MBRLOCK

wowocock

yjwfdc 发表于 2018-9-29 12:52
请教一下问题，我想监视系统蓝屏，在蓝屏时回写mbr，
想用KeRegisterBugCheckCallback的回调，可以吗？
...

自己测试的话，就先备份好MBR，然后进WINPE去修复。系统蓝屏的时候，可能你都写不了MBR了。事实上微软自己写蓝屏DUMP的时候，都是通过DUMP_XXX的微端口驱动去写磁盘，常规的磁盘操作可能都不正常了。

wowocock

yjwfdc 发表于 2018-9-29 12:52
请教一下问题，我想监视系统蓝屏，在蓝屏时回写mbr，
想用KeRegisterBugCheckCallback的回调，可以吗？
...

BUGCHECK回调函数的优先级非常高，我之前试过好像是15。所以很多函数都不能调用。一般可以调用
读写硬件寄存器的函数。比如READ/WRITE_REGISTER_XXX,或者READ/WRITE_IO_PORT_XXX系列函数。
 禁止进行做的事情有：
 1，分配内存(已经崩溃当然不行)。
 2，进入分页内存(当然不行，优先级太高)。
 3，使用同步机制(当然不行，优先级太高)。
 4, 调用那些必须值IRQL等于或小于DISPATCH_LEVEL优先级的函数

yjwfdc

wowocock 发表于 2018-9-29 14:54
BUGCHECK回调函数的优先级非常高，我之前试过好像是15。所以很多函数都不能调用。一般可以调用
读写硬件 ...

我想试试，但不知道这个在那个dll里，
微软是在系统真出错时，防止其它问题，才用一个特别的方法写磁盘，
而我是在其它驱动和硬件都正常的情况下，病毒人为调用出错程序的时候写磁盘。

如果这个方法不行，拦截调用NtRaiseHardError可以吗？

wowocock

yjwfdc 发表于 2018-9-29 16:02
我想试试，但不知道这个在那个dll里，
微软是在系统真出错时，防止其它问题，才用一个特别的方法写磁盘 ...

就在NTOS里，你写驱动直接调用即可。不过IRQL过高，导致这时候你写磁盘除非IO端口否则基本不可能。
拦截蓝屏也不靠谱，因为能蓝屏的方法很多，除了调用函数，还可以注入系统进程让系统进程崩溃，或者本身进程注册为关键进程，然后本进程退出直接触发蓝屏==。

yjwfdc

电脑速度卫士2.65.zip (969.7 KB, 下载次数: 0) 电脑速度卫士2.65 20181003更新

1.加强 《保护主引导记录》 功能，防御MBR病毒，现在可防修改后蓝屏关机的MBR写入，理论上可防所有非驱动写MBR。

2.显示某些病毒的解锁密码。


可防本贴里的改mbr后蓝屏的病毒。可显示本贴病毒的解锁密码。