1. This site uses cookies. By continuing to use this site, you are agreeing to our use of cookies. Learn More.
  2. Переполох Йорм Поэзия Календарь Гильдия Дайджест Календарь событий в Aion

У Айона аллергия на Webmoney?

Discussion in 'Архив' started by Alexxx3000, Mar 28, 2014.

Thread Status:
Not open for further replies.
  1. Alexxx3000

    Alexxx3000 User

    Joined:
    11.04.11
    Messages:
    11
    Likes Received:
    8
    всем доброго времени суток!
    при запущенной игре запускаю webmoney keeper, секунды 3 система думает, потом вываливается синий экран. соответственно, перезагружаюсь, потом запускаю сначала кипер, потом игру, все нормально грузится. пробовал на 3-х разных компьютерах, везде такая ситуация. не могу сказать, когда точно это началось, примерно 1-1.5 месяца назад. кто-нибудь сталкивался с подобным? есть мысли?
     
  2. Lafdre

    Lafdre Moderator

    Joined:
    02.05.11
    Messages:
    4,029
    Likes Received:
    1,426
  3. Alexxx3000

    Alexxx3000 User

    Joined:
    11.04.11
    Messages:
    11
    Likes Received:
    8
    - ссылка на файл дампа.
     
    Last edited by a moderator: Mar 30, 2014
  4. sohos

    sohos Moderator

    Joined:
    29.09.11
    Messages:
    5,207
    Likes Received:
    324
    вы большой дамп сделали, не выкладывайте такие на форум .....
     
  5. Alexxx3000

    Alexxx3000 User

    Joined:
    11.04.11
    Messages:
    11
    Likes Received:
    8
  6. Ari0nhh

    Ari0nhh User

    Joined:
    22.12.09
    Messages:
    4,684
    Likes Received:
    356
    у вас установлена криво сломанная семерка с подмененным ядром ntkrnl*.exe (оно у вас называется ntkrlstaforce.exe). корень всех бед идет отсюда и падает у вас в нем.
    купите и установите нормальную, лицензионную версию ос.
     
  7. Randok

    Randok Innova Group

    Joined:
    24.05.10
    Messages:
    7,430
    Likes Received:
    691
    насколько я помню, это ядро использовалось в ломаной win 7 без sp1. если ставили service pack 1 то проблемы скорее всего начались из-за этого, попробуйте откатить обновления. вообще как вам правильно советуют, установите оригинальный образ системы, без вмешательства криворуких сборщиков.
     
  8. Alexxx3000

    Alexxx3000 User

    Joined:
    11.04.11
    Messages:
    11
    Likes Received:
    8
    насчет ломаной системы спорить не буду, стоит такая. стоит уже 4 года, нареканий не было. ну ладно, это домашний комп (кто бы меня осудил за использование пиратки..) но, как я выше писал, текущая проблема возникла на 3-х системах, на моем стационарнике, где ломаная винда, на ноуте, где базовая лицензия и на рабочем компе, где стандартная лицензия. голословить не буду, выложу с них дампы.
     
  9. Alexxx3000

    Alexxx3000 User

    Joined:
    11.04.11
    Messages:
    11
    Likes Received:
    8
  10. Ari0nhh

    Ari0nhh User

    Joined:
    22.12.09
    Messages:
    4,684
    Likes Received:
    356
    файл по ссылке удален.
     
  11. Alexxx3000

    Alexxx3000 User

    Joined:
    11.04.11
    Messages:
    11
    Likes Received:
    8
  12. Ari0nhh

    Ari0nhh User

    Joined:
    22.12.09
    Messages:
    4,684
    Likes Received:
    356
    в данном случае, проблема похоже действительно связана с несовместимостью системы защиты и клиента webmoney
    Code:
    page_fault_in_nonpaged_area (50)
    invalid system memory was referenced.  this cannot be protected by try-except,
    it must be protected by a probe.  typically the address is just plain bad or it
    is pointing at freed memory.
    arguments:
    arg1: 905b31fc, memory referenced.
    arg2: 00000000, value 0 = read operation, 1 = write operation.
    arg3: 832cd32d, if non-zero, the instruction address which referenced the bad memory
        address.
    arg4: 00000000, (reserved)
    
    debugging details:
    ------------------
    
    *** warning: unable to verify timestamp for frost.sys
    *** error: module load completed but symbols could not be loaded for frost.sys
    
    read_address: getpointerfromaddress: unable to read from 8337a718
    unable to read misystemvatype memory at 8335a160
     905b31fc 
    
    faulting_ip: 
    nt!rtlimagentheaderex+96
    832cd32d 813950450000    cmp     dword ptr [ecx],4550h
    
    mm_internal_code:  0
    
    customer_crash_count:  1
    
    default_bucket_id:  vista_driver_fault
    
    bugcheck_str:  0x50
    
    process_name:  webmoney.exe
    
    current_irql:  0
    
    trap_frame:  a6398bf0 -- (.trap 0xffffffffa6398bf0)
    errcode = 00000000
    eax=7ffeffff ebx=00400000 ecx=905b31fc edx=90401000 esi=00000000 edi=a6398c78
    eip=832cd32d esp=a6398c64 ebp=a6398c64 iopl=0         ov up ei pl nz ac po nc
    cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010a12
    nt!rtlimagentheaderex+0x96:
    832cd32d 813950450000    cmp     dword ptr [ecx],4550h ds:0023:905b31fc=????????
    resetting default scope
    
    last_control_transfer:  from 832585f8 to 832978e3
    
    stack_text:  
    a6398bd8 832585f8 00000000 905b31fc 00000000 nt!mmaccessfault+0x106
    a6398bd8 832cd32d 00000000 905b31fc 00000000 nt!kitrap0e+0xdc
    a6398c64 832d1384 00000000 00000000 89176648 nt!rtlimagentheaderex+0x96
    a6398c7c b438b863 90401000 120803be 00000988 nt!rtlimagentheader+0x1a
    warning: stack unwind information not available. following frames may be wrong.
    a6398cd0 b438c82b 860c1778 00000988 89176648 frost+0x2863
    a6398d18 8325542a 00000568 0012b318 02a1f808 frost+0x382b
    a6398d18 778764f4 00000568 0012b318 02a1f808 nt!kifastcallentry+0x12a
    02a1f880 00000000 00000000 00000000 00000000 0x778764f4
    
    судя по стеку вызовов, мы видим перехват события запуска процесса webmoney.exe драйвером фроста, однако при попытке получить заголовок исполняемого pe-файла с помощью функции rtlimagentheader происходит ошибка доступа к странице (page fault), обусловленная, вероятнее всего, неверным адресом модуля. информация о сбое будет передана разработчикам frost для анализа.
     
  13. Radix

    Radix Innova Group

    Joined:
    10.02.10
    Messages:
    6,061
    Likes Received:
    224
    адрес "модуля" там абсолютно верный, просто, когда вызов делается по kernelmode-адресам, то функция rtlimagentheaderex не валидирует поля pe-заголовка исполняемого образа, и, соответственно, если там в кач-ве смещения какой-либо структуры файла (например того же optional header-а, или того же e_lfanew как в дампе) указано как +100500, то ядро windows произведет попытку прочитать совершенно левую область памяти, слепо полагаясь на числа в заголовке образа, не производя ни малейшей попытки его валидировать (хотя бы probeforread, хоть это и бестолковая проверка в данном случае). это уже не очень хороший дизайн ядра системы, и так функция rtlimagentheaderex выглядит как минимум с ядра xp (старше ядер у меня нет сейчас под рукой).

    p.s. почему в optional header оказался мусор - кто-то очень любит менять header бинарника вебмани в памяти. это может быть навесной протектор, может быть еще что-то (в т.ч. и внешнее), но вещь сама по себе не слишком приятная.
    p.p.s. фросту можно подарить свою кастомовую функцию чтения хидеров (pe-формат то не сложный, необязательно использовать системные функции), но это, как вы понимаете, велосипед...
    p.p.p.s. велосипеды будем изобретать не ранее след. релиза ядерного компонента frost.sys.
    p.p.p.p.s. это не операция запуска процесса перехвачена, а операция записи вирт. памяти со стороны кого-либо куда-либо, банально сработал хук ntwritevirtualmemory в ssdt.
     
    Last edited by a moderator: Apr 2, 2014
  14. Alexxx3000

    Alexxx3000 User

    Joined:
    11.04.11
    Messages:
    11
    Likes Received:
    8
    ну вот, что-то проясняется. спасибо за оперативность. хочу напомнить, что это началось не так давно, после какого-то обновления, скорее всего 4.5.2 "сияние славы". и еще, интересно, у других пользователей такого не встречалось? никто просто не отписался в теме. можно закрывать.
     
  15. Radix

    Radix Innova Group

    Joined:
    10.02.10
    Messages:
    6,061
    Likes Received:
    224
    upd: обновление ядерного компонента frost ушло в тестирование (правда, пока только на pb pts1, позже будет и на aion pts)
     
Thread Status:
Not open for further replies.