Discussion :

[sloshy]

Bonjour,
Je dispose de plusieurs PC de modèle identique sur lesquels est installé une image de windows XP SP2 (avec quelques programme perso, driver du laptop ect).
Néanmoins la majorité de ses PC provoque des BSoDs.
Voulant identifier le problème, je me suis mis a analyser un des fichiers créer par avec Windbg.

Voici le résultat obtenu:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
Microsoft (R) Windows Debugger Version 6.10.0003.233 X86
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\Documents and Settings\EPITECH\Bureau\Minidump\Mini121308-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: C:\WINDOWS\Symbols
Executable search path is: 
Unable to load image ntoskrnl.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.exe
Windows XP Kernel Version 2600 (Service Pack 2) MP (2 procs) Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS
Machine Name:
Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055c700
Debug session time: Sat Dec 13 12:54:36.578 2008 (GMT+1)
System Uptime: 0 days 2:34:49.289
Unable to load image ntoskrnl.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.exe
Loading Kernel Symbols
...............................................................
................................................................
................................
Loading User Symbols
Loading unloaded module list
......................
*** WARNING: Unable to verify timestamp for hal.dll
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 1000000A, {f000af9b, 2, 1, 806e4a2a}

Unable to load image win32k.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for win32k.sys
Probably caused by : win32k.sys ( win32k!HmgDecProcessHandleCount+6a )

Followup: MachineOwner
---------

0: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

IRQL_NOT_LESS_OR_EQUAL (a)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high.  This is usually
caused by drivers using improper addresses.
If a kernel debugger is available get the stack backtrace.
Arguments:
Arg1: f000af9b, memory referenced
Arg2: 00000002, IRQL
Arg3: 00000001, bitfield :
    bit 0 : value 0 = read operation, 1 = write operation
    bit 3 : value 0 = not an execute operation, 1 = execute operation (only on chips which support this level of status)
Arg4: 806e4a2a, address which referenced memory

Debugging Details:
------------------


WRITE_ADDRESS:  f000af9b 

CURRENT_IRQL:  2

FAULTING_IP: 
hal!HaliFindBusAddressTranslation+a4
806e4a2a 8902            mov     dword ptr [edx],eax

CUSTOMER_CRASH_COUNT:  1

DEFAULT_BUCKET_ID:  DRIVER_FAULT

BUGCHECK_STR:  0xA

PROCESS_NAME:  csrss.exe

LAST_CONTROL_TRANSFER:  from 805b9da1 to 806e4a2a

STACK_TEXT:  
f7676c4c 805b9da1 00000050 00000001 00000000 hal!HaliFindBusAddressTranslation+0xa4
f7676c6c 805257b8 e13c86b8 00000000 00000000 nt!ExAllocatePoolWithTag+0x1441
f7676c90 bf8028ff e217eeb0 f7676cf8 bf87f33c nt!MmUnlockPages+0x8a4
f7676c9c bf87f33c f7676cb4 bbe83eb8 e21f84c8 win32k!HmgDecProcessHandleCount+0x6a
f7676cf8 bf87f903 bbe83eb8 e21f84c8 0004011a win32k!NtGdiGetServerMetaFileBits+0x44
f7676d28 bf87a65d bbe83eb8 00000001 f7676d54 win32k!PDEVOBJ::bEnableHalftone+0x9c
f7676d38 bf831a4d bbe83eb8 00dbfce4 00000000 win32k!xxxSendMessageBSM+0x1ea
f7676d54 8054060c 0004011a 0000005b 00dbfce4 win32k!scl_CalcLSBsAndAdvanceWidths+0x6d
f7676d64 7c91eb94 badb0d00 00dbfcdc ae39fd98 nt!MmAllowWorkingSetExpansion+0x2ee
WARNING: Frame IP not in any known module. Following frames may be wrong.
f7676d68 badb0d00 00dbfcdc ae39fd98 ae39fdcc 0x7c91eb94
f7676d6c 00dbfcdc ae39fd98 ae39fdcc 00000000 0xbadb0d00
f7676d70 ae39fd98 ae39fdcc 00000000 00000000 0xdbfcdc
f7676d74 ae39fdcc 00000000 00000000 00000000 0xae39fd98
f7676d78 00000000 00000000 00000000 00000000 0xae39fdcc


STACK_COMMAND:  kb

FOLLOWUP_IP: 
win32k!HmgDecProcessHandleCount+6a
bf8028ff ??              ???

SYMBOL_STACK_INDEX:  3

SYMBOL_NAME:  win32k!HmgDecProcessHandleCount+6a

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: win32k

IMAGE_NAME:  win32k.sys

DEBUG_FLR_IMAGE_TIMESTAMP:  41107f7a

FAILURE_BUCKET_ID:  0xA_win32k!HmgDecProcessHandleCount+6a

BUCKET_ID:  0xA_win32k!HmgDecProcessHandleCount+6a

Followup: MachineOwner
---------

De ce que je peux lire, c'est win32k.sys qui est en faute, mais est-il possible d'avoir plus d'information?

[shawn12]

Tu peux vérifier l'intégrité des fichiers systèmes avec la commande :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

sfc /scannow

[sloshy]

Les fichiers systèmes sont bon.

[Senji]

salut,

ton analyse est incomplète :

Symbol search path is: C:\WINDOWS\Symbols

mets ce path dans ton outil windbg

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SRV*c:\symbols*http://msdl.microsoft.com/download/symbols

après tu lanceras ton analyse avec

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

!analyze -v

et tu repostes le résultat.

bye

[sloshy]

Bonjour,
Désoler de la réponse rapide tout a l'heure, j'etais en cours et j'allais quitter.

Je peux savoir pourquoi je dois recharger les symboles depuis le net alors que je les ai télécharger ce matin et que ce fut assez long (je comprend pas de trop, mon analyse -v est present dans mon rapport en fait)

[Senji]

parce que les symboles bien chargé t'indique ce path:

Symbol search path is: SRV*c:\windows\symbols*http://msdl.microsoft.com/download/symbols

bye