Ari45
gehört zum Inventar
Hallo herrmueller!
Bei allen 4 Dumpfiles war PDR.Exe der aktive Prozess und der Besitzer des letzten Thread.
PROCESS_NAME: PDR.exe
Hier der letzte Thread aus Dumpfile 091320-9687-01.dmp
Auf dem Stack des letzten Thread ist zu erkennen, das der Grafiktreiber nvlddmkm.sys von PDR.exe einen Auftrag erhält, was erst zum Freigeben des HeapPool führte und in der Folge zum Heap-Fehler (nt!RtlpHeapHandleError).
Da in allen 4 Dumpfiles, und auch in den vorher analysierten Files, der Stoppfehler eintrat, nachdem nvlddmkm.sys von PDR.Exe den Auftrag erhielt, ist anzunehmen, dass der Fehler durch PowerDirektor ausgelöst wurde.
Währe die wirkliche Ursache der Grafiktreiber, wie es der Debugger mit IMAGE_NAME: nvlddmkm.sys suggeriert, würde der Fehler auch bei anderen Prozessen eintreten und nicht nur bei PDR.Exe. Das wurde bereits auch schon in #6 und #7 herausgestellt.
Nachtrag:
Das hatte ich noch vergessen: der Parameter 1 (Arg1) des Stoppcodes ist 0x11
Dieser Fehler besagt
0x11 : The heap detected invalid internal state during the current operation. This is usually the result of a buffer overflow.
Also es wurde invalider Heap festgestellt. Dies ist normalerweise das Ergebnis eines Pufferüberlaufs.
Bei allen 4 Dumpfiles war PDR.Exe der aktive Prozess und der Besitzer des letzten Thread.
PROCESS_NAME: PDR.exe
Hier der letzte Thread aus Dumpfile 091320-9687-01.dmp
KERNEL_MODE_HEAP_CORRUPTION (13a)
The kernel mode heap manager has detected corruption in a heap.
Arguments:
Arg1: 0000000000000011, Type of corruption detected
Arg2: ffffbc8488010100, Address of the heap that reported the corruption
Arg3: ffffbc8495a70b30, Address at which the corruption was detected
Arg4: 0000000000000000
...
MODULE_NAME: nvlddmkm
IMAGE_NAME: nvlddmkm.sys
....
!thread
THREAD ffffbc8496d88080 Cid 14e8.27fc Teb: 000000000037b000 Win32Thread: ffffbc84962c65d0 RUNNING on processor a
Not impersonating
GetUlongFromAddress: unable to read from fffff8024b01146c
Owning Process ffffbc8495886080 Image: PDR.exe
Attached Process N/A Image: N/A
fffff78000000000: Unable to get shared data
Wait Start TickCount 157044
Context Switch Count 132 IdealProcessor: 11
ReadMemory error: Cannot get nt!KeMaximumIncrement value.
UserTime 00:00:00.000
KernelTime 00:00:00.000
Win32 Start Address 0x00007ffcf040d730
Stack Init ffff87053b27dc90 Current ffff87053b27d2b0
Base ffff87053b27e000 Limit ffff87053b278000 Call 0000000000000000
Priority 11 BasePriority 8 PriorityDecrement 0 IoPriority 2 PagePriority 5
....
# Child-SP RetAddr Call Site
00 ffff8705`3b27cd18 fffff802`4a98d938 nt!KeBugCheckEx
01 ffff8705`3b27cd20 fffff802`4a98d998 nt!RtlpHeapHandleError+0x40
02 ffff8705`3b27cd60 fffff802`4a98d5c5 nt!RtlpHpHeapHandleError+0x58
03 ffff8705`3b27cd90 fffff802`4a8220d6 nt!RtlpLogHeapFailure+0x45
04 ffff8705`3b27cdc0 fffff802`4a6cbad2 nt!RtlpHpLfhSubsegmentFreeBlock+0x1fe3b6
05 ffff8705`3b27ce70 fffff802`4adb2019 nt!ExFreeHeapPool+0x362
06 ffff8705`3b27cf50 fffff802`5b4067d7 nt!ExFreePool+0x9
07 ffff8705`3b27cf80 ffffbc84`95a70b40 nvlddmkm+0x7e67d7
08 ffff8705`3b27cf88 ffff8705`3b27d101 0xffffbc84`95a70b40
09 ffff8705`3b27cf90 ffffbc84`8e095560 0xffff8705`3b27d101
0a ffff8705`3b27cf98 00000000`00050287 0xffffbc84`8e095560
0b ffff8705`3b27cfa0 00000000`00000000 0x50287
The kernel mode heap manager has detected corruption in a heap.
Arguments:
Arg1: 0000000000000011, Type of corruption detected
Arg2: ffffbc8488010100, Address of the heap that reported the corruption
Arg3: ffffbc8495a70b30, Address at which the corruption was detected
Arg4: 0000000000000000
...
MODULE_NAME: nvlddmkm
IMAGE_NAME: nvlddmkm.sys
....
!thread
THREAD ffffbc8496d88080 Cid 14e8.27fc Teb: 000000000037b000 Win32Thread: ffffbc84962c65d0 RUNNING on processor a
Not impersonating
GetUlongFromAddress: unable to read from fffff8024b01146c
Owning Process ffffbc8495886080 Image: PDR.exe
Attached Process N/A Image: N/A
fffff78000000000: Unable to get shared data
Wait Start TickCount 157044
Context Switch Count 132 IdealProcessor: 11
ReadMemory error: Cannot get nt!KeMaximumIncrement value.
UserTime 00:00:00.000
KernelTime 00:00:00.000
Win32 Start Address 0x00007ffcf040d730
Stack Init ffff87053b27dc90 Current ffff87053b27d2b0
Base ffff87053b27e000 Limit ffff87053b278000 Call 0000000000000000
Priority 11 BasePriority 8 PriorityDecrement 0 IoPriority 2 PagePriority 5
....
# Child-SP RetAddr Call Site
00 ffff8705`3b27cd18 fffff802`4a98d938 nt!KeBugCheckEx
01 ffff8705`3b27cd20 fffff802`4a98d998 nt!RtlpHeapHandleError+0x40
02 ffff8705`3b27cd60 fffff802`4a98d5c5 nt!RtlpHpHeapHandleError+0x58
03 ffff8705`3b27cd90 fffff802`4a8220d6 nt!RtlpLogHeapFailure+0x45
04 ffff8705`3b27cdc0 fffff802`4a6cbad2 nt!RtlpHpLfhSubsegmentFreeBlock+0x1fe3b6
05 ffff8705`3b27ce70 fffff802`4adb2019 nt!ExFreeHeapPool+0x362
06 ffff8705`3b27cf50 fffff802`5b4067d7 nt!ExFreePool+0x9
07 ffff8705`3b27cf80 ffffbc84`95a70b40 nvlddmkm+0x7e67d7
08 ffff8705`3b27cf88 ffff8705`3b27d101 0xffffbc84`95a70b40
09 ffff8705`3b27cf90 ffffbc84`8e095560 0xffff8705`3b27d101
0a ffff8705`3b27cf98 00000000`00050287 0xffffbc84`8e095560
0b ffff8705`3b27cfa0 00000000`00000000 0x50287
Da in allen 4 Dumpfiles, und auch in den vorher analysierten Files, der Stoppfehler eintrat, nachdem nvlddmkm.sys von PDR.Exe den Auftrag erhielt, ist anzunehmen, dass der Fehler durch PowerDirektor ausgelöst wurde.
Währe die wirkliche Ursache der Grafiktreiber, wie es der Debugger mit IMAGE_NAME: nvlddmkm.sys suggeriert, würde der Fehler auch bei anderen Prozessen eintreten und nicht nur bei PDR.Exe. Das wurde bereits auch schon in #6 und #7 herausgestellt.
Nachtrag:
Das hatte ich noch vergessen: der Parameter 1 (Arg1) des Stoppcodes ist 0x11
Dieser Fehler besagt
0x11 : The heap detected invalid internal state during the current operation. This is usually the result of a buffer overflow.
Also es wurde invalider Heap festgestellt. Dies ist normalerweise das Ergebnis eines Pufferüberlaufs.
Zuletzt bearbeitet: