史萊姆論壇

返回   史萊姆論壇 > 專業主討論區 > 一般電腦疑難討論區
忘記密碼?
論壇說明

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


發文 回覆
 
主題工具 顯示模式
舊 2007-07-10, 02:31 PM   #1 (permalink)
管理版主
 
mini 的頭像
榮譽勳章
UID - 4144
在線等級: 級別:98 | 在線時長:10166小時 | 升級還需:31小時級別:98 | 在線時長:10166小時 | 升級還需:31小時級別:98 | 在線時長:10166小時 | 升級還需:31小時級別:98 | 在線時長:10166小時 | 升級還需:31小時級別:98 | 在線時長:10166小時 | 升級還需:31小時級別:98 | 在線時長:10166小時 | 升級還需:31小時級別:98 | 在線時長:10166小時 | 升級還需:31小時級別:98 | 在線時長:10166小時 | 升級還需:31小時
註冊日期: 2002-12-07
文章: 13491
精華: 0
現金: 26854 金幣
資產: 3024784 金幣
預設

其實這只能看出一些片段
看這一大堆字
請排除 * 號所圍繞的文字,因為那些是固定的說命註解文字
在執行 WinDbg 後可先清除一下 (Edit -> Clear Command Output)
再執行 !analyze -v 來分析
會比較易讀一些

首先最淺顯易懂的是
出錯的程序是 (PROCESS_NAME) avp.exe

執行的斷層是 rol byte ptr [edx],0AAh 這一行指令
BUGCHECK_STR: APPLICATION_FAULT_BAD_INSTRUCTION_PTR_STACK_CORRUPTION
這裡說到
壞的指令指標堆疊造成應用程式錯誤
就是指這一段

異常記錄是 EXCEPTION_RECORD: ffffffff -- (.exr 0xffffffffffffffff)
很明顯有溢位之嫌,windows當機幾乎都與溢位有關

斷層模組是 FAULTING_MODULE: 7c920000 ntdll

所以可判斷出
是 卡巴使用到 ntdll.dll 模組時出錯

據MS修正記載裡曾提到
ntdll.dll 的動態 連結資料庫(DLL)。這個 DLL 是作業系統與 Windows kernel 互動的一個核心元件。 ntdll.dll 中有一個緩衝區滿溢(buffer overflow)的安全弱點,而 Windows 作業系統中 有很多不同元件使用到 ntdll.dll。
or
http://support.microsoft.com/kb/261317/zh-tw (Ntdll.dll 中的死結造成程式當掉)

所以你可以試試 Windows Update 看看有沒有 更新

不過像這種情況
問題出在 windows的 核心元件
一般問題不會像debuger講的這麼單純
如果每次安裝卡巴都會當機的話
還要靠其他工具來進一步分析

這裡給個建議
.先清除 C:\WINDOWS\Prefetch 裡面所有檔案

.接著下一個 MS的 BootVis
執行以下步驟:
執行之後依序點選「Trace」→「Next Boot+Drivers Delays」,出現「Trace Repetitions」視窗後按下「OK」重新開機;
重開機後再執行BootVis,點選「File」→「Open」開啟「TRACE_BOOT+DRIVERS_1_1.BIN」這個檔案,再點選「Trace」→「Optimize System」就行了。
(會再次重開機,進入windows時請不要做什麼,等 BootVis 自己結束為止)

====================================


PROCESS_NAME: avp.exe

FAULTING_MODULE: 7c920000 ntdll

這兩行 會有藍色的底線 文字出現
您只要點一下
他就會繼續分析

比如:
FAULTING_MODULE: 804d8000 nt
點一下 nt

會分析出
kd> lmvm nt
start end module name
804d8000 806ec480 nt T (no symbols)
Loaded symbol image file: ntoskrnl.exe
Image path: ntoskrnl.exe
Image name: ntoskrnl.exe
Timestamp: Wed Feb 28 17:10:41 2007 (45E54711)
CheckSum: 00217A95
ImageSize: 00214480
Translations: 0000.04b0 0000.04e0 0409.04b0 0409.04e0

那不就更清楚表示出
執行時的斷層出現在 ntoskrnl.exe 裡嗎 ?
mini 目前離線  
送花文章: 2054, 收花文章: 8069 篇, 收花: 26923 次
回覆時引用此帖
有 3 位會員向 mini 送花:
Opisai (2007-07-11),zasiza (2007-07-12),風流瀟灑 (2007-07-10)
感謝您發表一篇好文章
舊 2007-07-10, 07:13 PM   #2 (permalink)
管理版主
 
mini 的頭像
榮譽勳章
UID - 4144
在線等級: 級別:98 | 在線時長:10166小時 | 升級還需:31小時級別:98 | 在線時長:10166小時 | 升級還需:31小時級別:98 | 在線時長:10166小時 | 升級還需:31小時級別:98 | 在線時長:10166小時 | 升級還需:31小時級別:98 | 在線時長:10166小時 | 升級還需:31小時級別:98 | 在線時長:10166小時 | 升級還需:31小時級別:98 | 在線時長:10166小時 | 升級還需:31小時級別:98 | 在線時長:10166小時 | 升級還需:31小時
註冊日期: 2002-12-07
文章: 13491
精華: 0
現金: 26854 金幣
資產: 3024784 金幣
預設

引用:
作者: 風流瀟灑 查看文章
我剛剛點了
7c920000 7c9b5000 ntdll ,出現以下的結果,但看不到您所謂的斷層(.exe)之類的,以下這一段如何分析呢?
0:032> lmvm ntdll
start end module name
7c920000 7c9b5000 ntdll T (no symbols)
Loaded symbol image file: ntdll.dll
Image path: C:\WINDOWS\system32\ntdll.dll
Image name: ntdll.dll
Timestamp: Wed Aug 04 15:47:32 2004 (41109494)
CheckSum: 00092448
ImageSize: 00095000
File version: 5.1.2600.2180
Product version: 5.1.2600.2180
File flags: 0 (Mask 3F)
File OS: 40004 NT Win32
File type: 2.0 Dll
File date: 00000000.00000000
Translations: 0000.04b0 0000.04e0 0409.04b0 0409.04e0
所謂的 執行的斷層 是指
機械碼指令暫存器 執行到這一行後
因為事故 就無法執行下一行指令了



引用:
作者: mini 查看文章
比如:
FAULTING_MODULE: 804d8000 nt
點一下 nt

會分析出
kd> lmvm nt
start end module name
804d8000 806ec480 nt T (no symbols)
Loaded symbol image file: ntoskrnl.exe
....

那不就更清楚表示出
執行時的斷層出現在 ntoskrnl.exe 裡嗎 ?
是指本來
FAULTING_MODULE: 804d8000 nt
只 指出 是 nt模組

但點下去後
就出現完整的
Loaded symbol image file: ntoskrnl.exe
原來 nt模組 是指 ntoskrnl.exe ...
mini 目前離線  
送花文章: 2054, 收花文章: 8069 篇, 收花: 26923 次
回覆時引用此帖
向 mini 送花的會員:
zasiza (2007-07-12)
感謝您發表一篇好文章
發文 回覆



發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 11:43 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2025, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1