此KERNEL_SECURITY_CHECK_FAILURE bug 检查的值为 0x00000139。 此 bug 检查指示内核检测到关键数据结构损坏。
引起电脑蓝屏问题的topsecpf.sys,删除
LIST_ENTRY损坏可能难以跟踪,并且此 bug 检查指示在将单个列表条目元素添加到列表或从列表中删除单个列表项元素或从列表中删除时 (已对双链接列表 (中引入了不一致) 。 遗憾的是,在损坏发生时不一定检测到不一致,因此可能需要进行一些必要的工作来确定根本原因。
列表项损坏的常见原因包括:
- 驱动程序损坏了内核同步对象,例如 KEVENT (例如,当线程仍在等待同一 KEVENT 时双击初始化 KEVENT,或者允许基于堆栈的 KEVENT 在另一个线程使用该 KEVENT) 时超出范围。 这种类型的 bug 检查通常发生在 nt 中!Ke* 或 nt!Ki* 代码。 当线程完成对同步对象的等待或代码尝试将同步对象置于信号状态时,可能会发生此情况。 通常,正在发出信号的同步对象是已损坏的同步对象。 有时,如果损坏的同步对象位于已释放 (池块中,则具有特殊池的驱动程序验证程序可以帮助跟踪) 。
- 驱动程序已损坏定期 KTIMER。 此类 bug 检查通常发生在 nt 中!Ke * 或 nt!Ki * 代码,涉及到计时器发出信号,或插入或删除计时器表中的计时器。 正在操作的计时器可能是损坏的计时器,但可能需要检查带有 ! timer (的计时器表,或手动遍历计时器列表链接) 以识别哪个计时器已损坏。 有时,如果损坏的 KTIMER 位于已) 的池块中,则具有特殊池的驱动程序验证程序可以帮助跟踪发生故障的 (原因。
- 驱动程序已 mismanaged 内部 LIST_ENTRY 样式的链接列表。 典型的示例是在同一列表项上调用 RemoveEntryList 两次,而不会在两个 RemoveEntryList 调用之间重新插入列表项。 可以进行其他变体,例如将条目插入同一列表。
- 驱动程序释放了包含 LIST_ENTRY 的数据结构,但没有从其相应的列表中删除数据结构,从而导致稍后在重复使用旧池块后检查该列表时检测到损坏。
- 驱动程序以并发方式使用了 LIST_ENTRY 样式的列表,但没有适当的同步,导致列表更新。
Bug 检查 0x139:KERNEL_SECURITY_CHECK_FAILURE
Debugging Tools for Windows (WinDbg)的使用
使用 WinDbg 分析内核模式转储文件
Windows SDK
天融信的topsecpf.sys导致系统频繁蓝屏
下载sdk安装工具
运行安装工具
因为已经安装了一次,再次安装会跳过几个页面(这几个页面没有啥直接next就行)
最重要的是这个页面,选择安装的sdk,本次只安装debugging tools for Windows
安装后,在系统菜单可以看到
当前是x64,故使用 windbg(X64)
打开“File”-》“open crash dump”,选择蓝屏转存文件"C:\Windows\MEMORY.DMP"
等待输出更详细信息,并点击文字!analyze -v
然后会输出关键信息C:\WINDOWS\sysWOW64\drivers\topsecpf.sys
结合网络资料,删除这个文件C:\WINDOWS\sysWOW64\drivers\topsecpf.sys
暂时记录如上内容,过段时间再上来说明是否解决问题
