xsinlink的博客

在Windows升级过程中遇到0xC1900101错误，导致升级失败并回滚。通过分析升级日志和内存dump文件，发现错误与WinSetupMon文件过滤驱动有关。该驱动在升级过程中监控文件的重命名和删除操作，并在特定条件下触发蓝屏。进一步分析发现，蓝屏与文件状态保护机制相关，特别是当WinSetupMon检测到被跟踪的文件路径时，会主动触发蓝屏。通过解析注册表中的TrackingConfig配置，确定了被跟踪的文件路径，最终定位到问题根源。

ProcExp软件运行内存过高这个问题分析起来虽然不困难，但是这个是作为一个软件问题分析的典型，在这里文章记录一下相关过程，如果有更好的排查思路，希望大家能够指正和交流。当然这也是软件开发中一个典型的城门失火，殃及鱼池的案例。Aac3572MbHal_x86.exe泄漏了太多的句柄，没有被使用者发现，但是殃及了ProcExp使用了太多的内存，从而引发的一系列问题。那么是否真的就是Aac3572MbHal_x86.exe这款软件自己的BUG导致句柄的泄漏，还是另外其他的模块导致的呢？

当打开VMWare Workstation启动虚拟机的时候整个VMWare Workstation界面出现卡住，如下：紧接着VMWare Workstation出现错误，如下：如果通过管理员权限启动VMWare Workstation，那么虚拟机可以正常启动；那么是什么原因导致的呢？VMware Workstation 无法连接到虚拟机。请确保您有权运行该程序、访问该程序使用的所有目录以及访问所有临时文件目录。未能将管道连接到虚拟机: 系统找不到指定的文件。

GDI objectBitmapBrushDCCreateDCFontMemory DCDeleteDCMetafilePaletteRegion//...如果我们平时忘记调用的时候，就会造成GDI对象被泄漏。GDI对象作为一个Windows的内存资源，也占用其内存空间，并且需要用户自动管理和释放；为了降低GDI对象的资源泄漏，我们可以使用智能指针来管理GDI对象句柄。程序崩溃。UI资源显示异常。程序运行缓慢。

综上，我们总结一下发起电源IRP的整个过程。创建一个IRP。设置好IRP对应的DPC定时器看门狗，如果看门狗超时，那么就会直接蓝屏。将IRP放入到队列中，提交给来处理。从队列中取出IRP，然后发送IRP到指定的设备栈。IRP正常完成，那么取消DPC的看门狗。如果IRP超时，那么DPC定时器相应，然后蓝屏。我们先来看一个问题，据反馈系统大致运行7分钟之后出现蓝屏，为什么会是这个时间呢？4: kd>?0000012c。

说明当前正在执行DPC例程，并且超时了，可以直接看到DPC超时的原因（或者由于其他线程导致该DPC一直无法退出）。说明此时该CPU一直处于DPC状态执行，这个原因需要具体分析。!查看所有cpu的dpcwatchdog信息。!dpcs查看指定cpu的dpc例程信息。