Reconstructing a Corrupted Stack Crawl

For my day job, I frequently look at reports that come out of WinQual from Microsoft. These reports contain crash dumps that I can use to determine what’s going wrong with the software I’ve been working on. All in all, it’s a fantastic system and I highly recommend any ISV sign up (especially considering that it’s free for anyone with properly signed executables). Recently, I received a crash dump which had an corrupted stack crawl. I wanted to cover how you can use WinDbg to reconstruct a corrupted stack crawl.

To start with, let’s see what the original stack looks like. To do this, we use the “k” command in WinDbg.

0:000> k
ChildEBP RetAddr  
028b89cc 77c75350 ntdll!KiFastSystemCallRet
028b89d0 77c4b208 ntdll!ZwTerminateProcess+0xc
028b89e0 763e41ec ntdll!RtlExitUserProcess+0x7a
028b89f4 10056386 kernel32!ExitProcess+0x12
WARNING: Stack unwind information not available. Following frames may be wrong.
028b89fc 100565a0 EyeOneIO!I1_SynchronizeWhitebases+0xf0f6
028b8a0c 10054803 EyeOneIO!I1_SynchronizeWhitebases+0xf310
00000000 00000000 EyeOneIO!I1_SynchronizeWhitebases+0xd573

There are a few tell-tale signs that this stack is corrupted. For starters, the base of the stack never starts at 0x00000000. Usually, it starts in a call to your executable’s main entrypoint or a thread entrypoint. But we see there’s no evidence of that on this stack. Also, the crawl tells you that something is amiss with the “Following frames may be wrong.” warning.

The first step to reconstructing the stack is to look at the current executing thread’s execution block to determine where the stack starts and stops. We do this using the !teb extension command, and receive:

0:000> !teb
TEB at 7ffdb000
    ExceptionList:        028b8a28
    StackBase:            028c0000
    StackLimit:           028b6000
    SubSystemTib:         00000000
    FiberData:            00001e00
    ArbitraryUserPointer: 00000000
    Self:                 7ffdb000
    EnvironmentPointer:   00000000
    ClientId:             00000a4c . 00000e3c
    RpcHandle:            00000000
    Tls Storage:          7ffdb02c
    PEB Address:          7ffdf000
    LastErrorValue:       14007
    LastStatusValue:      c0150008
    Count Owned Locks:    0
    HardErrorMode:        0

The stack base and stack limits tell us what memory range is valid for our callstack — so now we can dump that memory location to look for items of interest. WinDbg has a handy command just for this, dds, which dumps the range of memory given and attempts to resolve each ptr-sized location as a symbol. The resulting dump contains three columns of data: the memory location being viewed, the ptr-sized value at that memory location, and the symbol’s name if the value could be resolved as a symbol.

My stack dump looks like this (with boring pieces elided):

028b6000  00000000
...
028bf9d8  00000000
028bf9dc  00000000
028bf9e0  79035b7f
028bf9e4  028bfa1c
028bf9e8  6e760b5b i1IO!i1IO::measureOneStrip+0xbb
028bf9ec  42b840fc
...
028bfa18  00000000
028bfa1c  028bfd98
028bfa20  6e763387 i1IO!i1IO::_measureSingleRowScanThreaded+0x1467
028bfa24  42b840fc
...
028bfd94  00000006
028bfd98  028bfe2c
028bfd9c  6e761062 i1IO!i1IO::_advancedMeasureThreaded+0x222
028bfda0  013a8520
028bfda4  79035e2e
...
028bfe28  00000000
028bfe2c  028bfe38
028bfe30  763ed0e9 kernel32!BaseThreadInitThunk+0xe
028bfe34  012118e0
028bfe38  028bfe78
028bfe3c  77c516c3 ntdll!__RtlUserThreadStart+0x23
028bfe40  012118e0
...
028bfe74  00000000
028bfe78  028bfe90
028bfe7c  77c51696 ntdll!_RtlUserThreadStart+0x1b
028bfe80  6e760e40 i1IO!i1IO::_advancedMeasureThreaded
...
028c0000  ????????

The actual stack dump is considerably larger than this, but I’ve kept only the relevant pieces for brevity.

The first thing you should do is locate something on the stack that looks like it should be fairly near the start of the stack. In this case, RtlUserThreadStart is a great place to begin from — it should the base of the thread’s stack. Once you’ve found your starting point, take the value from the first column and search for it. You should find a corresponding value (the second column) further up the stack. Take that memory location and search for it. Continue to search the stack in this way until your search comes back empty.

From our example, we start here:

028bfe78  028bfe90
028bfe7c  77c51696 ntdll!_RtlUserThreadStart+0x1b

Searching for 028bfe78 brings us to:

028bfe38  028bfe78
028bfe3c  77c516c3 ntdll!__RtlUserThreadStart+0x23

Searching for 028bfe38 brings us to:

028bfe2c  028bfe38
028bfe30  763ed0e9 kernel32!BaseThreadInitThunk+0xe

Searching for 028bfe2c brings us to:

028bfd98  028bfe2c
028bfd9c  6e761062 i1IO!i1IO::_advancedMeasureThreaded+0x222

Searching for 028bfd98 brings us to:

028bfa1c  028bfd98
028bfa20  6e763387 i1IO!i1IO::_measureSingleRowScanThreaded+0x1467

Searching for 028bfa1c brings us to:

028bf9e4  028bfa1c
028bf9e8  6e760b5b i1IO!i1IO::measureOneStrip+0xbb

Then, searching for 028bf9e4 brings us nowhere. So we’ve reached a point where we can try to have WinDbg fix our stack for us by giving it a hint where to look. Using the L parameter and passing in the last value we searched for should give us better results.

0:000> k L=028bf9e4
ChildEBP RetAddr  
028b89cc 77c75350 ntdll!KiFastSystemCallRet
028b89d0 77c4b208 ntdll!ZwTerminateProcess+0xc
028bf9e4 6e760b5b ntdll!RtlExitUserProcess+0x7a
028bfa1c 6e763387 i1IO!i1IO::measureOneStrip+0xbb
028bfd98 6e761062 i1IO!i1IO::_measureSingleRowScanThreaded+0x1467
028bfe2c 763ed0e9 i1IO!i1IO::_advancedMeasureThreaded+0x222
028bfe38 77c516c3 kernel32!BaseThreadInitThunk+0xe
028bfe78 77c51696 ntdll!__RtlUserThreadStart+0x23
028bfe90 00000000 ntdll!_RtlUserThreadStart+0x1b

Now that looks like a much healthier stack crawl! No warnings about incorrect frames, and the base of the call stack looks sane. Hopefully you can use this trick at some point in your own debugging scenarios.

This entry was posted in Win32 and tagged , , . Bookmark the permalink.

4 Responses to Reconstructing a Corrupted Stack Crawl

  1. Paul Spark says:

    This is great if your stack contains some meaningful addresses.. What would you do in case like mine where the entire stack seems to be corrupted?

    0:000> !teb
    TEB at 7ffde000
    ExceptionList: 0012ffe0
    StackBase: 00130000
    StackLimit: 0012f000
    SubSystemTib: 00000000
    FiberData: 00001e00
    ArbitraryUserPointer: 00000000
    Self: 7ffde000
    EnvironmentPointer: 00000000
    ClientId: 0000024c . 00000250
    RpcHandle: 00000000
    Tls Storage: 00000000
    PEB Address: 7ffdf000
    LastErrorValue: 0
    LastStatusValue: 0
    Count Owned Locks: 0
    HardErrorMode: 0
    0:000> dds 0012f000 00130000
    0012f000 ????????
    0012f004 ????????
    0012f008 ????????
    0012f00c ????????
    0012f010 ????????
    0012f014 ????????
    0012f018 ????????
    0012f01c ????????
    0012f020 ????????
    0012f024 ????????
    0012f028 ????????
    0012f02c ????????
    0012f030 ????????
    0012f034 ????????
    0012f038 ????????
    0012f03c ????????
    0012f040 ????????
    0012f044 ????????
    0012f048 ????????
    0012f04c ????????
    0012f050 ????????
    0012f054 ????????
    0012f058 ????????
    0012f05c ????????
    0012f060 ????????
    0012f064 ????????
    0012f068 ????????
    0012f06c ????????
    0012f070 ????????
    0012f074 ????????
    0012f078 ????????
    0012f07c ????????
    0012f080 ????????
    0012f084 ????????
    0012f088 ????????
    0012f08c ????????
    0012f090 ????????
    0012f094 ????????
    0012f098 ????????
    0012f09c ????????
    0012f0a0 ????????
    0012f0a4 ????????
    0012f0a8 ????????
    0012f0ac ????????
    0012f0b0 ????????
    0012f0b4 ????????
    0012f0b8 ????????
    0012f0bc ????????
    0012f0c0 ????????
    0012f0c4 ????????
    0012f0c8 ????????
    0012f0cc ????????
    0012f0d0 ????????
    0012f0d4 ????????
    0012f0d8 ????????
    0012f0dc ????????
    0012f0e0 ????????
    0012f0e4 ????????
    0012f0e8 ????????
    0012f0ec ????????
    0012f0f0 ????????
    0012f0f4 ????????
    0012f0f8 ????????
    0012f0fc ????????
    0012f100 ????????
    0012f104 ????????
    0012f108 ????????
    0012f10c ????????
    0012f110 ????????
    0012f114 ????????
    0012f118 ????????
    0012f11c ????????
    0012f120 ????????
    0012f124 ????????
    0012f128 ????????
    0012f12c ????????
    0012f130 ????????
    0012f134 ????????
    0012f138 ????????
    0012f13c ????????
    0012f140 ????????
    0012f144 ????????
    0012f148 ????????
    0012f14c ????????
    0012f150 ????????
    0012f154 ????????
    0012f158 ????????
    0012f15c ????????
    0012f160 ????????
    0012f164 ????????
    0012f168 ????????
    0012f16c ????????
    0012f170 ????????
    0012f174 ????????
    0012f178 ????????
    0012f17c ????????
    0012f180 ????????
    0012f184 ????????
    0012f188 ????????
    0012f18c ????????
    0012f190 ????????
    0012f194 ????????
    0012f198 ????????
    0012f19c ????????
    0012f1a0 ????????
    0012f1a4 ????????
    0012f1a8 ????????
    0012f1ac ????????
    0012f1b0 ????????
    0012f1b4 ????????
    0012f1b8 ????????
    0012f1bc ????????
    0012f1c0 ????????
    0012f1c4 ????????
    0012f1c8 ????????
    0012f1cc ????????
    0012f1d0 ????????
    0012f1d4 ????????
    0012f1d8 ????????
    0012f1dc ????????
    0012f1e0 ????????
    0012f1e4 ????????
    0012f1e8 ????????
    0012f1ec ????????
    0012f1f0 ????????
    0012f1f4 ????????
    0012f1f8 ????????
    0012f1fc ????????
    0012f200 ????????
    0012f204 ????????
    0012f208 ????????
    0012f20c ????????
    0012f210 ????????
    0012f214 ????????
    0012f218 ????????
    0012f21c ????????
    0012f220 ????????
    0012f224 ????????
    0012f228 ????????
    0012f22c ????????
    0012f230 ????????
    0012f234 ????????
    0012f238 ????????
    0012f23c ????????
    0012f240 ????????
    0012f244 ????????
    0012f248 ????????
    0012f24c ????????
    0012f250 ????????
    0012f254 ????????
    0012f258 ????????
    0012f25c ????????
    0012f260 ????????
    0012f264 ????????
    0012f268 ????????
    0012f26c ????????
    0012f270 ????????
    0012f274 ????????
    0012f278 ????????
    0012f27c ????????
    0012f280 ????????
    0012f284 ????????
    0012f288 ????????
    0012f28c ????????
    0012f290 ????????
    0012f294 ????????
    0012f298 ????????
    0012f29c ????????
    0012f2a0 ????????
    0012f2a4 ????????
    0012f2a8 ????????
    0012f2ac ????????
    0012f2b0 ????????
    0012f2b4 ????????
    0012f2b8 ????????
    0012f2bc ????????
    0012f2c0 ????????
    0012f2c4 ????????
    0012f2c8 ????????
    0012f2cc ????????
    0012f2d0 ????????
    0012f2d4 ????????
    0012f2d8 ????????
    0012f2dc ????????
    0012f2e0 ????????
    0012f2e4 ????????
    0012f2e8 ????????
    0012f2ec ????????
    0012f2f0 ????????
    0012f2f4 ????????
    0012f2f8 ????????
    0012f2fc ????????
    0012f300 ????????
    0012f304 ????????
    0012f308 ????????
    0012f30c ????????
    0012f310 ????????
    0012f314 ????????
    0012f318 ????????
    0012f31c ????????
    0012f320 ????????
    0012f324 ????????
    0012f328 ????????
    0012f32c ????????
    0012f330 ????????
    0012f334 ????????
    0012f338 ????????
    0012f33c ????????
    0012f340 ????????
    0012f344 ????????
    0012f348 ????????
    0012f34c ????????
    0012f350 ????????
    0012f354 ????????
    0012f358 ????????
    0012f35c ????????
    0012f360 ????????
    0012f364 ????????
    0012f368 ????????
    0012f36c ????????
    0012f370 ????????
    0012f374 ????????
    0012f378 ????????
    0012f37c ????????
    0012f380 ????????
    0012f384 ????????
    0012f388 ????????
    0012f38c ????????
    0012f390 ????????
    0012f394 ????????
    0012f398 ????????
    0012f39c ????????
    0012f3a0 ????????
    0012f3a4 ????????
    0012f3a8 ????????
    0012f3ac ????????
    0012f3b0 ????????
    0012f3b4 ????????
    0012f3b8 ????????
    0012f3bc ????????
    0012f3c0 ????????
    0012f3c4 ????????
    0012f3c8 ????????
    0012f3cc ????????
    0012f3d0 ????????
    0012f3d4 ????????
    0012f3d8 ????????
    0012f3dc ????????
    0012f3e0 ????????
    0012f3e4 ????????
    0012f3e8 ????????
    0012f3ec ????????
    0012f3f0 ????????
    0012f3f4 ????????
    0012f3f8 ????????
    0012f3fc ????????
    0012f400 ????????
    0012f404 ????????
    0012f408 ????????
    0012f40c ????????
    0012f410 ????????
    0012f414 ????????
    0012f418 ????????
    0012f41c ????????
    0012f420 ????????
    0012f424 ????????
    0012f428 ????????
    0012f42c ????????
    0012f430 ????????
    0012f434 ????????
    0012f438 ????????
    0012f43c ????????
    0012f440 ????????
    0012f444 ????????
    0012f448 ????????
    0012f44c ????????
    0012f450 ????????
    0012f454 ????????
    0012f458 ????????
    0012f45c ????????
    0012f460 ????????
    0012f464 ????????
    0012f468 ????????
    0012f46c ????????
    0012f470 ????????
    0012f474 ????????
    0012f478 ????????
    0012f47c ????????
    0012f480 ????????
    0012f484 ????????
    0012f488 ????????
    0012f48c ????????
    0012f490 ????????
    0012f494 ????????
    0012f498 ????????
    0012f49c ????????
    0012f4a0 ????????
    0012f4a4 ????????
    0012f4a8 ????????
    0012f4ac ????????
    0012f4b0 ????????
    0012f4b4 ????????
    0012f4b8 ????????
    0012f4bc ????????
    0012f4c0 ????????
    0012f4c4 ????????
    0012f4c8 ????????
    0012f4cc ????????
    0012f4d0 ????????
    0012f4d4 ????????
    0012f4d8 ????????
    0012f4dc ????????
    0012f4e0 ????????
    0012f4e4 ????????
    0012f4e8 ????????
    0012f4ec ????????
    0012f4f0 ????????
    0012f4f4 ????????
    0012f4f8 ????????
    0012f4fc ????????
    0012f500 ????????
    0012f504 ????????
    0012f508 ????????
    0012f50c ????????
    0012f510 ????????
    0012f514 ????????
    0012f518 ????????
    0012f51c ????????
    0012f520 ????????
    0012f524 ????????
    0012f528 ????????
    0012f52c ????????
    0012f530 ????????
    0012f534 ????????
    0012f538 ????????
    0012f53c ????????
    0012f540 ????????
    0012f544 ????????
    0012f548 ????????
    0012f54c ????????
    0012f550 ????????
    0012f554 ????????
    0012f558 ????????
    0012f55c ????????
    0012f560 ????????
    0012f564 ????????
    0012f568 ????????
    0012f56c ????????
    0012f570 ????????
    0012f574 ????????
    0012f578 ????????
    0012f57c ????????
    0012f580 ????????
    0012f584 ????????
    0012f588 ????????
    0012f58c ????????
    0012f590 ????????
    0012f594 ????????
    0012f598 ????????
    0012f59c ????????
    0012f5a0 ????????
    0012f5a4 ????????
    0012f5a8 ????????
    0012f5ac ????????
    0012f5b0 ????????
    0012f5b4 ????????
    0012f5b8 ????????
    0012f5bc ????????
    0012f5c0 ????????
    0012f5c4 ????????
    0012f5c8 ????????
    0012f5cc ????????
    0012f5d0 ????????
    0012f5d4 ????????
    0012f5d8 ????????
    0012f5dc ????????
    0012f5e0 ????????
    0012f5e4 ????????
    0012f5e8 ????????
    0012f5ec ????????
    0012f5f0 ????????
    0012f5f4 ????????
    0012f5f8 ????????
    0012f5fc ????????
    0012f600 ????????
    0012f604 ????????
    0012f608 ????????
    0012f60c ????????
    0012f610 ????????
    0012f614 ????????
    0012f618 ????????
    0012f61c ????????
    0012f620 ????????
    0012f624 ????????
    0012f628 ????????
    0012f62c ????????
    0012f630 ????????
    0012f634 ????????
    0012f638 ????????
    0012f63c ????????
    0012f640 ????????
    0012f644 ????????
    0012f648 ????????
    0012f64c ????????
    0012f650 ????????
    0012f654 ????????
    0012f658 ????????
    0012f65c ????????
    0012f660 ????????
    0012f664 ????????
    0012f668 ????????
    0012f66c ????????
    0012f670 ????????
    0012f674 ????????
    0012f678 ????????
    0012f67c ????????
    0012f680 ????????
    0012f684 ????????
    0012f688 ????????
    0012f68c ????????
    0012f690 ????????
    0012f694 ????????
    0012f698 ????????
    0012f69c ????????
    0012f6a0 ????????
    0012f6a4 ????????
    0012f6a8 ????????
    0012f6ac ????????
    0012f6b0 ????????
    0012f6b4 ????????
    0012f6b8 ????????
    0012f6bc ????????
    0012f6c0 ????????
    0012f6c4 ????????
    0012f6c8 ????????
    0012f6cc ????????
    0012f6d0 ????????
    0012f6d4 ????????
    0012f6d8 ????????
    0012f6dc ????????
    0012f6e0 ????????
    0012f6e4 ????????
    0012f6e8 ????????
    0012f6ec ????????
    0012f6f0 ????????
    0012f6f4 ????????
    0012f6f8 ????????
    0012f6fc ????????
    0012f700 ????????
    0012f704 ????????
    0012f708 ????????
    0012f70c ????????
    0012f710 ????????
    0012f714 ????????
    0012f718 ????????
    0012f71c ????????
    0012f720 ????????
    0012f724 ????????
    0012f728 ????????
    0012f72c ????????
    0012f730 ????????
    0012f734 ????????
    0012f738 ????????
    0012f73c ????????
    0012f740 ????????
    0012f744 ????????
    0012f748 ????????
    0012f74c ????????
    0012f750 ????????
    0012f754 ????????
    0012f758 ????????
    0012f75c ????????
    0012f760 ????????
    0012f764 ????????
    0012f768 ????????
    0012f76c ????????
    0012f770 ????????
    0012f774 ????????
    0012f778 ????????
    0012f77c ????????
    0012f780 ????????
    0012f784 ????????
    0012f788 ????????
    0012f78c ????????
    0012f790 ????????
    0012f794 ????????
    0012f798 ????????
    0012f79c ????????
    0012f7a0 ????????
    0012f7a4 ????????
    0012f7a8 ????????
    0012f7ac ????????
    0012f7b0 ????????
    0012f7b4 ????????
    0012f7b8 ????????
    0012f7bc ????????
    0012f7c0 ????????
    0012f7c4 ????????
    0012f7c8 ????????
    0012f7cc ????????
    0012f7d0 ????????
    0012f7d4 ????????
    0012f7d8 ????????
    0012f7dc ????????
    0012f7e0 ????????
    0012f7e4 ????????
    0012f7e8 ????????
    0012f7ec ????????
    0012f7f0 ????????
    0012f7f4 ????????
    0012f7f8 ????????
    0012f7fc ????????
    0012f800 ????????
    0012f804 ????????
    0012f808 ????????
    0012f80c ????????
    0012f810 ????????
    0012f814 ????????
    0012f818 ????????
    0012f81c ????????
    0012f820 ????????
    0012f824 ????????
    0012f828 ????????
    0012f82c ????????
    0012f830 ????????
    0012f834 ????????
    0012f838 ????????
    0012f83c ????????
    0012f840 ????????
    0012f844 ????????
    0012f848 ????????
    0012f84c ????????
    0012f850 ????????
    0012f854 ????????
    0012f858 ????????
    0012f85c ????????
    0012f860 ????????
    0012f864 ????????
    0012f868 ????????
    0012f86c ????????
    0012f870 ????????
    0012f874 ????????
    0012f878 ????????
    0012f87c ????????
    0012f880 ????????
    0012f884 ????????
    0012f888 ????????
    0012f88c ????????
    0012f890 ????????
    0012f894 ????????
    0012f898 ????????
    0012f89c ????????
    0012f8a0 ????????
    0012f8a4 ????????
    0012f8a8 ????????
    0012f8ac ????????
    0012f8b0 ????????
    0012f8b4 ????????
    0012f8b8 ????????
    0012f8bc ????????
    0012f8c0 ????????
    0012f8c4 ????????
    0012f8c8 ????????
    0012f8cc ????????
    0012f8d0 ????????
    0012f8d4 ????????
    0012f8d8 ????????
    0012f8dc ????????
    0012f8e0 ????????
    0012f8e4 ????????
    0012f8e8 ????????
    0012f8ec ????????
    0012f8f0 ????????
    0012f8f4 ????????
    0012f8f8 ????????
    0012f8fc ????????
    0012f900 ????????
    0012f904 ????????
    0012f908 ????????
    0012f90c ????????
    0012f910 ????????
    0012f914 ????????
    0012f918 ????????
    0012f91c ????????
    0012f920 ????????
    0012f924 ????????
    0012f928 ????????
    0012f92c ????????
    0012f930 ????????
    0012f934 ????????
    0012f938 ????????
    0012f93c ????????
    0012f940 ????????
    0012f944 ????????
    0012f948 ????????
    0012f94c ????????
    0012f950 ????????
    0012f954 ????????
    0012f958 ????????
    0012f95c ????????
    0012f960 ????????
    0012f964 ????????
    0012f968 ????????
    0012f96c ????????
    0012f970 ????????
    0012f974 ????????
    0012f978 ????????
    0012f97c ????????
    0012f980 ????????
    0012f984 ????????
    0012f988 ????????
    0012f98c ????????
    0012f990 ????????
    0012f994 ????????
    0012f998 ????????
    0012f99c ????????
    0012f9a0 ????????
    0012f9a4 ????????
    0012f9a8 ????????
    0012f9ac ????????
    0012f9b0 ????????
    0012f9b4 ????????
    0012f9b8 ????????
    0012f9bc ????????
    0012f9c0 ????????
    0012f9c4 ????????
    0012f9c8 ????????
    0012f9cc ????????
    0012f9d0 ????????
    0012f9d4 ????????
    0012f9d8 ????????
    0012f9dc ????????
    0012f9e0 ????????
    0012f9e4 ????????
    0012f9e8 ????????
    0012f9ec ????????
    0012f9f0 ????????
    0012f9f4 ????????
    0012f9f8 ????????
    0012f9fc ????????
    0012fa00 ????????
    0012fa04 ????????
    0012fa08 ????????
    0012fa0c ????????
    0012fa10 ????????
    0012fa14 ????????
    0012fa18 ????????
    0012fa1c ????????
    0012fa20 ????????
    0012fa24 ????????
    0012fa28 ????????
    0012fa2c ????????
    0012fa30 ????????
    0012fa34 ????????
    0012fa38 ????????
    0012fa3c ????????
    0012fa40 ????????
    0012fa44 ????????
    0012fa48 ????????
    0012fa4c ????????
    0012fa50 ????????
    0012fa54 ????????
    0012fa58 ????????
    0012fa5c ????????
    0012fa60 ????????
    0012fa64 ????????
    0012fa68 ????????
    0012fa6c ????????
    0012fa70 ????????
    0012fa74 ????????
    0012fa78 ????????
    0012fa7c ????????
    0012fa80 ????????
    0012fa84 ????????
    0012fa88 ????????
    0012fa8c ????????
    0012fa90 ????????
    0012fa94 ????????
    0012fa98 ????????
    0012fa9c ????????
    0012faa0 ????????
    0012faa4 ????????
    0012faa8 ????????
    0012faac ????????
    0012fab0 ????????
    0012fab4 ????????
    0012fab8 ????????
    0012fabc ????????
    0012fac0 ????????
    0012fac4 ????????
    0012fac8 ????????
    0012facc ????????
    0012fad0 ????????
    0012fad4 ????????
    0012fad8 ????????
    0012fadc ????????
    0012fae0 ????????
    0012fae4 ????????
    0012fae8 ????????
    0012faec ????????
    0012faf0 ????????
    0012faf4 ????????
    0012faf8 ????????
    0012fafc ????????
    0012fb00 ????????
    0012fb04 ????????
    0012fb08 ????????
    0012fb0c ????????
    0012fb10 ????????
    0012fb14 ????????
    0012fb18 ????????
    0012fb1c ????????
    0012fb20 ????????
    0012fb24 ????????
    0012fb28 ????????
    0012fb2c ????????
    0012fb30 ????????
    0012fb34 ????????
    0012fb38 ????????
    0012fb3c ????????
    0012fb40 ????????
    0012fb44 ????????
    0012fb48 ????????
    0012fb4c ????????
    0012fb50 ????????
    0012fb54 ????????
    0012fb58 ????????
    0012fb5c ????????
    0012fb60 ????????
    0012fb64 ????????
    0012fb68 ????????
    0012fb6c ????????
    0012fb70 ????????
    0012fb74 ????????
    0012fb78 ????????
    0012fb7c ????????
    0012fb80 ????????
    0012fb84 ????????
    0012fb88 ????????
    0012fb8c ????????
    0012fb90 ????????
    0012fb94 ????????
    0012fb98 ????????
    0012fb9c ????????
    0012fba0 ????????
    0012fba4 ????????
    0012fba8 ????????
    0012fbac ????????
    0012fbb0 ????????
    0012fbb4 ????????
    0012fbb8 ????????
    0012fbbc ????????
    0012fbc0 ????????
    0012fbc4 ????????
    0012fbc8 ????????
    0012fbcc ????????
    0012fbd0 ????????
    0012fbd4 ????????
    0012fbd8 ????????
    0012fbdc ????????
    0012fbe0 ????????
    0012fbe4 ????????
    0012fbe8 ????????
    0012fbec ????????
    0012fbf0 ????????
    0012fbf4 ????????
    0012fbf8 ????????
    0012fbfc ????????
    0012fc00 ????????
    0012fc04 ????????
    0012fc08 ????????
    0012fc0c ????????
    0012fc10 ????????
    0012fc14 ????????
    0012fc18 ????????
    0012fc1c ????????
    0012fc20 ????????
    0012fc24 ????????
    0012fc28 ????????
    0012fc2c ????????
    0012fc30 ????????
    0012fc34 ????????
    0012fc38 ????????
    0012fc3c ????????
    0012fc40 ????????
    0012fc44 ????????
    0012fc48 ????????
    0012fc4c ????????
    0012fc50 ????????
    0012fc54 ????????
    0012fc58 ????????
    0012fc5c ????????
    0012fc60 ????????
    0012fc64 ????????
    0012fc68 ????????
    0012fc6c ????????
    0012fc70 ????????
    0012fc74 ????????
    0012fc78 ????????
    0012fc7c ????????
    0012fc80 ????????
    0012fc84 ????????
    0012fc88 ????????
    0012fc8c ????????
    0012fc90 ????????
    0012fc94 ????????
    0012fc98 ????????
    0012fc9c ????????
    0012fca0 ????????
    0012fca4 ????????
    0012fca8 ????????
    0012fcac ????????
    0012fcb0 ????????
    0012fcb4 ????????
    0012fcb8 ????????
    0012fcbc ????????
    0012fcc0 ????????
    0012fcc4 ????????
    0012fcc8 ????????
    0012fccc ????????
    0012fcd0 ????????
    0012fcd4 ????????
    0012fcd8 ????????
    0012fcdc ????????
    0012fce0 ????????
    0012fce4 ????????
    0012fce8 ????????
    0012fcec ????????
    0012fcf0 ????????
    0012fcf4 ????????
    0012fcf8 ????????
    0012fcfc ????????
    0012fd00 ????????
    0012fd04 ????????
    0012fd08 ????????
    0012fd0c ????????
    0012fd10 ????????
    0012fd14 ????????
    0012fd18 ????????
    0012fd1c ????????
    0012fd20 ????????
    0012fd24 ????????
    0012fd28 ????????
    0012fd2c ????????
    0012fd30 ????????
    0012fd34 ????????
    0012fd38 ????????
    0012fd3c ????????
    0012fd40 ????????
    0012fd44 ????????
    0012fd48 ????????
    0012fd4c ????????
    0012fd50 ????????
    0012fd54 ????????
    0012fd58 ????????
    0012fd5c ????????
    0012fd60 ????????
    0012fd64 ????????
    0012fd68 ????????
    0012fd6c ????????
    0012fd70 ????????
    0012fd74 ????????
    0012fd78 ????????
    0012fd7c ????????
    0012fd80 ????????
    0012fd84 ????????
    0012fd88 ????????
    0012fd8c ????????
    0012fd90 ????????
    0012fd94 ????????
    0012fd98 ????????
    0012fd9c ????????
    0012fda0 ????????
    0012fda4 ????????
    0012fda8 ????????
    0012fdac ????????
    0012fdb0 ????????
    0012fdb4 ????????
    0012fdb8 ????????
    0012fdbc ????????
    0012fdc0 ????????
    0012fdc4 ????????
    0012fdc8 ????????
    0012fdcc ????????
    0012fdd0 ????????
    0012fdd4 ????????
    0012fdd8 ????????
    0012fddc ????????
    0012fde0 ????????
    0012fde4 ????????
    0012fde8 ????????
    0012fdec ????????
    0012fdf0 ????????
    0012fdf4 ????????
    0012fdf8 ????????
    0012fdfc ????????
    0012fe00 ????????
    0012fe04 ????????
    0012fe08 ????????
    0012fe0c ????????
    0012fe10 ????????
    0012fe14 ????????
    0012fe18 ????????
    0012fe1c ????????
    0012fe20 ????????
    0012fe24 ????????
    0012fe28 ????????
    0012fe2c ????????
    0012fe30 ????????
    0012fe34 ????????
    0012fe38 ????????
    0012fe3c ????????
    0012fe40 ????????
    0012fe44 ????????
    0012fe48 ????????
    0012fe4c ????????
    0012fe50 ????????
    0012fe54 ????????
    0012fe58 ????????
    0012fe5c ????????
    0012fe60 ????????
    0012fe64 ????????
    0012fe68 ????????
    0012fe6c ????????
    0012fe70 ????????
    0012fe74 ????????
    0012fe78 ????????
    0012fe7c ????????
    0012fe80 ????????
    0012fe84 ????????
    0012fe88 ????????
    0012fe8c ????????
    0012fe90 ????????
    0012fe94 ????????
    0012fe98 ????????
    0012fe9c ????????
    0012fea0 ????????
    0012fea4 ????????
    0012fea8 ????????
    0012feac ????????
    0012feb0 ????????
    0012feb4 ????????
    0012feb8 ????????
    0012febc ????????
    0012fec0 ????????
    0012fec4 ????????
    0012fec8 ????????
    0012fecc ????????
    0012fed0 ????????
    0012fed4 ????????
    0012fed8 ????????
    0012fedc ????????
    0012fee0 ????????
    0012fee4 ????????
    0012fee8 ????????
    0012feec ????????
    0012fef0 ????????
    0012fef4 ????????
    0012fef8 ????????
    0012fefc ????????
    0012ff00 ????????
    0012ff04 ????????
    0012ff08 ????????
    0012ff0c ????????
    0012ff10 ????????
    0012ff14 ????????
    0012ff18 ????????
    0012ff1c ????????
    0012ff20 ????????
    0012ff24 ????????
    0012ff28 ????????
    0012ff2c ????????
    0012ff30 ????????
    0012ff34 ????????
    0012ff38 ????????
    0012ff3c ????????
    0012ff40 ????????
    0012ff44 ????????
    0012ff48 ????????
    0012ff4c ????????
    0012ff50 ????????
    0012ff54 ????????
    0012ff58 ????????
    0012ff5c ????????
    0012ff60 ????????
    0012ff64 ????????
    0012ff68 ????????
    0012ff6c ????????
    0012ff70 ????????
    0012ff74 ????????
    0012ff78 ????????
    0012ff7c ????????
    0012ff80 ????????
    0012ff84 ????????
    0012ff88 ????????
    0012ff8c ????????
    0012ff90 ????????
    0012ff94 00000000
    0012ff98 005061a9 EFTGUI!__security_init_cookie+0x2d [f:\dd\vctools\crt_bld\self_x86\crt\src\gs_support.c @ 116]
    0012ff9c 0012ffb4
    0012ffa0 00300035
    0012ffa4 00380035
    0012ffa8 7ffdf000
    0012ffac 806e7ef2
    0012ffb0 7c90dcba ntdll!NtSetInformationThread+0xc
    0012ffb4 00000000
    0012ffb8 00000000
    0012ffbc 0012fff0
    0012ffc0 005059ad EFTGUI!pre_c_init+0xdd
    0012ffc4 7c81776f kernel32!BaseProcessStart+0x23
    0012ffc8 00380035
    0012ffcc 00300035
    0012ffd0 7ffdf000
    0012ffd4 c0000005
    0012ffd8 0012ffc8
    0012ffdc 0012fbbc
    0012ffe0 ffffffff
    0012ffe4 7c839ab0 kernel32!_except_handler3
    0012ffe8 7c817778 kernel32!`string’+0x98
    0012ffec 00000000
    0012fff0 00000000
    0012fff4 00000000
    0012fff8 0045c8d3 EFTGUI!ILT+6350(_WinMainCRTStartup)
    0012fffc 00000000
    00130000 ????????

  2. Aaron Ballman says:

    That almost looks like the stack was already freed out from under the thread. The TEB itself doesn’t look corrupt, so the stack range seems reasonable.

    You are right though, it’s pretty hard to reconstruct a stack crawl when the stack seems to be blasted that much!

  3. Dilip says:

    It would’ve been nice if you had posted the exact command you used instead of “Searching for…” statements. But thanks for the pointers though.

  4. Kamil says:

    Paul it’s possible that your minidump doesn’t contains this memory (stack). Verify your memory dump collection procedure.

Leave a Reply

Your email address will not be published. Required fields are marked *