738 : 00000000`0000001e ffffffff`c0000005 fffff800`02ed05ce 00000000`00000000 : nt!KeBugCheckEx
fffff880`060eed50 fffff800`02ebf242 : fffff880`060ef528 fffffa80`0aeff270 fffff880`060ef5d0 fffffa80`0aeff270 : nt! ?? ::FNODOBFM::`string'+0x487ed
fffff880`060ef3f0 fffff800`02ebdb4a : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiExceptionDispatch+0xc2
fffff880`060ef5d0 fffff800`02ed05ce : fffff700`01080000 fffffa80`0aeff270 fffff800`030fa2c0 fffff680`00394f28 : nt!KiGeneralProtectionFault+0x10a
fffff880`060ef760 fffff800`02ef006b : fffffa80`0aeff270 fffffa80`0efb1578 00000000`00000000 00000000`00000000 : nt!MiUnlinkPageFromLockedList+0x36e
fffff880`060ef7e0 fffff800`02edcc8f : 00000000`00000000 00000000`00000000 fffff680`003b5818 fffffa80`0efb1578 : nt!MiResolveTransitionFault+0x16b
fffff880`060ef870 fffff800`02ecc179 : 00000000`00000000 ffffffff`ffffffff fffffa80`0f946060 00000000`00000000 : nt!MiDispatchFault+0x95f
fffff880`060ef980 fffff800`02ebdcee : 00000000`00000000 00000000`001dedf8 fffff880`060efa01 00000000`00000007 : nt!MmAccessFault+0x359
fffff880`060efae0 00000000`772fe2be : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiPageFault+0x16e
00000000`0328fa18 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x772fe2be
STACK_COMMAND: kb
FOLLOWUP_IP:
nt!MiUnlinkPageFromLockedList+36e
fffff800`02ed05ce 49890cc0 mov qword ptr [r8+rax*8],rcx
SYMBOL_STACK_INDEX: 4
SYMBOL_NAME: nt!MiUnlinkPageFromLockedList+36e
FOLLOWUP_NAME: MachineOwner
MODULE_NAME: nt
DEBUG_FLR_IMAGE_TIMESTAMP: 531590fb
IMAGE_VERSION: 6.1.7601.18409
IMAGE_NAME: memory_corruption
FAILURE_BUCKET_ID: X64_0x1E_c0000005_R_nt!MiUnlinkPageFromLockedList+36e
BUCKET_ID: X64_0x1E_c0000005_R_nt!MiUnlinkPageFromLockedList+36e
ANALYSIS_SOURCE: KM
FAILURE_ID_HASH_STRING: km:x64_0x1e_c0000005_r_nt!miunlinkpagefromlockedlist+36e
FAILURE_ID_HASH: {3264b3ba-cf19-fae1-16b7-0f69c15b38b9}
Followup: MachineOwner
답변1
IMHO 블루 스크린을 분석할 때 알아야 할 두 가지 중요한 사항이 있습니다.
a) 당신이 알아낸 바와 같이:PROCESS_NAME: fsgk32.exe
제품과 직접 연관될 수 없는 경우 일반적으로 Google 검색을 통해 몇 가지 힌트를 얻을 수 있습니다. 구글도 지정하는 F-Secure를 알게 되셨습니다.
KMODE_EXCEPTION_NOT_HANDLEDb) 이 경우에는 문제의 유형입니다 .
커널 모드의 예외(이번)와 같이 즉시 블루 스크린으로 이어지는 문제가 있기 때문에 이것은 약간 까다로워집니다. 그러나 메모리 누수와 같은 다른 문제도 있기 때문에 잠시 동안 감지되지 않고 충돌할 수 있습니다. 나중에.
귀하의 경우에는 즉각적인 블루 스크린이므로 일반적으로 프로세스 이름이 정확합니다. 안전 모드에서 제거하여 이를 확인한 것으로 가정합니다.
후자의 경우(메모리 누수) 나열된 프로세스 이름이 올바르지 않으므로 다른 조치를 취해야 합니다. 지연된 충돌에 대해 다른 접근 방식이 있을 수 있습니다. 저는 Windows(Win+R, )와 함께 제공되는 드라이버 확인 프로그램을 사용합니다 verifier.exe. 부팅하는 동안 충돌이 발생하면 끄는 것이 번거로울 수 있으므로 사용하기 전에 이에 대해 읽어 보는 것이 좋습니다.