Всем привет. Сегодня мы разберем простой случай краха DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1), который вылетает из-за старого драйвера антивируса Касперского.
Есть товарищ, у которого 4-е дампа
Сами файлы дампов можно взять здесь — https://www.cyberforum.ru/bsod/thread1519949.html
По каждому из дампов:
Use !analyze -v to get detailed debugging information. BugCheck D1, {0, 2, 8, 0} Unable to load image SystemRootsystem32DRIVERSkl1.sys, Win32 error 0n2 *** WARNING: Unable to verify timestamp for kl1.sys *** ERROR: Module load completed but symbols could not be loaded for kl1.sys Probably caused by : kl1.sys ( kl1+59fb1 ) Followup: MachineOwner --------- 0: kd> Locale: Russian_Russia.1251 ******************************************************************************* * * * Bugcheck Analysis * * * ******************************************************************************* DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1) An attempt was made to access a pageable (or completely invalid) address at an interrupt request level (IRQL) that is too high. This is usually caused by drivers using improper addresses. If kernel debugger is available get stack backtrace. Arguments: Arg1: 00000000, memory referenced Arg2: 00000002, IRQL Arg3: 00000008, value 0 = read operation, 1 = write operation Arg4: 00000000, address which referenced memory Debugging Details: ------------------ READ_ADDRESS: GetPointerFromAddress: unable to read from 83570718 Unable to read MiSystemVaType memory at 835501a0 00000000 CURRENT_IRQL: 2 FAULTING_IP: +2ee4e30000 00000000 ?? ??? PROCESS_NAME: System CUSTOMER_CRASH_COUNT: 1 DEFAULT_BUCKET_ID: WIN7_DRIVER_FAULT BUGCHECK_STR: 0xD1 ANALYSIS_VERSION: 6.3.9600.17298 (debuggers(dbg).141024-1500) amd64fre TRAP_FRAME: 9b5d3770 -- (.trap 0xffffffff9b5d3770) ErrCode = 00000010 eax=00000000 ebx=8adec8b8 ecx=8b381458 edx=870779d0 esi=8b381458 edi=86c8c170 eip=00000000 esp=9b5d37e4 ebp=8b38146c iopl=0 nv up ei pl zr na po cy cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010243 00000000 ?? ??? Resetting default scope LAST_CONTROL_TRANSFER: from 00000000 to 834475cb FAILED_INSTRUCTION_ADDRESS: +2ee4e30000 00000000 ?? ??? STACK_TEXT: 9b5d3770 00000000 badb0d00 870779d0 00000800 nt!KiTrap0E+0x2cf WARNING: Frame IP not in any known module. Following frames may be wrong. 9b5d37e0 92e8ffb1 00000000 9b5d3898 00000b90 0x0 9b5d37e4 00000000 9b5d3898 00000b90 8ade7a0c kl1+0x59fb1 STACK_COMMAND: kb FOLLOWUP_IP: kl1+59fb1 92e8ffb1 ?? ??? SYMBOL_STACK_INDEX: 2 SYMBOL_NAME: kl1+59fb1 FOLLOWUP_NAME: MachineOwner MODULE_NAME: kl1 IMAGE_NAME: kl1.sys DEBUG_FLR_IMAGE_TIMESTAMP: 4afc204f FAILURE_BUCKET_ID: 0xD1_CODE_AV_NULL_IP_kl1+59fb1 BUCKET_ID: 0xD1_CODE_AV_NULL_IP_kl1+59fb1 ANALYSIS_SOURCE: KM FAILURE_ID_HASH_STRING: km:0xd1_code_av_null_ip_kl1+59fb1 FAILURE_ID_HASH: {b9d0167a-421c-91a1-7bc1-2f5a8a90dc7f} Followup: MachineOwner
Это классический пример “бажного драйвера”. Потому-что:
1. Четыре одинаковых дампов с одним и тем же крахом, который вызывает код из kl1 по одному и тому же смещению 59fb1
2. Дата сборки драйвера kl1 — Thu Nov 12 16:48:47 2009 (4AFC204F), что не очень свежо на 08.2015
3. Сам стоп код часто связан с неправильно написанным кодом.
Рекомендация здесь только одна – обновлять антивирус до актуальной версии.