none
XPE连网后出现svchost.exe报错,用Dr.watson抓出来dump,错误类型为"Access violation- code c0000005",请大家帮忙分析原因,万分感谢 RRS feed

  • 问题

  • XPE开发工具为WES2009,EWF开启为RAM reg模式,被保护分区2G,内存1G,不连网时没有发现问题,连网后出现的时间随机,报出"Generic Host Process for Win32 Service  has encountered a problem and needs to close".

    使用Windbg的!analyze -v分析结果如下:

    FAULTING_IP:
    +58fc16e2
    58fc16e2 ??              ???

    EXCEPTION_RECORD:  ffffffff -- (.exr 0xffffffffffffffff)
    ExceptionAddress: 58fc16e2
       ExceptionCode: c0000005 (Access violation)
      ExceptionFlags: 00000000
    NumberParameters: 2
       Parameter[0]: 00000000
       Parameter[1]: 58fc16e2
    Attempt to read from address 58fc16e2

    DEFAULT_BUCKET_ID:  BAD_INSTRUCTION_PTR

    PROCESS_NAME:  svchost.exe

    ERROR_CODE: (NTSTATUS) 0xc0000005 - 0x%08lx

    EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - 0x%08lx

    EXCEPTION_PARAMETER1:  00000000

    EXCEPTION_PARAMETER2:  58fc16e2

    READ_ADDRESS:  58fc16e2

    FOLLOWUP_IP:
    srvsvc!NetprPathCanonicalize+1c
    7509d996 5d              pop     ebp

    FAILED_INSTRUCTION_ADDRESS:
    +58fc16e2
    58fc16e2 ??              ???

    NTGLOBALFLAG:  0

    APPLICATION_VERIFIER_FLAGS:  0

    IP_ON_HEAP:  4a494349

    IP_IN_VM_BLOCK: 4a494349

    LAST_CONTROL_TRANSFER:  from 4a494349 to 58fc16e2

    FAULTING_THREAD:  ffffffff

    PRIMARY_PROBLEM_CLASS:  BAD_INSTRUCTION_PTR

    BUGCHECK_STR:  APPLICATION_FAULT_BAD_INSTRUCTION_PTR

    FRAME_ONE_INVALID: 1

    STACK_TEXT: 
    5b86a410 netapi32!NetpwPathCanonicalize
    7509d996 srvsvc!NetprPathCanonicalize
    77e799f4 rpcrt4!CheckVerificationTrailer
    77ef421a rpcrt4!NdrStubCall2
    77ef46ee rpcrt4!NdrServerCall2
    77e794bd rpcrt4!NdrGetTypeFlags
    77e79422 rpcrt4!NdrGetTypeFlags
    77e7934e rpcrt4!NdrGetTypeFlags
    77e8156c rpcrt4!I_RpcTransGetThreadEvent
    77e81499 rpcrt4!I_RpcTransGetThreadEvent
    77e8141d rpcrt4!I_RpcTransGetThreadEvent
    77e81328 rpcrt4!I_RpcTransGetThreadEvent
    77e7877b rpcrt4!I_RpcBCacheFree
    77e786b6 rpcrt4!I_RpcBCacheFree
    77e772ff rpcrt4!I_RpcBCacheFree
    77e77328 rpcrt4!I_RpcBCacheFree
    77e76ad1 rpcrt4!I_RpcBCacheFree
    77e76c97 rpcrt4!I_RpcBCacheFree


    STACK_COMMAND:  dds a4f8ac ; kb

    SYMBOL_STACK_INDEX:  1

    SYMBOL_NAME:  srvsvc!NetprPathCanonicalize+1c

    FOLLOWUP_NAME:  MachineOwner

    MODULE_NAME: srvsvc

    IMAGE_NAME:  srvsvc.dll

    DEBUG_FLR_IMAGE_TIMESTAMP:  4802a146

    FAILURE_BUCKET_ID:  BAD_INSTRUCTION_PTR_c0000005_srvsvc.dll!NetprPathCanonicalize

    BUCKET_ID:  APPLICATION_FAULT_BAD_INSTRUCTION_PTR_BAD_IP_srvsvc!NetprPathCanonicalize+1c

    Followup: MachineOwner
    ---------

    0:071> .exr 0xffffffffffffffff
    ExceptionAddress: 58fc16e2
       ExceptionCode: c0000005 (Access violation)
      ExceptionFlags: 00000000
    NumberParameters: 2
       Parameter[0]: 00000000
       Parameter[1]: 58fc16e2
    Attempt to read from address 58fc16e2
    0:071> lmvm srvsvc
    start    end        module name
    75090000 750aa000   srvsvc     (pdb symbols)          d:\MyLocalSymbols\srvsvc.pdb\64F90F0805C64CB6BF10EC85E2D7528F2\srvsvc.pdb
        Loaded symbol image file: srvsvc.dll
        Image path: c:\WINDOWS\system32\srvsvc.dll
        Image name: srvsvc.dll
        Timestamp:        Mon Apr 14 08:11:50 2008 (4802A146)
        CheckSum:         00025CD8
        ImageSize:        0001A000
        File version:     5.1.2600.5512
        Product version:  5.1.2600.5512
        File flags:       0 (Mask 3F)
        File OS:          40004 NT Win32
        File type:        2.0 Dll
        File date:        00000000.00000000
        Translations:     0409.04b0
        CompanyName:      Microsoft Corporation
        ProductName:      Microsoft® Windows® Operating System
        InternalName:     SRVSVC.DLL
        OriginalFilename: SRVSVC.DLL
        ProductVersion:   5.1.2600.5512
        FileVersion:      5.1.2600.5512 (xpsp.080413-2113)
        FileDescription:  Server Service DLL
        LegalCopyright:   © Microsoft Corporation. All rights reserved.

    2012年5月3日 1:46

答案

  • 如果连网出这个,99%和病毒有关系,有其是内网

    对于WES 2009 来说 去看MS10-046 MS10-061 MS08-067安全公告 把漏洞补上...


    Zhengbo.Xiao
    深圳艾斯威特贸易有限公司
    计算机、嵌入式是产品硬件、软件销售、Windows Embedded解决方案提供商。
    我的WIndows Embedded中文技术BLOG:
    www.XPE.cc
    blog搬家了,欢迎访问: http://questor87.wordpress.com/
    为解决大陆的Windows Embedded的开发者无法访问http://questor87.wordpress.com/,特从2010年11月起,在


    QQ:1320232327(另外两个已满)
    MSN:questor_87@hotmail.com
    MCTS:
    Windows Embedded Standard 7 Development
    Windows Embedded Standard 2009 Development
    Windows Embedded Standard CE Development
    Microsoft MVP(2010)

    2012年5月13日 13:31
    版主

全部回复

  • 请首先关掉EWF,验证是否会出现上述问题,以及在XP SP3上是否会出现上述问题,这样用来排除,是否与EWF有关。


    WES JDP Team

    2012年5月7日 3:42
    版主
  • 确认与EWF无关,局域网出现后,直接将电脑联入互联网也会出现该问题,根据Windbg分析为 srvsvc.dll问题,我将这个dll的服务禁用了,暂时没有出现,不知道这个服务为什么会访问违例
    2012年5月7日 6:14
  • 如果连网出这个,99%和病毒有关系,有其是内网

    对于WES 2009 来说 去看MS10-046 MS10-061 MS08-067安全公告 把漏洞补上...


    Zhengbo.Xiao
    深圳艾斯威特贸易有限公司
    计算机、嵌入式是产品硬件、软件销售、Windows Embedded解决方案提供商。
    我的WIndows Embedded中文技术BLOG:
    www.XPE.cc
    blog搬家了,欢迎访问: http://questor87.wordpress.com/
    为解决大陆的Windows Embedded的开发者无法访问http://questor87.wordpress.com/,特从2010年11月起,在


    QQ:1320232327(另外两个已满)
    MSN:questor_87@hotmail.com
    MCTS:
    Windows Embedded Standard 7 Development
    Windows Embedded Standard 2009 Development
    Windows Embedded Standard CE Development
    Microsoft MVP(2010)

    2012年5月13日 13:31
    版主
  • 目前将三个补丁都打上进行测试,有结果会告诉大家,

    2012年5月28日 10:03
  • 等你结果。

    Zhengbo.Xiao
    深圳艾斯威特贸易有限公司
    计算机、嵌入式是产品硬件、软件销售、Windows Embedded解决方案提供商。
    我的WIndows Embedded中文技术BLOG:
    www.XPE.cc
    blog搬家了,欢迎访问: http://questor87.wordpress.com/
    为解决大陆的Windows Embedded的开发者无法访问http://questor87.wordpress.com/,特从2010年11月起,在


    QQ:1320232327(另外两个已满)
    MSN:questor_87@hotmail.com
    MCTS:
    Windows Embedded Standard 7 Development
    Windows Embedded Standard 2009 Development
    Windows Embedded Standard CE Development
    Microsoft MVP(2010)

    2012年5月28日 13:25
    版主
  • 如果跟我遇到的问题一样,就将windows防火墙组件加上,并启用防火墙即可避免报错。 这个应该像是happymy所说的吧,系统漏洞所致吧。

    2012年6月7日 6:48
  • 这个问题启用防火墙还是会出现,添加了happymy指出的系统补丁,目前没有复现,谢谢各位
    2012年7月2日 10:01