冰刃死了~

yimarong

红伞P版扫过,没有发现什么!

用360和syscheck查进程,也没有发现哪个进程里面勾嵌了什么DLL等!

郁闷!

难道是软件本身的问题?

ooo-ppp

只是冰刃自己牺牲了吗，如果是，可能是偶然的比如同其它软件可能有兼容问题，不像是映象劫持，你可以下载狙剑5009，手工查内核驱动，ssdt,fsd,看看有没有隐藏很深的保护。

wangjay1980

怎么个死法，无法启动？

yimarong

晕~截图放桌面上,发的时候却忘传了!

无法启动!

yimarong

下了个试用的狙剑5009!  查了下,貌似也没有发现什么有嫌疑的!

注册或者破解版的没有找到!  那位知道的麻烦给推荐个地址! 谢!



SSDT检查只有两个可疑项,都是软件本身的!

FSD没有可疑! 所有的HOOK类型全显示是无!   选择"文件过滤驱动"显示有一个是:fltmgr.sys

yimarong

fltmgr.sys定位到注册表内项:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FltMgr]
"Type"=dword:00000002
"Start"=dword:00000000
"ErrorControl"=dword:00000001
"Tag"=dword:00000004
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
  52,00,49,00,56,00,45,00,52,00,53,00,5c,00,66,00,6c,00,74,00,4d,00,67,00,72,\
  00,2e,00,73,00,79,00,73,00,00,00
"DisplayName"="FltMgr"
"Group"="FSFilter Infrastructure"
"Description"="文件系统筛选器管理器驱动程序"
"AttachWhenLoaded"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FltMgr\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FltMgr\Enum]
"0"="Root\\LEGACY_FLTMGR\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

找了半天资料,也没有找到什么统一的说法,但是感觉这个不像有什么问题!

CL7

试试服务全开，放软关闭，冰刃不会这样就四的
我试过你的情况，但忘了。咋搞的

yimarong

已尝试,无效!

1:打开默认服务!
@pause
sc config   Alerter start= DISABLED
sc config   ALG start= DEMAND
sc config   AppMgmt start= DEMAND
sc config   AudioSrv start= AUTO
sc config   BITS start= DEMAND
sc config   Browser start= AUTO
sc config   CiSvc start= DEMAND
sc config   ClipSrv start= DISABLED
sc config   COMSysApp start= DEMAND
sc config   CryptSvc start= AUTO
sc config   DcomLaunch start= AUTO
sc config   Dhcp start= AUTO
sc config   dmadmin start= DEMAND
sc config   dmserver start= AUTO
sc config   Dnscache start= AUTO
sc config   ERSvc start= AUTO
sc config   Eventlog start= AUTO
sc config   EventSystem start= DEMAND
sc config   FastUserSwitchingCompatibility start= DEMAND
sc config   helpsvc start= AUTO
sc config   HidServ start= DISABLED
sc config   HTTPFilter start= DEMAND
sc config   ImapiService start= DEMAND
sc config   lanmanserver start= AUTO
sc config   lanmanworkstation start= AUTO
sc config   LmHosts start= AUTO
sc config   Messenger start= DISABLED
sc config   mnmsrvc start= DEMAND
sc config   MSDTC start= DEMAND
sc config   MSIServer start= DEMAND
sc config   NetDDE start= DISABLED
sc config   NetDDEdsdm start= DISABLED
sc config   Netlogon start= DEMAND
sc config   Netman start= DEMAND
sc config   Nla start= DEMAND
sc config   NtLmSsp start= DEMAND
sc config   NtmsSvc start= DEMAND
sc config   PlugPlay start= AUTO
sc config   PolicyAgent start= AUTO
sc config   ProtectedStorage start= AUTO
sc config   RasAuto start= DEMAND
sc config   RasMan start= DEMAND
sc config   RDSessMgr start= DEMAND
sc config   RemoteAccess start= DISABLED
sc config   RemoteRegistry start= AUTO
sc config   RpcLocator start= DEMAND
sc config   RpcSs start= AUTO
sc config   RSVP start= DEMAND
sc config   SamSs start= AUTO
sc config   SCardSvr start= DEMAND
sc config   Schedule start= AUTO
sc config   seclogon start= AUTO
sc config   SENS start= AUTO
sc config   SharedAccess start= AUTO
sc config   ShellHWDetection start= AUTO
sc config   Spooler start= AUTO
sc config   srservice start= AUTO
sc config   SSDPSRV start= DEMAND
sc config   stisvc start= DEMAND
sc config   SwPrv start= DEMAND
sc config   SysmonLog start= DEMAND
sc config   TapiSrv start= DEMAND
sc config   TermService start= DEMAND
sc config   Themes start= AUTO
sc config   TlntSvr start= DISABLED
sc config   TrkWks start= AUTO
sc config   upnphost start= DEMAND
sc config   UPS start= DEMAND
sc config   VSS start= DEMAND
sc config   W32Time start= AUTO
sc config   WebClient start= AUTO
sc config   winmgmt start= AUTO
sc config   WmdmPmSN start= DEMAND
sc config   Wmi start= DEMAND
sc config   WmiApSrv start= DEMAND
sc config   wscsvc start= AUTO
sc config   wuauserv start= AUTO
sc config   WZCSVC start= AUTO
sc config   xmlprov start= DEMAND
@pause
2:重起
3:运行冰刃,错误提醒一样!

ooo-ppp

这里再插上一句讲一讲为什么不稳定了，上面说过，当在装有CNNIC的机器上运行IceSword（冰刃）时，会导至蓝屏死机，其原因，就是因为CNNIC为了保护自己的进程不被结束，INLINE-HOOK了两个与进程有关的服务。而Ice也为了自己的进程不被结束，INLINE-HOOK了同样的服务。如果他们采用的INLINE-HOOK是一样的，那只是前面的被后面的取代，也不会崩溃。但遗憾的是，他们虽然用的同一技术，HOOK的同一地方，但却并不完全一样。CNNIC HOOK了7个字节，而Ice HOOK了5个字节，想一想如果两个都存在这成什么了，系统不崩溃才怪呢。
　　所以，机器的崩溃是随机的，只要你用到了某一有冲突的软件，随机将变为必然。

再不解释一下子，让pjf看到了，还以为我说他的冰刃坏话了呢～
　　拜托两位看清楚了，偶说的是CNNIC用到了INLINE-HOOK技术来保护自己的进程不被安全软件结束，而IceSword也同样用到了INLINE-HOOK来保护自己的进程不被木马结束。
　　而且冰刃是HOOK了前5字节，与CNNIC HOOK的并不相同，所以，如果一台机器上先运行了CNNIC，然后再运行冰刃，会导至蓝屏～这是软件冲突的结果。（但先运行冰刃后运行CNNIC并不会用问题，因为CNNIC改的长度比冰刃长，会把冰刃改的复盖喽,另外，安装CNNIC后，如果不重启电脑，也不会有问题，因为它的驱动是重启后才装入运行的。)
　　偶再郑重声明一下子：偶的结论是CNNIC会与IceSword有冲突，而导至机器蓝屏，绝不是说用IceSword会导至蓝屏～～汗～～各位大哥仔细看清楚了，不要搞误会了～偶对pjf是很敬仰的，对IceSword是很佩服的～～PS:偶用的是1.20版冰刃～不知道你说的1.18版是不是用的是其它技术，偶手边没有所以无法求证，如果没用INLINE-HOOK技术，那应该就不会与CNNIC冲突了

yimarong

我的也是这个原因?

[ 本帖最后由 yimarong 于 2007-4-8 19:14 编辑 ]