收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国内杀毒软件 360 大神都来看看,驱动大问题
12345678910... 12下一页
返回列表 发新帖
查看: 16697|回复: 117
收起左侧

[已解决] 大神都来看看,驱动大问题

  [复制链接]
Flameocean
发表于 2013-4-27 16:40:17 | 显示全部楼层 |阅读模式
本帖最后由 Flameocean 于 2013-4-29 18:13 编辑

蓝屏1:第一个蓝屏是下午4点过的时候

第二个是第二天凌晨蓝屏的,经过下面的大牛确认不是360的驱动问题
蓝屏2:


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

dl123100
发表于 2013-4-28 23:41:12 | 显示全部楼层
Flameocean 发表于 2013-4-28 12:02
大牛果然今天百度又蓝屏了,而且这次蓝屏是百度卡巴驱动

蓝屏前费尔的驱动filnk.sys以内核模式打开进程,卡巴klif.sys对这一行为是直接放过的。看栈回溯filnk对来自内核模式的调用一样会尝试分析,百度的bd0002自我保护也拦截内核模式的调用,是这两者之一导致蓝屏的可能性比较大,其中费尔的大些,毕竟驱动稳定性远不如卡巴和百度的两个驱动。
回复

举报

Flameocean
 楼主| 发表于 2013-4-28 23:56:12 | 显示全部楼层
dl123100 发表于 2013-4-28 23:41
蓝屏前费尔的驱动filnk.sys以内核模式打开进程,卡巴klif.sys对这一行为是直接放过的。看栈回溯filnk对来 ...

大牛,你看看大肉鸡同学的,我都被你们弄晕了,求最终原因

http://bbs.kafan.cn/forum.php?mo ... &fromuid=525863

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

CiInitialize
发表于 2013-4-29 17:42:55 | 显示全部楼层
看了下,这个人生日历的驱动CalendarDriver有两个后门,一个是把DLL路径加密写到注册表里,然后驱动会把解密后的dll注入到services.exe里,你用xuetr之类的工具查看services.exe应该能看到它被注入了一个CalendarProtect.dll
这个DLL会解密drivers下CalendarFile.dat,解密出来时它的主程序的exe路径,应该是防止有人关掉它的程序,注入到services.exe里随时复活

另外一个后门就是这个隐藏驱动,这个驱动接收HelpDetectWz设备的通知,可以加载/卸载一个隐藏驱动,但是我这里下载人生日志安装,并没看到控制这块的代码(需要配合ring3),怀疑是你被升级了,可以把g:\Program Files\DTLSoft\rili\这个目录打包上传下看看
回复

举报

vm001
发表于 2013-4-27 17:01:03 | 显示全部楼层
嗯,。这个几率是有点大..
回复

举报

xxm2011
发表于 2013-4-27 17:11:22 | 显示全部楼层
N卡驱动,百度杀毒,360安全卫士,然后不懂了。。。
回复

举报

CiInitialize
发表于 2013-4-27 18:10:28 | 显示全部楼层
这个明显不是360的问题,是卡巴那个挫驱动的问题,装啥百度杀毒啊~
回复

举报

vm001
发表于 2013-4-27 18:13:45 | 显示全部楼层
CiInitialize 发表于 2013-4-27 18:10
这个明显不是360的问题,是卡巴那个挫驱动的问题,装啥百度杀毒啊~

至理名言又来了
回复

举报

zhq445078388
发表于 2013-4-27 18:31:45 | 显示全部楼层
9fb131bc 8d5420a6 9fb13354 00000001 9fb1333c nt!NtOpenKey+0x18
WARNING: Stack unwind information not available. Following frames may be wrong.
9fb13278 8d9e9503 9fb13354 00000001 9fb1333c Hookport+0x50a6
9fb13298 844518ba 9fb13354 00000001 9fb1333c bd0001+0x3503

: kd> lmvm bd0001
start    end        module name
8d9e6000 8d9fb000   bd0001   T (no symbols)           
    Loaded symbol image file: bd0001.sys
    Image path: \??\g:\Program Files\Baidu\baidusd\1.0.0.227\drivers\bd0001.sys
    Image name: bd0001.sys
    Timestamp:        Wed Apr 17 13:22:30 2013 (516E3196)
    CheckSum:         00016324
    ImageSize:        00015000
    Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4


自己看好把
回复

举报

zhq445078388
发表于 2013-4-27 18:37:20 | 显示全部楼层
本帖最后由 zhq445078388 于 2013-4-28 09:10 编辑

走到CmpCallCallBacks...然后在这里面触发了异常
调用CmpFatalFilter触发int3蓝屏

走的位置很奇特...不知道怎么回事..不属于任何模块.....反正...有问题就是了..

求助了下CiInitialize
知道这奇葩的现象是因为某隐藏驱动.而隐藏的原因是因为在开机时自己分配内存加载 所以看不到属于什么模块..

评分

参与人数 1经验 +3 收起 理由
七宝 + 3 版区有你更精彩: )

查看全部评分

回复

举报

zouguan508
发表于 2013-4-27 20:25:46 | 显示全部楼层
我其实是来围观MJ的,说话的口气还是那么熟悉
回复

举报

不知道这是剑
发表于 2013-4-27 22:06:26 | 显示全部楼层
zhq445078388 发表于 2013-4-27 18:31
9fb131bc 8d5420a6 9fb13354 00000001 9fb1333c nt!NtOpenKey+0x18
WARNING: Stack unwind information no ...

话说WINDBG的6.2版本哪里有下载?
回复

举报

Flameocean
 楼主| 发表于 2013-4-27 22:08:49 | 显示全部楼层
本帖最后由 Flameocean 于 2013-4-27 22:14 编辑
CiInitialize 发表于 2013-4-27 18:10
这个明显不是360的问题,是卡巴那个挫驱动的问题,装啥百度杀毒啊~


但是为什么是360驱动啊,百度杀毒我不开机,而且服务启动全部关闭了的,为什么蓝屏显示的是360的这个驱动
回复

举报

下一页 »
12345678910... 12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-25 01:51 , Processed in 0.142691 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表