大神都来看看，驱动大问题

CiInitialize

dl123100 发表于 2013-4-28 23:41
蓝屏前费尔的驱动filnk.sys以内核模式打开进程，卡巴klif.sys对这一行为是直接放过的。看栈回溯filnk对来 ...

这是说第二个dump，那个看起来是delete access state，释放对应access state内存时double free了，不过是系统的代码应该不太可能，所以有可能是pool corruption，这个还要再看看

CiInitialize

看了下，这个人生日历的驱动CalendarDriver有两个后门，一个是把DLL路径加密写到注册表里，然后驱动会把解密后的dll注入到services.exe里，你用xuetr之类的工具查看services.exe应该能看到它被注入了一个CalendarProtect.dll
这个DLL会解密drivers下CalendarFile.dat，解密出来时它的主程序的exe路径，应该是防止有人关掉它的程序，注入到services.exe里随时复活

另外一个后门就是这个隐藏驱动，这个驱动接收HelpDetectWz设备的通知，可以加载/卸载一个隐藏驱动，但是我这里下载人生日志安装，并没看到控制这块的代码（需要配合ring3)，怀疑是你被升级了，可以把g:\Program Files\DTLSoft\rili\这个目录打包上传下看看

Flameocean

CiInitialize 发表于 2013-4-29 17:42
看了下，这个人生日历的驱动CalendarDriver有两个后门，一个是把DLL路径加密写到注册表里，然后驱动会把解密 ...

已经打包http://yunpan.cn/QWvLuaBXwKsvw，这个驱动人生日历是驱动人生官网下载的啊，另外我看WOW分析第二个DUMP,他说是多驱动造成的，虽然我安装了费尔，百度，还有360，但是我启动项和服务进程全部手动才能开启啊
第一个蓝屏难道这个驱动人生真的是后门？？跪求最终结果

Flameocean

CiInitialize 发表于 2013-4-29 14:55
确实搞错了，见79楼

我看了下那块隐藏代码，注意到有一个pool tag是Mylt，分析了下楼主的模块列表，找 ...

大神谁叫你不认真，哈哈，不过知错就改，赞一个

E剑忠晴

小白路过

CiInitialize

Flameocean 发表于 2013-4-29 18:06
已经打包http://yunpan.cn/QWvLuaBXwKsvw，这个驱动人生日历是驱动人生官网下载的啊，另外我看WOW分析第 ...

是官方的，这应该是他们自己用来加载驱动留的后门，但是没检查调用者，所以任何人也可以使用的。

看了下你传的，貌似和我的一样，搞不懂你从哪加载的了～你可以xuetr之类的看看驱动模块里有没有隐藏驱动

Flameocean

CiInitialize 发表于 2013-4-29 18:28
是官方的，这应该是他们自己用来加载驱动留的后门，但是没检查调用者，所以任何人也可以使用的。

看了 ...

怎么查看，具体说一下，说一些具体怎么样用xt看

Flameocean

CiInitialize 发表于 2013-4-29 18:28
是官方的，这应该是他们自己用来加载驱动留的后门，但是没检查调用者，所以任何人也可以使用的。

看了 ...

Flameocean

CiInitialize 发表于 2013-4-29 17:42
看了下，这个人生日历的驱动CalendarDriver有两个后门，一个是把DLL路径加密写到注册表里，然后驱动会把解密 ...

另外这两天我把百度卸载了，就没有蓝屏，当时蓝屏的时候，360百度还有费尔进程以及服务都没有启动的，我在看电视，后来就突然莫名其妙的蓝屏了

CiInitialize

Flameocean 发表于 2013-4-29 18:34

这么看太累了，你将dump设置为核心转储，然后用NotMyFault制作一个memory.dmp传上来吧

http://download.sysinternals.com/files/NotMyFault.zip