5: kHyperDbg> g debuggee is running... 00007ffc`7afb7cb2 CC int3 2: kHyperDbg> !track ┌── 00007ff7`1423f5a4 └── 00007ff7`142b9847 ┌── 00000000`001172c6 └── kernel32!TlsGetValue+0x1b (00007ffc`7ca234db) ┌── 00000000`000467ae └── kernel32!TlsGetValue+0x1b (00007ffc`7ca234db) (10:36:41.951 - core : 2 - vmx-root? yes) [+] Information (KdCheckGuestOperatingModeChanges:1405) | User-mode -> Kernel-mode ┌── nt!IopXxxControlFile (fffff800`3aec90b0) │ ┌── nt!ObReferenceObjectByHandle (fffff800`3aeca970) │ │ ┌── nt!ObpReferenceObjectByHandleWithTag (fffff800`3aeca9b0) │ │ │ ┌── nt!ExpLookupHandleTableEntry (fffff800`3aecaff0) │ │ │ └── nt!ExpLookupHandleTableEntry+0x3e (fffff800`3aecb02e) │ │ │ ┌── nt!ExGetHandlePointer (fffff800`3aa92e40) │ │ │ └── nt!ExGetHandlePointer+0xb (fffff800`3aa92e4b) │ │ │ ┌── nt!KeLeaveCriticalRegionThread (fffff800`3aa92e00) │ │ │ └── nt!KeLeaveCriticalRegionThread+0x20 (fffff800`3aa92e20) │ │ └── nt!ObpReferenceObjectByHandleWithTag+0x281 (fffff800`3aecac31) │ └── nt!ObReferenceObjectByHandle+0x32 (fffff800`3aeca9a2) │ ┌── nt!ObReferenceObjectByHandle (fffff800`3aeca970) │ │ ┌── nt!ObpReferenceObjectByHandleWithTag (fffff800`3aeca9b0) │ │ │ ┌── nt!ExpLookupHandleTableEntry (fffff800`3aecaff0) │ │ │ └── nt!ExpLookupHandleTableEntry+0x3e (fffff800`3aecb02e) │ │ │ ┌── nt!ExGetHandlePointer (fffff800`3aa92e40) │ │ │ └── nt!ExGetHandlePointer+0xb (fffff800`3aa92e4b) │ │ │ ┌── nt!KeLeaveCriticalRegionThread (fffff800`3aa92e00) │ │ │ └── nt!KeLeaveCriticalRegionThread+0x20 (fffff800`3aa92e20) │ │ └── nt!ObpReferenceObjectByHandleWithTag+0x281 (fffff800`3aecac31) │ └── nt!ObReferenceObjectByHandle+0x32 (fffff800`3aeca9a2) │ ┌── nt!KeResetEvent (fffff800`3aa12c90) │ └── nt!KeResetEvent+0x7b (fffff800`3aa12d0b) │ ┌── nt!IoGetRelatedDeviceObject (fffff800`3aa92fa0) │ └── nt!IoGetRelatedDeviceObject+0x33 (fffff800`3aa92fd3) │ ┌── nt!guard_dispatch_icall (fffff800`3ac2a450) │ │ ┌── fffff800`3f630d30 │ │ └── fffff800`3f630d3b │ │ ┌── nt!ExGetPreviousMode (fffff800`3aac2300) │ │ └── nt!ExGetPreviousMode+0x10 (fffff800`3aac2310) │ │ ┌── nt!IoIs32bitProcess (fffff800`3aabd720) │ │ └── nt!IoIs32bitProcess+0x34 (fffff800`3aabd754) │ │ ┌── afd!AfdFastConnectionSend (fffff800`408c2b20) │ │ │ ┌── nt!KeAcquireInStackQueuedSpinLock (fffff800`3aae3550) │ │ │ └── nt!KeAcquireInStackQueuedSpinLock+0xb0 (fffff800`3aae3600) │ │ │ ┌── nt!KeReleaseInStackQueuedSpinLock (fffff800`3aa8b450) │ │ │ └── nt!KeReleaseInStackQueuedSpinLock+0xee (fffff800`3aa8b53e) │ │ │ ┌── nt!ExAllocateFromLookasideListEx (fffff800`3aaf99d0) │ │ │ │ ┌── nt!RtlpInterlockedPopEntrySList (fffff800`3ac296e0) │ │ │ │ └── nt!ExpInterlockedPopEntrySListEnd+0xb (fffff800`3ac2970b) │ │ │ └── nt!ExAllocateFromLookasideListEx+0x1b (fffff800`3aaf99eb) │ │ │ ┌── nt!ExGetPreviousMode (fffff800`3aac2300) │ │ │ └── nt!ExGetPreviousMode+0x10 (fffff800`3aac2310) │ │ │ ┌── afd!memmove (fffff800`408dc680) │ │ │ └── afd!memmove+0x5a (fffff800`408dc6da) │ │ │ ┌── afd!AfdReturnBuffer (fffff800`408c8210) │ │ │ │ ┌── nt!ExFreeToLookasideListEx (fffff800`3ab1bae0) │ │ │ │ │ ┌── nt!RtlpInterlockedPushEntrySList (fffff800`3ac29720) │ │ │ │ │ └── nt!RtlpInterlockedPushEntrySList+0x30 (fffff800`3ac29750) │ │ │ │ └── nt!ExFreeToLookasideListEx+0x1c (fffff800`3ab1bafc) │ │ │ └── afd!AfdReturnBuffer+0xbd (fffff800`408c82cd) │ │ │ ┌── nt!KeAcquireInStackQueuedSpinLock (fffff800`3aae3550) │ │ │ └── nt!KeAcquireInStackQueuedSpinLock+0xb0 (fffff800`3aae3600) │ │ │ ┌── nt!KeReleaseInStackQueuedSpinLock (fffff800`3aa8b450) │ │ │ └── nt!KeReleaseInStackQueuedSpinLock+0xee (fffff800`3aa8b53e) │ │ │ ┌── afd!_security_check_cookie (fffff800`408dc2c0) │ │ │ └── afd!_security_check_cookie+0x14 (fffff800`408dc2d4) │ │ └── afd!AfdFastConnectionSend+0x5ee (fffff800`408c310e) │ │ ┌── afd!_security_check_cookie (fffff800`408dc2c0) │ │ └── afd!_security_check_cookie+0x14 (fffff800`408dc2d4) │ └── afd!AfdFastIoDeviceControl+0x18b1 (fffff800`408c7291) │ ┌── nt!KeResetEvent (fffff800`3aa12c90) │ └── nt!KeResetEvent+0x7b (fffff800`3aa12d0b) │ ┌── nt!IopAllocateIrpExReturn (fffff800`3aa930a0) │ │ ┌── nt!IopAllocateIrpPrivate (fffff800`3aa930d0) │ │ │ ┌── nt!RtlpInterlockedPopEntrySList (fffff800`3ac296e0) │ │ │ └── nt!ExpInterlockedPopEntrySListEnd+0xb (fffff800`3ac2970b) │ │ │ ┌── nt!memset (fffff800`3ac34980) │ │ │ └── nt!memset+0x8a (fffff800`3ac34a0a) │ │ └── nt!IopAllocateIrpPrivate+0x210 (fffff800`3aa932e0) │ └── nt!IopAllocateIrpExReturn+0x1b (fffff800`3aa930bb) │ ┌── nt!IopSynchronousServiceTail (fffff800`3aecb040) │ │ ┌── nt!IopQueueThreadIrp (fffff800`3aa9bc30) │ │ └── nt!IopQueueThreadIrp+0x161 (fffff800`3aa9bd91) │ │ ┌── nt!ObfReferenceObject (fffff800`3aa95060) │ │ └── nt!ObfReferenceObject+0x49 (fffff800`3aa950a9) │ │ ┌── nt!IoGetIoPriorityHint (fffff800`3aaa5190) │ │ └── nt!IoGetIoPriorityHint+0x18 (fffff800`3aaa51a8) │ │ ┌── nt!IofCallDriver (fffff800`3aa93450) │ │ │ ┌── nt!guard_dispatch_icall (fffff800`3ac2a450) │ │ │ │ ┌── fffff800`3f630d30 │ │ │ │ └── fffff800`3f630d3b │ │ │ │ ┌── 00000000`0004b85b │ │ │ │ │ ┌── nt!IoIs32bitProcess (fffff800`3aabd720) │ │ │ │ │ └── nt!IoIs32bitProcess+0x34 (fffff800`3aabd754) │ │ │ │ │ ┌── afd!AfdAllocateMdlChain (fffff800`408c4af0) │ │ │ │ │ │ ┌── nt!IoAllocateMdl (fffff800`3ab21fe0) │ │ │ │ │ │ │ ┌── nt!RtlpInterlockedPopEntrySList (fffff800`3ac296e0) │ │ │ │ │ │ │ └── nt!ExpInterlockedPopEntrySListEnd+0xb (fffff800`3ac2970b) │ │ │ │ │ │ └── nt!IoAllocateMdl+0xf0 (fffff800`3ab220d0) │ │ │ │ │ │ ┌── nt!MmProbeAndLockPages (fffff800`3aa46990) │ │ │ │ │ │ │ ┌── nt!memset (fffff800`3ac34980) │ │ │ │ │ │ │ └── nt!memset+0x8a (fffff800`3ac34a0a) │ │ │ │ │ │ │ ┌── nt!MiProbeAndLockPrepare (fffff800`3aa463b0) │ │ │ │ │ │ │ └── nt!MiProbeAndLockPrepare+0x5d0 (fffff800`3aa46980) │ │ │ │ │ │ │ ┌── nt!MiProbeAndLockPacket (fffff800`3aa46a70) │ │ │ │ │ │ │ │ ┌── nt!MiLockPageLeafPageTable (fffff800`3aa47250) │ │ │ │ │ │ │ │ │ ┌── nt!MiFastLockLeafPageTable (fffff800`3aa48fd0) │ │ │ │ │ │ │ │ │ │ ┌── nt!MiLockPageTableInternal (fffff800`3aa49450) │ │ │ │ │ │ │ │ │ │ └── nt!MiLockPageTableInternal+0x415 (fffff800`3aa49865) │ │ │ │ │ │ │ │ │ └── nt!MiFastLockLeafPageTable+0x3d2 (fffff800`3aa493a2) │ │ │ │ │ │ │ │ └── nt!MiLockPageLeafPageTable+0x110 (fffff800`3aa47360) │ │ │ │ │ │ │ │ ┌── nt!MiProbeLeafPteAccess (fffff800`3aa47560) │ │ │ │ │ │ │ │ │ ┌── nt!MI_READ_PTE_LOCK_FREE (fffff800`3aa3f310) │ │ │ │ │ │ │ │ │ └── nt!MI_READ_PTE_LOCK_FREE+0x21 (fffff800`3aa3f331) │ │ │ │ │ │ │ │ └── nt!MiProbeLeafPteAccess+0x1a7 (fffff800`3aa47707) │ │ │ │ │ │ │ │ ┌── nt!MI_READ_PTE_LOCK_FREE (fffff800`3aa3f310) │ │ │ │ │ │ │ │ └── nt!MI_READ_PTE_LOCK_FREE+0x21 (fffff800`3aa3f331) │ │ │ │ │ │ │ │ ┌── nt!MiSetProbePagesAhead (fffff800`3aa47900) │ │ │ │ │ │ │ │ │ ┌── nt!MI_READ_PTE_LOCK_FREE (fffff800`3aa3f310) │ │ │ │ │ │ │ │ │ └── nt!MI_READ_PTE_LOCK_FREE+0x21 (fffff800`3aa3f331) │ │ │ │ │ │ │ │ └── nt!MiSetProbePagesAhead+0x248 (fffff800`3aa47b48) │ │ │ │ │ │ │ │ ┌── nt!MiProbeLockFrame (fffff800`3aa46d10) │ │ │ │ │ │ │ │ │ ┌── nt!MiChargeCommit (fffff800`3aa414c0) │ │ │ │ │ │ │ │ │ └── nt!MiChargeCommit+0x88 (fffff800`3aa41548) │ │ │ │ │ │ │ │ │ ┌── nt!MiLockPageTablePage (fffff800`3aa4a100) │ │ │ │ │ │ │ │ │ └── nt!MiLockPageTablePage+0x269 (fffff800`3aa4a369) │ │ │ │ │ │ │ │ └── nt!MiProbeLockFrame+0x2d6 (fffff800`3aa46fe6) │ │ │ │ │ │ │ └── nt!MiProbeAndLockPacket+0x17b (fffff800`3aa46beb) │ │ │ │ │ │ │ ┌── nt!MiProbeAndLockComplete (fffff800`3aa462e0) │ │ │ │ │ │ │ │ ┌── nt!MiUnlockPageTableInternal (fffff800`3ab81b60) │ │ │ │ │ │ │ │ └── nt!MiUnlockPageTableInternal+0x301 (fffff800`3ab81e61) │ │ │ │ │ │ │ │ ┌── nt!MiUnlockWorkingSetShared (fffff800`3aa89b80) │ │ │ │ │ │ │ │ │ ┌── nt!MiCheckProcessShadow (fffff800`3aa898a0) │ │ │ │ │ │ │ │ │ └── nt!MiCheckProcessShadow+0x3f (fffff800`3aa898df) │ │ │ │ │ │ │ │ └── nt!MiUnlockWorkingSetShared+0xa1 (fffff800`3aa89c21) │ │ │ │ │ │ │ └── nt!MiProbeAndLockComplete+0x9e (fffff800`3aa4637e) │ │ │ │ │ │ └── nt!MmProbeAndLockPages+0xbc (fffff800`3aa46a4c) │ │ │ │ │ └── afd!AfdAllocateMdlChain+0x1af (fffff800`408c4c9f) │ │ │ │ │ ┌── afd!AfdGetBuffer (fffff800`408cc4c0) │ │ │ │ │ │ ┌── afd!PplpRetrieveListIndex (fffff800`408cafb8) │ │ │ │ │ │ └── afd!PplpRetrieveListIndex+0x23 (fffff800`408cafdb) │ │ │ │ │ │ ┌── nt!ExAllocateFromLookasideListEx (fffff800`3aaf99d0) │ │ │ │ │ │ │ ┌── nt!RtlpInterlockedPopEntrySList (fffff800`3ac296e0) │ │ │ │ │ │ │ └── nt!ExpInterlockedPopEntrySListEnd+0xb (fffff800`3ac2970b) │ │ │ │ │ │ └── nt!ExAllocateFromLookasideListEx+0x1b (fffff800`3aaf99eb) │ │ │ │ │ └── afd!AfdGetBuffer+0xab (fffff800`408cc56b) │ │ │ │ │ ┌── afd!AfdCopyMdlChainToBufferAvoidMapping (fffff800`408c1d24) │ │ │ │ │ │ ┌── nt!PsGetCurrentProcess (fffff800`3aac31d0) │ │ │ │ │ │ └── nt!PsGetCurrentProcess+0x10 (fffff800`3aac31e0) │ │ │ │ │ │ ┌── afd!memmove (fffff800`408dc680) │ │ │ │ │ │ └── afd!memmove+0x169 (fffff800`408dc7e9) │ │ │ │ │ └── afd!AfdCopyMdlChainToBufferAvoidMapping+0xc8 (fffff800`408c1dec) │ │ │ │ │ ┌── nt!KeAcquireInStackQueuedSpinLock (fffff800`3aae3550) │ │ │ │ │ └── nt!KeAcquireInStackQueuedSpinLock+0xb0 (fffff800`3aae3600) │ │ │ │ │ ┌── nt!KeReleaseInStackQueuedSpinLock (fffff800`3aa8b450) │ │ │ │ │ └── nt!KeReleaseInStackQueuedSpinLock+0xee (fffff800`3aa8b53e) │ │ │ │ │ ┌── afd!AfdCheckISBEvents (fffff800`408d26c8) │ │ │ │ │ │ ┌── afd!memset (fffff800`408dc980) │ │ │ │ │ │ └── afd!memset+0x8a (fffff800`408dca0a) │ │ │ │ │ │ ┌── afd!AfdTLIoControl (fffff800`408cf3f4) │ │ │ │ │ │ │ ┌── 00000000`00050539 │ │ │ │ │ │ │ │ ┌── nt!KeGetCurrentIrql (fffff800`3ab388b0) │ │ │ │ │ │ │ │ │ ┌── nt!KeExpandKernelStackAndCalloutEx (fffff800`3aa973c0) │ │ │ │ │ │ │ │ │ │ ┌── nt!KeExpandKernelStackAndCalloutInternal (fffff800`3aa973f0) │ │ │ │ │ │ │ │ │ │ │ ┌── nt!KiExpandKernelStackAndCalloutSwitchStack (fffff800`3aa974d0) │ │ │ │ │ │ │ │ │ │ │ │ ┌── nt!KeGetCurrentStackPointer (fffff800`3ac21690) │ │ │ │ │ │ │ │ │ │ │ │ └── nt!KeGetCurrentStackPointer+0x5 (fffff800`3ac21695) │ │ │ │ │ │ │ │ │ │ │ └── nt!KiExpandKernelStackAndCalloutSwitchStack+0xd5 (fffff800`3aa975a5) │ │ │ │ │ │ │ │ │ │ │ ┌── nt!guard_dispatch_icall (fffff800`3ac2a450) │ │ │ │ │ │ │ │ │ │ │ │ ┌── tcpip!TcpIoControlTcb (fffff800`3f706808) │ │ │ │ │ │ │ │ │ │ │ │ │ ┌── nt!KeAcquireSpinLockRaiseToDpc (fffff800`3aa15280) │ │ │ │ │ │ │ │ │ │ │ │ │ └── nt!KeAcquireSpinLockRaiseToDpc+0x97 (fffff800`3aa15317) │ │ │ │ │ │ │ │ │ │ │ │ │ ┌── nt!KeReleaseSpinLock (fffff800`3aa8cb10) │ │ │ │ │ │ │ │ │ │ │ │ │ └── nt!KeReleaseSpinLock+0x32 (fffff800`3aa8cb42) │ │ │ │ │ │ │ │ │ │ │ │ │ ┌── tcpip!_security_check_cookie (fffff800`3f7c7590) │ │ │ │ │ │ │ │ │ │ │ │ │ └── tcpip!_security_check_cookie+0x14 (fffff800`3f7c75a4) │ │ │ │ │ │ │ │ │ │ │ │ └── tcpip!TcpIoControlTcb+0xe1 (fffff800`3f7068e9) │ │ │ │ │ │ │ │ │ │ │ └── tcpip!TcpTlConnectionIoControlEndpointCalloutRoutine+0x7f (fffff800`3f7058df) │ │ │ │ │ │ │ │ │ │ └── nt!KeExpandKernelStackAndCalloutInternal+0xc8 (fffff800`3aa974b8) │ │ │ │ │ │ │ │ │ └── nt!KeExpandKernelStackAndCalloutEx+0x21 (fffff800`3aa973e1) │ │ │ │ │ │ │ │ └── tcpip!TcpTlConnectionIoControlEndpoint+0xaf (fffff800`3f759a6f) │ │ │ │ │ │ │ │ ┌── 00000000`000504f5 │ │ │ │ │ │ │ │ └── afd!AfdTLDontCareIOCompletion (fffff800`408d6ea0) │ │ │ │ │ │ │ └── afd!AfdTLIoControl+0xb6 (fffff800`408cf4aa) │ │ │ │ │ │ │ ┌── nt!KeAcquireInStackQueuedSpinLock (fffff800`3aae3550) │ │ │ │ │ │ │ └── nt!KeAcquireInStackQueuedSpinLock+0xb0 (fffff800`3aae3600) │ │ │ │ │ │ │ ┌── nt!KeReleaseInStackQueuedSpinLock (fffff800`3aa8b450) │ │ │ │ │ │ │ └── nt!KeReleaseInStackQueuedSpinLock+0xee (fffff800`3aa8b53e) │ │ │ │ │ │ └── afd!AfdCheckISBEvents+0x4a (fffff800`408d2712) │ │ │ │ │ │ ┌── nt!KeAcquireInStackQueuedSpinLock (fffff800`3aae3550) │ │ │ │ │ │ └── nt!KeAcquireInStackQueuedSpinLock+0xb0 (fffff800`3aae3600) │ │ │ │ │ │ ┌── nt!KeReleaseInStackQueuedSpinLock (fffff800`3aa8b450) │ │ │ │ │ │ └── nt!KeReleaseInStackQueuedSpinLock+0xee (fffff800`3aa8b53e) │ │ │ │ │ │ ┌── afd!AfdTLStartBufferedVcSend (fffff800`408c1c3c) │ │ │ │ │ │ │ ┌── afd!memset (fffff800`408dc980) │ │ │ │ │ │ │ └── afd!memset+0x8a (fffff800`408dca0a) │ │ │ │ │ │ │ ┌── afd!AFDETW_TRACEBSEND (fffff800`408c1b98) │ │ │ │ │ │ │ │ ┌── afd!_security_check_cookie (fffff800`408dc2c0) │ │ │ │ │ │ │ │ └── afd!_security_check_cookie+0x14 (fffff800`408dc2d4) │ │ │ │ │ │ │ └── afd!AFDETW_TRACEBSEND+0x9c (fffff800`408c1c34) │ │ │ │ │ │ │ ┌── 00000000`0005dc9a │ │ │ │ │ │ │ │ ┌── nt!KeGetCurrentIrql (fffff800`3ab388b0) │ │ │ │ │ │ │ │ │ ┌── nt!KeExpandKernelStackAndCalloutEx (fffff800`3aa973c0) │ │ │ │ │ │ │ │ │ │ ┌── nt!KeExpandKernelStackAndCalloutInternal (fffff800`3aa973f0) │ │ │ │ │ │ │ │ │ │ │ ┌── nt!KiExpandKernelStackAndCalloutSwitchStack (fffff800`3aa974d0) │ │ │ │ │ │ │ │ │ │ │ │ ┌── nt!KeGetCurrentStackPointer (fffff800`3ac21690) │ │ │ │ │ │ │ │ │ │ │ │ └── nt!KeGetCurrentStackPointer+0x5 (fffff800`3ac21695) │ │ │ │ │ │ │ │ │ │ │ └── nt!KiExpandKernelStackAndCalloutSwitchStack+0xd5 (fffff800`3aa975a5) │ │ │ │ │ │ │ │ │ │ │ ┌── nt!guard_dispatch_icall (fffff800`3ac2a450) │ │ │ │ │ │ │ │ │ │ │ │ ┌── tcpip!TcpEnqueueTcbSend (fffff800`3f716290) │ │ │ │ │ │ │ │ │ │ │ │ │ ┌── nt!KeGetCurrentIrql (fffff800`3ab388b0) │ │ │ │ │ │ │ │ │ │ │ │ │ │ ┌── nt!KeReadStateSemaphore (fffff800`3ab45960) │ │ │ │ │ │ │ │ │ │ │ │ │ │ └── nt!KeReadStateSemaphore+0x3 (fffff800`3ab45963) │ │ │ │ │ │ │ │ │ │ │ │ │ │ ┌── nt!KeAcquireSpinLockRaiseToDpc (fffff800`3aa15280) │ │ │ │ │ │ │ │ │ │ │ │ │ │ └── nt!KeAcquireSpinLockRaiseToDpc+0x97 (fffff800`3aa15317) │ │ │ │ │ │ │ │ │ │ │ │ │ │ ┌── fffff800`3f630d20 │ │ │ │ │ │ │ │ │ │ │ │ │ │ └── fffff800`3f630d27 │ │ │ │ │ │ │ │ │ │ │ │ │ │ ┌── fffff800`3f6248b0 │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ┌── nt!ExAllocateFromLookasideListEx (fffff800`3aaf99d0) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ┌── nt!RtlpInterlockedPopEntrySList (fffff800`3ac296e0) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ └── nt!ExpInterlockedPopEntrySListEnd+0xb (fffff800`3ac2970b) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ └── nt!ExAllocateFromLookasideListEx+0x1b (fffff800`3aaf99eb) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ┌── fffff800`3f64b140