<div dir="ltr">Thanks for the explanation George! <div><br></div><div style>Jaroslav - to answer your other question &quot;<span style="font-family:arial,sans-serif;font-size:13px">how can I dump this using the offset 0x80013000?&quot; you can use the moddump plugin with --base=</span><span style="font-family:arial,sans-serif;font-size:13px"> 0x80013000. </span></div>
<div style><span style="font-family:arial,sans-serif;font-size:13px"><br></span></div><div style><span style="font-family:arial,sans-serif;font-size:13px">MHL</span></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">
On Mon, Jun 3, 2013 at 10:43 AM, George M. Garner Jr. <span dir="ltr">&lt;<a href="mailto:ggarner_online@gmgsystemsinc.com" target="_blank">ggarner_online@gmgsystemsinc.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Jaroslav,<br>
<br>
Kernel timers come and go at a very high rate which leads to a significant number of invalid or spurious timer artifacts which result from the fact that the memory dump was acquired from the system while it was running.  Not that the last two timers are signaled and the periods are not coherent.  It is possible that the last two &quot;timer&quot; objects reside in memory that once was a kernel timer object and has since been freed and that some of the timer fields (e.g. the routine address) have been overwritten with incoherent data.  Try running the !pool command on the last two timer addresses (0x863ead10 and 0x85e451e8) and see if that memory is currently allocated.  (I am assuming that you either have or can convert your memory dump to MS crashdump format.)<br>

<br>
Regards,<br>
<br>
George.<div class="im"><br>
<br>
On 6/3/2013 9:15 AM, BRTAN Jaroslav wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi all,<br>
<br>
I&#39;d like to ask you for your help with analysis. The timers module shows that there is a strange DPC at 0x8647e4e0.<br>
<br>
<br>
Timers module output:<br>
<br>
Offset(V)  DueTime                  Period(ms) Signaled   Routine    Module<br>
---------- ------------------------ ---------- ---------- ---------- ------<br>
0x873097d0 0x0000002f:0x2db9d0c3             0 -          0xa7386d8e arp1394.sys<br>
0x85b9a2c8 0x8000002d:0x6d7d7c8e             0 -          0x80538a98 ntoskrnl.exe<br>
0x8a332b20 0x0000002f:0x2ea5d991             0 -          0xb9ddef1a NDIS.sys<br>
0x863ead10 0x00010014:0x863ead28    -205...072 Yes        0x8647e4e0 UNKNOWN<br>
0x85e451e8 0x00010014:0x85e45200    -205...072 Yes        0x8647e4e0 UNKNOWN<br>
<br>
</blockquote>
<br></div>
______________________________<u></u>_________________<br>
Vol-users mailing list<br>
<a href="mailto:Vol-users@volatilityfoundation.org" target="_blank">Vol-users@volatilityfoundation.org</a><br>
<a href="http://lists.volatilityfoundation.org/mailman/listinfo/vol-users" target="_blank">http://lists.volatilesystems.<u></u>com/mailman/listinfo/vol-users</a><br>
</blockquote></div><br></div>