1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
  2. Пираты Крылья Премиум Гильдия Дайджест Календарь событий в Aion
Скрыть объявление
Здравствуй, Гость.
Мы подготовили тему с комментариями и объяснениями к Правилам форума.
В ней описаны многие спорные моменты, список запрещенных сокращений и т.п.
Ознакомиться с данной темой можно перейдя по ссылке.

У Айона аллергия на Webmoney?

Тема в разделе "Архив", создана пользователем Alexxx3000, 28 мар 2014.

Статус темы:
Закрыта.
  1. Alexxx3000

    Alexxx3000 User

    Регистрация:
    11.04.11
    Сообщения:
    11
    Симпатии:
    8
    всем доброго времени суток!
    при запущенной игре запускаю webmoney keeper, секунды 3 система думает, потом вываливается синий экран. соответственно, перезагружаюсь, потом запускаю сначала кипер, потом игру, все нормально грузится. пробовал на 3-х разных компьютерах, везде такая ситуация. не могу сказать, когда точно это началось, примерно 1-1.5 месяца назад. кто-нибудь сталкивался с подобным? есть мысли?
     
  2. Little Fox

    Little Fox User

    Регистрация:
    02.05.11
    Сообщения:
    4.062
    Симпатии:
    1.465
  3. Alexxx3000

    Alexxx3000 User

    Регистрация:
    11.04.11
    Сообщения:
    11
    Симпатии:
    8
    - ссылка на файл дампа.
     
    Последнее редактирование модератором: 30 мар 2014
  4. sohos

    sohos Moderator

    Регистрация:
    29.09.11
    Сообщения:
    5.230
    Симпатии:
    330
    вы большой дамп сделали, не выкладывайте такие на форум .....
     
  5. Alexxx3000

    Alexxx3000 User

    Регистрация:
    11.04.11
    Сообщения:
    11
    Симпатии:
    8
  6. Ari0nhh

    Ari0nhh User

    Регистрация:
    22.12.09
    Сообщения:
    4.684
    Симпатии:
    356
    у вас установлена криво сломанная семерка с подмененным ядром ntkrnl*.exe (оно у вас называется ntkrlstaforce.exe). корень всех бед идет отсюда и падает у вас в нем.
    купите и установите нормальную, лицензионную версию ос.
     
  7. Randok

    Randok Innova Group

    Регистрация:
    24.05.10
    Сообщения:
    7.459
    Симпатии:
    696
    насколько я помню, это ядро использовалось в ломаной win 7 без sp1. если ставили service pack 1 то проблемы скорее всего начались из-за этого, попробуйте откатить обновления. вообще как вам правильно советуют, установите оригинальный образ системы, без вмешательства криворуких сборщиков.
     
  8. Alexxx3000

    Alexxx3000 User

    Регистрация:
    11.04.11
    Сообщения:
    11
    Симпатии:
    8
    насчет ломаной системы спорить не буду, стоит такая. стоит уже 4 года, нареканий не было. ну ладно, это домашний комп (кто бы меня осудил за использование пиратки..) но, как я выше писал, текущая проблема возникла на 3-х системах, на моем стационарнике, где ломаная винда, на ноуте, где базовая лицензия и на рабочем компе, где стандартная лицензия. голословить не буду, выложу с них дампы.
     
  9. Alexxx3000

    Alexxx3000 User

    Регистрация:
    11.04.11
    Сообщения:
    11
    Симпатии:
    8
  10. Ari0nhh

    Ari0nhh User

    Регистрация:
    22.12.09
    Сообщения:
    4.684
    Симпатии:
    356
    файл по ссылке удален.
     
  11. Alexxx3000

    Alexxx3000 User

    Регистрация:
    11.04.11
    Сообщения:
    11
    Симпатии:
    8
  12. Ari0nhh

    Ari0nhh User

    Регистрация:
    22.12.09
    Сообщения:
    4.684
    Симпатии:
    356
    в данном случае, проблема похоже действительно связана с несовместимостью системы защиты и клиента webmoney
    Код:
    page_fault_in_nonpaged_area (50)
    invalid system memory was referenced.  this cannot be protected by try-except,
    it must be protected by a probe.  typically the address is just plain bad or it
    is pointing at freed memory.
    arguments:
    arg1: 905b31fc, memory referenced.
    arg2: 00000000, value 0 = read operation, 1 = write operation.
    arg3: 832cd32d, if non-zero, the instruction address which referenced the bad memory
        address.
    arg4: 00000000, (reserved)
    
    debugging details:
    ------------------
    
    *** warning: unable to verify timestamp for frost.sys
    *** error: module load completed but symbols could not be loaded for frost.sys
    
    read_address: getpointerfromaddress: unable to read from 8337a718
    unable to read misystemvatype memory at 8335a160
     905b31fc 
    
    faulting_ip: 
    nt!rtlimagentheaderex+96
    832cd32d 813950450000    cmp     dword ptr [ecx],4550h
    
    mm_internal_code:  0
    
    customer_crash_count:  1
    
    default_bucket_id:  vista_driver_fault
    
    bugcheck_str:  0x50
    
    process_name:  webmoney.exe
    
    current_irql:  0
    
    trap_frame:  a6398bf0 -- (.trap 0xffffffffa6398bf0)
    errcode = 00000000
    eax=7ffeffff ebx=00400000 ecx=905b31fc edx=90401000 esi=00000000 edi=a6398c78
    eip=832cd32d esp=a6398c64 ebp=a6398c64 iopl=0         ov up ei pl nz ac po nc
    cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010a12
    nt!rtlimagentheaderex+0x96:
    832cd32d 813950450000    cmp     dword ptr [ecx],4550h ds:0023:905b31fc=????????
    resetting default scope
    
    last_control_transfer:  from 832585f8 to 832978e3
    
    stack_text:  
    a6398bd8 832585f8 00000000 905b31fc 00000000 nt!mmaccessfault+0x106
    a6398bd8 832cd32d 00000000 905b31fc 00000000 nt!kitrap0e+0xdc
    a6398c64 832d1384 00000000 00000000 89176648 nt!rtlimagentheaderex+0x96
    a6398c7c b438b863 90401000 120803be 00000988 nt!rtlimagentheader+0x1a
    warning: stack unwind information not available. following frames may be wrong.
    a6398cd0 b438c82b 860c1778 00000988 89176648 frost+0x2863
    a6398d18 8325542a 00000568 0012b318 02a1f808 frost+0x382b
    a6398d18 778764f4 00000568 0012b318 02a1f808 nt!kifastcallentry+0x12a
    02a1f880 00000000 00000000 00000000 00000000 0x778764f4
    
    судя по стеку вызовов, мы видим перехват события запуска процесса webmoney.exe драйвером фроста, однако при попытке получить заголовок исполняемого pe-файла с помощью функции rtlimagentheader происходит ошибка доступа к странице (page fault), обусловленная, вероятнее всего, неверным адресом модуля. информация о сбое будет передана разработчикам frost для анализа.
     
  13. Radix

    Radix Innova Group

    Регистрация:
    10.02.10
    Сообщения:
    6.064
    Симпатии:
    225
    адрес "модуля" там абсолютно верный, просто, когда вызов делается по kernelmode-адресам, то функция rtlimagentheaderex не валидирует поля pe-заголовка исполняемого образа, и, соответственно, если там в кач-ве смещения какой-либо структуры файла (например того же optional header-а, или того же e_lfanew как в дампе) указано как +100500, то ядро windows произведет попытку прочитать совершенно левую область памяти, слепо полагаясь на числа в заголовке образа, не производя ни малейшей попытки его валидировать (хотя бы probeforread, хоть это и бестолковая проверка в данном случае). это уже не очень хороший дизайн ядра системы, и так функция rtlimagentheaderex выглядит как минимум с ядра xp (старше ядер у меня нет сейчас под рукой).

    p.s. почему в optional header оказался мусор - кто-то очень любит менять header бинарника вебмани в памяти. это может быть навесной протектор, может быть еще что-то (в т.ч. и внешнее), но вещь сама по себе не слишком приятная.
    p.p.s. фросту можно подарить свою кастомовую функцию чтения хидеров (pe-формат то не сложный, необязательно использовать системные функции), но это, как вы понимаете, велосипед...
    p.p.p.s. велосипеды будем изобретать не ранее след. релиза ядерного компонента frost.sys.
    p.p.p.p.s. это не операция запуска процесса перехвачена, а операция записи вирт. памяти со стороны кого-либо куда-либо, банально сработал хук ntwritevirtualmemory в ssdt.
     
    Последнее редактирование модератором: 2 апр 2014
  14. Alexxx3000

    Alexxx3000 User

    Регистрация:
    11.04.11
    Сообщения:
    11
    Симпатии:
    8
    ну вот, что-то проясняется. спасибо за оперативность. хочу напомнить, что это началось не так давно, после какого-то обновления, скорее всего 4.5.2 "сияние славы". и еще, интересно, у других пользователей такого не встречалось? никто просто не отписался в теме. можно закрывать.
     
  15. Radix

    Radix Innova Group

    Регистрация:
    10.02.10
    Сообщения:
    6.064
    Симпатии:
    225
    upd: обновление ядерного компонента frost ушло в тестирование (правда, пока только на pb pts1, позже будет и на aion pts)
     
Статус темы:
Закрыта.