【HCI-VT】windows 虚拟机频繁重启，7f蓝屏，dump分析

更新时间：2023-01-05

所属模块虚拟机内部 | 虚拟机内部环境问题

适用版本通用

windows 虚拟机频繁重启，7f蓝屏，有生成minidump

1. 打开windbg.exe，file->Symbol File Path，添加符号，如下图

2. 执行！analyze -v，查看蓝屏代码为7f，参数为0x00000008，双错误

3. 接着往下看，PROCESS_NAME: java.exe，这个就很可疑了，一号怀疑对象（奇安信的云锁应用）

同时显示有栈溢出

4. 接下往下看，tcpip.sys导致（怀疑病毒）

MODULE_NAME: tcpip

IMAGE_NAME: tcpip.sys

栈的起始为 ResGuard，这个是啥？？

5. 以上的看完，依然一头雾水，我们来重新理一下怀疑点和思路

a. 首先怀疑java.exe进程

b. tcpip.sys导致的内核异常，很可能中病毒

c. 分析多次蓝屏dump，问题模块固定为 java.exe和tcpip.sys，且栈起始点为ResGuard，这个也值得怀疑

7. 看完官方解释后，是内核栈溢出导致的系统蓝屏，导致内核栈溢出的可能情况为：驱动问题和病毒

a. 可以排除java.exe的问题，因为应用程序错误的话，只会使应用程序崩溃，不会导致蓝屏

b. 在克隆的虚拟机中做杀毒处理，未发现问题

c. 猜测ResGuard是一个驱动，由这个驱动导致异常，查看C:\Windows\System32\drivers目录下是否有这个文件

ResGuard.sys驱动导致的异常，这个驱动具体做了什么，需要和客户在确认

1. 确认ResGuard.sys是做什么的，是否可以卸载掉

2. 找ResGuard.sys的厂家确认异常

{{contentObj.name||'--'}}