查看: 6327|回复: 9
收起左侧

[讨论] 关于360安全卫士修复漏洞后XueTr打开蓝屏问题

[复制链接]
Lgwu
头像被屏蔽
发表于 2010-6-10 12:09:47 | 显示全部楼层 |阅读模式
实体机:
操作系统:win2000 server
卫士版本:360安全卫士7.1
蓝屏现象:
      修复漏洞后,未重启机子。打开XueTr直接蓝屏。
      重启后,打开XueTr,系统正常。
      由于未内存转储,Dump文件未捕获。

虚拟机:
操作系统:Windows.XP.Pro.With.Sp2.VOL简体中文MSDN 正版光盘版
虚 拟  机:VMware5.5.1
卫士版本:360安全卫士7.1
蓝屏现象:
      修复漏洞后,未重启机子。打开XueTr直接蓝屏。
      重启后,打开XueTr,系统正常。
转储分析:
  1. MODULE_NAME: XueTr

  2. FAULTING_MODULE: 804d8000 nt

  3. DEBUG_FLR_IMAGE_TIMESTAMP: 4b2e3642

  4. BUGCHECK_STR: 0x7f_d

  5. CUSTOMER_CRASH_COUNT: 2

  6. DEFAULT_BUCKET_ID: DRIVER_FAULT

  7. LAST_CONTROL_TRANSFER: from f7561627 to 0001024a

  8. STACK_TEXT:
  9. WARNING: Frame IP not in any known module. Following frames may be wrong.
  10. f8156c74 f7561627 0001024a 00000202 f8156d64 0x1024a
  11. f8156d54 804df7ec 0001024a 00000000 0012f208 XueTr+0x31627
  12. f8156d64 7c92e514 badb0d00 0012f200 00000000 nt+0x77ec
  13. f8156d68 badb0d00 0012f200 00000000 00000000 0x7c92e514
  14. f8156d6c 0012f200 00000000 00000000 00000000 0xbadb0d00
  15. f8156d70 00000000 00000000 00000000 00000000 0x12f200


  16. STACK_COMMAND: kb

  17. FOLLOWUP_IP:
  18. XueTr+31627
  19. f7561627 3c00 cmp al,0

  20. SYMBOL_STACK_INDEX: 1

  21. SYMBOL_NAME: XueTr+31627

  22. FOLLOWUP_NAME: MachineOwner

  23. [color=red]IMAGE_NAME: XueTr.sys[/color]

  24. BUCKET_ID: WRONG_SYMBOLS

  25. Followup: MachineOwner
  26. ---------
复制代码

结果:从Dump看,应该是XueTr驱动的问题。建议饭友等待XueTr作者确认。

P  S:产生蓝屏的问题多种多样,在确认造成原因前,希望饭友能淡定对待。别毫无证据就把罪过加在
        某某软件身上。别因为拿50分,让人看扁了了...

dl123100
发表于 2010-6-10 12:15:16 | 显示全部楼层
貌似XueTr的说明里一直强调更新补丁后不重启,不能再运行XueTr。
万恶之灵
头像被屏蔽
发表于 2010-6-10 12:28:23 | 显示全部楼层
强势插入,顶!!!
Lgwu
头像被屏蔽
 楼主| 发表于 2010-6-10 12:32:55 | 显示全部楼层
回复 2# dl123100 的帖子

本来懒得测试东西,发帖是针对下面的帖子。
就是蓝屏而已,帽子已经扣在360上了。
http://bbs.kafan.cn/thread-720837-1-1.html
   
寂静de雨季
发表于 2010-6-10 12:42:42 | 显示全部楼层
支持楼主
dl123100
发表于 2010-6-10 12:48:41 | 显示全部楼层
回复 4# Lgwu 的帖子

虽然这个可能确实是XueTr的问题,不过既然要验证,windbg分析时连内核符号都不加载一下。另外,显然不能因为自动分析得到MOUDLE_NAME、栈上有XT,就认为是XueTr的问题。
顺便找了一个dump,类似的,不能因为栈上有hookport就认为是360的问题。
ef9b6c5c bf86ec46 eed20e64 00000000 00000000 nt!ExRaiseAccessViolation+0xa
ef9b6c80 f8554f2e 00000000 00000000 0012fb84 win32k!NtUserFindWindowEx+0xcf
WARNING: Stack unwind information not available. Following frames may be wrong.
ef9b6d48 804df7ec 00000000 00000000 0012fb84 Hookport+0x3f2e
ef9b6d48 7c92e514 00000000 00000000 0012fb84 nt!KiFastCallEntry+0xf8
0012fb4c 77d1dc91 77d2e12f 00000000 00000000 0x7c92e514   
笨笨。
发表于 2010-6-10 12:49:50 | 显示全部楼层
之前我也有过一次
Deker
发表于 2010-6-10 13:14:40 | 显示全部楼层
很早前 我就发帖说明 打完补丁后务必重启系统 否则使用XueTr可能导致蓝屏
从下个版本(0.35)开始 XueTr将处理掉这个情况下的蓝屏(很可能是XueTr停止工作,提示你重启系统)
给你带来麻烦  我很抱歉
wusuwusu
发表于 2010-6-10 13:16:42 | 显示全部楼层
原来是这样啊
360主动防御
发表于 2010-6-10 13:36:14 | 显示全部楼层
回复 8# Deker 的帖子

嗯 xuetr的作者已经出来说明啦 那就没事啦 ^_^~ 嗯
因为实现的关系, 360的hookport.sys 在很多蓝屏的dmp中都会出现在 调用栈 中  
不过它基本不实现逻辑功能, 所以不太可能会蓝屏.
hookport.sys 到目前为止 包括测试环境中的蓝屏 也不超过5个. ^_^~

   
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 16:01 , Processed in 0.136116 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表