驱动蓝屏后简单的分析dump文件

1: kd> !analyze–v

Debugging Details:

------------------

 

*** ERROR: Moduleload completed but symbols could not be loaded for ntnfapi.sys

 

EXCEPTION_CODE:(NTSTATUS) 0xc0000005 - 0x%08lx

 

FAULTING_IP: (FAULTING_IP表示引起这个错误的指令的指针。)

ntnfapi+1f0e

a4546f0e 8b7014          mov     esi,dword ptr [eax+14h]

 

TRAP_FRAME:  a2a72aa0-- (.trap 0xffffffffa2a72aa0)

ErrCode = 00000000

eax=00000000ebx=886048e0 ecx=a2a72b3c edx=87f1f790esi=88604828 edi=00000006

eip=a4546f0e esp=a2a72b14 ebp=a2a72b18iopl=0         nv up ei ng nz na po nc

cs=0008  ss=0010 ds=0023  es=0023  fs=0030 gs=0000             efl=00010282

ntnfapi+0x1f0e:

a4546f0e 8b7014          mov     esi,dword ptr [eax+14h]ds:0023:00000014=????????

Resetting defaultscope

 

DEFAULT_BUCKET_ID:  DRIVER_FAULT(DEFAULT_BUCKET_ID字段显示这个错误属于哪一类。)

 

BUGCHECK_STR:  0x8E

 

PROCESS_NAME:  LMS.exe(PROCESS_NAME字段显示的是产生这个异常的进程名字。)

 

ANALYSIS_VERSION:6.3.9600.16384 (debuggers(dbg).130821-1623) x86fre

 

LAST_CONTROL_TRANSFER:  from 804ff817 to 804faf33

 

STACK_TEXT:  (STACK_TEXT显示的是错误模块的栈的回溯（stack trace）)

a2a72668 804ff817 0000008e c0000005 a4546f0e nt!KeBugCheckEx+0x1b

a2a72a3080543085 a2a72a4c 00000000 a2a72aa0nt!KiDispatchException+0x3b1

a2a72a9880543036 a2a72b18 a4546f0e badb0d00nt!CommonDispatchException+0x4d

a2a72ab0 a45458c500000007 87e41008 87e410e4 nt!Kei386EoiHelper+0x18a

WARNING: Stackunwind information not available. Following frames may be wrong.

a2a72b18 a4545cf488468d48 88604828 886048e0 ntnfapi+0x8c5

a2a72b4c804f018f 87f1f790 88468d48 00000002 ntnfapi+0xcf4

a2a72c5080580982 87e420e4 87b6c78887e42008 nt!IopfCallDriver+0x31

a2a72c64805817f7 8857c220 87e42008 87b6c788 nt!IopSynchronousServiceTail+0x70

a2a72d00 8057a274 00000228 0000025c00000000 nt!IopXxxControlFile+0x5c5

a2a72d34 8054261c 00000228 0000025c 00000000 nt!NtDeviceIoControlFile+0x2a

a2a72d34 7c92e4f400000228 0000025c 00000000nt!KiFastCallEntry+0xfc

007ff6ac 00000000 00000000 00000000 000000000x7c92e4f4

 

 

STACK_COMMAND:  kb(STACK_COMMAND字段的意思是上面的这两个命令(.excr,kb)可以获取STACK_TEXT,你可以使用这两个命令再次的显示栈或相关的栈信息.)

 

FOLLOWUP_IP:

ntnfapi+1f0e

a4546f0e 8b7014          mov     esi,dword ptr [eax+14h]

 

SYMBOL_STACK_INDEX:  0

 

SYMBOL_NAME:  ntnfapi+1f0e

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME:ntnfapi

IMAGE_NAME:  ntnfapi.sys

DEBUG_FLR_IMAGE_TIMESTAMP:  51830c23

(当!analyze判断出引起错误的指令，它会显示在FOLLOWUP_IP字段。

SYMBOL_NAME,MODULE_NAME,IMAGE_NAME和DBG_FLR_IMAGE_TIMESTAMP显示的是这个指令对应的

符号, 模块, 映像名和 映像时间戳.)

FAILURE_BUCKET_ID:  0x8E_ntnfapi+1f0e

 

BUCKET_ID:  0x8E_ntnfapi+1f0e

(BUCKET_ID字段显示的是错误的具体分类,这个分类会帮助调试器判断该显示的其他分析信息)

ANALYSIS_SOURCE:  KM

 

FAILURE_ID_HASH_STRING:  km:0x8e_ntnfapi+1f0e

 

FAILURE_ID_HASH:  {2495e343-dd52-ba6c-8106-c4e681c2422b}

 

Followup:MachineOwner

---------

原因：
1.使用Inter主板的PC，安装了软件及驱动。
  Intel(R) Management Engine Components，简称 InterAMT
  InterAMT中的服务程序，LMS.exe和UNS.exe每隔10秒，通过网卡发送“非操作系统标准”的指令和数据包。
  导致LPS的网络行为监控组件错误。
 
2.我们自己写的网络行为驱动，未对非标准的指令进行保护性处理。
 
解决方案：
方案一：（临时方案）
1.禁止系统服务
  “Intel(R) Management and Security Application Local Management Service”
   简称：LMS
 
  或者，将exe改名，不允许系统启动exe：
  C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
  C:\Program Files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
 
  备注：InterAMT是Inter公司，基于主板硬件，让管理员远程管理客户端的系统组件，现在很少有人使用

方案二：
1.修改我们自己的网络行为驱动，增加容错保护措施。