Сбой компьютера после установки wireshark

Обновлено: 21.11.2024

Вы настроили файл образа Windows (WIM-файл) размером более 4 гигабайт (ГБ) на устройстве, на котором установлена ​​версия Windows 8.1 или Windows RT 8.1 для архитектуры x86.

Вы подключаете шнур питания к устройству.

Вы включаете шифрование диска BitLocker для шифрования данных устройства.

Вы переводите устройство в спящий режим.

Вы пытаетесь перезагрузить или вывести устройство из спящего режима.

В этом случае происходит сбой системы.

Примечание. Эта проблема не возникает, если шифрование устройства завершено.

Как получить это обновление или исправление

Чтобы предотвратить эту проблему, мы выпустили накопительный пакет обновления и исправление для Windows 8.1 или Windows RT 8.1.

Чтобы решить эту проблему, если она уже возникает, выполните следующие действия .

Перед установкой этого исправления проверьте предварительные условия исправления.

Накопительный пакет обновления устраняет многие другие проблемы в дополнение к проблеме, устраняемой этим исправлением. Мы рекомендуем использовать накопительный пакет обновления. Накопительный пакет обновления больше, чем исправление. Поэтому загрузка накопительного пакета обновления занимает больше времени.

Способ 1: Центр обновления Windows для Windows 8.1

Это обновление доступно в Центре обновления Windows.

Это обновление является важным обновлением.

Если вы выберете параметр «Устанавливать обновления автоматически (рекомендуется)» в Центре обновления Windows, это обновление будет установлено автоматически.

Если вы выбрали другие настройки Центра обновления Windows, мы настоятельно рекомендуем вам немедленно установить это обновление через Центр обновления Windows.

Способ 2: накопительный пакет обновления

Доступен следующий накопительный пакет обновления.

Для Windows 8.1 и Windows RT 8.1

Способ 3. Исправление для Windows 8.1

Поддерживаемое исправление доступно в Microsoft. Однако это исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте это исправление только к системам, в которых возникла эта конкретная проблема.

Если исправление доступно для загрузки, в верхней части этой статьи базы знаний есть раздел «Исправление доступно для загрузки». Если этот раздел не отображается, отправьте запрос в службу поддержки клиентов Майкрософт, чтобы получить исправление.

Примечание. Если возникают дополнительные проблемы или требуется их устранение, вам может потребоваться создать отдельный запрос на обслуживание. Обычная стоимость поддержки будет применяться к дополнительным вопросам поддержки и проблемам, которые не подходят для этого конкретного исправления. Чтобы получить полный список номеров телефонов службы поддержки и обслуживания клиентов Майкрософт или создать отдельный запрос на обслуживание, посетите следующий веб-сайт Майкрософт:

http://support.microsoft.com/contactus/?ws=supportПримечание В форме «Исправление доступно для загрузки» отображаются языки, для которых доступно исправление. Если вы не видите свой язык, это означает, что для него недоступно исправление.

Предпосылки

Чтобы установить это исправление, необходимо сначала установить обновление 2919355 в Windows 8.1. Для получения дополнительной информации щелкните следующий номер статьи, чтобы перейти к статье в базе знаний Майкрософт:

2919355 Обновление для Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2, апрель 2014 г.

Информация о реестре

Чтобы использовать исправление в этом пакете, вам не нужно вносить какие-либо изменения в реестр.

Требование перезапустить

Возможно, вам придется перезагрузить компьютер после установки этого исправления.

Информация о замене исправлений

Это исправление не заменяет ранее выпущенное исправление.

Дополнительная информация

Как решить эту проблему, если она уже возникла

Система запросит у вас ключ восстановления BitLocker. Если у вас нет ключа восстановления, см. раздел Ключи восстановления BitLocker: часто задаваемые вопросы.

Полученное сообщение похоже на следующий снимок экрана.

Этапы перед установкой

Перед установкой исправления или обновления выполните следующие действия:

Введите правильный ключ восстановления BitLocker и нажмите «Продолжить».

Нажмите "Дополнительные параметры".

Экран "Автоматическое восстановление" похож на следующий снимок экрана.

Нажмите "Устранение неполадок".

Экран "Выберите вариант" выглядит следующим образом.

Нажмите "Дополнительные параметры".

Экран "Устранение неполадок" выглядит следующим образом.

Нажмите "Командная строка".

Экран "Командная строка" похож на следующий снимок экрана.

Выберите учетную запись для запуска и введите пароль.

В окне командной строки введите manage-bde –off c: и нажмите Enter.

Проверьте процесс расшифровки с помощью команды manage-bde –status c:.

Когда значение "Статус преобразования" станет полностью расшифрованным, введите exit, чтобы вернуться в меню на шаге 3.

Нажмите «Продолжить», чтобы перезагрузить компьютер.

Установите исправление или обновление, описанное в разделе "Как получить это обновление или исправление".

Вручную включите шифрование устройства. Для этого выполните следующие действия.

Проведите пальцем от правого края экрана, а затем коснитесь или щелкните Настройки.

В меню настроек ПК коснитесь или щелкните ПК и устройства.

В меню ПК и устройств коснитесь или щелкните Информация о ПК.

В области "Шифрование устройства" в разделе "Шифрование устройства отключено" нажмите Включить.

Для получения дополнительных сведений о терминологии обновлений программного обеспечения щелкните следующий номер статьи, чтобы перейти к статье в базе знаний Майкрософт:

824684 Описание стандартной терминологии, используемой для описания обновлений программного обеспечения Microsoft.

Глобальная версия этого исправления устанавливает файлы с атрибутами, перечисленными в следующих таблицах. Даты и время для этих файлов указаны в формате всемирного координированного времени (UTC). Даты и время для этих файлов на вашем локальном компьютере отображаются в вашем местном времени вместе с вашим текущим смещением летнего времени (DST). Кроме того, даты и время могут измениться при выполнении определенных операций с файлами.

Информация о файлах Windows 8.1 и примечанияВажные исправления для Windows 8.1 и исправления для Windows Server 2012 R2 включены в одни и те же пакеты. Однако исправления на странице запроса исправления перечислены для обеих операционных систем. Чтобы запросить пакет исправлений для одной или обеих операционных систем, выберите исправление, указанное в разделе «Windows 8.1/Windows Server 2012 R2» на странице. Всегда обращайтесь к разделу «Применимо к» в статьях, чтобы определить фактическую операционную систему, к которой относится каждое исправление.

Файлы, относящиеся к определенному продукту, вехе (окончательная первоначальная версия, SPn) и ветви обслуживания (LDR, GDR), можно определить, изучив номера версий файлов, как показано в следующей таблице:

Wireshark — это бесплатный инструмент, который должен быть в арсенале каждого специалиста по сетевым технологиям. Хотя это может быть довольно пугающим и громоздким инструментом, он позволяет проверять пакеты в их расчлененном виде.

Прелесть в том, что пакеты никогда не лгут. Если у вас возникают проблемы с сетью или вам просто нужно знать, что происходит в вашей сети, вы можете доверять данным Wireshark.

Wireshark потенциально является одним из лучших инструментов для анализа пакетов, доступных на сегодняшний день.

К счастью, загрузить и установить Wireshark очень просто.

Как скачать Wireshark для Windows 10 (или Windows Server 2019)

Как установить Wireshark для Windows 10 (или Windows Server 2019)

После перезагрузки компьютера вы должны найти ярлыки Wireshark в местах, указанных при установке. В этом примере ярлык был найден в меню «Пуск».

Что можно делать с помощью Wireshark

  • Глубокая проверка многочисленных протоколов
  • Запись в реальном времени с анализом в автономном режиме.
  • Стандартный браузер пакетов с тремя панелями
  • Запускайте в Windows, Linux, OS X, Solaris, FreeBSD, NetBSD и многих других.
  • Просматривайте захваченные сетевые данные через графический интерфейс или с помощью утилиты TShark в режиме TTY
  • Подробный анализ VoIP
  • Чтение/запись множества форматов файлов захвата
  • Чтение оперативных данных из Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay и FDDI.
  • Применяйте правила окраски к списку пакетов для быстрого и интуитивно понятного анализа.
  • Экспорт вывода в XML, PostScript, CSV или обычный текст

Что нового в Wireshark 2.6.1

  • Установщики Windows теперь поставляются с Qt 5.9.5.
  • Последняя версия Wireshark 2.6 с поддержкой устаревшего пользовательского интерфейса (GTK+). Wireshark 3.0 не поддерживает его.
  • Множество улучшений пользовательского интерфейса.

Исправлены ошибки

  • Dumpcap может не закрыться при сбое Wireshark или TShark. (Ошибка 1419)

Новые и обновленные функции Wireshark с версии 2.5.0

Полные примечания к версии 2.6.1 см. здесь.

Рекомендуется для вас: монитор производительности сети Solarwinds (NPM)

Знаете ли вы, в каком состоянии находится ваше сетевое оборудование? Знаете, когда что-то выходит из строя до того, как пользователь сообщит о проблеме? Знайте, куда уходит ваша пропускная способность или где вы теряете свои пакеты?

Автоматизируйте сбор данных и оповещение о вашей сетевой инфраструктуре с помощью Solarwinds NPM, чтобы вы точно знали, что происходит в вашей сети, и могли спать спокойно.

В отличие от других инструментов, NPM сразу готов к работе с наиболее распространенными моделями сетевого оборудования. Не нужно возиться с пользовательскими шаблонами, XML-файлами или кодом для извлечения важной информации.

Итак, здесь была грандиозная ветка, в которой моя проблема повторялась снова и снова, но администратор/техник отказывались забирать некоторые пакеты, чтобы посмотреть, что происходит.

У меня есть компьютер с Windows 10, который зависает и загружает сеть. Нет синего экрана или отчета о сбое, но экран/мышь/kbd зависают, а остальная часть сети непригодна для использования. Это совершенно случайно, но обычно происходит, когда компьютер не используется, и на некоторое время он исчез без изменений конфигурации, только с обновлениями Windows. Теперь он вернулся, и я хочу найти решение.

При использовании pihole я заметил, что количество запросов и клиентов увеличилось до более чем 2500 и осталось привязанным. Сегодня я установил wireshark, и когда я пришел домой к заблокированному компьютеру, я увидел, что журналы переполняются.

Кадр 661916: 60 байт на проводе (480 бит), 60 байт захвачено (480 бит) на интерфейсе 0
Идентификатор интерфейса: 0 (eth0)
Имя интерфейса: eth0
Тип инкапсуляции : Ethernet (1)
Время прибытия: 21 октября 2019 г. 17:08:18.210341722 EDT
[Временной сдвиг для этого пакета: 0,000000000 секунд]
Время эпохи: 1571692098,210341722 секунды
[ Разница во времени от предыдущего захваченного кадра: 0,033552994 секунды]
[Дельта времени от предыдущего отображаемого кадра: 0,033552994 секунды]
[Время, прошедшее с эталонного или первого кадра: 30878,662673490 секунд]
Номер кадра: 661916
Длина кадра: 60 ​​байт (480 бит)
Длина захвата: 60 ​​байт (480 бит)
[Фрейм помечен: False]
[Фрейм игнорируется: False]
[Протоколы во фрейме: eth:ethertype:macc]
[Имя правила окраски: Broadcast]
[Строка правила окраски: eth[0] & 1]
Ethernet II, источник: Spanning-tree -(для-мостов)_01 (01:80:c2:00:00:01), Dst: Spanning-tree-(для-мостов)_01 (01:80:c2:00:00:01)
Назначения: Spanning-tree-(for-bridges)_01 (01:80:c2:00:00:01)
Адрес: Spanning-tree-(for-bridges)_01 (01:80:c2:00:00: 01)
. ..0. . . . . = Бит LG: глобальный уникальный адрес (заводская установка)
. . 1 . . . . = Бит IG: групповой адрес (многоадресный/широковещательный)
Источник: Spanning-tree-(for-bridges)_01 (01:80:c2:00:00:01)
[Экспертная информация (предупреждение/ Протокол): Исходный MAC-адрес не должен быть групповым адресом: IEEE 802.3-2002, раздел 3.2.3(b)]
[Исходный MAC-адрес не должен быть групповым адресом: IEEE 802.3-2002, раздел 3.2.3(b)]. )]
[Уровень серьезности: Предупреждение]
[Группа: Протокол]
Адрес: Spanning-tree-(for-bridges)_01 (01:80:c2:00:00:01)
. ..0. . . . . = Бит LG: глобальный уникальный адрес (заводская установка)
. . 1 . . . . = Бит IG: Групповой адрес (многоадресная/широковещательная рассылка)
Тип: Управление MAC (0x8808)
Управление MAC
Код операции: Пауза (0x0001)
pause_time: 65535
< /p>

Этот wireshark подключен к другому порту коммутатора.

Я заказал управляемый коммутатор, который должен быть доставлен сегодня, и позволил мне отразить порт, чтобы я мог видеть, что извергает машина-нарушитель. На данный момент я решил опубликовать то, что у меня есть, и начать работу. Похоже, это что-то о связующем дереве, но я не эксперт в этом уровне детализации пакетов, поэтому публикую его здесь. Спасибо!

В этом разделе мы рассмотрим установку Wireshark под Windows из бинарных пакетов.

2.8.1. Установите Wireshark

Вы можете приобрести бинарный установщик Wireshark с именем вроде: wireshark-winxx-1.10.x.exe . Программа установки Wireshark включает WinPcap, поэтому вам не нужно загружать и устанавливать два отдельных пакета.

Если вы не уверены, какие настройки выбрать, просто оставьте значения по умолчанию.

2.8.1.1. Страница "Выбор компонентов"

Wireshark

Wireshark GTK — Wireshark – это анализатор сетевых протоколов с графическим интерфейсом.

TShark. TShark – это анализатор сетевых протоколов, работающий из командной строки.

Плагины/расширения (для движков анализа Wireshark и TShark):

Плагины Dissector — плагины с некоторыми расширенными рассечениями.

Плагины статистики дерева — плагины с расширенной статистикой.

SNMP MIB — SNMP MIB для более подробного анализа SNMP.

Инструменты (дополнительные инструменты командной строки для работы с файлами захвата):

Editcap. Editcap — это программа, которая считывает файл захвата и записывает некоторые или все пакеты в другой файл захвата.

Text2Pcap. Text2pcap — это программа, которая считывает шестнадцатеричный дамп ASCII и записывает данные в файл захвата в стиле libpcap.

Mergecap — Mergecap — это программа, которая объединяет несколько сохраненных файлов захвата в один выходной файл.

Capinfos. Capinfos – это программа, предоставляющая информацию о файлах захвата.

Rawshark — Rawshark – фильтр необработанных пакетов.

Руководство пользователя — локальная установка руководства пользователя. Кнопки справки в большинстве диалоговых окон требуют подключения к Интернету для отображения справочных страниц, если Руководство пользователя не установлено локально.

2.8.1.2. Страница "Дополнительные задачи"

Ярлыки меню "Пуск" – добавьте несколько ярлыков меню "Пуск".

Значок на рабочем столе — добавьте значок Wireshark на рабочий стол.

Значок быстрого запуска – добавьте значок Wireshark на панель быстрого запуска Explorer.

Связать расширения файлов с Wireshark — связать стандартные файлы сетевой трассировки с Wireshark.

2.8.1.3. "Установить WinPcap?" страница

Установщик Wireshark содержит последний выпущенный установщик WinPcap.

Если у вас не установлен WinPcap, вы не сможете захватывать сетевой трафик в реальном времени, но вы все равно сможете открывать сохраненные файлы захвата.

Текущая установленная версия WinPcap — программа установки Wireshark определяет текущую установленную версию WinPcap.

Установить WinPcap x.x — если текущая установленная версия старше той, которая поставляется с установщиком Wireshark (или WinPcap вообще не установлена), этот вариант будет выбран по умолчанию.

Запускать службу WinPcap "NPF" при запуске, чтобы пользователи без прав администратора могли выполнять захват.

Дополнительная информация о WinPcap:

2.8.1.4. Параметры командной строки

Вы можете просто запустить установщик Wireshark без каких-либо параметров командной строки, он покажет вам обычный интерактивный установщик.

Для особых случаев доступны некоторые параметры командной строки:

/NCRC отключает проверку CRC

/S автоматически запускает программу установки или удаления со значениями по умолчанию. Обратите внимание: автоматический установщик не установит WinPCap!

/desktopicon установка значка на рабочем столе, =yes - принудительная установка, =no - не устанавливать, в противном случае используйте настройки по умолчанию / пользовательские настройки. Этот параметр может быть полезен для автоматической установки.

/quicklaunchicon установка значка быстрого запуска, =yes - принудительная установка, =no - не устанавливать, в противном случае используйте настройки по умолчанию/пользовательские настройки.

/D устанавливает каталог установки по умолчанию ($INSTDIR), переопределяя InstallDir и InstallDirRegKey. Это должен быть последний параметр, используемый в командной строке, и он не должен содержать кавычек, даже если путь содержит пробелы.

Ошибка при копировании больших файлов на USB-накопитель

При копировании файлов на новый USB-накопитель я столкнулся с непредвиденными сообщениями об ошибках в Windows.

Сбой Robocopy:

Ошибка копирования команды:

Ошибка элемента копирования PowerShell:

Ошибка копирования и вставки проводника Windows:

Это побудило меня проверить файловую систему FAT32.

FAT32 имеет ограничение на размер файла 4 ГБ, и я сталкивался с этой проблемой раньше.

Как и раньше, я решил переформатировать флешку в NTFS, что решило проблему.

Восстановление после сбоя загрузки Linux с помощью fsck

Виртуальная машина Linux, используемая для разработки, работала ненадежно.

Программы не запускались, а работающая программа зависала.

Я решил перезапустить систему, однако она не запустилась снова.

Просто отображалось это сообщение:

Я попытался выйти из оболочки, что привело к следующему сообщению:

Кажется, повреждение файловой системы объясняет проблемы с надежностью и последующую ошибку загрузки.

Следовал предложению запустить fsck с помощью:

Приняты все исправления файловой системы, предложенные fsck.

(Нужно было использовать параметр -y)

Затем перезагрузил систему с помощью:

После восстановления файловой системы система загрузилась и выглядела полностью функциональной.

Заключение

Если система Linux не загружается и отображает только приглашение BusyBox/initramfs, попробуйте выйти из оболочки.

Это может предоставить информацию о реальной проблеме.

Проверка BAD_POOL_CALLER (c2) BSOD

Мой рабочий компьютер недавно снова вышел из строя с еще одним BSOD.

Проверил средство просмотра событий и обнаружил:

Проверил дамп памяти с помощью WinDbg (x64).

Подробности о сбое проверены с помощью:

Часть результата:

Изучил стек вызовов с помощью:

Драйвер avgtdia.sys вызвал сбой.

Изучена информация о драйвере avgtdia с помощью:

Обнаружено, что avgtdia.sys: средство наблюдения за сетевым подключением AVG

Это заставило меня заподозрить, что другие сбои BSOD также были вызваны AVG Internet Security:

Я решил удалить AVG Internet Security с помощью: AVG Remover

Установленная замена: Avira Antivirus

Раньше на этом компьютере случались два сбоя BSOD в неделю.

После удаления AVG Internet Security компьютер работает уже 1 неделю без сбоев…

Я надеюсь, что первопричина выявлена ​​и компьютер, наконец, будет работать стабильно и надежно.

Заключение

Обычными причинами проблем со стабильностью компьютера являются неисправные жесткие диски, неисправная память и драйверы с ошибками.

Похоже, что некоторые антивирусные продукты также могут вызывать проблемы со стабильностью, возможно, в сочетании с определенными драйверами или другим программным обеспечением системного уровня.

Сбой сборки Android Studio из-за Gradle NullPointerException

Недавно у меня возникли проблемы с Android Studio, когда он перестал очищать или перестраивать определенный проект.

Консоль Gradle показала это сообщение:

Пытался выбрать: меню "Файл" -> "Недействительные кеши" / "Перезапустить"…

К сожалению, это не имело никакого эффекта.

Поиск более подробной информации путем построения из командной строки с предложенными параметрами:

(Необходимо было регистрировать стандартный вывод и вывод ошибок отдельно, иначе они бы перепутались)

Однако вывод Gradle по-прежнему не объяснял четко, почему процесс сборки завершался сбоем.

Я закрыл проект Android Studio, переместил папку .gradle за пределы папки проекта и снова открыл проект Android Studio.

Это решило проблему!

Теперь можно было снова очистить и перестроить проект.

Заключение

Если Android Studio отказывается выполнять сборку из-за исключения NullPointerException от Gradle, попробуйте удалить или переместить папку .gradle из затронутого проекта.

Изучение BSOD SYSTEM_THREAD_EXCEPTION_NOT_HANDLED (7e)

Недавно на моем рабочем компьютере произошел сбой из-за BSOD сразу после того, как я вставил карту памяти USB 3.0.

Учитывая обстоятельства, я подозревал, что сбой вызван ошибкой драйвера USB.

Проверил средство просмотра событий и обнаружил:

Проверил дамп памяти с помощью WinDbg (x64).

Подробности о сбое проверены с помощью:

Часть результата:

Изучил стек вызовов с помощью:

Видимо, iusb3hub.sys вызвал нарушение прав доступа, читая с адреса 0 (ошибка нулевого указателя).

Изучена информация о драйвере iusb3hub с помощью:

Обнаружено, что водителю больше года.

Найдены сведения о «Корневом концентраторе Intel(R) USB 3.0» в диспетчере устройств.

Решил поискать обновленный драйвер.

Установлена ​​и запущена утилита обновления драйверов Intel, которая обнаружила более новый драйвер USB 3.0 (5.0.0.32)

Установил обновленный драйвер и перезагрузил систему.

Надеюсь, что это предотвратит сбой компьютера в будущем.

Проблема драйвера USB, препятствующая доступу к устройствам Samsung Android

Недавно у меня возникли проблемы с подключением к устройствам Samsung Android с помощью Android Studio с моего рабочего компьютера.

Нет доступных подключенных устройств.

Я проверил Диспетчер устройств и заметил предупреждение: SAMSUNG Mobile USB Composite Device

Проверил свойства и заметил статус устройства:

Я проверил сведения о драйвере и обнаружил, что драйвер неожиданно оказался usbpcap.sys.

(Проблема возникла после установки Wireshark и USBPcap…)

Я решил удалить USBPcap. Однако это не решило проблему, но изменило сообщение для сведений о драйвере на:

Решил проблему следующим образом:

<р>1. Нажато: Обновить драйвер…

<р>2. Нажато: Поиск драйвера на моем компьютере

<р>3. Нажато: позволь мне выбрать из списка драйверов устройств на моем компьютере

<р>6. Заметил сообщение: Windows успешно обновила программное обеспечение вашего драйвера

<р>7. Проверены сведения о драйвере, в котором теперь есть нужный файл драйвера:

Это решило проблему. Снова стало возможным подключаться к устройствам Samsung Android из Android Studio.

Изучение PFN_LIST_CORRUPT (4e) и PAGE_FAULT_IN_NONPAGED_AREA (50) BSOD

Недавно у меня возникли проблемы со стабильностью на новом рабочем компьютере, который вышел из строя с BSOD.

Я искал подсказки в средстве просмотра событий и нашел:

Проверил дамп памяти с помощью WinDbg (x64).

Подробности о сбое проверены с помощью:

Часть результата:

Изучил стек вызовов с помощью:

Проблемы с памятью обычно возникают из-за отказа модулей памяти, поэтому я протестировал память с помощью Memtest86+.

Успел запустить только на короткое время, но один раз тест прошел.

Однако на следующий день компьютер снова завис с другим BSOD…

Я нашел это в средстве просмотра событий:

Проверил новый дамп памяти с помощью:

Часть результата:

Изучил стек вызовов с помощью:

Еще один BSOD, связанный с доступом к памяти, явно указывал на проблемы с модулями памяти.

Запуск Memtest86+ на ночь в течение 15+ часов.

На следующий день Memtest86+ обнаружил 160 ошибок памяти…

Я решил переустановить модули памяти.

Затем снова запустил Memtest86+ на ночь почти на 16 часов.

На следующий день ошибок памяти обнаружено не было.

Надеемся, что причина и решение сбоев BSOD были найдены. Время покажет.

Wireshark может зависнуть при остановке захвата

У меня возникли проблемы с последними версиями Wireshark для Windows, включая текущую последнюю версию 2.2.3.

Обычно я использую Wireshark для захвата интересующего трафика, затем останавливаю захват и, наконец, анализирую трафик.

Однако Wireshark в Windows может зависнуть при остановке захвата…

Когда это происходит, пользовательский интерфейс Wireshark перестает отвечать на запросы:

Основной поток работает со 100% загрузкой ЦП.

И Process Monitor показывает, что процесс Wireshark снова и снова считывает «Конец файла» из одного и того же временного файла:

Начал отладку проблемы, сделав несколько дампов памяти процесса wireshark.exe с помощью procdump с помощью:

Открыл первый дамп памяти в WinDbg (x64).

Проверил стек вызовов основного потока (0) с помощью:

Проверил стек вызовов основного потока (0) на наличие всех дампов памяти с помощью сценария CDB, консольной версии WinDbg.

Использовал этот скрипт PowerShell:

Обнаружено, что все дампы памяти имеют один и тот же стек вызовов для потока 0, что также указывает на то, что WireShark завис или работает в бесконечном цикле.

Теперь я хотел определить, было ли это зависанием или бесконечным циклом.

Подключен к работающему, но не отвечающему процессу Wireshark с помощью WinDbg (x64).

Проведен эксперимент с установкой точек останова из исходного стека вызовов.

Установите одну точку останова в:

Результат после продолжения: постоянно срабатывала точка останова.

Это определенно указывало на бесконечный цикл.

Установите одну точку останова в:

Результат после продолжения: постоянно срабатывала точка останова.

Установите одну точку останова в:

Результат после продолжения: точка останова не достигнута (в течение 1 минуты)

Установите отдельные точки останова для различных функций Wireshark.

Точка останова не была достигнута, пока не была установлена ​​единственная точка останова в:

Результат после продолжения: постоянно срабатывала точка останова.

Это указывало на то, что в модуле Wireshark возник бесконечный цикл.

Просмотрел дизассемблирование и попробовал пошаговое выполнение с помощью:

Код определенно зацикливался, но проблема не была очевидна, если посмотреть на машинный код.

Скачал символы отладки и распаковал их во временную папку.

Затем изменил путь символа в WinDbg с помощью:

И перезагрузил символы с помощью:

Снова проверил стек вызовов с помощью:

Символы кажутся правильными и функциональными.

Хотел проверить расположение бесконечного цикла, снова установив точки останова.

Установите одну точку останова в:

Результат после продолжения: точка останова не достигнута (в течение 1 минуты)

Установите одну точку останова в:

Результат после продолжения: точка останова не достигнута (в течение 1 минуты)

Установите одну точку останова в:

Результат после продолжения: постоянно срабатывала точка останова.

Загрузил исходный код Wireshark отсюда:

Нашел и открыл: capture_info.c

Я выделил некоторые интересные места жирным шрифтом.

Цикл while продолжается до тех пор, пока значение to_read больше 0.

Заметил, что переменная to_read по-прежнему имеет значение 14.

to_read уменьшается только в том случае, если wtap_read возвращает ненулевое значение.

Кажется, что этого никогда не происходит, когда в Wireshark возникает бесконечный цикл.

Я заметил, что проблема, по-видимому, не возникает с Wireshark Legacy на основе GTK (по крайней мере, с настройками по умолчанию).

Я хотел определить причину разницы.

Исследованы символы для Wireshark (QT) с помощью:

Изучены символы для Wireshark Legacy (GTK) с помощью:

Обе версии включают функцию Capture_info_new_packets (…)

Проверил, где эта функция упоминается в исходном коде, с помощью grep (из Cygwin):

Проверил содержимое ui/capture.c и обнаружил:

Таким образом, функция capture_info_new_packets(…) будет вызываться только в том случае, если опция show_info имеет значение true…

Искали места, где show_info использовалось с:

Часть результата была следующей:

Для Wireshark Legacy (GTK) я проверил содержимое файла ui/gtk/capture_dlg.c и обнаружил следующее:

Для Wireshark Legacy (GTK) проблемы с бесконечным циклом можно избежать, включив этот параметр в диалоговом окне "Параметры захвата":

Скрыть диалоговое окно с информацией о снимке (настройка по умолчанию)

Для Wireshark (QT) я проверил содержимое ui/qt/capture_interfaces_dialog.cpp и обнаружил:

Для Wireshark (QT) проблемы с бесконечным циклом можно избежать, отключив этот параметр в диалоговом окне Capture Interfaces:

Показать диалоговое окно с дополнительной информацией о снимке (не по умолчанию)

Заключение

Проблема с бесконечным циклом постоянно возникает в зависимости от определенных настроек, поэтому причина проблемы, вероятно, найдена вместе с обходным решением.

Пока в Wireshark не будет исправлена ​​ошибка с бесконечным циклом, рекомендуется установить параметры Wireshark, как описано выше.

Проверка DRIVER_CORRUPTED_EXPOOL (c5) BSOD

Недавно на моем рабочем компьютере произошел сбой с BSOD при отключении или повторном подключении клиента Cisco AnyConnect Secure Mobility Client.

Учитывая обстоятельства, я подозревал, что виноват Cisco AnyConnect, но хотел это подтвердить.

Я начал искать информацию в средстве просмотра событий и нашел:

Необходимо проверить дамп памяти, поэтому запустил WinDbg (x64) и открыл:

Отображалось это сообщение:

Подробности проверены с помощью:

Часть результата:

Похоже, что сбой определенно был вызван ошибкой драйвера.

Теперь я хотел определить, какой драйвер вызвал проблему.

Проверил стек вызовов с помощью:

Заметил, что вызовы acsock64 происходили непосредственно перед сбоем.

Изучен доступная информация о acsock64 с помощью:

Часть результата:

Обратил внимание, что на момент написания статьи водителю было около 14 месяцев.

Найден файл драйвера в проводнике Windows в:

Затем проверьте Свойства. Просмотр сведений показал, что водитель был:

Перехватчик уровня сокетов Cisco AnyConnect Kernel Driver Framework

Это подтвердило мое подозрение, что Cisco AnyConnect, скорее всего, вызвала BSOD.

На данный момент я бы обновился до последней версии, если бы обновления для Cisco AnyConnect были в свободном доступе.

Вместо этого я решил установить и использовать порт OpenConnect для Windows в качестве альтернативы Cisco AnyConnect.

Изучение MEMORY_MANAGEMENT (1a) BSOD

Компьютер Lenovo Thinkpad T440p недавно вышел из строя с BSOD.

Я начал искать подсказки в средстве просмотра событий и обнаружил:

Решил изучить дамп памяти, поэтому запустил WinDbg (x64) и открыл:

Отображалось это сообщение:

Подробности проверены с помощью:

Часть результата:

Эта проблема указывала на аппаратный сбой, скорее всего, на неисправную память.

Итак, я загрузил Memtest86+ с USB-накопителя.

За несколько минут было обнаружено несколько ошибок.

Затем я протестировал каждый модуль памяти отдельно в обоих разъемах.

В каждом случае тест памяти обнаружил ошибки.

Решил протестировать еще один модуль памяти на 8 ГБ.

Всю ночь запускал Memtest86+ и не обнаружил ошибок при замене модуля памяти.

Заключение

Компьютер, который выходит из строя с BSOD MEMORY_MANAGEMENT (1a), скорее всего, имеет неисправную память.

Читайте также: