关于360安全卫士修复漏洞后XueTr打开蓝屏问题

Lgwu

实体机：
操作系统：win2000 server
卫士版本：360安全卫士7.1
蓝屏现象：
      修复漏洞后，未重启机子。打开XueTr直接蓝屏。
      重启后，打开XueTr，系统正常。
      由于未内存转储，Dump文件未捕获。

虚拟机：
操作系统：Windows.XP.Pro.With.Sp2.VOL简体中文MSDN 正版光盘版
虚 拟  机：VMware5.5.1
卫士版本：360安全卫士7.1
蓝屏现象：
      修复漏洞后，未重启机子。打开XueTr直接蓝屏。
      重启后，打开XueTr，系统正常。
转储分析：

1. MODULE_NAME: XueTr
   
2. 
   
3. FAULTING_MODULE: 804d8000 nt
   
4. 
   
5. DEBUG_FLR_IMAGE_TIMESTAMP: 4b2e3642
   
6. 
   
7. BUGCHECK_STR: 0x7f_d
   
8. 
   
9. CUSTOMER_CRASH_COUNT: 2
   
10. 
    
11. DEFAULT_BUCKET_ID: DRIVER_FAULT
    
12. 
    
13. LAST_CONTROL_TRANSFER: from f7561627 to 0001024a
    
14. 
    
15. STACK_TEXT:
    
16. WARNING: Frame IP not in any known module. Following frames may be wrong.
    
17. f8156c74 f7561627 0001024a 00000202 f8156d64 0x1024a
    
18. f8156d54 804df7ec 0001024a 00000000 0012f208 XueTr+0x31627
    
19. f8156d64 7c92e514 badb0d00 0012f200 00000000 nt+0x77ec
    
20. f8156d68 badb0d00 0012f200 00000000 00000000 0x7c92e514
    
21. f8156d6c 0012f200 00000000 00000000 00000000 0xbadb0d00
    
22. f8156d70 00000000 00000000 00000000 00000000 0x12f200
    
23. 
    
24. 
    
25. STACK_COMMAND: kb
    
26. 
    
27. FOLLOWUP_IP:
    
28. XueTr+31627
    
29. f7561627 3c00 cmp al,0
    
30. 
    
31. SYMBOL_STACK_INDEX: 1
    
32. 
    
33. SYMBOL_NAME: XueTr+31627
    
34. 
    
35. FOLLOWUP_NAME: MachineOwner
    
36. 
    
37. [color=red]IMAGE_NAME: XueTr.sys[/color]
    
38. 
    
39. BUCKET_ID: WRONG_SYMBOLS
    
40. 
    
41. Followup: MachineOwner
    
42. ---------
    

复制代码

结果：从Dump看，应该是XueTr驱动的问题。建议饭友等待XueTr作者确认。

P  S：产生蓝屏的问题多种多样，在确认造成原因前，希望饭友能淡定对待。别毫无证据就把罪过加在
        某某软件身上。别因为拿50分，让人看扁了了...

dl123100

貌似XueTr的说明里一直强调更新补丁后不重启，不能再运行XueTr。

万恶之灵

强势插入，顶！！！

Lgwu

回复 2# dl123100 的帖子

本来懒得测试东西，发帖是针对下面的帖子。
就是蓝屏而已，帽子已经扣在360上了。
http://bbs.kafan.cn/thread-720837-1-1.html
   

寂静de雨季

支持楼主

dl123100

回复 4# Lgwu 的帖子

虽然这个可能确实是XueTr的问题，不过既然要验证，windbg分析时连内核符号都不加载一下。另外，显然不能因为自动分析得到MOUDLE_NAME、栈上有XT，就认为是XueTr的问题。
顺便找了一个dump，类似的，不能因为栈上有hookport就认为是360的问题。
ef9b6c5c bf86ec46 eed20e64 00000000 00000000 nt!ExRaiseAccessViolation+0xa
ef9b6c80 f8554f2e 00000000 00000000 0012fb84 win32k!NtUserFindWindowEx+0xcf
WARNING: Stack unwind information not available. Following frames may be wrong.
ef9b6d48 804df7ec 00000000 00000000 0012fb84 Hookport+0x3f2e
ef9b6d48 7c92e514 00000000 00000000 0012fb84 nt!KiFastCallEntry+0xf8
0012fb4c 77d1dc91 77d2e12f 00000000 00000000 0x7c92e514   

笨笨。

之前我也有过一次

Deker

很早前 我就发帖说明 打完补丁后务必重启系统 否则使用XueTr可能导致蓝屏
从下个版本（0.35）开始 XueTr将处理掉这个情况下的蓝屏（很可能是XueTr停止工作，提示你重启系统）
给你带来麻烦  我很抱歉

wusuwusu

原来是这样啊

360主动防御

回复 8# Deker 的帖子

嗯 xuetr的作者已经出来说明啦 那就没事啦 ^_^~ 嗯
因为实现的关系, 360的hookport.sys 在很多蓝屏的dmp中都会出现在 调用栈 中  
不过它基本不实现逻辑功能, 所以不太可能会蓝屏.
hookport.sys 到目前为止 包括测试环境中的蓝屏 也不超过5个. ^_^~