C:\>Windows Internals - L'équipe Française de Support Windows_ : NT Debugging

Analyse d’un stop 7F

Mouniar — Wed, 31 Dec 2008 16:25:00 GMT

Nous allons analyser ensemble un dump relatif à des problème de crash réguliers sur un serveur de fichiers.

D’abord, regardons sur quel type de serveur le crash s’est produit :

0: kd> vertarget

Windows Server 2003 Kernel Version 3790 (Service Pack 1) MP (4 procs) Free x86 compatible

Product: Server, suite: TerminalServer SingleUserTS

Built by: 3790.srv03_sp1_rtm.050324-1447

Kernel base = 0x80800000 PsLoadedModuleList = 0x808af988

Debug session time: Tue Oct 21 02:22:03.749 2008 (GMT+2)

System Uptime: 6 days 7:23:43.156

Il s’agit donc d’un serveur 2003 en SP1, un premier plan d’action serait de le mettre à jour en SP2 :-)

D’autre part, le serveur semble avoir tourné pendant 6 jours avant la génération du dump.

Aussi, chaque crash ou stop est associé un code qui définie le type de problème rencontré, examinons le stop en question :

0: kd> .bugcheck

Bugcheck code 0000007F

Arguments 00000008 80042000 00000000 00000000

C’est un stop 7F avec le paramètre 00000008 ….intéressant !!

Les documents techniques qui détaillent ce type de stop, font référence à un problème de stack overflow :

“Bug Check 0x7F: UNEXPECTED_KERNEL_MODE_TRAP

The UNEXPECTED_KERNEL_MODE_TRAP bug check has a value of 0x0000007F. This bug check indicates that the Intel CPU generated a trap and the kernel failed to catch this trap.

This trap could be a bound trap (a trap the kernel is not permitted to catch) or a double fault (a fault that occurred while processing an earlier fault, which always results in a system failure).

0x00000008, or Double Fault, indicates that an exception occurs during a call to the handler for a prior exception. Typically, the two exceptions are handled serially. However, there are several exceptions that cannot be handled serially, and in this situation the processor signals a double fault. There are two common causes of a double fault:
A kernel stack overflow Or A hardware problem”

Ok, nous savons maintenant qu’il peut s’agir d’un stack overflow ..il va falloir se mettre sur le thread qui a causé le crash pour en savoir plus :

0: kd> .tss 0x28

eax=854b8300 ebx=854b8310 ecx=00000003 edx=89756000 esi=89fc3f30 edi=89756000

eip=bae30bf7 esp=f78f7f88 ebp=f78f81b8 iopl=0 nv up ei ng nz na pe nc

cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010286

q57xp32+0x9bf7:

bae30bf7 53 push ebx

0: kd> .thread

Implicit thread is now 8ab868d0

0: kd> !thread

THREAD 8ab868d0 Cid 0004.0048 Teb: 00000000 Win32Thread: 00000000 RUNNING on processor 0

IRP List:

859c0370: (0006,0220) Flags: 00000010 Mdl: 00000000

85391008: (0006,0220) Flags: 00000884 Mdl: 00000000

8a02af68: (0006,0094) Flags: 00000000 Mdl: 00000000

Not impersonating

DeviceMap d6402818

Owning Process 8ab8a238 Image: System

Wait Start TickCount 34881482 Ticks: 0

Context Switch Count 21126271

UserTime 00:00:00.000

KernelTime 00:03:14.531

Start Address nt!ExpWorkerThread (0x8083f671)

Stack Init f78fb000 Current f78f9150 Base f78fb000 Limit f78f8000 Call 0

Priority 12 BasePriority 12 PriorityDecrement 0

ChildEBP RetAddr Args to Child

00000000 bae30bf7 00000000 00000000 00000000 nt!_KiTrap08+0x75 (FPO: TSS 28:0)

WARNING: Stack unwind information not available. Following frames may be wrong.

f78f81b8 bae29c53 89756000 89fc3f30 8975bf54 q57xp32+0x9bf7

f78f8200 bae29edb 854b8310 f78f8278 f78f8248 q57xp32+0x2c53

f78f8210 bae2a199 02756000 878032e0 897ef950 q57xp32+0x2edb

f78f8248 f76ee804 00000001 f78f8278 00000000 q57xp32+0x3199

f78f8260 80a7a24f 897ef850 00000000 86e62a20 NDIS!ndisMProcessSGList+0x90

f78f828c f76ee6fe 86e62a20 897ef850 878032c0 hal!HalBuildScatterGatherList+0x1c7

f78f82e4 f76d249d 8a3d5008 854b8310 862fe230 NDIS!ndisMAllocSGList+0xd9

f78f8300 ba782f37 89e90290 854b8310 89d16c48 NDIS!ndisMSendX+0x1a0

f78f8328 ba78223a 8a3d5008 854b8310 8638eae8 tcpip!IPRcvComplete+0x12d3

f78f8350 ba782622 8638ea02 f78f8402 00000001 tcpip!IPRcvComplete+0x5d6

f78f848c ba783c01 ba7bbbb8 862fe2a4 862fe230 tcpip!IPRcvComplete+0x9be

f78f84fc ba783da0 f3b3f555 00000002 875d30c0 tcpip!IPRcvComplete+0x1f9d

f78f8524 ba784478 00000001 00000000 00000002 tcpip!IPRcvComplete+0x213c

f78f8558 bab209ac 875d3008 89443364 89d2d540 tcpip!IPRcvComplete+0x2814

f78f857c bab29a46 89e8e000 89429058 89e8e000 msiscsi+0x99ac

f78f8624 bab2c101 01429058 84f25502 84f2552c msiscsi+0x12a46

f78f8644 bab1a435 808a5180 84f25502 00000000 msiscsi+0x15101

f78f866c bab036ca 8a02b65c 89e8e000 f78f8698 msiscsi+0x3435

f78f867c bab03afc 897c31a0 84f2552c 884b7d28 iscsiprt!RaCallMiniportStartIo+0x1e

f78f8698 bab0c182 84f2552c 870a48a0 89d17e18 iscsiprt!RaidAdapterPostScatterGatherExecute+0x5e

f78f86b8 bab07823 00000000 00000001 00000000 iscsiprt!RaUnitStartIo+0xc4

f78f86d8 bab0b575 89d17e18 014b7d28 00000000 iscsiprt!RaidStartIoPacket+0x49

f78f86fc bab0c8a6 89d17d30 884b7d28 84c6d270 iscsiprt!RaidUnitSubmitRequest+0x63

f78f8718 bab06844 89d17d30 884b7d28 f78f873c iscsiprt!RaUnitScsiIrp+0x92

f78f8728 8083f9d0 89d17c78 884b7d28 89e8caa0 iscsiprt!RaDriverScsiIrp+0x2a

f78f873c f7409440 884b7d28 884b7dfc 884b7d28 nt!IofCallDriver+0x45

f78f8764 f74094e0 89cfba88 884b7d28 884b7d28 mpio!MPIOReadWrite+0x19e

f78f8830 f7409b34 89cfba88 84c6d1f0 884b7dd8 mpio!MPIOPdoHandleRequest+0x76

f78f8848 f7408945 89cfbb40 884b7d28 884b7d28 mpio!MPIOPdoInternalDeviceControl+0x3c

f78f8870 f740916f 89cfba88 89cfbd78 01000000 mpio!MPIOPdoCommonDeviceControl+0x1fb

f78f8890 f74062ef 89cfba88 884b7d28 f78f88b4 mpio!MPIOPdoDispatch+0x8f

f78f88a0 8083f9d0 89cfba88 884b7d28 84f25480 mpio!MPIOGlobalDispatch+0x19

f78f88b4 f7139a20 84f25480 68d0e000 f78f88f8 nt!IofCallDriver+0x45

f78f88c4 f7139635 84f25480 89419b70 85a52e2c CLASSPNP!SubmitTransferPacket+0xbb

f78f88f8 f7139712 00000000 00001000 85a52e50 CLASSPNP!ServiceTransferRequest+0x1e4

f78f891c 8083f9d0 89419ab8 00000000 8ab96b38 CLASSPNP!ClassReadWrite+0x159

f78f8930 f74d80cf 8756c3a8 85a52e50 f78f8954 nt!IofCallDriver+0x45

f78f8940 8083f9d0 893e7780 85a52cc0 85a52cc0 PartMgr+0x10cf

f78f8954 f73b4802 890bd008 8756c3a8 89595d08 nt!IofCallDriver+0x45

La, il n’y a pas de doute, nous somme bien en présence d’un beau “stack overflow”.

En effet, chaque thread a le droit à un espace limité pour gérer la stack.

Ici la limite est à f78fb000 (on commence la stack à à l’adresse f78f8000 ) : Stack Init f78fb000 Current f78f9150 Base f78fb000 Limit f78f8000

Le dernier appel a été fait à l’adresse f78f81b8 ; par conséquent l’appel d’après aurait utiliser de la mémoire et dépasser ainsi la limite du f78f8000 d’où le stack overflow et le crash.

Voici les détails de consommation de la stack au moment du Stop:

Module Stack Usage Percentage

fltMgr 280 2

volsnap 584 5

Ntfs 4844 42

iscsiprt 188 2

NDIS 140 1

msiscsi 276 2

q57xp32 144 1

CLASSPNP 104 1

mfetdik 144 1

hal 44 0

dmio 328 3

tcpip 600 5

mpio 356 3

PartMgr 16 0

mfehidk 660 6

nt 1988 17

df2k 848 7

Nous constatons que Ntfs utilise 42% de celle-ci ce qui est beaucoup. Maintenant si l’on regarde attentivement la stack nous allons constater que c’est le driver df2k.sys qui est réentrant dans le file system.

0: kd> kv 100

ChildEBP RetAddr Args to Child

00000000 bae30bf7 00000000 00000000 00000000 nt!_KiTrap08+0x75