Probleme bei der Interpretation einer Memory.dmp

[Andre Gastreich 10]

Hallo miteinander,

 

ich habe an einem Server immer wieder einen Absturz. Da der Server entfernt steht, kann ich nicht genau sagen, was in dem Moment des Absturzes auf der Konsole zu sehen ist. Ich habe jedoch eine Memory.dmp gezogen und geöffnet, jedoch habe ich so ein paar Probleme bei der Interpretation. In dem dmp-File wird IRQL_NOT_LESS_OR_EQUAL angegeben und als 4. Argument ein Speicherbereich. So wie ich es verstanden habe, handelt es sich dabei um den Speicherbereich des Geräts, welche die Anforderung geschickt hat. Wie finde ich nun jedoch heraus, welches Gerät sich dahinter verbirgt bzw. welches Gerät diesen Speicherbereich benutzt. Die Angabe "80a5f4a9" sagt mir irgendwie nicht viel, wenn ich mir mittels der Systeminfos die verwendeten Speicherbereiche anschaue...

 

Zu eurer Info habe ich den Auszug aus der DMP mal mitgeschickt

 

* Bugcheck Analysis *

 

 

IRQL_NOT_LESS_OR_EQUAL (a)

An attempt was made to access a pageable (or completely invalid) address at an

interrupt request level (IRQL) that is too high. This is usually

caused by drivers using improper addresses.

If a kernel debugger is available get the stack backtrace.

Arguments:

Arg1: bad0b23c, memory referenced

Arg2: d0000002, IRQL

Arg3: 00000001, bitfield :

bit 0 : value 0 = read operation, 1 = write operation

bit 3 : value 0 = not an execute operation, 1 = execute operation (only on chips which support this level of status)

Arg4: 80a5f4a9, address which referenced memory

 

Debugging Details:

------------------

 

 

WRITE_ADDRESS: bad0b23c

 

CURRENT_IRQL: 2

 

FAULTING_IP:

hal!KeAcquireInStackQueuedSpinLockRaiseToSynch+19

80a5f4a9 8711 xchg edx,dword ptr [ecx]

 

DEFAULT_BUCKET_ID: DRIVER_FAULT

 

BUGCHECK_STR: 0xA

 

PROCESS_NAME: System

 

TRAP_FRAME: f78dac28 -- (.trap 0xfffffffff78dac28)

ErrCode = 00000002

eax=f78dacac ebx=8a059b88 ecx=bad0b23c edx=f78dacac esi=bad0b208 edi=8a41edb0

eip=80a5f4a9 esp=f78dac9c ebp=f78dacb8 iopl=0 nv up ei pl zr na pe nc

cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010246

hal!KeAcquireInStackQueuedSpinLockRaiseToSynch+0x19:

80a5f4a9 8711 xchg edx,dword ptr [ecx] ds:0023:bad0b23c=????????

Resetting default scope

 

LAST_CONTROL_TRANSFER: from 80a5f4a9 to 8088c9cb

 

STACK_TEXT:

f78dac28 80a5f4a9 badb0d00 f78dacac 00ffffff nt!KiTrap0E+0x2a7

f78dac98 8087cdcf 8a059b70 000000a8 8a059b88 hal!KeAcquireInStackQueuedSpinLockRaiseToSynch+0x19

f78dacb8 809346a5 bad0b208 00000001 8a059b88 nt!ExAcquireResourceExclusiveLite+0x21

f78dacd4 8081e39b 8a059b88 8a059c40 f78dad08 nt!ObMakeTemporaryObject+0x35

f78dace4 f775b0e2 8a059b88 8a059b88 8a150030 nt!IoDeleteDevice+0x47

f78dacf4 8081df85 8a059b88 8962ae48 808a5290 Fs_Rec!FsRecShutdown+0x24

f78dad08 8081e5a7 00000001 808ae5c0 00000000 nt!IofCallDriver+0x45

f78dad34 809a51ab 8a059b88 00000001 808ae5c0 nt!IopShutdownBaseFileSystems+0x8d

f78dad64 809adcbe 00000001 8a41edb0 808ae5c0 nt!IoShutdownSystem+0xdd

f78dad80 80880475 00000000 00000000 8a41edb0 nt!PopGracefulShutdown+0x158

f78dadac 80949b80 00000000 00000000 00000000 nt!ExpWorkerThread+0xeb

f78daddc 8088e0c2 8088038a 00000000 00000000 nt!PspSystemThreadStartup+0x2e

00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x16

 

 

STACK_COMMAND: kb

 

FOLLOWUP_IP:

Fs_Rec!FsRecShutdown+24

f775b0e2 8b4c2410 mov ecx,dword ptr [esp+10h]

 

SYMBOL_STACK_INDEX: 5

 

SYMBOL_NAME: Fs_Rec!FsRecShutdown+24

 

FOLLOWUP_NAME: MachineOwner

 

MODULE_NAME: Fs_Rec

 

IMAGE_NAME: Fs_Rec.SYS

 

DEBUG_FLR_IMAGE_TIMESTAMP: 3e800074

 

FAILURE_BUCKET_ID: 0xA_BADMEMREF_Fs_Rec!FsRecShutdown+24

 

BUCKET_ID: 0xA_BADMEMREF_Fs_Rec!FsRecShutdown+24

 

Followup: MachineOwner

---------

 

 

 

Danke

Andre

[NilsK 2.791]

Moin,

 

faq-o-matic.net Windows-Crashdumps auswerten

faq-o-matic.net Wo erhalte ich Informationen zu einem Stop-Fehler (Bluescreen)?

 

Dem Dump nach wäre Fs_rec.sys ein Kandidat, was der CD-Treiber sein könnte. Ad hoc habe ich einiges bei Google dazu gefunden.

 

Gruß, Nils