1.先运行Windbg安装目录下的gflags.exe，Image File,Image填exe名字，不要全路径，选上Create user mode stack trace database；

2.在Windbg中调试模式运行程序，在退出时显示：

e:\vs工程\tests\testsdlg.cpp(101) : {125} normal block at 0x003B9578, 100 bytes long.
...

原因如下：

文件过滤驱动申请可分页内存时，系统可能内存不足，使的这块内存从虚拟内存中分配，这就要操作虚拟内存文件PageFile.sys，
这个文件操作再次被文件过滤驱动监控到，并再次申请一块内存，造成重入，驱动栈内存使用光时就蓝了。。。。
 

...

2.受此漏洞影响的代码不少，有Microsoft的也有第三方的；
漏洞可能引发的后果可能是堆溢出或栈溢出，目前发现的全为栈溢出;
受此漏洞影响的代码可能是Ring3的也可能是Ring0的,溢出成功后得到的权限也有差别；
此漏洞的利用权限本身没有要求，但我目前只找到可以在管理员权限下触发的方法.

3.用途：Ring3程序进入Ring0、加载驱动、过主防等。

看到了吗，可以直接调一下就隐藏进程。

由于这个软件的使用范围还非常的广，所有这两个文件基本已被杀软白名单放过，上传到virustotal上看看：

sys文件:     结果: 1/41 (2.44%)

一。在64位系统下，有一项PatchGuard技术，它是微软为了防止自己的代码被Patch，进而影响系统的稳定性引入的，这项技术会检查以下内容有没有被恶意修改过：

1- SSDT (System Service Descriptor Table) 
2- GDT (Global Descriptor Table) 
3- IDT (Interrupt Descriptor Table) 
...

IceSword在启动时会检查SSDT中的NtDeviceIoControlFile有没有被Hook，如果被Hook过就首先将它恢复，但是在恢复此SSDT项时没有关写保护中断，引起ATTEMPTED_WRITE_TO_READONLY_MEMORY蓝屏。

存在问题的代码如下：

......

例子中是一个自动下载示例程序并运行的例子。示例程序没有危害，只弹对话框。

本地打开下载运行.rar

今天跟同事聊起时，同事还提到一个更加好玩的想法，劫持播放内容，在播放内容中插播广告，以此盈利。