查看: 2929|回复: 12
收起左侧

[分享] Crowd Strike内核态驱动蓝屏原因(非正式)

[复制链接]
Dizziness2929
发表于 2024-7-20 10:09:58 | 显示全部楼层 |阅读模式
本帖最后由 Dizziness2929 于 2024-7-20 10:48 编辑

前情提要我找好姐妹逆向的,然后我们都笑崩溃了。

简单来说:这堆 null 没有过 if p == null,stack dump 处理的时候刚好在读 0x9c,这 null 味道好极了。

结局就是超高速即时内核削除。

人话解释:就像那些把2345驱动用空文件代替试图证明2345有多流氓结果整的自己机器开不了机的()差不多一个原理(只是这次是CS对自己)

自己品鉴,我笑漏气了。










本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 4人气 +8 收起 理由
a286282313 + 3
hsks + 3 草台班子
ANY.LNK + 1 (*^_^*)
隔山打空气 + 1

查看全部评分

DisaPDB
发表于 2024-7-20 13:28:02 | 显示全部楼层
逆大天
来份dump看看?
Dizziness2929
 楼主| 发表于 2024-7-20 14:42:49 | 显示全部楼层
本帖最后由 Dizziness2929 于 2024-7-20 15:00 编辑
DisaPDB 发表于 2024-7-20 13:28
逆大天
来份dump看看?

只有哈希ad492bc8b884f9c9a5ce0c96087e722a2732cdb31612e092cdbf4a9555b44362

40.04 KB of null
VT已经上传

评分

参与人数 1人气 +1 收起 理由
DisaPDB + 1 版区有你更精彩: )

查看全部评分

hsks
发表于 2024-7-20 22:07:35 | 显示全部楼层
DisaPDB 发表于 2024-7-20 13:28
逆大天
来份dump看看?

确认了
DisaPDB
发表于 2024-7-20 23:21:47 | 显示全部楼层

看到了
写这个patch的程序员估计得被开掉
Dizziness2929
 楼主| 发表于 2024-7-21 06:08:31 | 显示全部楼层
DisaPDB 发表于 2024-7-20 23:21
看到了
写这个patch的程序员估计得被开掉

开除?枪毙!
岩浆膏cream
发表于 2024-7-21 21:31:46 | 显示全部楼层
【揭开Windows蓝屏事件背后真相,造谣太容易】 https://www.bilibili.com/video/BV1fZ421N76L/
详细分析来啦
jilvan1234
发表于 2024-7-21 22:00:04 | 显示全部楼层
这家伙有点扯,我怀疑他都不会看dump。异常处是有空指针判断的。配置文件是有固定文件头0xAAAAAAAA标记的,全为0的文件不能通过校验。

评分

参与人数 1人气 +1 收起 理由
swizzer + 1

查看全部评分

JellyCn
发表于 2024-7-22 02:55:43 | 显示全部楼层
1.X上有人发了CSAgent.sys和C-00000291开头的那些文件:
https://x.com/patrickwardle/status/1814352433608327208

2.安天:CrowdStrike导致大规模系统崩溃事件的技术分析
https://www.bilibili.com/opus/956462545107943474

3.CrowdStrike官方的Blog:Technical Details: Falcon Content Update for Windows Hosts
https://www.crowdstrike.com/blog ... -technical-details/

4.如何评价 7 月 19 日发生的全球范围内的 Windows 大面积蓝屏事件?具体原因是什么? - 北极的回答 - 知乎
https://www.zhihu.com/question/662013977/answer/3567169767

5.揭开Windows蓝屏事件背后真相,造谣太容易
https://www.bilibili.com/video/BV1fZ421N76L


根据1中有人发的文件来看,C-00000291-00000000-00000032.sys等文件不是全00的空文件

根据2中安天的分析,C-开头的这些文件都是0xAAAAAAAA开头的,如果是全00文件头检查就会被跳过

根据3官方的回应中提到“This is not related to null bytes contained within Channel File 291 or any other Channel File.”不是空数据导致的

根据4中回答给出的dump:
csagent+0xe14ed:fffff805`893414ed 458b08          mov     r9d,dword ptr [r8] ds:ffffe400`000000a8=????????

IDA里伪代码大概是这样:


它这里是判断的空指针的,所以这玩意不是空指针造成的,而这个指针是前面计算出来的,根据3官方的回应里提到“The configuration update triggered a logic error that resulted in an operating system crash. ”,应该是C-开头的文件里的配置有问题,导致它CSAgent.sys里某些根据配置执行的不严谨的代码出现逻辑错误导致出现野指针而引起崩溃。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +4 收起 理由
a27573 + 3
swizzer + 1 正解

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 13:36 , Processed in 0.122906 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表