Çözüldü "ntkrnlmp.exe" mavi ekran hatası

bicy dedi:

Rich (BB code):

REGISTRY_FILTER_DRIVER_EXCEPTION (135)
This BugCheck is caused by an unhandled exception in a registry filtering driver.
This BugCheck indicates that a registry filtering driver didn't handle exception inside.
its notification routine. One can identify the driver by the 3rd parameter.
Arguments:
Arg1: ffffffffc0000005, ExceptionCode.
Arg2: fffff30b4f01e7a0, Address of the context record for the exception that caused the BugCheck.
Arg3: fffff8021e1d4800, The driver's callback routine address.
Arg4: ffffa5875a2ad6b0, Internal.

Açıklamasından da görebileceğin gibi, bir kayıt defteri filtresi sürücüsü bildirim geri arama işlevindeki bir istisnayı işleyememiş. Kayıt defteri filtre sürücüleri genellikle antivirüs şirketleri tarafından kayıt defteri işlemlerini izlemek ve daha sonra bunların hileli yazılımlar tarafından gerçekleştirildiğinden şüphelenirse kayıt defteri anahtarı değişikliklerini engellemek gibi uygun eylemleri gerçekleştirmek için kullanılıyor. Filtre sürücüsünün bildirim rutini, izlediği kayıt defteri işlemi bir iş parçacığı tarafından yürütülmek üzere olduğunda her seferinde çağrılıyor.

Filtering Registry Calls - Windows drivers

Filtering Registry Calls

learn.microsoft.com

Rich (BB code):

8: kd> k
 # Child-SP RetAddr Call Site.
00 fffff30b`4f01df38 fffff802`1e46c778 nt!KeBugCheckEx
01 fffff30b`4f01df40 fffff802`1e3e9159 nt!CmpCallbackFatalFilter+0x24
02 fffff30b`4f01df80 fffff802`1dfd03ef nt!CmpCallCallBacksEx$filt$0+0x19
03 fffff30b`4f01dfb0 fffff802`1e00862f nt!_C_specific_handler+0x9f
04 fffff30b`4f01e020 fffff802`1deaaa87 nt!RtlpExecuteHandlerForException+0xf
05 fffff30b`4f01e050 fffff802`1dea89b6 nt!RtlDispatchException+0x297
06 fffff30b`4f01e770 fffff802`1e0124ec nt!KiDispatchException+0x186
07 fffff30b`4f01ee30 fffff802`1e00dd52 nt!KiExceptionDispatch+0x12c
08 fffff30b`4f01f010 fffff802`1e1d4b7a nt!KiPageFault+0x452
09 fffff30b`4f01f1a8 fffff802`1e1d49c4 nt!VrpGetContextsForNotifyInfo+0x7a
0a fffff30b`4f01f1b0 fffff802`1e1d4851 nt!VrpShouldOperateOnCall+0x34
0b fffff30b`4f01f200 fffff802`1e231e58 nt!VrpRegistryCallback+0x51
0c fffff30b`4f01f260 fffff802`1e2376ac nt!CmpCallCallBacksEx+0x1c8
0d fffff30b`4f01f370 fffff802`1e233887 nt!CmpParseKey+0x24c
0e fffff30b`4f01f510 fffff802`1e23be2a nt!ObpLookupObjectName+0x1117
0f fffff30b`4f01f6e0 fffff802`1e23bc0c nt!ObOpenObjectByNameEx+0x1fa
10 fffff30b`4f01f810 fffff802`1e23b551 nt!ObOpenObjectByName+0x5c
11 fffff30b`4f01f860 fffff802`1e23b27f nt!CmOpenKey+0x2c1
12 fffff30b`4f01fac0 fffff802`1e012308 nt!NtOpenKeyEx+0xf
13 fffff30b`4f01fb00 00007ff8`22bcf4c4 nt!KiSystemServiceExitPico+0x41c
14 000000e3`4438db68 00000000`00000000 0x00007ff8`22bcf4c4

Aşağıdaki çağrılara dikkat et. Öncelikle kullanıcı modundan gelen bir çağrı ve sonra sistemin NT! Ntopenkey işlevini çağırdığı da görülebilir; bu, bir kayıt defteri filtresi sürücüsünün kaydolabileceği çeşitli kayıt defteri işlemlerinden biri. Çağrı yığınında da görebileceği gibi, yapılandırma yöneticisi daha sonra isteği tamamlamak için bir dizi çağrı yapıyor. Ancak daha sonra NT! Vrpgetcontextsfornotifyınfo çağrısı geliyor ve bu da geçersiz sayfa hatasıyla sonuçlanıyor. Ne yazık ki bu çağrının ne olduğu Microsoft tarafından kamuya sunulan bir bilgi değil.

"Tahmini olarak kayıt defteri işlemleri için context bilgilerini toplayıp yöneterek - kayıtlı geri arama işlevlerinin görevlerini etkili bir şekilde yerine getirmek için gerekli verilere sahip olmasını sağlıyor olabileceğini söyleyebiliriz." quote!

Btw, 2.parametreye bakarak da bunu kesin olarak görebiliriz;

Kod:

8: kd> .cxr fffff30b4f01e7a0.
rax=0000000000000000 rbx=0000000000000000 rcx=000000000000001c
rdx=fffff30b4f01f3d8 rsi=fffff30b4f01f228 rdi=fffff30b4f01f220
rip=fffff8021e1d4b7a rsp=fffff30b4f01f1a8 rbp=fffff30b4f01f470
 r8=fffff30b4f01f1d0 r9=fffff30b4f01f1d8 r10=fffff8021e1d4800
r11=000000000000001c r12=ffffa5875a2ad6b0 r13=fffff30b4f01f3f0
r14=0000000000000001 r15=000000000000001c
iopl=0 nv up ei pl zr na po nc.
cs=0010 ss=0018 ds=002b es=002b fs=0053 gs=002b efl=00050246
nt!VrpGetContextsForNotifyInfo+0x7a:
fffff802`1e1d4b7a 488b4058 mov rax,qword ptr [rax+58h] ds:002b:00000000`00000058=????????????????

Eğer işlevin eriştiği adresi incelersen tamamen geçersiz/null olduğunu ve bu nedenle ortaya çıkan pagefault tarafından doğru şekilde işlenemeyeceğini görebilirsin. Bu da bu hatanın açıklamasında belirtilen işlenmemiş istisnaya yol açıyor. Filtre sürücüsünün geri arama rutini geçersiz Pagefault'u işleyememiş ve sonuç olarak sistem çökmüş.

Kod:

17: kd> !error c0000005.
Error code: (NTSTATUS) 0xc0000005 (3221225477) - The instruction at 0x%p referenced memory at 0x%p. The memory could not be %s

İlk adresten de tam olarak bunun erişim ihlaline yol açtığını görebilirsin.

Ek olarak 3.parametre de "the driver's callback routine address" olarak işaretlenmiş. Sürücü bulma işinde işe yaraması gerekiyor ama bizi sadece bir başka çağrıya yönlendiriyor.

Kod:

8: kd> fffff8021e1d4800.
nt!VrpRegistryCallback:
fffff802`1e1d4800 48895c2408 mov qword ptr [rsp+8],rbx
fffff802`1e1d4805 4889742420 mov qword ptr [rsp+20h],rsi
fffff802`1e1d480a 57 push rdi.
fffff802`1e1d480b 4883ec50 sub rsp,50h
fffff802`1e1d480f 488b053adb6300 mov rax,qword ptr [nt!_security_cookie (fffff802`1e812350)]
fffff802`1e1d4816 4833c4 xor rax,rsp
fffff802`1e1d4819 4889442440 mov qword ptr [rsp+40h],rax
fffff802`1e1d481e 33db xor ebx,ebx
fffff802`1e1d4820 0f57c0 xorps xmm0,xmm0
fffff802`1e1d4823 48895c2420 mov qword ptr [rsp+20h],rbx
fffff802`1e1d4828 498bf0 mov rsi,r8
fffff802`1e1d482b 48895c2428 mov qword ptr [rsp+28h],rbx
fffff802`1e1d4830 488bfa mov rdi,rdx
fffff802`1e1d4833 0f11442430 movups xmmword ptr [rsp+30h],xmm0
fffff802`1e1d4838 83fa31 cmp edx,31h
fffff802`1e1d483b 7718 ja nt!VrpRegistryCallback+0x55 (fffff802`1e1d4855)

Bu da sadece belirli bir Windows işlevidir. Kayıt defteri geri çağrılarını kolaylaştıran dahili mekanizmanın bir parçasıdır. Bu işteki yazısız bir kural da Windows'un ve işlevlerinin bu çökmelerde olabildiğince az sorumlu tutulmasıdır.

Rich (BB code):

8: kd> k
 # Child-SP RetAddr Call Site.
00 fffff30b`4a585990 fffff802`1e2343df nt!KiUnstackDetachProcess+0x16c
01 fffff30b`4a5859f0 fffff802`1e22f2bc nt!ObCloseHandleTableEntry+0x52f
02 fffff30b`4a585b30 fffff802`1e012308 nt!NtClose+0xec
03 fffff30b`4a585ba0 fffff802`1e0028e0 nt!KiSystemServiceExitPico+0x41c
04 fffff30b`4a585d38 fffff802`1e21636d nt!KiServiceLinkage
05 fffff30b`4a585d40 fffff802`1e21610b nt!_CmGetDeviceRegPropWorker+0x1e1
06 fffff30b`4a585e90 fffff802`1e2f5b60 nt!_CmGetDeviceRegProp+0xff
07 fffff30b`4a585fa0 fffff802`1e2f59af nt!_CmGetDeviceSoftwareKey+0x74
08 fffff30b`4a5860b0 fffff802`1e217654 nt!_CmGetDeviceSoftwareKeyPath+0x5b
09 fffff30b`4a5861b0 fffff802`1e217ec0 nt!_CmGetDeviceRegKeyPath+0xcc
0a fffff30b`4a586200 fffff802`1e217047 nt!_CmOpenDeviceRegKeyWorker+0xcc
0b fffff30b`4a5862c0 fffff802`1e2f3758 nt!_CmOpenDeviceRegKey+0xef
*** WARNING: Unable to verify timestamp for nvlddmkm.sys
0c fffff30b`4a586320 fffff802`44e4d3b1 nt!IoOpenDeviceRegistryKey+0xc8
0d fffff30b`4a586370 00000000`00000000 nvlddmkm+0x142d3b1

Her neyse, yine de kayıt defteriyle ilişik içinde olan arkadaşlardan birinin de ekran kartı sürücün olduğu da aşikar. Ayrıca bununla beraber ham iş parçacığı yığınının dökümü de aradığım kayıt defteri anahtarını ortaya çıkarıyor.

[CODE highlight="12"]8: kd> KnL.
0xfffff30b4f01df38 : 0xfffff8021e46c778 : nt!CmpCallbackFatalFilter+0x24
0xfffff30b4f01df58 : 0xfffff8021e1d4800 : nt!VrpRegistryCallback
0xfffff30b4f01df60 : 0xffffa5875a2ad6b0 : 0xffffa587519e4f80 : 0xfffff8021e848450 : nt!CallbackListHead
[...]
0xfffff30b4f01e7b0 : 0xfffff30b4f01e808 : 0xfffff8021e1d49c4 : nt!VrpShouldOperateOnCall+0x34
Unable to load image \??\C:\Program Files\Riot Vanguard\vgk.sys, Win32 error 0n2.
*** WARNING: Unable to verify timestamp for vgk.sys
[...]
0xfffff30b4f01f118 : 0xfffff8021e848440 : nt!CmpCallbackListLock
*** WARNING: Unable to verify timestamp for WdFilter.sys
0xfffff30b4f01f3c8 : 0xffffa587b0b06070 : "SOFTWARE\Microsoft\Windows\CurrentVersion\MMDevices\Audio\Capture\{912a1eee-0819..."
0xfffff30b4f01f588 : 0xffffa587b0b06070 : "SOFTWARE\Microsoft\Windows\CurrentVersion\MMDevices\Audio\Capture\{912a1eee-0819..."
[...]
0xfffff30b4f01faf0 : 0xfffff8021e23b270 : nt!NtOpenKeyEx
0xfffff30b4f01faf8 : 0xfffff8021e012308 : nt!KiSystemServiceExitPico+0x41c
[/CODE]

Görünüşe göre bir mmdevices API'sine ait bir kayıt defteri anahtarına erişiyoruz. Ses cihazlarıyla ilgisi olan bir konuma kayıyoruz;

SOFTWARE\Microsoft\Windows\CurrentVersion\MMDevices\Audio\Capture\{912a1eee-0819-418b-a0cf-2f01fb3aa135}\Properties

Ayrıca hata veren diğer şeyleri de görmüşsündür. Defender'a ve Vanguard'a ait modüller. En başında bahsettiğim gibi av ile alakalı olabilir. Sisteminde herhangi bir av kullanıyor musun? Sembollerde göremedim. Defender hatası olma ihtimali de epey düşük.

However, görünüşe göre son parametrede referans verilen adresin etrafında tekrar aynı işleve denk geliyoruz.

Rich (BB code):

8: kd> ffffa5875a2ad6b0.
ffffa587`5a2ad6b0 ffffa587`519e4f80
ffffa587`5a2ad6b8 ffffa587`55df1ac0
ffffa587`5a2ad6c0 00000001`00000001
ffffa587`5a2ad6c8 01dab5ba`78ce4740
ffffa587`5a2ad6d0 00000000`00000000
ffffa587`5a2ad6d8 fffff802`1e1d4800 nt!VrpRegistryCallback
ffffa587`5a2ad6e0 00000000`000c000c
ffffa587`5a2ad6e8 ffffa587`596fc790
ffffa587`5a2ad6f0 ffffa587`59850700
ffffa587`5a2ad6f8 ffffa587`5f9e3670
ffffa587`5a2ad700 6765534d`03060000
ffffa587`5a2ad708 00000000`00000000
ffffa587`5a2ad710 ffff8a83`20d17610
ffffa587`5a2ad718 00080000`00000001
ffffa587`5a2ad720 00000000`00000000
ffffa587`5a2ad728 00000000`00001000

Bu işleve ait bir bağlantılı liste arıyoruz. Bunu da işlevden ilerleyerek yapabiliriz.

* dl (Display Linked List) - Windows drivers

Kod:

8: kd> dl nt!VrpRegistryCallback
ffffa587`5a2ad6d8 fffff802`1e1d4800 00000000`000c000c
fffff802`1e1d4800 74894808`245c8948 4850ec83`48572024

Bu tam olarak filtre sürücüleri için kayıtlı tüm geri arama fonksiyonlarının bağlantılı bir listesini sunmuyor. Ona bakmak gerekirse:

Kod:

8: kd> KnL.
0xffffa5875a2ad6d8 : 0xfffff8021e1d4800 : nt!VrpRegistryCallback
[...]
0xffffa5875a7e0938 : 0xffffa5875a2ad6b0 : nt!CallbackListHead
0xffffa5875b3a7510 : 0x006500730055005c : "\Users\A****\AppData\Local\VALORANT\Saved\Config\6e3de899-3e71-5a15-9fcc-78VALO..."
0xffffa5875b3a7518 : 0x0041005c00730072 : "rs\A****\AppData\Local\VALORANT\Saved\Config\6e3de899-3e71-5a15-9fcc-78VALORANT..."
0xffffa5875b3a7520 : 0x004e004900440059 : "***\AppData\Local\VALORANT\Saved\Config\6e3de899-3e71-5a15-9fcc-78VALORANT\Sav..."
0xffffa5875b3a7528 : 0x00700041005c0053 : "S\AppData\Local\VALORANT\Saved\Config\6e3de899-3e71-5a15-9fcc-78VALORANT\Saved\C..."
0xffffa5875b3a7530 : 0x0074006100440070 : "pData\Local\VALORANT\Saved\Config\6e3de899-3e71-5a15-9fcc-78VALORANT\Saved\Confi..."
0xffffa5875b3a7538 : 0x006f004c005c0061 : "a\Local\VALORANT\Saved\Config\6e3de899-3e71-5a15-9fcc-78VALORANT\Saved\Config\6e..."
0xffffa5875b3a7540 : 0x005c006c00610063 : "cal\VALORANT\Saved\Config\6e3de899-3e71-5a15-9fcc-78VALORANT\Saved\Config\6e3de8..."
0xffffa5875b3a7548 : 0x004f004c00410056 : "VALORANT\Saved\Config\6e3de899-3e71-5a15-9fcc-78VALORANT\Saved\Config\6e3de899-3..."
[...]
0xffffa5875c87fd70 : 0xffff8a831cb44db0 : dxgmms2!VIDMM_MEMORY_SEGMENT
[...]
0xffffa5875f9e3688 : 0xffffa5875a2ad6b0 : nt!CallbackListHead
0xffffa5875fa1cc50 : 0xffff8a831cb44db0 : dxgmms2!VIDMM_MEMORY_SEGMENT
0xffffa5876104b890 : 0xfffff8022ea71108 : "dxgkrnl!DoublyLinkedList<DMMVIDPNSOURCEMODESET,DoubleLinkedListElementDeleter<DMMVIDPNSOURCEMODESET> >"
[...]
0xffffa5876267d328 : 0xffffa5876267d330 : "\Device\HarddiskVolume3\Windows\WinSxS\amd64_microsoft.windows.common-controls_6..."

İlk göze çarpan şey, NT! Callbacklisthead yani filtre sürücüleri için kayıtlı tüm geri arama fonksiyonlarının bağlantılı bir listesini tuttuğu mevzusu oluyor. Devamında ise Valorant ve grafik kartı alt birimi ile ilgili işlevleri de görüyoruz. (ismi sansürledim çünkü senin ismin değildi.)

Bahsi geçen işlevler ne yazık ki Microsoft tarafından kamuya açıklanmayan işlevler [Tekrar, evet. :/(] ama ekran kartı bellek yönetimiyle alakalı oldukları da aşikar.

Bu kadar analizden ne anladık? Ses aygıtlarıyla ilgili bir kayıt defteri erişimi, sisteminde aygıtları kontrol etmeni hatta bağlı aygıt varsa uzak tutmanı önerebilirim.

Ekran kartı sıkça var, sürücüsünü güncelle:

Rich (BB code):

8: kd> lmDvmnvlddmkm.
Browse full module list.
start end module name.
fffff802`43a20000 fffff802`47490000 nvlddmkm T (no symbols)
 Loaded symbol image file: nvlddmkm.sys
 Image path: \SystemRoot\System32\DriverStore\FileRepository\nv_dispi.inf_amd64_84b2c943d6816eb7\nvlddmkm.sys
 Image name: nvlddmkm.sys
 Browse all global symbols functions data.
 Timestamp: Thu Apr 11 23:44:07 2024 (66184B97)
 CheckSum: 0394D2D0.
 ImageSize: 03A70000.
 Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4
 Information from resource tables:

Vanguard'ı kaldır. Kullandığın av varsa onu da kaldır.

Sürprizbozan

Bu hata disk problemiyle de ilişkili olabiliyor. Sık sık yaşıyorsan disklerini de kontrol edebilirsin bunlara ek olarak.

Genişletmek için tıkla...

Küçültmek için tıkla...