<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";
        mso-fareast-language:SK;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 70.85pt 70.85pt 70.85pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="SK" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal" style="margin-bottom:12.0pt"><span style="color:#1F497D">Thanks both of you for your help and advice. I&nbsp;will try to verify if the memory is allocated. I&nbsp;have to convert the memory image to the crash dmp.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span style="color:#1F497D">The --base switch works very well. I&nbsp;overlooked it in the help.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span style="color:#1F497D">Thanks<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span style="color:#1F497D">Jaro<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:12.0pt"><br>
Od: &quot;Michael Hale Ligh&quot; &lt;<a href="mailto:michael.hale@gmail.com">michael.hale@gmail.com</a>&gt;<br>
Datum: po, 6. 3, 2013 16:48<br>
Předmět: [Vol-users] DPC procedure localization<br>
Komu: &quot;George M. Garner Jr.&quot; &lt;<a href="mailto:ggarner_online@gmgsystemsinc.com">ggarner_online@gmgsystemsinc.com</a>&gt;<br>
Kopie: &quot;vol-users&quot; &lt;<a href="mailto:vol-users@volatilityfoundation.org">vol-users@volatilityfoundation.org</a>&gt;<br>
<br>
<br>
Thanks for the explanation George!<br>
<br>
Jaroslav - to answer your other question &quot;how can I dump this using the<br>
offset 0x80013000?&quot; you can use the moddump plugin with --base= 0x80013000.<br>
<br>
MHL<br>
<br>
<br>
On Mon, Jun 3, 2013 at 10:43 AM, George M. Garner Jr. &lt;<br>
<a href="mailto:ggarner_online@gmgsystemsinc.com">ggarner_online@gmgsystemsinc.com</a>&gt; wrote:<br>
<br>
&gt; Jaroslav,<br>
&gt;<br>
&gt; Kernel timers come and go at a very high rate which leads to a significant<br>
&gt; number of invalid or spurious timer artifacts which result from the fact<br>
&gt; that the memory dump was acquired from the system while it was running.<br>
&gt; &nbsp;Not that the last two timers are signaled and the periods are not<br>
&gt; coherent. &nbsp;It is possible that the last two &quot;timer&quot; objects reside in<br>
&gt; memory that once was a kernel timer object and has since been freed and<br>
&gt; that some of the timer fields (e.g. the routine address) have been<br>
&gt; overwritten with incoherent data. &nbsp;Try running the !pool command on the<br>
&gt; last two timer addresses (0x863ead10 and 0x85e451e8) and see if that memory<br>
&gt; is currently allocated. &nbsp;(I am assuming that you either have or can convert<br>
&gt; your memory dump to MS crashdump format.)<br>
&gt;<br>
&gt; Regards,<br>
&gt;<br>
&gt; George.<br>
&gt;<br>
&gt;<br>
&gt; On 6/3/2013 9:15 AM, BRTAN Jaroslav wrote:<br>
&gt;<br>
&gt;&gt; Hi all,<br>
&gt;&gt;<br>
&gt;&gt; I'd like to ask you for your help with analysis. The timers module shows<br>
&gt;&gt; that there is a strange DPC at 0x8647e4e0.<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt; Timers module output:<br>
&gt;&gt;<br>
&gt;&gt; Offset(V) &nbsp;DueTime &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;Period(ms) Signaled &nbsp; Routine<br>
&gt;&gt; &nbsp;Module<br>
&gt;&gt; ---------- ------------------------ ---------- ---------- ----------<br>
&gt;&gt; ------<br>
&gt;&gt; 0x873097d0 0x0000002f:0x2db9d0c3 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; 0 - &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;0xa7386d8e<br>
&gt;&gt; arp1394.sys<br>
&gt;&gt; 0x85b9a2c8 0x8000002d:0x6d7d7c8e &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; 0 - &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;0x80538a98<br>
&gt;&gt; ntoskrnl.exe<br>
&gt;&gt; 0x8a332b20 0x0000002f:0x2ea5d991 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; 0 - &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;0xb9ddef1a<br>
&gt;&gt; NDIS.sys<br>
&gt;&gt; 0x863ead10 0x00010014:0x863ead28 &nbsp; &nbsp;-205...072 Yes &nbsp; &nbsp; &nbsp; &nbsp;0x8647e4e0<br>
&gt;&gt; UNKNOWN<br>
&gt;&gt; 0x85e451e8 0x00010014:0x85e45200 &nbsp; &nbsp;-205...072 Yes &nbsp; &nbsp; &nbsp; &nbsp;0x8647e4e0<br>
&gt;&gt; UNKNOWN<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt; ______________________________**_________________<br>
&gt; Vol-users mailing list<br>
&gt; <a href="mailto:Vol-users@volatilityfoundation.org">Vol-users@volatilityfoundation.org</a><br>
&gt; <a href="http://lists.volatilesystems.**com/mailman/listinfo/vol-users">http://lists.volatilesystems.**com/mailman/listinfo/vol-users</a>&lt;<a href="http://lists.volatilityfoundation.org/mailman/listinfo/vol-users">http://lists.volatilityfoundation.org/mailman/listinfo/vol-users</a>&gt;<br>
&gt;<br>
<br>
<o:p></o:p></p>
</div>

<DIV>
The information in this message may be proprietary and/or confidential, and protected from disclosure. If the reader of this message is not the intended recipient, or an employee or agent responsible for delivering this message to the intended recipient, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error, please notify First Data immediately by replying to this message and deleting it from your computer.<BR>
</DIV></body>
</html>