Crowd Strike内核态驱动蓝屏原因（非正式）

Dizziness2929

前情提要我找好姐妹逆向的，然后我们都笑崩溃了。

简单来说：这堆 null 没有过 if p == null，stack dump 处理的时候刚好在读 0x9c，这 null 味道好极了。

结局就是超高速即时内核削除。

人话解释：就像那些把2345驱动用空文件代替试图证明2345有多流氓结果整的自己机器开不了机的（）差不多一个原理（只是这次是CS对自己）

自己品鉴，我笑漏气了。

DisaPDB

逆大天
来份dump看看？

Dizziness2929

DisaPDB 发表于 2024-7-20 13:28
逆大天
来份dump看看？

只有哈希ad492bc8b884f9c9a5ce0c96087e722a2732cdb31612e092cdbf4a9555b44362

40.04 KB of null
VT已经上传

hsks

权威认定
https://x.com/Perpetualmaniac/status/1814376668095754753

hsks

DisaPDB 发表于 2024-7-20 13:28
逆大天
来份dump看看？

确认了

DisaPDB

hsks 发表于 2024-7-20 22:07
确认了

看到了
写这个patch的程序员估计得被开掉

Dizziness2929

DisaPDB 发表于 2024-7-20 23:21
看到了
写这个patch的程序员估计得被开掉

开除？枪毙！

岩浆膏cream

【揭开Windows蓝屏事件背后真相，造谣太容易】 https://www.bilibili.com/video/BV1fZ421N76L/
详细分析来啦

jilvan1234

这家伙有点扯，我怀疑他都不会看dump。异常处是有空指针判断的。配置文件是有固定文件头0xAAAAAAAA标记的，全为0的文件不能通过校验。

JellyCn

1.X上有人发了CSAgent.sys和C-00000291开头的那些文件：
https://x.com/patrickwardle/status/1814352433608327208

2.安天：CrowdStrike导致大规模系统崩溃事件的技术分析
https://www.bilibili.com/opus/956462545107943474

3.CrowdStrike官方的Blog：Technical Details: Falcon Content Update for Windows Hosts
https://www.crowdstrike.com/blog ... -technical-details/

4.如何评价 7 月 19 日发生的全球范围内的 Windows 大面积蓝屏事件？具体原因是什么？ - 北极的回答 - 知乎
https://www.zhihu.com/question/662013977/answer/3567169767

5.揭开Windows蓝屏事件背后真相，造谣太容易
https://www.bilibili.com/video/BV1fZ421N76L


根据1中有人发的文件来看，C-00000291-00000000-00000032.sys等文件不是全00的空文件

根据2中安天的分析，C-开头的这些文件都是0xAAAAAAAA开头的，如果是全00文件头检查就会被跳过

根据3官方的回应中提到“This is not related to null bytes contained within Channel File 291 or any other Channel File.”不是空数据导致的

根据4中回答给出的dump：
csagent+0xe14ed:fffff805`893414ed 458b08          mov     r9d,dword ptr [r8] ds:ffffe400`000000a8=????????

IDA里伪代码大概是这样：


它这里是判断的空指针的，所以这玩意不是空指针造成的，而这个指针是前面计算出来的，根据3官方的回应里提到“The configuration update triggered a logic error that resulted in an operating system crash. ”，应该是C-开头的文件里的配置有问题，导致它CSAgent.sys里某些根据配置执行的不严谨的代码出现逻辑错误导致出现野指针而引起崩溃。