Windows server 2008 r2 classpnp sys

Неоконченный эксперимент с неполным количеством входных данных.

Данный материал представляет собой своего рода исследование, попытку разобраться в одной, набившей уже оскомину, загадке этапа загрузки операционной системы Windows. Многие специалисты согласятся со мной, что на практике довольно часто приходится наблюдать сбой при котором станция, загружаясь в безопасном режиме, отображает на экране монитора список загруженных драйверов (последним из которых часто выводится classpnp.sys) и сообщение «Подождите, пожалуйста…», после чего благополучно подвисает:

При этом, та же проблема имеет зеркальное отображение и в обычном (нормальном) режиме загрузки: в редких случаях загрузка останавливается на анимированном логотипе (значке) Windows (bootscreen), который может «видоизменяться» на экране приветствия бесконечно долго:

намного чаще же система подвисает на более позднем этапе, когда на черном фоне остается графический курсор мыши:

Настроение в этот момент, надо признаться, стремительно падает, поскольку приходит понимание, что это один из самых тяжелых общих случаев в практике любого технического специалиста и, по традиции, предстоит много работы. Подобного рода сбои относятся к категории общих не случайно, поскольку причиной их возникновения является целый комплекс источников, поэтому, в идеале, они тянут за собой диагностику аппаратного и программного уровней персонального компьютера. Сама по себе процедура диагностирования непроста, до сих пор не выработано какого-либо универсального алгоритма, а значит нас опять ждет копание в заметках, занудные поиски в Сети в надежде составить матрицу решений, одно из которых должно дать положительный результат. Ну что же, время принятия кардинальных решений рано или поздно настает.

Подопытная конфигурация: Windows 7 SP1 Professional RUS x86, 32-битная выбрана как наименее капризная в плане препятствий, чинимых на пути исследователя, защита у неё определенно проще, патчить легче, бороться с PatchGuard не приходится!!

Теория

На данный исторический момент уровень моих знаний оставляет желать лучшего, тем не менее, все же попытаемся выйти за привычный ареал обитания, распахнуть, так сказать, рамки собственного познания, тем самым устремившись навстречу эволюции В очередной раз не перестаешь удивляться отсутствию у одной из самых популярных настольных операционных систем продуманной диагностической подсистемы. Удивляюсь, конечно же, не я один.. на официальных форумах Microsoft по теме зависания на classpnp.sys можно встретить достаточно много вопросов, к примеру, пользователь с ником Дима_413 пишет:

Справедливо, поскольку зависание на classpnp.sys, наряду с черным экраном смерти и штормом прерываний, является примером недоработок в архитектуре системы Windows 7, вероятно ведущих свою родословную из недостатков архитектуры x86. Странно другое, ведь на ранних стадиях загрузки операционной системы (начиная с кода сектора MBR, Bootmgr) уже обеспечена простая диагностика, которая выводит сообщения в текстовом режиме в качестве реакции на ошибки. Получается, что отсутствие подобного подхода при зависании на classpnp.sys наблюдается по причине возникновения блокировок в коде ядра в части обработки ошибок/таймаутов от сторонних драйверов [устройств] на раннем этапе загрузки, вероятно разработчики посчитали подобный код бессмысленными, поскольку он все-равно не сможет отработать? Поэтому:

причина появления этого опуса — отсутствие на начальных этапах загрузки какой бы то ни было внятной системы журналирования, либо отсутствия полноценных знаний о таковой.

Во всех ветках обсуждений на тему зависания на classpnp.sys, найденных в Сети, все обычно сводится к рассуждениям относительно природы этого драйвера, структуры, функциональных задач, роли, которую он играет в процессе загрузки и, главное, как можно привести его (обратно) в работоспособное состояние? Очевидно что драйвер уже однозначно определен в виновники происходящего зависания, при том, что во всех дискуссиях попросту отсутствует исследовательская (практическая) доказательная часть, что, конечно же, понижает объективность данных теорий. Ну что же, давайте и мы последуем в рамках описанного «слепого» тренда и начнем повествование с попытки описания функциональных особенностей драйвера.

Что есть сам classpnp.sys?

Classpnp — общая библиотека класса устройств хранения информации (жестких/твердотельных накопителей, ленточных устройств, CD/DVD-ROM’ов и аналогичных), используемая драйверами жестких дисков, CD/DVD-ROM, ленточных накопителей (включая SATA/SCSI-накопители).

Из определения следует, что любой драйвер, относящийся к классу устройств хранения информации (магнитных, ленточных, оптических), использует функции данной библиотеки в процессе функционирования. Действительно, образ представляет собой типовую системную библиотеку (DLL), содержащую набор устройствонезависимых процедур (функций), используемых классом отмеченных ранее устройств. Похоже что данная библиотека — это библиотека, функции которой используются всеми драйверами накопителей (устройств хранения) в операционной системе Windows. Библиотека обеспечивает для системных/сторонних драйверов уровня ядра общие процедуры работы с устройствами хранения на уровне обслуживания пакетов IRP, поддержки функций PnP и управления питанием, выполнения общих алгоритмов работы с памятью, чтения, записи, инициализации, конфигурации устройств, работа с уровнями IRQL, обработку ошибок и много прочей аналогичной необходимой требухи.
В Windows XP и последующих операционных системах, некоторые из наиболее часто используемых сервисов, ранее предоставляемых прямыми вызовами к библиотеке classpnp.sys, теперь предоставляются драйвером класса. Поэтому в Windows XP (и более поздних системах) обычно нет необходимости прямого вызова функции classpnp.sys из сторонних минипорт-драйверов.

Драйвера класса устройств хранения информации вместе с соответствующим драйвером порта, используются для взаимодействия с конечными физическими накопителями. Драйвера класса располагаются в стеке (драйверов) выше драйверов портов и управляют устройствами своего класса, вне зависимости от того, к какой шине они подключены.

Ну что же, бегло ознакомились с функциональными особенностями мнимого виновника торжества? Теперь нам необходимо разобраться со структурой данного «драйвера», понять как и когда он загружается и загружается ли вообще.

Общая теория загрузки

Перед тем как понять, какое же место classpnp.sys занимает в системе, нам необходимо освежить в памяти общую теорию загрузки. Из неё мы знаем, что весь процесс запуска операционной системы Windows 7 на начальных стадиях можно описать следующим образом (упрощенное представление):

• Выполняется код микропрограммы BIOS/UEFI (POST);
• Выполняется код сектора MBR;
• Выполняется код сектора(ов) PBR;
• Выполняется код модуля Bootmgr.exe(.efi);
• Выполняется код модуля Winload.exe(.efi);
• Выполняется инициализация ядра (ntoskrnl.exe | ntkrnpa.exe | ntkrnlmp.exe | ntkrpamp.exe)
• Ядро создает/запускает процесс SMSS, который создает сессии:
• Сессия 0
• запускается копия процесса CSRSS:
• Wininit
• SCM (services.exe)
• LSASS
• LSM
• Сессия 1
• запускается копия процесса CSRSS:
• WinLogon
• LogonUI.exe
• UserInit
• оболочка (explorer.exe)
• Приложения автозагрузки

Есть примета, что если зависает на classpnp.sys — это к апгрейду Если серьезно, то за все время компьютерной практики относительно данной темы накопилось несколько наблюдений:

1. В разные периоды практики удавалось понаблюдать очень похожие между собой сбои, когда возникали ситуации, в которых загрузка в безопасном режиме зависала не на самом драйвере classpnp.sys, а на следующих за ним, то есть этот драйвер не был последним в списке (например, иногда загрузка вставала на agp440.sys).
2. На нормально загружающихся в безопасном режиме системах периодически наблюдал картину, когда текстовый режим кончался на выводе строки classpnp.sys с надписью «Подождите, пожалуйста…», после чего присутствовала совсем уж короткая пауза и загрузка уходила в графический режим и продолжалась. Делаем выводы, что приведенная строка ожидания характеризует конец одного (визуально определяемого нами как «текстовый») этапа загрузки и переход к следующему (визуально «графическому»).

Каково, а? Первый пункт, я бы сказал, просто расшатывает столпы веры в то, что виновником является именно драйвер classpnp.sys. Отсюда непременно возникает один резонный вопрос: действительно ли причина зависания кроется в тех драйверах, которые мы наблюдаем в списке на экране монитора? Или то что мы видим является ли истинной причиной происходящего?

Этап Winload

Где же впервые в коде модулей запуска встречается загрузка каких-либо системных или сторонних драйверов/библиотек? Очевидно что на этапе Winload.exe, поскольку именно в коде данного модуля впервые начинают загружаться системные драйвера с флагом BOOT_START. С целью анализа нам придется изучать исходный код, для этого расчехляем IDA и дизассемблируем код модуля Winload.exe. После продолжительного изучения алгоритмов можно прийти к выводу, что исполнение кода модуля начинается с точки входа в процедуре OslMain. Уже из этой процедуры вызывается дочерняя функция OslInitializeCodeIntegrity, которая проверяем целостность модулей, участвующих в загрузке. В коде основной функции встречается интересная вложенная функция под названием OslpLoadAllModules, которая используется разнообразным кодом для обеспечения загрузки системных модулей (они же — драйвера/библиотеки режима ядра). Могу ошибаться, но мне показалось, что все модули, загружаемые через неё на начальной стадии, делятся на:

• жестко заданные во внутренней переменной OslMicrosoftBootImages;
• загружаемые уже при подключении и разборе ветви реестра HKLMSYSTEMCurrentControlSetservices;
• загружаемые при разборе зависимостей используемых функций;

Непосредственно сама загрузка производится через вложенную функцию OslLoadImage (и подчиненную LoadImageEx). Теперь настало время ознакомиться с полным списком загружаемых кодом модуля Winload.exe драйверов:

В таблице представлены (сведены) драйверы, у которых соответствующий параметр START выставлен в значение 0, то есть приведенные в таблице драйвера можно смело назвать группировкой драйверов режима загрузки (BOOT). Столбец зависимостей приведен в таблице не случайно, он то как раз нужен нам с целью определения функциональных взаимосвязей (зависимостей на уровне функций) того или иного драйвера.

В модуле winload.exe драйвер с именем classpnp.sys вы не найдете ни в жесткозакодированных (вкомпилированных) переменных, ни в ветвях реестра. Он загружается при разборе зависимостей от драйвера disk.sys, который использует некоторые функции classpnp.sys.

Одним из первых загружается образ ядра (ntoskrnl.exe) и уровень аппаратных абстракций HAL.DLL, но секции импорта у этих модулей на данном этапе не разрешаются (то есть указанные модули просто подгружаются в память без связывания). Соответственно и код библиотеки на этом этапе всего-лишь загружается в адресное пространство ядра, для того что бы в последствии, после инициализации, функции были «видимыми» (доступными) для кода других драйверов. Затем, таблица импорта актуального модуля ядра (ntoskrnl.exe и аналогичные) заполняется и связывается (при помощи функции LoadImports и вложенной в неё BindImportRefences). После того, как все подобные подготовительные процедуры отработали, управление передается ядру при помощи функции OslArchTransferToKernel. То есть, давайте резюмируем данный этап загрузки:

В процессе функционирования модуля Winload.exe драйвера режима загрузки только лишь подгружаются в память, но не инициализируются.

Отсюда рождается ряд вопросов:

• может ли этот этап (Winload.exe) загрузки зависнуть по причине какого-либо типа повреждения файлов подгружаемых драйверов (в том числе и библиотеки classpnp.sys)?
• если да, то по каким именно причинам: повреждение записи файла в файловой системе ntfs? неправильная версия classpnp.sys? нулевая длина файла?

Этап ntoskrnl

Собственно, это ни что иное как ядро операционной системы. На самом деле имя ntoskrnl.exe используется только в одноядерной системе (без режимов SMP/PAE). Имена ядра определяются следующим образом:

• ntoskrnl.exe — (1 ядро ЦП);
• ntkrnlmp.exe — (N ядер ЦП, SMP);
• ntkrnlpa.exe — (1 ядро ЦП, PAE);
• ntkrpamp.exe — (N ядер ЦП, SMP, PAE);

Как мы знаем из теории загрузки операционной системы Windows, после передачи управления на код модуля ядра, в нем происходит последовательная инициализация множества подсистем ядра. Поэтому дизассемблируем и начинаем изучать исходный текст актуального (на моей тестовой конфигурации это был ntkrnlpa.exe) ядра. Если честно, задача перед нами стоит не такая уж и тривиальная и по уму нам предстоит проанализировать множество этапов загрузки операционной системы и попытаться связать кодовые ветвления с событиями, происходящими на экране монитора. Тем не менее, при отсутствии исходников на языке C и знаний по декомпиляции кода из машинного языка в листинг на C, разобраться в дизассемблированных исходных кодах будет непросто, благо что разработчиком предоставляются символы ядра.
Итак, выше мы уже упоминали, что визуально на экране надпись «Подождите, пожалуйста…» знаменует окончание какого-то одного этапа загрузки и переход к следующему, при том что деление это чисто формальное, но для нас оно требуется с целью упрощения понимания происходящего. Теперь, за неимением другой внятной логики, нам надо визуально привязаться к тому, что происходит на экране, но как отследить момент начала текстового этапа и его конец? Поскольку я не умею пока работать с удаленной отладкой, был использован следующий алгоритм действий: мы будем расставлять так называемые «точки зацикливания» (точки «подвисания»), представляющие собой пару машинных опкодов EB FE (команда «прыжка на месте» — jmp $) и вводящие процессор в бесконечный цикл выполнения.

Ага, прямо так вот сразу взяли и модифицировали! Не все так просто как хотелось бы, дело в том, что ядро проверяет собственную целостность, поэтому если вы не выключили проверку подлинности кода ядра (флаги DISABLE_INTEGRITY_CHECKS и TESTSIGNING), то при попытке внесения изменений ядро «валится» в BSOD. Поэтому сперва нам следует отключить проверку целостности bootmgr и winload.

Первая точка останова

Как уже было рассмотрено, процесс загрузки некоторых драйверов категории BOOT_START начинается на этапе работы модуля winload.exe. Поэтому было решено начать с модуля winload.exe и попытаться обнаружить в нем участок кода, в котором процесс загрузки может подвиснуть на том самом текстовом участке (после вывода списка драйверов и сообщения «Подождите, пожалуйста..»). Далее, мы постараемся модифицировать найденный фрагмент таким образом, чтобы ввести в бесконечный цикл (подвесить), тем самым найдя первую точку останова. Самая удачная, по моему мнению, точка — это непосредственно перед передачей управления коду ядра ntoskrnl.exe. Где осуществляется передача управления? Для выяснения этого стартуем с начала основной процедуры OslMain и доходим до её финальной части, где код передачи управления происходит через вызов процедуры OslArchTransferToKernel. Вот так выглядит обрамляющий участок кода:

после непродолжительного оттупления, было решено заменить два маркированных (выделены цветом) пуша на инструкцию зацикленного прыжка jmp $ (опкоды EB FE). Изменения выполняем в шестнадцатеричном редакторе методом поиска длинной сигнатуры и замены (двух) байтов. После сохраняем изменений в Winload.exe, обязательно модифицируем контрольную сумму (CRC) образа, затем перезагружаемся, загрузка в безопасном режиме и.. результат:

Удача!! Произошло зависание процесса загрузки внутри «текстового» этапа на строке, содержащей имя драйвера classpnp.sys. Значит, мы попали своей модификацией в нужное место. Условимся, что отправная первая точка останова найдена.

Вторая точка останова

Теперь давайте попробуем определиться со второй точкой останова.

Как искать вторую точку? Загружаясь в безопасном режиме на нормально работающей станции, мы замечаем, что после вывода на экран имени classpnp.sys происходит кратковременная задержка и выполняется переключение между графическими режимами видеоадаптера.

Судя по всему, ядро принимает от кода модуля Winload.exe управление в собственной точке входа, которая является первой инструкцией функции KiSystemStartup. После этого процесс инициализации ядра системы проходит несколько внутренних этапов, во время которых на экране отображается все тот же «текстовый» режим (с уже знакомым нам списком загруженных драйверов). Затем происходит переключение в графический режим с разрешением 640×480 и выводом анимированного логотипа загрузки (bootscreen). Анимация этого логотипа обеспечивается группой функций с суффиксом Invb*, которые занимаются инициализацией драйвера видеокарты и последующим выводом разнообразных графических примитивов. Например, функция InbvUpdateProgressBar в определенном режиме обновляет прогресс-бар времени загрузки.
Но это все представляет для нас лишь опосредованный интерес, поскольку после текстового режима загрузка уходит в графический режим далеко не сразу. Этап с выводом логотипа находится в модуле ядра, а вот переход к следующему (графическому) этапу происходит позже, во время загрузки диспетчера (менеджера) сессий SMSS (модуль smss.exe). Вычислил я это экспериментальным путем, проставляя точки останова по ходу исполнения этапов инициализации ядра. В конце концов я обнаружил интересную процедуру с именем Phase1Initialization, в которой происходит вызов вложенной процедуры Phase1InitializationDiscard, в конце которой мы находим следующий фрагмент кода:

Как помечено цветовой маркировкой, тут у нас вызывается функция _StartFirstUserProcess которая и создает процесс SMSS (Диспетчер сеанса/сессии, Session Manager Subsystem Service). Фактически именно в коде данной функции и происходит (визуально) переключение из графического режима 640×480 в «родное» разрешение установленного монитора (при условии, что установлены драйвера видеоадаптера и выставлено правильное разрешение). Таким образом, инструкция вызова функции _StartFirstUserProcess и знаменует собой:

• в безопасном режиме: окончание «текстового» этапа загрузки модуля ядра;
• в нормальном режиме: начало этапа анимированного логотипа (bootscreen);

Но поскольку мы сейчас разбираем именно безопасный режим загрузки, то данная функция является последней точкой блока кода, зависание внутри которого подвешивает загрузку со списком драйверов на экране. Таким образом мы (вероятно) получили вторую точку останова, тем самым обозначив участок возникновения проблем!!

Данным экспериментом мы подтвердили, что от момента вывода на экран строки о загрузке библиотеки classpnp.sys и до перехода в графический режим происходит выполнение довольно большого фрагмента кода, на протяжении которого возможно (теоретически) огромное количество подвисаний в абсолютно разносортных по назначению процедурах.

Между точками: инициализация драйвера classpnp.sys

Помните мы говорили, что загрузка большинства драйверов происходит на этапе работы модуля Winload.exe, а вот связывание и инициализация этих драйверов происходит уже на этапе работы модуля ядра (ntoskrnl.exe). Выходит что и инициализация интересующей нас библиотеки classpnp.sys происходит на этапе функционирования ядра. Давайте проверим, могут ли проблемы с инициализацией быть причиной зависания, для этого изучим внутреннюю структуру драйвера classpnp.sys. Как и в любом другом драйвере, после загрузки в адресное пространство ядра, требуется выполнить инициализацию, поэтому вызывается процедура инициализации драйвера, которая традиционно носит название DriverEntry.

и код вызываемой подфункции:

Ну и что мы тут видим? Помимо сервисной функции __security_init_cookie, которая, по заверению разработчиков, предназначается для защиты от переполнения буфера (При входе в функцию с защитой от переполнения cookie-файл помещается в стек, а при выходе значение в стеке сравнивается с глобальным cookie-файлом. Любое различие между ними указывает, что произошло переполнение буфера, что приводит к немедленному завершению работы программы), процедура инициализации этого драйвера не выполняет никаких специфических действий, по большому счету не делает вообще ничего, что могло бы её подвесить, даже не инициализирует привычных структур драйвера и не содержит никаких вложенных вызовов, просто-напросто возвращает управление с кодом STATUS_SUCCESS (EAX=0). И о чем нам это может говорить? Это говорит нам о том, что:

Сам по себе код classpnp.sys на этапе инициализации не является источником проблем, поскольку это библиотека для стороннего использования и процедура инициализации её исключительно формальна (предельно проста).

Такое возможно, однако требуется дополнительное подтверждение. Вспоминаем, что драйвер classpnp.sys является библиотекой класса устройств и его функции вызываются из других драйверов. Надо проверить все драйвера режима BOOT_START на предмет использования функций данной библиотеки. Судя по всему, функции библиотеки classpnp.sys на начальном «текстовом» этапе использует всего один-лишь драйвер disk.sys.

Между точками: инициализация драйвера disk.sys

Ну что же, тогда перейдем к драйверу disk.sys и проверить гипотезу о причастности его к подвисанию, с этой целью дизассемблируем и заглянем в код. Данный драйвер является драйвером класса дисковых накопителей и обеспечивает монтирование сконфигурированных в системе дисковых томов. В драйвере процедура инициализации (DriverEntry) выглядит уже намного сложнее, в ней мы обнаруживаем вызовы функции ClassInitialize, которая не является собственной внутренней функцией драйвера, а импортируется из библиотеки класса устройств classpnp.sys. Возможно что функция ClassInitialize может вызываться любым драйвером класса устройства при выполнении его собственной функции инициализации драйвера DriverEntry.

Один интересный момент: на экране (в списке) мы видим пункт с драйвером disk.sys ДО classpnp.sys, тем не менее, для того, чтобы disk.sys мог использовать некоторые свои функции, библиотека classpnp.sys должна быть УЖЕ загружена и инициализирована ДО загрузки и инициализации disk.sys. Этот факт лишний раз подтверждает, что та последовательность загрузки драйверов, которую мы наблюдаем на экране при запуске в защищенном режиме, всего-навсего отражает очередность загрузки драйверов/библиотек в память на этапе работы модуля загрузчика Winload, но никак не отражает очередность их инициализации на стадии ядра Ntoskrnl. Что, в свою очередь, укрепляет нас в предположении, что видимый нами последним на экране драйвер не обязательно является причиной подвисания!!

Хорошо, переключаемся на изучение исходного кода драйвера classpnp.sys и анализируем код функции ClassInitialize, а вот он то как раз ужасающе огромен Но ошибочные коды возврата все же удалось обнаружить:

• Функция возвращает C0000059 (STATUS_REVISION_MISMATCH): в случае расхождения размера структуры InitializationData, фактически проверка версии файла classpnp.sys.
• Функция возвращает C0000059 (STATUS_REVISION_MISMATCH): если требуемые поля структуры (фактически ссылки на соответствующие функции драйвера) нулевые (NULL).
• Функция возвращает C000009A (STATUS_INSUFFICIENT_RESOURCES): если нулевое значение буфера RegistryPath.Buffer в расширениях driverExtension. То есть похоже не выделился буфер по каким-то причинам.
• Функция возвращает C0000035 (STATUS_OBJECT_NAME_COLLISION): в любом ином случае.

Драйвер disk.sys обеспечивает функционирование стека устройств хранения в операционной системе Windows, и ниже данного драйвера в стеке располагаются:

• драйверы многопутевого ввода-вывода (MPIO-драйвера, обеспечивающие доступность томов по нескольким путям) (mpio.sys и прч.);
• драйверы порта (обеспечивает поддержку транспортного протокола: SCSI/SAS/SATA/ATAPI);
• драйвер минипорта (обеспечивает функциональность контроллера на материнской плате);

Но, опять же, сам драйвер disk.sys на этапе функционирования ядра (ntoskrnl.exe) не может быть причиной зависания, поскольку тут он инициализируется: вызывается функция инициализации драйвера DriverEntry. А как мы видели выше, в процедуре инициализации в случае проблем возвращаются конкретные коды ошибок, которые будут выведены на экран в случае сбоя, что исключает «тихое» подвисание.

Что еще между точками?

Ну хорошо, помимо инициализации вышеописанных драйверов, что у нас еще расположено между найденными нами точками останова? Да там адская прорва кода!! Получается, что весь код, размещающийся от начала кода модуля ядра в функции KiSystemStartup и до окончания в функции Phase1InitializationDiscard (фактически всей фазы 1), может, потенциально, являться причиной изучаемого нами подвисания (в безопасном режиме). Да уж, тут, что называется, без комментариев!!
Но не все так страшно, как кажется на первый взгляд. В большинстве расположенного на этом участке кода ядра выполняется обработка возникающих ошибок, что тем или иным образом (в виде сообщений) становится известно пользователю. А вот где действительно могут скрываться «мертвые» зависания процесса загрузки, так это на стыке хорошо отлаженного кода ядра и кода сторонних драйверов (то есть на этапе загрузки/инициализации драйверов сторонних разработчиков). Судя по всему в ядре существуют несколько цепочек кода загрузки подобных драйверов:

• Start = 0 (режим BOOT_START) : цепочка вызова функций IoInitSystem → IopInitializeBootDrivers → PnpInitializeBootStartDriver → IopInitializeBuiltinDriver;
• Start = 1 (режим SYSTEM_START) : цепочка вызова функций IoInitSystem → IopInitializeSystemDrivers → IopLoadDriver → MmLoadSystemImage;
• Start = 2 (режим AUTO_START) : цепочка вызова функций NtLoadDriver → IopLoadUnloadDriver → IopLoadDriver → MmLoadSystemImage;
• Start = 3 (режим DEMAND_START) : ???

Вот перечисленные то функции нам в первую очередь и интересны. В дополнение участвует функция MmLoadSystemImage, которая выполняет загрузку исполняемого образа драйвера в адресное пространство ядра (создает секции и производит связывание, заполняет таблицы импорта, перемещения, выполняет проверки безопасности и прочие задачи.). Еще одна функция IopLoadDriver работает с реестром, ответственная за открытие файла драйвера, создание объекта драйвера и передачу управления на точки входа (вызов процедуры инициализации DriverEntry). Для драйверов режима BOOT_START, функции IopLoadDriver и MmLoadSystemImage не участвуют в процессе, поскольку, как мы писали ранее, данные драйвера загружаются еще на этапе winload.exe.

Если предположить, что я допустил ошибку в оценке области подвисания, то в эту область еще должны входить последующие этапы, начиная с smss.exe и до самого logonui.exe. А мы знаем, что на этих этапах уязвимым для сбоев местом являются сервисы/службы режимов AUTO_START и DEMAND_START как загружаемые на схожих с драйверами принципах.

. . .

ПРОДОЛЖЕНИЕ СЛЕДУЕТ

. . .

Общие причины

Общие причины подвисания следующие:

• установленное на станции железо: после загрузки общих библиотек/драйверов (в том числе и classpnp.sys) начинается перечисление устройств и загрузка драйверов к ним.
• подключение системных томов: возможно ядро не может проинициализировать устройство (накопитель), на котором располагается один из сконфигурированных в системе разделов.
• установленное на станции железо: возможно загрузка какого-либо драйвера устройства проводит первичную инициализацию устройства (через вызов инициализации драйвера и вложенных процедур), которая не может завершиться, подвешивая весь процесс запуска системы.

Частные причины [решения]

предположение: проблема как то связана с загрузочным носителем либо контроллером или шлейфом.. одним словом с дисковой подсистемой.
решения:

• BIOS: перепрошивка BIOS на последнюю версию + сброс всех настроек в [Factory] Default (умолчание);
• BIOS: замена механизма подключения дисков с AHCI → IDE (и наоборот);
• BIOS: смена режима работы контроллера с Compatible (Legacy) Mode → Enhanced (Native) mode (и наоборот);
• BIOS: смена режима загрузки CSM (Legacy) ↔ UEFI;
• Железо: вышедшие из строя сторонние аппаратные модули (например: WIFI/Bluetooth/CardReader): отключение их в BIOS или (при возможности) физически на материнской плате;
• Железо: попробовать использовать для загрузочного диска другой порт IDE/SATA на материнской плате;
• Железо: в случае наличия в системе нескольких накопителей — поочередное отключение носителей (HDD/SSD);
• Железо: заменить кабели данных/питания;
• Железо: проверка утилитами SMART-мониторинга состояния основного загрузочного диска (замена в случае наличия существенных проблем);
• Железо: проблема с модулями ОЗУ (RAM) + нестандартные настройки таймингов при использовании «нестандартных» модулей/разгоне;
• ОС: загрузиться с LiveCD, подцепить реестр сбойной машины, в ветке HKLMSYSTEMCurrentControlSetservices пройтись по всем ключам и для каждого драйвера с параметром START = 0 проверить физическое наличие в файловой системе соответствующего файла.
• ОС: загрузиться с LiveCD, подцепить реестр сбойной машины (ветка HKLMSYSTEMCurrentControlSetservices), пробежаться по всем ключам и для каждого драйвера этапа BOOT_START (список выше в статье) проверить чтобы параметр START был равен 0.
• ОС: проверка файловой системы диска (команда: chkdsk c: /f /r);
• ОС: подмена/повреждение драйверов этапа загрузки:
  • замена всего набора файлов classpnp.sys/disk.sys и остальных драйверов начальной загрузки из единого доверенного источника — работоспособной ОС аналогичной редакции (с сохранением старых, конечно же).
  • отключение проверки подписей драйверов. в меню начальной загрузки (клавиша F8 на старте) нужно отключить проверку подписей драйверов;
• ОС: Разнообразные модификации ключевых структур разметки жесткого диска: например, сокрытие/отображение дисков при помощи сторонних утилит (Acronis);
• ОС: Отключение любого ПО, способного вмешиваться в ранние этапы загрузки ОС: антивирусы, оптимизаторы, системы обнаружения вторжений и прочее подобное;

Выводы

При изучении некоторых функций модулей загрузки, я вышел на некий термин Adding Event Tracing to Kernel-Mode Drivers, вероятно возможность появилась начиная с версии Windows Vista. ETW и WPP — два инструмента диагностики для системных приложений (в том числе и драйверов). Интересно, можно включить через утилиту perfmon логгирование для classpnp/disk? Памятка: Группы сборщиков данных — сеансы отслеживания событий — ПКМ — создать — группа сборщиков данных — создать вручную (для опытных) — далее — в окне поставщики жмем добавить — Disk Class Driver Tracing Provider и Classpnp. Тем не менее, тут же возникает резонный вопрос: как это применимо к уже подвисающим станциям? Как на них можно включить логгирование и получить отчет?
К тому же, интересно, описанная в статье проблема зависания на classpnp.sys решена в Windows 10? И как та же логика реализована в Windows 10, имеются ли там «визуальные» зависания этапа загрузки и как изменился алгоритм обработки отказа в загрузке сторонних драйверов?

^✻ Portions of file data provided by Exiftool (Phil Harvey) distributed under the Perl Artistic License.

Безопасный режим загрузки Windows предназначен для устранения ошибок и других негативных последствий программных сбоев. Этот режим позволяет загрузить все необходимые драйвера.

В связи с этим, такой способ операционной системы преимущественно работает безотказно. Однако иногда встречаются случаи, что операционка тормозит на запуске CLASSPNP.SYS. Это объясняется отсутствием или повреждением файла. Проблема появляется из-за вирусов, несовместимости установленных на компьютере программ, сбоев загрузчика.

CLASSPNP.SYS – библиотека, предназначенная для регулирования работы жесткого диска SCSI, следовательно любые нарушения проявляются в виде некорректной работы компьютера. Не исключено, что проблемы с библиотекой станут причиной появления Blue Screen of Death.

Способы решения проблемы

Методы устранения ошибки подбираются в соответствии с причиной появления сбоя. Рассмотрим самые действенные варианты, позволяющие оперативно восстановить корректную работу библиотеки CLASSPNP.SYS.

Восстановление операционки

Перезагрузите ПК несколько раз. Если запуск постоянно виснет на CLASSPNP.SYS, необходимо перезагрузить компьютер. На сей раз нажмите на кнопку F8 (сразу после короткого звукового сигнала). В результате, откроется меню с дополнительными параметрами загрузки ОС.

Вы увидите сразу несколько команд, выбрать нужно «Last Known Boot Configuration (Advanced)». Если используется сборка операционки с русифицированными параметрами, то данная команда будет называться следующим образом – «Последняя удачная конфигурация (дополнительно).

Если файл CLASSPNP.SYS не поврежден, а также не был удален, то ОС загрузится корректно. Однако если проблема не исчезла, следует воспользоваться следующим способом.

Сканирование операционной системы на предмет вирусов

Понятное дело, что если ОС не загружается, то установить антивирусный софт вам не удастся. Поэтому в таких ситуациях эксперты рекомендуют использовать Rescue Disk.

Вставьте диск в привод, а потом выключите PC. Нажмите на кнопку включения и зайдите в BIOS. Придерживаемся простой пошаговой инструкции:

1. В разделе «Boot Configuration» необходимо выбрать CD-DVD-ROM в качестве приоритетного способа загрузки.
2. Программное обеспечение автоматически запускается с диска, пользователь сможет выполнить следующие действия: выбрать язык, управлять ПК через командную строку, загрузить графический интерфейс и т.д.
3. Загрузите графический интерфейс, а потом запустите сканирование на наличие вредоносного ПО. Разделы, диски выбираются пользователем вручную.
4. Вне зависимости от опасности вируса, он будет обнаружен и удален программой, даже если шпионский софт, код притаился внутри системы и замаскировался под другие файлы.
5. Перезагрузите компьютер и убедитесь, что операционная система функционирует исправно.

Переустановка библиотеки CLASSPNP.SYS

Не исключено, что описанные выше способы не дали результата из-за того, что системная библиотека повреждена или ранее была удалена. Поэтому нужно ее переустановить. Воспользуйтесь другим компьютером, чтобы скачать файл. Также потребуется диск с лицензионной ОС.

Когда диск будет загружен и откроется главное меню, необходимо выбрать командную строку – «Comand Prompt». Она расположена в самом низу перечня доступных действий.

Введите «Copy», а потом пропишите команду, которая обозначит путь к исправному файлу (укажите flash-накопитель или диск). Например, если библиотека была сохранена на флешку, то вводим: название флешки:путь к файлу.

Нажмите на пробел и введите путь к папке, в которой должна находиться библиотека. Полная команда будет выглядеть следующим образом: название flash-накопителя:путь к системной библиотеке c:windowssystem32drivers.

Важно! Сохраняемый вами файл должен быть совместим с разрядностью операционной системы.

Восстановление Windows Boot Manager

Вставьте в привод диск с лицензионной ОС и откройте CMD. Теперь пропишите: chkdsk c: /f /r. Проверьте локальный диск, на котором сохраняются системные файлы. Восстановите Windows Boot Manager. Для этого пропишите Bootrec.exe /fixmbr и Bootrec.exe /fixboot.

Не исключено, что Windows загрузится, даже если вы не прибегали к использованию описанных выше решений проблемы. Следовательно, причина ошибки – конфликт между установленным софтом. Как показывает практика, зачастую катализатором ошибки становится Daemon Tools. Удалите программу или установите Lite версию. Еще один эффективный способ решения сложившейся проблемы – автоматическое восстановление системных библиотек с помощью специального ПО. Наиболее часто используемый софт – DLL Suite.

Заключение

Если при попытки войти в безопасный режим у вас зависает загрузка на библиотеке CLASSPNP.SYS, то скорее всего она поврежден или заражена вирусом, бывают случаи когда она вообще отсутствует. Так же проблема может возникать из-за конфликта софта. В любом случае описанные выше варианты решения проблемы вам помогут.

Оценка статьи:

Загрузка…

 — первое что сделать это проверить диск на ошибки:

chkdsk c: /f /r

 — Еще предлагают проверить на вирусы…

 — еще один из вариантов повесить HDD на другой SATA

 — вот интересно

https://fb.ru/article/248803/classpnp-sys-ne-gruzitsya-v-bezopasnom-rejime-prichinyi-rekomendatsii-i-otzyivyi

мне правда не помог

1. Одно из решений

url: http://forum.oszone.net/thread-274318-6.html

2. CD-ROM

Некоторым помогает отключение CD-ROM или выбрать его первым в boot

3. Переустановка файла

Скопировать файл Classpnp.sys  с донора. Мне этот способ ни разу не помог

Не помогли ни действия по восстановлению ОС, ни поиск и уничтожение вирусов? Может быть, данный файл попросту испорчен или отсутствует среди системных данных. В этом случае действуем так. Садимся за другой компьютер и http://iloaddll.ru/classpnp.sys_download.html из интернета. Также нам необходим оригинальный установочный диск. Когда после его загрузки перед нами появится главное меню, никаких действий по установке не предпринимаем, а нажимаем command prompt (командная строка) внизу списка действий. Вводим команду copy и далее прописываем букву, обозначающую диск или флеш-карту, и путь к нужному нам файлу, находящемуся на ней. Например, если ПК определил диск или флешку как H, то: H:путь к CLASSPNP. Затем пробел и адрес директории нашего компьютера, где файл должен располагаться. Полная команда выглядит так:

H:путь к CLASSPNP.SYS c:windowssystem32drivers

Следите, чтобы файл, который вы копируете, подходил под разрядность вашей ОС (х32 или х64).

4. Восстановление загрузчика как крайняя мера

Загружаем установочный диск и снова вызываем командную строку. На этот раз прописываем следующую команду: chkdsk c: /f /r и проверяем диск С. Затем восстанавливаем загрузчик. Для этого набираем Bootrec.exe /fixmbr и Bootrec.exe /fixboot.

Для надежности нужно перезаписать весь загрузчик при помощи команды Bootrec.exe /rebuildbcd. Это может помочь исправить проблему отсутствия загрузки CLASSPNP.SYS на Виндовс 7.

 ну еще:

https://winitpro.ru/index.php/2018/06/19/ispravlyaem-bsod-0x0000007b-pri-zagruzke-windows-7-windows-server-2008-r2/

Зависает на classpnp.sys

I’m using VMware Workstation version 7.1.4 build-385536 hosted on  Win7 service pack 1.  VMware Tools version 8.4.6 build-385536 is  intalled in the Win2k8 SP 2 guest. Attached is the output from  msinfo32.exe for both the Win7 host and Win2k8 guest.

I’m attempting to add 3 additional 500 MB virtual  disks to the virtual machine.  They initialize correctly as MBR through  Disk Management in Win2k8.  When I attempt to create a simple volume,  the virtual disk NTFS formatting reaches 100%, and then I receive the  following STOP error: 0x0000008E — classpnp.sys.

After the crash, I attempt to boot normally.  Once the guest restarts, I’m able to log on and Win2k8 reports the following:

Problem signature:
  Problem Event Name:    BlueScreen
  OS Version:    6.0.6002.2.2.0.274.10
  Locale ID:    1033

Additional information about the problem:
  BCCode:    1000008e
  BCP1:    C0000005
  BCP2:    8CD80E54
  BCP3:    98E4C6B4
  BCP4:    00000000
  OS Version:    6_0_6002
  Service Pack:    2_0
  Product:    274_2

It  provides a minidump file  that I don’t know how to use.  I’ve attached  the boot log (ntbtlog.txt) from after the crash.  Disk Management  reports the disk with the default settings that I selected when creating  the simple volume: New Volume, 509 MB NTFS, Healthy (Primary  Partition).  The exception is that it did not assign the default drive  letter (E:).

When I restart in Safe Mode with  Networking, among the drivers reported as loaded is CLASSPNP.SYS.  The  problem is completely gone — I can delete and recreate the simple volume  as many times as I like through Disk Management without issue.  This  implies that the culprit is a driver or service that is not loaded in  Safe Mode with Networking, but I’m not sure how to pinpoint it.  I have a  note below about VMware Tools.  The only other «obvious» application is  the Immunet anti-virus, both of which I’ve disabled at one point during  the troubleshooting process.

I know the simple  solution would then be to boot into Safe Mode w/ Networking, but what  frustrates me is that I was able to do this previously without having to  do so.  These are actually lab activities for a class that did not  require any special measures.  I’ve done them in the past without  issue.  Given that fact, I’d really like to find the root cause.

Below  are the troubleshooting steps that I’ve taken.  If you need additional  information, I’ll be happy to provide it.  Thank you in advance!

• There  are no reported issues in Device Manager.  Problem Reports and  Solutions provided information «Download and install the driver for your  VMware VMCI Bus Device» which amounts to ensuring that VMware Tools is  installed in the guest.
• Repaired, uninstalled/reinstalled, and  completely removed VMware Tools without effect.  In other words, it  doesn’t seem that VMware Tools is the problem, although I guess that I’m  not 100% sure.
• Similarly, the only other obvious startup  application is the Immunet anti-virus.  I disabled it on startup through  System Configuration without effect.
• This occurs in two  separate Win2k8 VMs.  In fact, I created a completely new VM because I  thought perhaps I had a driver or snapshot corruption in the orignal.   Windows Update was run in both VMs to ensure that all important updates  are applied.  In the original VM, all available updates were applied.
• Initially  I added all three disks at the same time.  I then attempted to add a  single additional disk.  Problem occurred in both cases.
• Tried adding disks as both IDE and SCSI.

• My  Internet search results seem to center around Win7 and are  predominantly boot issues.  I did not locate any specific to disk  management under Windows Server 2008.  The VM BIOS is rather limited in  its options as it relates to some of those posts e.g., PnP OS setting.   On such post recommended booting with the Disable Driver Signature  Enforcement.   I tried that and it didn’t help.