Простой случай DRIVER_IRQL_NOT_LESS_OR_EQUAL со старым драйвером kl1.sys

Всем привет. Сегодня мы разберем простой случай краха DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1), который вылетает из-за старого драйвера антивируса Касперского.

Есть товарищ, у которого 4-е дампа

Сами файлы дампов можно взять здесь — https://www.cyberforum.ru/bsod/thread1519949.html

По каждому из дампов:

Use !analyze -v to get detailed debugging information. BugCheck D1, {0, 2, 8, 0} Unable to load image SystemRootsystem32DRIVERSkl1.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for kl1.sys
*** ERROR: Module load completed but symbols could not be loaded for kl1.sys
Probably caused by : kl1.sys ( kl1+59fb1 ) Followup: MachineOwner
--------- 0: kd> Locale: Russian_Russia.1251
*******************************************************************************
* *
* Bugcheck Analysis *
* *
******************************************************************************* DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.
If kernel debugger is available get stack backtrace.
Arguments:
Arg1: 00000000, memory referenced
Arg2: 00000002, IRQL
Arg3: 00000008, value 0 = read operation, 1 = write operation
Arg4: 00000000, address which referenced memory Debugging Details:
------------------ READ_ADDRESS: GetPointerFromAddress: unable to read from 83570718
Unable to read MiSystemVaType memory at 835501a0
00000000 CURRENT_IRQL: 2 FAULTING_IP:
+2ee4e30000
00000000 ?? ??? PROCESS_NAME: System CUSTOMER_CRASH_COUNT: 1 DEFAULT_BUCKET_ID: WIN7_DRIVER_FAULT BUGCHECK_STR: 0xD1 ANALYSIS_VERSION: 6.3.9600.17298 (debuggers(dbg).141024-1500) amd64fre TRAP_FRAME: 9b5d3770 -- (.trap 0xffffffff9b5d3770)
ErrCode = 00000010
eax=00000000 ebx=8adec8b8 ecx=8b381458 edx=870779d0 esi=8b381458 edi=86c8c170
eip=00000000 esp=9b5d37e4 ebp=8b38146c iopl=0 nv up ei pl zr na po cy
cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010243
00000000 ?? ???
Resetting default scope LAST_CONTROL_TRANSFER: from 00000000 to 834475cb FAILED_INSTRUCTION_ADDRESS:
+2ee4e30000
00000000 ?? ??? STACK_TEXT:
9b5d3770 00000000 badb0d00 870779d0 00000800 nt!KiTrap0E+0x2cf
WARNING: Frame IP not in any known module. Following frames may be wrong.
9b5d37e0 92e8ffb1 00000000 9b5d3898 00000b90 0x0
9b5d37e4 00000000 9b5d3898 00000b90 8ade7a0c kl1+0x59fb1


STACK_COMMAND:  kb

FOLLOWUP_IP:
kl1+59fb1
92e8ffb1 ??              ???

SYMBOL_STACK_INDEX:  2

SYMBOL_NAME:  kl1+59fb1

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: kl1

IMAGE_NAME:  kl1.sys

DEBUG_FLR_IMAGE_TIMESTAMP:  4afc204f

FAILURE_BUCKET_ID:  0xD1_CODE_AV_NULL_IP_kl1+59fb1

BUCKET_ID:  0xD1_CODE_AV_NULL_IP_kl1+59fb1

ANALYSIS_SOURCE:  KM

FAILURE_ID_HASH_STRING:  km:0xd1_code_av_null_ip_kl1+59fb1

FAILURE_ID_HASH:  {b9d0167a-421c-91a1-7bc1-2f5a8a90dc7f}

Followup: MachineOwner

Это классический пример “бажного драйвера”. Потому-что:

1. Четыре одинаковых дампов с одним и тем же крахом, который вызывает код из kl1 по одному и тому же смещению 59fb1

2. Дата сборки драйвера kl1 — Thu Nov 12 16:48:47 2009 (4AFC204F), что не очень свежо на 08.2015

3. Сам стоп код часто связан с неправильно написанным кодом.

Рекомендация здесь только одна – обновлять антивирус до актуальной версии.