Простой случай DRIVER_IRQL_NOT_LESS_OR_EQUAL со старым драйвером kl1.sys

Автор: | 26.08.2015

Всем привет. Сегодня мы разберем простой случай краха DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1), который вылетает из-за старого драйвера антивируса Касперского.

Есть товарищ, у которого 4-е дампа

image

Сами файлы дампов можно взять здесь — http://www.cyberforum.ru/bsod/thread1519949.html

По каждому из дампов:

Use !analyze -v to get detailed debugging information.

BugCheck D1, {0, 2, 8, 0}

Unable to load image SystemRootsystem32DRIVERSkl1.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for kl1.sys
*** ERROR: Module load completed but symbols could not be loaded for kl1.sys
Probably caused by : kl1.sys ( kl1+59fb1 )

Followup: MachineOwner
---------

0: kd> Locale: Russian_Russia.1251
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high.  This is usually
caused by drivers using improper addresses.
If kernel debugger is available get stack backtrace.
Arguments:
Arg1: 00000000, memory referenced
Arg2: 00000002, IRQL
Arg3: 00000008, value 0 = read operation, 1 = write operation
Arg4: 00000000, address which referenced memory

Debugging Details:
------------------


READ_ADDRESS: GetPointerFromAddress: unable to read from 83570718
Unable to read MiSystemVaType memory at 835501a0
00000000

CURRENT_IRQL:  2

FAULTING_IP:
+2ee4e30000
00000000 ??              ???

PROCESS_NAME:  System

CUSTOMER_CRASH_COUNT:  1

DEFAULT_BUCKET_ID:  WIN7_DRIVER_FAULT

BUGCHECK_STR:  0xD1

ANALYSIS_VERSION: 6.3.9600.17298 (debuggers(dbg).141024-1500) amd64fre

TRAP_FRAME:  9b5d3770 -- (.trap 0xffffffff9b5d3770)
ErrCode = 00000010
eax=00000000 ebx=8adec8b8 ecx=8b381458 edx=870779d0 esi=8b381458 edi=86c8c170
eip=00000000 esp=9b5d37e4 ebp=8b38146c iopl=0         nv up ei pl zr na po cy
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010243
00000000 ??              ???
Resetting default scope

LAST_CONTROL_TRANSFER:  from 00000000 to 834475cb

FAILED_INSTRUCTION_ADDRESS:
+2ee4e30000
00000000 ??              ???

STACK_TEXT:
9b5d3770 00000000 badb0d00 870779d0 00000800 nt!KiTrap0E+0x2cf
WARNING: Frame IP not in any known module. Following frames may be wrong.
9b5d37e0 92e8ffb1 00000000 9b5d3898 00000b90 0x0
9b5d37e4 00000000 9b5d3898 00000b90 8ade7a0c kl1+0x59fb1


STACK_COMMAND:  kb

FOLLOWUP_IP:
kl1+59fb1
92e8ffb1 ??              ???

SYMBOL_STACK_INDEX:  2

SYMBOL_NAME:  kl1+59fb1

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: kl1

IMAGE_NAME:  kl1.sys

DEBUG_FLR_IMAGE_TIMESTAMP:  4afc204f

FAILURE_BUCKET_ID:  0xD1_CODE_AV_NULL_IP_kl1+59fb1

BUCKET_ID:  0xD1_CODE_AV_NULL_IP_kl1+59fb1

ANALYSIS_SOURCE:  KM

FAILURE_ID_HASH_STRING:  km:0xd1_code_av_null_ip_kl1+59fb1

FAILURE_ID_HASH:  {b9d0167a-421c-91a1-7bc1-2f5a8a90dc7f}

Followup: MachineOwner

Это классический пример “бажного драйвера”. Потому-что:

1. Четыре одинаковых дампов с одним и тем же крахом, который вызывает код из kl1 по одному и тому же смещению 59fb1

2. Дата сборки драйвера kl1 — Thu Nov 12 16:48:47 2009 (4AFC204F), что не очень свежо на 08.2015

3. Сам стоп код часто связан с неправильно написанным кодом.

Рекомендация здесь только одна – обновлять антивирус до актуальной версии.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *