Langouster 's Blog(虾 窝)

给自己做个记号

1.先运行Windbg安装目录下的gflags.exe，Image File,Image填exe名字，不要全路径，选上Create user mode stack trace database；

2.在Windbg中调试模式运行程序，在退出时显示：

e:\vs工程\tests\testsdlg.cpp(101) : {125} normal block at 0x003B9578, 100 bytes long.
...

最近拿到一个DUMP，是个栈溢出蓝屏，罪魁祸首是一个文件过滤驱动，这个文件过滤驱动的过滤例程使用ExAllocatePool分配了一个可分页内存，这个行为看似非常正常与普通，却容易造成蓝屏。

原因如下：

文件过滤驱动申请可分页内存时，系统可能内存不足，使的这块内存从虚拟内存中分配，这就要操作虚拟内存文件PageFile.sys，
这个文件操作再次被文件过滤驱动监控到，并再次申请一块内存，造成重入，驱动栈内存使用光时就蓝了。。。。
 

...

1.此漏洞为Windows某处设计缺陷引起，应该是早期Windows遗留下来的问题，具体细节就不说了

2.受此漏洞影响的代码不少，有Microsoft的也有第三方的；
漏洞可能引发的后果可能是堆溢出或栈溢出，目前发现的全为栈溢出;
受此漏洞影响的代码可能是Ring3的也可能是Ring0的,溢出成功后得到的权限也有差别；
此漏洞的利用权限本身没有要求，但我目前只找到可以在管理员权限下触发的方法.

3.用途：Ring3程序进入Ring0、加载驱动、过主防等。

一不小心从某软件里看到一个强大的dll与强大的sys，直接上图看dll的导出函数：

看到了吗，可以直接调一下就隐藏进程。

由于这个软件的使用范围还非常的广，所有这两个文件基本已被杀软白名单放过，上传到virustotal上看看：

sys文件:     结果: 1/41 (2.44%)

冒着酷寒，顶着寒风去欢乐谷，赢得300元公交卡。

上周在xyzreg、Virvir以及小胡的邀请下，终于回了趟学校。学校里的孩子好青春啊。

近期可能会有一个64位平台的驱动开发任务，找了些资料，对64位平台下的驱动开发略知一二了，感觉好神奇。

一。在64位系统下，有一项PatchGuard技术，它是微软为了防止自己的代码被Patch，进而影响系统的稳定性引入的，这项技术会检查以下内容有没有被恶意修改过：

1- SSDT (System Service Descriptor Table) 
2- GDT (Global Descriptor Table) 
3- IDT (Interrupt Descriptor Table) 
...

前几天收到一个蓝屏DUMP文件，运行我们的XX，然后运行IceSword必蓝，由此发现了一个IceSword的BUG。由于此ＢＵＧ的存在，在安装有卡巴2010的机器上运行IceSword有很大的可能蓝屏。

IceSword在启动时会检查SSDT中的NtDeviceIoControlFile有没有被Hook，如果被Hook过就首先将它恢复，但是在恢复此SSDT项时没有关写保护中断，引起ATTEMPTED_WRITE_TO_READONLY_MEMORY蓝屏。

存在问题的代码如下：

......