Ntfs.sys и ntoskrnl.exe выбивают синий экран

0: kd> .trap ffffb70c`5cb87a10
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=ffffa3803f2be1f0 rbx=0000000000000000 rcx=ffffa3803f2be108
rdx=ffffba83456259e0 rsi=0000000000000000 rdi=0000000000000000
rip=fffff80bc1f1b03d rsp=ffffb70c5cb87ba8 rbp=0000000000000000
r8=0000000000000000 r9=7fffa3803f41f2e8 r10=ffffa3803f41f380
r11=ffffa3803c168c30 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0 nv up ei pl nz ac po nc
Ntfs!NtfsFindRollbackStructByType+0x1d:
fffff80b`c1f1b03d 443940f8 cmp dword ptr [rax-8],r8d ffffa380`3f2be1e8=00680727
Инструкция сравнивает данные заключённые в регистрах rax и r8d между собой.

Сама функция является незадокументированной функцией драйвера Ntfs.sys. Я без понятия,что она делает
0: kd> !pte @rax
VA ffffa3803f2be1f0
PXE at FFFFB95CAE572A38 PPE at FFFFB95CAE547000 PDE at FFFFB95CA8E00FC8 PTE at FFFFB951C01F95F0
contains 0A00000003FC4863 contains 0A00000003FC5863 contains 8A000001326008E3 contains 0000000000000000
pfn 3fc4 ---DA--KWEV pfn 3fc5 ---DA--KWEV pfn 132600 --LDA--KW-V LARGE PAGE pfn 13263e
Данные в регистре rax действительны/не повреждены.

0: kd> !pte r8
VA 0000000000000000
PXE at FFFFB95CAE572000 PPE at FFFFB95CAE400000 PDE at FFFFB95C80000000 PTE at FFFFB90000000000
Unable to get PPE FFFFB95CAE400000
0: kd> !pte r8d
VA 0000000000000000
PXE at FFFFB95CAE572000 PPE at FFFFB95CAE400000 PDE at FFFFB95C80000000 PTE at FFFFB90000000000
Unable to get PPE FFFFB95CAE400000
Неисправность данных во 2-м регистре не удалось проверить,т.к. необходимая для этого информация в дампе отсутствует.
Но как видно команда сравнения cmp успешно отработала и вернула системе результат.

# Child-SP RetAddr Call Site
00 ffffb70c`5cb87ba8 fffff80b`c1f1aebe Ntfs!NtfsFindRollbackStructByType+0x1d
01 ffffb70c`5cb87bb0 fffff80b`c1f2c948 Ntfs!NtfsFreeSnapshotsForFcb+0x2e
02 ffffb70c`5cb87bf0 fffff80b`c1f1aa81 Ntfs!NtfsReleaseFcbEx+0x54
03 ffffb70c`5cb87c20 fffff80b`c1f1a730 Ntfs!NtfsCleanupIrpContext+0x201
04 ffffb70c`5cb87c80 fffff80b`c2003178 Ntfs!NtfsExtendedCompleteRequestInternal+0x140
05 ffffb70c`5cb87cf0 fffff80b`c1ffe26d Ntfs!NtfsCommonCreate+0x3428
06 ffffb70c`5cb87f50 fffff802`7a1b4b87 Ntfs!NtfsCommonCreateCallout+0x1d
07 ffffb70c`5cb87f80 fffff802`7a1b4b4d nt!KxSwitchKernelStackCallout+0x27
08 ffffb70c`5955ede0 fffff802`7a06875a nt!KiSwitchKernelStackContinue
09 ffffb70c`5955ee00 fffff802`7a06859e nt!KiExpandKernelStackAndCalloutOnStackSegment+0x12a
0a ffffb70c`5955ee80 fffff802`7a068455 nt!KiExpandKernelStackAndCalloutSwitchStack+0x9e
0b ffffb70c`5955eef0 fffff802`7a06840d nt!KeExpandKernelStackAndCalloutInternal+0x35
0c ffffb70c`5955ef50 fffff80b`c1ffe4ef nt!KeExpandKernelStackAndCalloutEx+0x1d
0d ffffb70c`5955ef90 fffff802`7a042ef9 Ntfs!NtfsFsdCreate+0x23f
0e ffffb70c`5955f1d0 fffff80b`c14d7207 nt!IofCallDriver+0x59
0f ffffb70c`5955f210 fffff80b`c150bbcd FLTMGR!FltpLegacyProcessingAfterPreCallbacksCompleted+0x157
10 ffffb70c`5955f280 fffff802`7a042ef9 FLTMGR!FltpCreate+0x2dd
11 ffffb70c`5955f330 fffff802`7a5921f3 nt!IofCallDriver+0x59
12 ffffb70c`5955f370 fffff802`7a4e6a1b nt!IopParseDevice+0x773
13 ffffb70c`5955f540 fffff802`7a59032f nt!ObpLookupObjectName+0x73b
14 ffffb70c`5955f720 fffff802`7a58c695 nt!ObOpenObjectByNameEx+0x1df
15 ffffb70c`5955f860 fffff802`7a58bdf9 nt!IopCreateFile+0x3f5
16 ffffb70c`5955f900 fffff802`7a1c1d43 nt!NtCreateFile+0x79
17 ffffb70c`5955f990 00007ffb`bbd0a9a4 nt!KiSystemServiceCopyEnd+0x13
18 00000022`5dcff598 00000000`00000000 0x00007ffb`bbd0a9a4

Видно что в контексте работы процесса WinSAT.exe ядром системы и драйвером файловой системы вызывались функции для создания некого файла.

File Details: ffffa3803f3fcef0

Name Device Driver Vpb Flags Byte Offset FsContext FsContext2 Owning Process
======================================================== ================ ============== ================ ===== =========== ====================== ====================== ==============
\Windows\Temp\TempWinSAT-Disk-2018-11-16-11-57-45-18.tmp ffffa3803b800880 \Driver\volmgr ffffa3803adff9a0 42 0 ffffba834b767160(Ntff) ffffba834b7673c0(Ntff)

ага. Этот файл свидетельствует о том,что в момент падения системы утилита оценки производительности Windows проводило тестирование производительности SSD,а в самом этом файле содержаться промежуточные результаты теста. Его то и пыталась создать система.

0: kd> .trap fffffd029b027a10;knL
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=0000000000010200 rbx=0000000000000000 rcx=0000000000000868
rdx=ffffc4825190b570 rsi=0000000000000000 rdi=0000000000000000
rip=fffff80d05ebb05a rsp=fffffd029b027ba8 rbp=0000000000000000
r8=0000000000000000 r9=0000000000000000 r10=0000000000000001
r11=ffffc4825190b7b8 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0 nv up ei pl nz na pe nc
Ntfs!NtfsFindRollbackStructByType+0x3a:
fffff80d`05ebb05a cc int 3
*** Stack trace for last set context - .thread/.cxr resets it
# Child-SP RetAddr Call Site
00 fffffd02`9b027ba8 fffff80d`05ebaebe Ntfs!NtfsFindRollbackStructByType+0x3a
01 fffffd02`9b027bb0 fffff80d`05ecc948 Ntfs!NtfsFreeSnapshotsForFcb+0x2e
02 fffffd02`9b027bf0 fffff80d`05ebaa81 Ntfs!NtfsReleaseFcbEx+0x54
03 fffffd02`9b027c20 fffff80d`05eba730 Ntfs!NtfsCleanupIrpContext+0x201
04 fffffd02`9b027c80 fffff80d`05fa3178 Ntfs!NtfsExtendedCompleteRequestInternal+0x140
05 fffffd02`9b027cf0 fffff80d`05f9e26d Ntfs!NtfsCommonCreate+0x3428
06 fffffd02`9b027f50 fffff800`30a3eb87 Ntfs!NtfsCommonCreateCallout+0x1d
07 fffffd02`9b027f80 fffff800`30a3eb4d nt!KxSwitchKernelStackCallout+0x27
08 fffffd02`9b01ece0 fffff800`308f275a nt!KiSwitchKernelStackContinue
09 fffffd02`9b01ed00 fffff800`308f259e nt!KiExpandKernelStackAndCalloutOnStackSegment+0x12a
0a fffffd02`9b01ed80 fffff800`308f2455 nt!KiExpandKernelStackAndCalloutSwitchStack+0x9e
0b fffffd02`9b01edf0 fffff800`308f240d nt!KeExpandKernelStackAndCalloutInternal+0x35
0c fffffd02`9b01ee50 fffff80d`05f9e4ef nt!KeExpandKernelStackAndCalloutEx+0x1d
0d fffffd02`9b01ee90 fffff800`309f903a Ntfs!NtfsFsdCreate+0x23f
0e fffffd02`9b01f0d0 fffff800`310a4d29 nt!IopfCallDriver+0x56
0f fffffd02`9b01f110 fffff800`30a66423 nt!IovCallDriver+0x275
10 fffffd02`9b01f150 fffff80d`05187207 nt!IofCallDriver+0x199583
11 fffffd02`9b01f190 00000000`00000000 FLTMGR!FltpLegacyProcessingAfterPreCallbacksCompleted+0x157

В функции,где произошёл сбой, выполнялась инструкция прерывания с целю создания программного прерывания для установки точки останова. Дальнейший анализ невозможен из-за скудности данных в минидампе.

0: kd> !mirp ffffe287cf175010

Irp Details: ffffe287cf175010 [ verbose | !ddt | !irp ]

Thread Frame Count
========================================= ===========
ffffe287d0cad700(NVDisplay.Container.exe) 13

Irp Stack Frame(s)

# Driver Major Minor Dispatch Routine Flg Ctrl Status Completion Invoker(s) Device File Context Completion Routine Args
==== ====== ====== ===== ================== === ==== ====== ====================== ================ ================ ================== ========================================== ===================================================================
->12 (null) CREATE 0 Ntfs!NtfsFsdCreate 0 e0 None Cancel, Success, Error ffffe287cf9ad030 ffffe287cf36b770 ffffe287d2ec5bf0() FLTMGR!FltpSynchronizedOperationCompletion fffffd029b01f4c8 0000000003000060 0000000000030080 0000000000000000
13 (null) CREATE 0 FLTMGR!FltpCreate 0 0 None ffffe287cf894df0 ffffe287cf36b770 fffffd029b01f4c8 0000000003000060 0000000000030080 0000000000000000

File Details: ffffe287cf36b770

Name Device Driver Vpb Flags Byte Offset FsContext FsContext2 Owning Process
========================================================= ================ ====== ================ ===== =========== ================ ================ ==============
\ProgramData\NVIDIA Corporation\nvstapisvr\nvstapisvr.log ffffe287cf879880 (null) ffffe287cf877910 42 0 ffffc4825190b6c0 ffffc48250e2a240

Arg3: fffff801e10f5e5e, If non-zero, the instruction address which referenced the bad memory address.
адрес совпадает с адресом инструкции указанной в trap frame
0: kd> .trap 0xffffdf8f0b18f5d0;knL
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=0000000000000000 rbx=0000000000000000 rcx=ffffa80e81a71600
rdx=0000000000000000 rsi=0000000000000000 rdi=0000000000000000
rip=fffff801e10f5e5e rsp=ffffdf8f0b18f760 rbp=0000000000000001
r8=0000000000000000 r9=0000000000000001 r10=fffff801df784910
r11=fffff801e1074740 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0 nv up ei ng nz na po nc
nt!ObpFreeObject+0xe:
fffff801`e10f5e5e 0fb6411a movzx eax,byte ptr [rcx+1Ah] ds:ffffa80e`81a7161a=4d
*** Stack trace for last set context - .thread/.cxr resets it
# Child-SP RetAddr Call Site
00 ffffdf8f`0b18f760 fffff801`e10f5df8 nt!ObpFreeObject+0xe
01 ffffdf8f`0b18f7c0 fffff801`e0c452b6 nt!ObpRemoveObjectRoutine+0x88
02 ffffdf8f`0b18f820 fffff801`e10eb7c9 nt!ObfDereferenceObjectWithTag+0xc6
03 ffffdf8f`0b18f860 fffff801`e10f310d nt!ObCloseHandleTableEntry+0x259
04 ffffdf8f`0b18f9a0 fffff801`e0dc7d43 nt!NtClose+0xcd
05 ffffdf8f`0b18fa00 00007fff`c629a0e4 nt!KiSystemServiceCopyEnd+0x13
06 00000066`cd67ba68 00000000`00000000 0x00007fff`c629a0e4