driver-online
  log-inmypagesitemap
top
   자유게시판
   로그북
    견우일지
    시스템팀 개발일지
    Beginning Driver
   유용한 팁&강좌
   CrashDump분석(beta)
   개발QnA
    WDM 입문
    USB
    NDIS
    File System
    Debugging 관련
    그 외
 
개발자 포럼 > 유용한 팁&강좌
[WinDbg 분석] BugCheck 0x8E
 ·작성일 2008.07.07:00.14 (월)  · 작성자 greemate  · 조 회 8,069


이번 예제는 BugCheck 0x8E 이지만 0x8E 자체에 집중하는 예제는 아닙니다. 오히려 새로운 접근 방법에 초점을 맞추고 있습니다. 이런 식으로 분석을 진행할 수도 있다는 방법을 적어보려 합니다.
Dmitry 아저씨 말대로 하면 일종의 분석패턴이라고나 할까요?

오늘의 주제는 모래사장에서 바늘찾기 신공입니다.

0: kd> !analyze -v
***************************************************************************
*                                                                        *
*                        Bugcheck Analysis                               *
*                                                                        *
**************************************************************************

KERNEL_MODE_EXCEPTION_NOT_HANDLED (8e)
This is a very common bugcheck.  Usually the exception address pinpoints
the driver/function that caused the problem.  Always note this address
as well as the link date of the driver/image that contains this address.
Some common problems are exception code 0x80000003.  This means a hard
coded breakpoint or assertion was hit, but this system was booted
/NODEBUG.  This is not supposed to happen as developers should never have
hardcoded breakpoints in retail code, but ...
If this happens, make sure a debugger gets connected, and the
system is booted /DEBUG.  This will let us see why this breakpoint is
happening.
Arguments:
Arg1: c0000005, The exception code that was not handled
Arg2: 8092e20b, The address that the exception occurred at
Arg3: f3a4ea60, Trap Frame
Arg4: 00000000

Debugging Details:
------------------

EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - 0x%08lx

FAULTING_IP:
nt!ObpLookupDirectoryEntry+ee
8092e20b 394608          cmp     dword ptr [esi+8],eax

TRAP_FRAME:  f3a4ea60 -- (.trap 0xfffffffff3a4ea60)
ErrCode = 00000000
eax=0000e470 ebx=e1fdb600 ecx=e1753c2c edx=00000011 esi=00740065 edi=e1753be8
eip=8092e20b esp=f3a4ead4 ebp=f3a4eaec iopl=0         nv up ei pl nz na pe nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010206
nt!ObpLookupDirectoryEntry+0xee:
8092e20b 394608          cmp     dword ptr [esi+8],eax ds:0023:0074006d=????????
Resetting default scope

DEFAULT_BUCKET_ID:  DRIVER_FAULT
BUGCHECK_STR:  0x8E
PROCESS_NAME:  iexplore.exe
CURRENT_IRQL:  0
LAST_CONTROL_TRANSFER:  from 8085bba7 to 8087c480

STACK_TEXT: 
f3a4e62c 8085bba7 0000008e c0000005 8092e20b nt!KeBugCheckEx+0x1b
f3a4e9f0 808346b4 f3a4ea0c 00000000 f3a4ea60 nt!KiDispatchException+0x3a2
f3a4ea58 80834668 f3a4eaec 8092e20b badb0d00 nt!CommonDispatchException+0x4a
f3a4ea78 80935a06 00000000 f3a4eb67 f3a4eb7c nt!Kei386EoiHelper+0x186
f3a4eaec 8092c2ab e1753b98 f3a4eb14 00000050 nt!SepAccessCheck+0x41d
f3a4eb58 80939f97 00

*답변을 받은 후 감사의 글을 남기는 것은 꼭 지켜야할 네티켓입니다.
    

이 전 : [정보] Organization of Wdm.h, Ntddk.h, and Ntifs.h

다 음 : [WinDbg 명령] !stacks


·mo1e 헐 저도 날카로운 분석을 보고싶어요 2009.12.29 코멘트 삭제
·민들레아저씨 지금 게시판이 이상한 것 같습니다.
STACK_TEXT:
f3a4e62c 8085bba7 0000008e c0000005 8092e20b nt!
KeBugCheckEx+0x1b
f3a4e9f0 808346b4 f3a4ea0c 00000000 f3a4ea60 nt!
KiDispatchException+0x3a2
f3a4ea58 80834668 f3a4eaec 8092e20b badb0d00 nt!
CommonDispatchException+0x4a
f3a4ea78 80935a06 00000000 f3a4eb67 f3a4eb7c nt!
Kei386EoiHelper+0x186
f3a4eaec 8092c2ab e1753b98 f3a4eb14 00000050 nt!
SepAccessCheck+0x41d
f3a4eb58 80939f97 00
이렇게 여기까지만 보이고 밑에 아무 것도 안 보입니다.

저도 내공의 깊이를 알 수 없는 날카로운 분석을 보고 싶습
니다 ^^
2009.02.26 코멘트 삭제
·제라툴 내공의 깊이를 알 수 없는 날카로운 분석...오늘도 한수 배
우고 갑니다. ( Pool Corruption을 분석은 처음봤음 )
UserLand Heap Corruption도 비슷한 패턴으로 종종 분석하
지만 운도 따라 줘야한다는 ㅜ.ㅜ
2008.07.11 코멘트 삭제
 
quick-menu
event
study
QnA
pds
family-site concert used used2 intro
address
address