Was genau ist IRQL_NOT_LESS_OR

Was genau ist IRQL_NOT_LESS_OR_EQUAL? Was ist IRQL? Welche Dinge nutzen IRQL? Warum muss es kleiner oder gleich sein? Was würde dazu führen, dass es nicht kleiner oder gleich ist? Warum kann sich das Betriebssystem nicht davon erholen, wenn es nicht kleiner oder gleich ist? Betrifft IRQL nur Windows?

Dieser Fehler scheint ziemlich häufig zu sein . Ich bitte nicht um Hilfe, ich bitte um eine Erklärung.

— Aaron Franke
quelle

Ausgangspunkt für eine Erklärung und Beispiele: " In einem Computer ist eine Interrupt-Anforderung (oder IRQ) ein an den Prozessor gesendetes Hardwaresignal, das ein laufendes Programm vorübergehend anhält und stattdessen die Ausführung eines speziellen Programms, eines Interrupt-Handlers, ermöglicht. Hardware-Interrupts werden verwendet, um Ereignisse wie den Empfang von Daten von einem Modem oder einer Netzwerkkarte, Tastendruck oder Mausbewegungen zu behandeln "

— Pimp Juice IT

Für den anderen Teil (erster Teil, nehme ich an): " Diese Stop-Meldung zeigt an, dass ein Kernel-Modus-Prozess oder -Treiber versucht hat, auf eine Speicheradresse zuzugreifen, für die er keine Zugriffsberechtigung hatte. Die häufigste Ursache für diesen Fehler ist eine falsche Ein Zeiger ist eine Variable, die von einem Programm verwendet wird, um auf einen Speicherblock zu verweisen. ... ~ Dieser Fehler tritt normalerweise nach der Installation eines fehlerhaften Gerätetreibers, Systemdienstes oder BIOS auf Starten Sie Ihren Computer neu, um das Problem schnell zu beheben "

— Pimp Juice IT

Die IRQL_NOT_LESS_OR_EQUAL-Fehlerprüfung hat den Wert 0x0000000A. Dies weist darauf hin, dass Microsoft Windows oder ein Kernelmodustreiber unter einer ungültigen Adresse auf den ausgelagerten Speicher zugegriffen haben, während eine IRQL-Anforderung (Interrupt Request Level) ausgelöst wurde. IQL ist ein Prioritätssystem des Kernels. In einigen IRQL-Kernel-Umgebungen können Sie nicht auf Daten zugreifen, die in der Auslagerungsdatei gespeichert sind. Analysieren Sie den dmp und prüfen Sie, ob Code von Drittanbietern betroffen ist. Wenn nicht, testen Sie Ihr Gedächtnis auf Probleme.

— magicandre1981

Das Komische ist, dass die praktischste Antwort auf Nachrichten ist, dass es nicht darauf ankommt, was es bedeutet. Alles, was zählt, ist, was zu tun ist, wenn Sie diese Nachricht erhalten. Oder alles, was zählt, ist eine relevante Übersetzung, die im Fall von dass IRQL BSOD, ist in der Regel "Treiberproblem"! Also versuchen Sie herauszufinden, welche Treiber und entfernen und installieren Sie Treiber neu, so etwas ... aber es ist eine gute Frage, worüber es überhaupt spricht ... Ich weiß, was ein IRQ ist, aber ich wusste nicht, was IRQL war, bis Jamies Antwort!

— Barlop

Es ist kompliziert. ;)

Nein, das ist es wirklich.

IRQL steht für "Interrupt Request Level". Diese Zahl reicht von 0 bis 31 auf Windows x86-Systemen und von 0 bis 15 auf x64-Systemen. Es repräsentiert die "Wichtigkeit" einer Kernelmodus-Aufgabe im Verhältnis zu anderen Kernelmodus-Aufgaben.

IRQL ist ein Windows-definierter Status des Prozessors - nicht eines Prozesses oder Threads -, der Windows angibt, ob der Prozessor durch andere Aufgaben unterbrochen werden kann oder nicht. Wenn eine neue Task (z. B. eine Interrupt-Serviceroutine) eine höhere IRQL als die aktuelle IRQL des Prozessors hat, kann sie die aktuelle Task unterbrechen. sonst nein. Auf einem Multiprozessorsystem hat jeder Prozessor seine eigene IRQL. Dies schließt die durch Hyperthreading erstellten "logischen Prozessoren" ein.

(Ich verwende das Wort "Wichtigkeit" anstatt "Priorität", weil "Priorität" in Windows sich auf Thread-Prioritäten bezieht und IRQLs etwas anderes sind. Im Gegensatz zu Thread-Prioritäten werden Kernel-Tasks auf derselben IRQL nicht zeitlich getrennt und IRQLs sind nicht " t unterliegt automatischem Boost und Decay.)

(Ich sollte auch erwähnen, dass der Begriff "Kernel-Task" hier nicht offiziell ist. Windows nennt diese Dinge nicht wirklich "Kernel-Tasks", es handelt sich nicht um verwaltete Objekte, wie z. B. Prozesse und Threads, und es besteht keine Beziehung zur x86-Task Da ich (und andere) hier den Begriff "Kernel-Modus-Task" verwende "alles mit einem definierten Anfang und Ende, das im Kernel-Modus bei IRQL 2 oder 4 ausgeführt werden muss "Eine Interrupt-Service-Routine ist ein Beispiel für eine" Kernel-Mode-Task ", ebenso eine DPC-Routine. Ein anderes Beispiel kann Code in einem Kernel-Mode-Thread sein. Solche Threads beginnen bei IRQL 0, sind jedoch Teil des Codes wirftzu IRQL 2 oder höher führt etwas aus und kehrt dann zu seinem vorherigen IRQL zurück. Der High-IRQL-Teil des Codes ist ein Beispiel für das, was ich hier als "Kernel-Task" bezeichne. )

Der Systemmonitor zeigt die in IRQL 2 verbrachte Zeit als "% DPC-Zeit" und die in IRQL> 2 verbrachte Zeit als "% Interrupt-Zeit" an, unabhängig davon, ob die Zeit tatsächlich in einer DPC-Routine oder einem ISR verbracht wurde oder das Ergebnis der Erhöhung von IRQL von ein niedrigerer Wert. Jedes ist eine Teilmenge dessen, was PerfMon als "% privilegierte Zeit" anzeigt - was als "Kernelmoduszeit" hätte bezeichnet werden sollen.

Sobald eine Kernel-Task mit IRQL 2 oder höher gestartet wurde, wird sie vollständig ausgeführt, bevor andere Aufgaben mit demselben IRQL auf demselben Prozessor gestartet werden. Es kann durch eine Task mit höherem IRQL-Wert unterbrochen werden (die wiederum durch eine Task mit höherem IRQL-Wert usw. unterbrochen werden könnte), aber wenn die Tasks mit höherem IRQL-Wert abgeschlossen sind, kehrt die Steuerung zu der Task zurück, die es unterbrochen hat.

IRQL ist in erster Linie ein Serialisierungsmechanismus . (Viele sagen "Synchronisation", aber ich bevorzuge dieses Wort, da es das Ergebnis genauer beschreibt.) Es soll sicherstellen, dass mehrere Tasks auf derselben CPU auf bestimmte gemeinsam genutzte Ressourcen zugreifen - meistens gemeinsam genutzte Datenstrukturen im Betriebssystemkern -. dürfen sich nicht gegenseitig auf eine Weise unterbrechen, die diese Strukturen beschädigen könnte.

Beispielsweise werden viele Daten im Windows-Kernel, insbesondere die Speicherverwaltungsdaten und die vom Thread-Scheduler verwendeten Daten, bei IRQL 2 "serialisiert" . Das bedeutet, dass jede Task, die solche Daten ändern möchte, bei ausgeführt werden muss IRQL 2, wenn es das tut. Wenn eine Task mit höherem IRQL-Wert versucht, solche Daten zu schreiben, kann dies zu Beschädigungen führen, da möglicherweise eine IRQL 2-Task unterbrochen wurde, die sich in der Mitte eines Lese-, Änderungs- und Schreibzyklus für dieselben Daten befindet. Aufgaben mit höherem IRQL-Wert dürfen das einfach nicht.

Aufgaben mit höherem IRQL-Wert sind meist die Interrupt-Serviceroutinen von Gerätetreibern, da alle Geräte-Interrupts bei IRQL> 2 auftreten. Dies schließt den Interrupt vom Timer-Chip auf der Hauptplatine ein, der die Zeitmessung und die zeitgesteuerte Aktivität im Betriebssystem steuert. Sein IRQL liegt über dem aller "normalen" Hardwaregeräte.

IRQLs 2 und höher werden für Kernel-Tasks verwendet, die nicht durch Hardware-Interrupts ausgelöst werden, bei denen jedoch keine normale Thread-Planung - einschließlich Warten - stattfinden kann. Sobald sich ein Prozessor in IRQL 2 oder höher befindet, können auf diesem Prozessor keine Thread-Kontextwechsel mehr stattfinden, bis IRQL unter 2 fällt.

Der Benutzermoduscode ist immer auf IRQL 0. Der Kernelmoduscode kann bei jedem IRQL von 0 bis zu einem beliebigen Maximalwert ausgeführt werden. IRQL 1 ist ein Sonderfall. Dies ist nur der Kernel-Modus, hat jedoch keine Auswirkungen auf die Zeitplanung und ist eigentlich eher ein Status eines Threads als des Prozessors - er wird beispielsweise bei Thread-Kontextwechseln gespeichert und wiederhergestellt.

Um verschiedene Serialisierungsgarantien aufrechtzuerhalten, sind die meisten Ausnahmen (z. B. Division durch Null oder Speicherzugriffsverletzungen wie Seitenfehler) in IRQL 2 oder höher einfach nicht behandelbar. (IRQL 2 wird im Allgemeinen als "Versandebene" oder "DPC-Ebene" bezeichnet.)

Und jetzt können wir endlich diesen Bugcheck-Code erklären!

Der häufigste Fall von IRQL_NOT_LESS_OR_EQUAL ist auf einen Seitenfehler (Versuch, auf eine "nicht residente" virtuelle Adresse zuzugreifen) oder eine Speicherzugriffsverletzung (Versuch, auf eine schreibgeschützte Seite zu schreiben oder auf eine nicht definierte Seite zuzugreifen) zurückzuführen überhaupt), der bei IRQL 2 oder höher auftritt.

Wenn solche Ausnahmen bei IRQL 0 oder 1 ausgelöst werden, können sie entweder von einem vom System bereitgestellten Code (wie dem Page Fault Handler) oder von einem vom Entwickler bereitgestellten Exception Handler "behandelt" werden. Die meisten Ausnahmen können jedoch überhaupt nicht behandelt werden, wenn sie bei IRQL 2 oder höher aufgetreten sind.

Also ... der Bugcheck-Code bedeutet "eine Ausnahme von einem Typ, der nur bei IRQL 0 oder 1 behandelt werden kann, wenn IRQL 2 oder höher war." dh "nicht weniger als oder gleich 1". Seltsame Formulierung, aber da ist es.

Es gibt einige andere Dinge, die diesen Bugcheck auslösen können, und der Wert, mit dem der IRQL-Wert nicht kleiner oder gleich ist, ist nicht immer 1, aber sie treten nur selten auf. Die WinDBG-Dokumentation listet sie auf.

— Jamie Hanrahan
quelle

Hervorragende Antwort. Kennen Sie bekannte Dinge, die mit einer IRQL größer als 2 ausgeführt werden?

— Scott Chamberlain

Wahrscheinlich Gerätetreiber.

— LawrenceC

@LawrenceC Ja. Alle Hardware-Interrupts sind bei IRQL> 2.

— Jamie Hanrahan