给自己做个记号
1.先运行Windbg安装目录下的gflags.exe,Image File,Image填exe名字,不要全路径,选上Create user mode stack trace database;
2.在Windbg中调试模式运行程序,在退出时显示:
e:\vs工程\tests\testsdlg.cpp(101) : {125} normal block at 0x003B9578, 100 bytes long.
...
给自己做个记号
1.先运行Windbg安装目录下的gflags.exe,Image File,Image填exe名字,不要全路径,选上Create user mode stack trace database;
2.在Windbg中调试模式运行程序,在退出时显示:
e:\vs工程\tests\testsdlg.cpp(101) : {125} normal block at 0x003B9578, 100 bytes long.
...
最近拿到一个DUMP,是个栈溢出蓝屏,罪魁祸首是一个文件过滤驱动,这个文件过滤驱动的过滤例程使用ExAllocatePool分配了一个可分页内存,这个行为看似非常正常与普通,却容易造成蓝屏。
原因如下:
文件过滤驱动申请可分页内存时,系统可能内存不足,使的这块内存从虚拟内存中分配,这就要操作虚拟内存文件PageFile.sys,
这个文件操作再次被文件过滤驱动监控到,并再次申请一块内存,造成重入,驱动栈内存使用光时就蓝了。。。。
...
1.此漏洞为Windows某处设计缺陷引起,应该是早期Windows遗留下来的问题,具体细节就不说了
2.受此漏洞影响的代码不少,有Microsoft的也有第三方的;
漏洞可能引发的后果可能是堆溢出或栈溢出,目前发现的全为栈溢出;
受此漏洞影响的代码可能是Ring3的也可能是Ring0的,溢出成功后得到的权限也有差别;
此漏洞的利用权限本身没有要求,但我目前只找到可以在管理员权限下触发的方法.
3.用途:Ring3程序进入Ring0、加载驱动、过主防等。
一不小心从某软件里看到一个强大的dll与强大的sys,直接上图看dll的导出函数:
看到了吗,可以直接调一下就隐藏进程。

由于这个软件的使用范围还非常的广,所有这两个文件基本已被杀软白名单放过,上传到virustotal上看看:
sys文件: 结果: 1/41 (2.44%)
...近期可能会有一个64位平台的驱动开发任务,找了些资料,对64位平台下的驱动开发略知一二了,感觉好神奇。
一。在64位系统下,有一项PatchGuard技术,它是微软为了防止自己的代码被Patch,进而影响系统的稳定性引入的,这项技术会检查以下内容有没有被恶意修改过:
1- SSDT (System Service Descriptor Table)
2- GDT (Global Descriptor Table)
3- IDT (Interrupt Descriptor Table)
...
前几天收到一个蓝屏DUMP文件,运行我们的XX,然后运行IceSword必蓝,由此发现了一个IceSword的BUG。由于此BUG的存在,在安装有卡巴2010的机器上运行IceSword有很大的可能蓝屏。
IceSword在启动时会检查SSDT中的NtDeviceIoControlFile有没有被Hook,如果被Hook过就首先将它恢复,但是在恢复此SSDT项时没有关写保护中断,引起ATTEMPTED_WRITE_TO_READONLY_MEMORY蓝屏。
存在问题的代码如下:
......