Mavi ekran hatası

Tarihe göre sırala Puana göre sırala
Rich (BB code): 
KERNEL_SECURITY_CHECK_FAILURE (139)
A kernel component has corrupted a critical data structure. The corruption
could potentially allow a malicious user to gain control of this machine.
Arguments:
Arg1: 000000000000001d, An RTL_BALANCED_NODE RBTree entry has been corrupted.
Arg2: ffff9389a71f69c0, Address of the trap frame for the exception that caused the BugCheck
Arg3: ffff9389a71f6918, Address of the exception record for the exception that caused the BugCheck
Arg4: 0000000000000000, Reserved

RBTree, diğer kendi kendini dengeleyen ikili arama ağaçlarına benzer, çünkü herhangi bir düğümün çocuklarına uygulanan katı bir sıralama vardır; LC, parent'e göre daha küçük bir “değere” sahiptir ve RC parent'e göre daha büyük veya ona eşit bir değere sahiptir.

RBTree, bir başka kavram olan rengi ortaya koyar: bir düğüm ya kırmızı ya da siyahtır, genellikle siyah olarak kabul edilen kök düğüme ek olarak NULL düğümler de dolaylı olarak siyahtır. Kırmızı bir düğümün kırmızı bir C düğümü olamaz, bu nedenle kırmızı bir düğümün her zaman en fazla iki siyah C olacaktır. Bu renk kısıtlaması, ağacın yüksekliğine dayanan yeni bir dengeleme biçimi sunar: kökten en uzak alt birime (C sahibi olmayan düğüm) giden yol, kökten en yakın alt birime giden uzunluğun iki katından daha uzun olamaz.

Rich (BB code): 
EXCEPTION_RECORD: ffff9389a71f6918 -- (.exr 0xffff9389a71f6918)
ExceptionAddress: fffff8071f27ac5d (nt!RtlRbRemoveNode+0x00000000002346dd)
 ExceptionCode: c0000409 (Security check failure or stack buffer overrun)
 ExceptionFlags: 00000001
NumberParameters: 1
 Parameter[0]: 000000000000001d
Subcode: 0x1d FAST_FAIL_INVALID_BALANCED_TREE

İstisna kaydını incelersek RBTree, bir düğümünü kaldırmaya çalışırken fast fail istisnasının atıldığını görebiliriz. Bunun nedeni, segmentasyon yığınının hem düşük parçalanmalı yığın (LFH) hem de değişken boyutlu (VS) arka uç ayırıcılar için boş yığın bloklarını takip etmek amacıyla dahili olarak RBTree adlı birimi kullanmasıdır. Normalde bir zararlı dosyanın da belleğe keyfi olarak yazmasına olanak tanıyan bozuk düğüm yapılarıyla ilgili birçok güvenlik açığı vardır, bu nedenle bu doğrulama kontrolü eklenmiş zamanında.

Kod: 
TRAP_FRAME: ffff9389a71f69c0 -- (.trap 0xffff9389a71f69c0)
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=ffffb98f11343870 rbx=0000000000000000 rcx=000000000000001d
rdx=ffffb98f15746fa8 rsi=0000000000000000 rdi=0000000000000000
rip=fffff8071f27ac5d rsp=ffff9389a71f6b50 rbp=0000000000000000
 r8=ffffb98f18468fa8 r9=ffffb98f11343870 r10=ffffb98f050102d0
r11=ffffb98f11343878 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0 nv up ei ng nz na pe nc
nt!RtlRbRemoveNode+0x2346dd:
fffff807`1f27ac5d cd29 int 29h
Resetting default scope

Rich (BB code): 
2: kd> k
 # Child-SP RetAddr Call Site
00 ffff9389`a71f6698 fffff807`1f22de69 nt!KeBugCheckEx
01 ffff9389`a71f66a0 fffff807`1f22e432 nt!KiBugCheckDispatch+0x69
02 ffff9389`a71f67e0 fffff807`1f22c157 nt!KiFastFailDispatch+0xb2
03 ffff9389`a71f69c0 fffff807`1f27ac5d nt!KiRaiseSecurityCheckFailure+0x357
04 ffff9389`a71f6b50 fffff807`1f0460a2 nt!RtlRbRemoveNode+0x2346dd
05 ffff9389`a71f6b80 fffff807`1f12e8b5 nt!RtlpHpVsChunkCoalesce+0x272
06 ffff9389`a71f6be0 fffff807`1f8ac3a0 nt!RtlpHpFreeHeap+0x385
07 ffff9389`a71f6c80 fffff807`1f05efbb nt!ExFreePoolWithTag+0x1a0
08 ffff9389`a71f6d10 fffff807`1f0618d0 nt!SmFreeWrapper+0xb
09 ffff9389`a71f6d40 fffff807`21c3264a nt!ExFreeToLookasideListEx+0x30
\SystemRoot\System32\DriverStore\FileRepository\rt68cx21x64.inf_amd64_400a42c66fb0e159\rt68cx21x64.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for rt68cx21x64.sys

0a ffff9389`a71f6d70 fffff807`1f0618d0 NETIO!PplpGenericFreeFunction+0x1a
0b ffff9389`a71f6da0 fffff807`21c2f4a7 nt!ExFreeToLookasideListEx+0x30
11 ffff9389`a71f6fa0 fffff807`21d8c4a6 NETIO!NetioFreeNetBufferAndNetBufferList+0x10
(........)
12 ffff9389`a71f6fd0 fffff807`21c2267c tcpip!TcpSendDatagramsComplete+0xb6
13 ffff9389`a71f7040 fffff807`21d88cd7 NETIO!NetioDereferenceNetBufferListChain+0xfc
14 ffff9389`a71f70b0 fffff807`21a83ff1 tcpip!FlSendNetBufferListChainComplete+0x67
1f ffff9389`a71f7980 fffff807`32b17bf9 NetAdapterCx!EvtTxPollQueueStarted+0x9
(........)
21 ffff9389`a71f79b0 fffff807`32b18151 NetAdapterCx!ExecutionContext::Poll+0x19d
27 ffff9389`a71f7c40 00000000`00000000 nt!KiStartSystemThread+0x34

Yığınlara bakarsak NETIO, ndis gibi çağrıları görür ve atılan hataya bakarak bir internet problemi olduğunu söyleyebiliriz ki öyle de olabilir. Çünkü sürücün eski:

Kod: 
2: kd> lmvmrt68cx21x64
Browse full module list
start end module name
fffff807`32a40000 fffff807`32ad2000 rt68cx21x64 T (no symbols)
 Loaded symbol image file: rt68cx21x64.sys
 Image path: \SystemRoot\System32\DriverStore\FileRepository\rt68cx21x64.inf_amd64_400a42c66fb0e159\rt68cx21x64.sys
 Image name: rt68cx21x64.sys
 Browse all global symbols functions data
 Timestamp: Wed Dec 1 12:11:04 2021 (61A73C28)
 CheckSum: 0009412A
 ImageSize: 00092000
 Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4
 Information from resource tables:

Güncellemen gerekiyor.

Devam edip; RTree bağlamını incelersek çökme değerindeki az önce bahsettiğimiz RC'yi görebiliriz. Ve yine dediğimiz gibi RC PV ile aynı değere sahip olmalıdır. Ona bakalım:

Rich (BB code): 
win32k!_RTL_BALANCED_NODE
   +0x000 Children         : [2] (null)
   +0x000 Left             : (null)
   +0x008 Right            : 0xffffb98f`11343878 _RTL_BALANCED_NODE
   +0x010 Red              : 0y0
   +0x010 Balance          : 0y00
   +0x010 ParentValue      : 0xffffb98f`16940fa9

Rich (BB code): 
win32k!_RTL_BALANCED_NODE
   +0x000 Children         : [2] (null)
   +0x000 Left             : (null)
   +0x008 Right            : (null)
   +0x010 Red              : 0y0
   +0x010 Balance          : 0y00
   +0x010 ParentValue      : 0xffffb98f`11343870

1 bit farkı var. Bu da tipik olarak RAM bozulmasına işaret ediyor olabilir. RAM'leri de kontrol edebilirsin.


Rich (BB code): 
SYSTEM_SERVICE_EXCEPTION (3b)
An exception happened while executing a system service routine.
Arguments:
Arg1: 00000000c0000005, Exception code that caused the BugCheck
Arg2: fffff8061e391a66, Address of the instruction which caused the BugCheck
Arg3: ffffbd84c73f70a0, Address of the context record for the exception that caused the BugCheck
Arg4: 0000000000000000, zero.

*** WARNING: Unable to verify timestamp for nvlddmkm.sys

Rich (BB code): 
3: kd> lmvmnvlddmkm
Browse full module list
start end module name
fffff806`41c20000 fffff806`45676000 nvlddmkm T (no symbols)
 Loaded symbol image file: nvlddmkm.sys
 Image path: \SystemRoot\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_618b150331c5f4ad\nvlddmkm.sys
 Image name: nvlddmkm.sys
 Browse all global symbols functions data
 Timestamp: Fri Mar 1 20:55:35 2024 (65E21697)
 CheckSum: 0393217E
 ImageSize: 03A56000
 Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4
 Information from resource tables:

Ekran kartı sürücünü de güncelle.
 
Artı 0 Eksi

Benzer konular

7
  • Soru
Mavi ekran hatası
Mesaj
2
Görüntüleme
2.615
ShandyRoblox
ShandyRoblox
A
  • Soru
Mavi ekran hatası
Mesaj
6
Görüntüleme
2.470
haggarz
haggarz
eternity_day
  • Soru
Mavi ekran hatası
Mesaj
1
Görüntüleme
1.924
283156
2
X
  • Soru
Mavi ekran hatası
2
Mesaj
10
Görüntüleme
3.073
405668
405668
Ksiezyc
  • Soru
Mavi ekran hatası
Mesaj
0
Görüntüleme
384
Ksiezyc
Ksiezyc

Bu konuyu görüntüleyen kullanıcılar

Toplam: 2 (üye: 0, misafir: 2)

Technopat Haberler

Yeni konular

Yeni mesajlar

Geri
Yukarı