Wie kann man sehen, welche Anwendung von einer bestimmten Speicheradresse ausgeführt wird?

1140
JW.

Ich habe vor kurzem ein Upgrade auf Windows 10 durchgeführt und erhalte ein NBCore.exe-Ausnahmefeld, in dem Folgendes angezeigt wird:

Die Ausnahme unbekannter Softwareausnahme 0x40000015 ist in der Anwendung an der Position 0x000000006F5AD67D aufgetreten.

Es scheint ein guter Anfang zu sein, um herauszufinden, welche Anwendung 0x000000006F5AD67D verwendet, aber ich habe nicht gefunden, wo sie suchen müssen.

Ich habe im Task-Manager nachgeschaut und diese geben mir IDs, aber keine Speicheradressen. Ich habe auch die Systeminformationen ( msinfo ) geprüft, aber die physischen Speicherorte scheinen dort nicht zu sein. Ich habe ein Heap-Memory-Tool heruntergeladen und ausgeführt, aber die laufenden Prozesse stimmten nicht mit dieser Adresse überein.

Weitere Hinweise / Vorschläge, um zu sehen, welches Programm diesen Speicherplatz verwendet? Die Fehlermeldung wurde mehrmals mit dem gleichen Speicherplatz im Fehler angezeigt, sodass auf eine App als verdächtig verwiesen wird.

0

1 Antwort auf die Frage

0
Jamie Hanrahan

Aus Ihrer Frage scheint mir, dass das fragliche Programm NBCore.exe ist. Dies ist Teil von Nero, der App zur Erstellung optischer Medien.

Allgemeiner gesagt: Es macht keinen Sinn, von einer solchen Adresse aus ein bestimmtes Programm zu identifizieren. Die Adressen, die Sie in solchen Nachrichten sehen, sind immer virtuelle Adressen. Jeder Prozess erhält eine neue Instanz des virtuellen Adressraums im Benutzermodus, die von 0 bis 0x7FFF FFFFFFFF (auf modernen x64-Windows-Systemen) ausgeführt wird. Daher ist die Adresse 0x00000000 6F5AD67D für keinen Prozess spezifisch. Jeder Prozess enthält eine Instanz dieser Adresse. (Genauso kann dieselbe siebenstellige Telefonnummer in jeder Vorwahl des Landes vorhanden sein.)

Ein formaler Ausdruck dafür ist, dass Adressen in diesem Bereich implizit durch den aktuellen Prozesskontext qualifiziert werden.

Ob eine bestimmte Adresse tatsächlich in einem bestimmten Prozess verwendet wird, hängt natürlich davon ab, was dieser Prozess tut.

Mit dem VMmapTool von sysinternals können Sie einen einzelnen Prozess betrachten und sehen, wie er seinen Adressraum verwendet. Wenn Sie einen Prozess und dann einen anderen Prozess anzeigen, werden dieselben Adressen immer wieder verwendet, wie hier beschrieben.