金山毒霸2011 SP7.2论坛版【快速扫描增强 云鉴定更多展示】【5月6日更新】

liyuxinbaoding

通过某楼大牛讲解，感觉筛子眼越来越大了

xitongin

金山加油

kaibuliaokou

这个版本的改进比较大啊，特别是最后几个其他杀软的扫描结果反馈功能很给力啊！

dl123100

Loading User Symbols
Unable to read LDR_DATA_TABLE_ENTRY at cccccccc - Win32 error 0n30

Loading unloaded module list
.........
WARNING: .reload failed, module list may be incomplete
0: kd> kv
ChildEBP RetAddr  Args to Child              
b1cd65bc 804f9e09 00000003 cccccccc 00000000 nt!RtlpBreakWithStatusInstruction (FPO: [1,0,0])
b1cd6608 804fa9f4 00000003 00000000 c0666660 nt!KiBugCheckDebugBreak+0x19 (FPO: [Non-Fpo])
b1cd69e8 804faf43 00000050 cccccccc 00000000 nt!KeBugCheck2+0x574 (FPO: [Non-Fpo])
b1cd6a08 8052139a 00000050 cccccccc 00000000 nt!KeBugCheckEx+0x1b (FPO: [Non-Fpo])
b1cd6a70 805455f0 00000000 cccccccc 00000000 nt!MmAccessFault+0x9a8 (FPO: [Non-Fpo])
b1cd6a70 8053b5e3 00000000 cccccccc 00000000 nt!KiTrap0E+0xd0 (FPO: [0,0] TrapFrame @ b1cd6a88)
*** ERROR: Module load completed but symbols could not be loaded for KAVSafe.sys
b1cd6b04 b1e5e88c b1cd6b30 cccccccc 00000206 nt!memcpy+0x33
WARNING: Stack unwind information not available. Following frames may be wrong.
b1cd6d38 b1e5e678 b1cd6d50 b1e55336 000007fc KAVSafe+0xb88c
b1cd6d40 b1e55336 000007fc c0000022 b1cd6d64 KAVSafe+0xb678
b1cd6d50 8054267c 04dffe0c 00020006 04dffd78 KAVSafe+0x2336
b1cd6d50 7c92e514 04dffe0c 00020006 04dffd78 nt!KiFastCallEntry+0xfc (FPO: [0,0] TrapFrame @ b1cd6d64)
04dffdb8 77da6b95 00000144 04dffde0 00000000 0x7c92e514
04dffe7c 8052502a b1cd0000 00000000 00000000 0x77da6b95

怪不得有人说XueTr一结束毒霸就蓝 kavsafe这里复制前怎么也得排除下高端内存吧

xlmysjz

又见大牛

dl123100

dl123100 发表于 2011-5-11 22:21
Loading User Symbols
Unable to read LDR_DATA_TABLE_ENTRY at cccccccc - Win32 error 0n30

有人说根据蓝屏时的调用流程找不到相关的hook，刚才看了下，仍然是金山一直以来对内核的某个更改导致的。
金山的kavsafe.sys更改了系统默认的syscall table基址，并且在这个新表内部增加了33个服务函数，这些调用实际是提供Ring3程序绕过syscall table相关hook的接口。
1: kd> dds kavsafe+C1E0 l21
b1e5f1e0  805cdf94 nt!NtQueryInformationProcess
b1e5f1e4  805d59ba nt!NtResumeThread
b1e5f1e8  80577efa nt!NtQueryAttributesFile
b1e5f1ec  8057ba42 nt!NtQueryInformationFile
b1e5f1f0  8057b1a6 nt!NtOpenFile
b1e5f1f4  80623662 nt!NtSetValueKey
b1e5f1f8  805d58f4 nt!NtSuspendThread
b1e5f1fc  805cc440 nt!NtOpenProcess
b1e5f200  8062558c nt!NtDeleteKey
b1e5f204  80626810 nt!NtQueryKey
b1e5f208  805cc6cc nt!NtOpenThread
b1e5f20c  8062575c nt!NtDeleteValueKey
b1e5f210  80623314 nt!NtQueryValueKey
b1e5f214  805cd10e nt!NtSetInformationThread
b1e5f218  8057ae88 nt!NtQueryDirectoryFile
b1e5f21c  8057a0a8 nt!NtCreateFile
b1e5f220  80577c50 nt!NtDeleteFile
b1e5f224  806264ce nt!NtOpenKey
b1e5f228  805d2018 nt!NtCreateThread
b1e5f22c  8057d4ae nt!NtReadFile
b1e5f230  8057c034 nt!NtSetInformationFile
b1e5f234  80625ba6 nt!NtEnumerateValueKey
b1e5f238  805d2230 nt!NtCreateProcess
b1e5f23c  8057df16 nt!NtWriteFile
b1e5f240  805d39e2 nt!NtTerminateProcess
b1e5f244  805b53cc nt!NtWriteVirtualMemory
b1e5f248  805d3bdc nt!NtTerminateThread
b1e5f24c  805b52c2 nt!NtReadVirtualMemory
b1e5f250  806250f0 nt!NtCreateKey
b1e5f254  805cee8a nt!NtSetInformationProcess
b1e5f258  805b941e nt!NtProtectVirtualMemory
b1e5f25c  8062593c nt!NtEnumerateKey
b1e5f260  805bd530 nt!NtClose
在Ring3，金山对自身程序的ntdll.dll进行了hook，修改了native api对应的Service number，这样金山程序默认直接访问这些接口，减少自身程序被干扰的可能。
!chkimg -d ntdll
    7c92cfef-7c92cff0  2 bytes - ntdll!ZwClose+1
        [ 19 00:3a 01 ]
    7c92d0af-7c92d0b0  2 bytes - ntdll!NtCreateFile+1 (+0xc0)
        [ 25 00:31 01 ]
    7c92d0ef-7c92d0f0  2 bytes - ntdll!ZwCreateKey+1 (+0x40)
        [ 29 00:1d 01 ]
    7c92d14f-7c92d150  2 bytes - ntdll!ZwCreateProcess+1 (+0x60)
        [ 2f 00:26 01 ]
    7c92d1af-7c92d1b0  2 bytes - ntdll!ZwCreateThread+1 (+0x60)
        [ 35 00:2b 01 ]
    7c92d23f-7c92d240  2 bytes - ntdll!NtDeleteFile+1 (+0x90)
        [ 3e 00:33 01 ]
    7c92d24f-7c92d250  2 bytes - ntdll!NtDeleteKey+1 (+0x10)
        [ 3f 00:22 01 ]
    7c92d26f-7c92d270  2 bytes - ntdll!ZwDeleteValueKey+1 (+0x20)
        [ 41 00:23 01 ]
    7c92d2cf-7c92d2d0  2 bytes - ntdll!NtEnumerateKey+1 (+0x60)
        [ 47 00:24 01 ]
    7c92d2ef-7c92d2f0  2 bytes - ntdll!ZwEnumerateValueKey+1 (+0x20)
        [ 49 00:25 01 ]
    7c92d59f-7c92d5a0  2 bytes - ntdll!NtOpenFile+1 (+0x2b0)
        [ 74 00:32 01 ]
    7c92d5cf-7c92d5d0  2 bytes - ntdll!NtOpenKey+1 (+0x30)
        [ 77 00:1e 01 ]
    7c92d5ff-7c92d600  2 bytes - ntdll!NtOpenProcess+1 (+0x30)
        [ 7a 00:27 01 ]
    7c92d65f-7c92d660  2 bytes - ntdll!ZwOpenThread+1 (+0x60)
        [ 80 00:2c 01 ]
    7c92d6ef-7c92d6f0  2 bytes - ntdll!ZwProtectVirtualMemory+1 (+0x90)
        [ 89 00:3d 01 ]
    7c92d70f-7c92d710  2 bytes - ntdll!NtQueryAttributesFile+1 (+0x20)
        [ 8b 00:34 01 ]
    7c92d76f-7c92d770  2 bytes - ntdll!NtQueryDirectoryFile+1 (+0x60)
        [ 91 00:35 01 ]
    7c92d7cf-7c92d7d0  2 bytes - ntdll!NtQueryInformationFile+1 (+0x60)
        [ 97 00:36 01 ]
    7c92d7ff-7c92d800  2 bytes - ntdll!NtQueryInformationProcess+1 (+0x30)
        [ 9a 00:28 01 ]
    7c92d85f-7c92d860  2 bytes - ntdll!ZwQueryKey+1 (+0x60)
        [ a0 00:1f 01 ]
    7c92d96f-7c92d970  2 bytes - ntdll!NtQueryValueKey+1 (+0x110)
        [ b1 00:20 01 ]
    7c92d9cf-7c92d9d0  2 bytes - ntdll!ZwReadFile+1 (+0x60)
        [ b7 00:38 01 ]
    7c92d9ff-7c92da00  2 bytes - ntdll!NtReadVirtualMemory+1 (+0x30)
        [ ba 00:3b 01 ]
    7c92db3f-7c92db40  2 bytes - ntdll!ZwResumeThread+1 (+0x140)
        [ ce 00:2e 01 ]
    7c92dc5f-7c92dc60  2 bytes - ntdll!NtSetInformationFile+1 (+0x120)
        [ e0 00:37 01 ]
    7c92dc9f-7c92dca0  2 bytes - ntdll!NtSetInformationProcess+1 (+0x40)
        [ e4 00:29 01 ]
    7c92dcaf-7c92dcb0  2 bytes - ntdll!NtSetInformationThread+1 (+0x10)
        [ e5 00:2d 01 ]
    7c92ddcf-7c92ddd0  2 bytes - ntdll!ZwSetValueKey+1 (+0x120)
        [ f7 00:21 01 ]
    7c92de3f-7c92de40  2 bytes - ntdll!NtSuspendThread+1 (+0x70)
        [ fe 00:2f 01 ]
    7c92de6f - ntdll!NtTerminateProcess+1 (+0x30)
        [ 01:2a ]
    7c92de7f - ntdll!NtTerminateThread+1 (+0x10)
        [ 02:30 ]
    7c92df7f - ntdll!ZwWriteFile+1 (+0x100)
        [ 12:39 ]
    7c92dfaf - ntdll!NtWriteVirtualMemory+1 (+0x30)
        [ 15:3c ]
由于金山新增的服务函数内部基本没有参数校验，非常容易引发Dos甚至Eop。不过由于这些服务号未知，默认仅供金山使用，相对有所缓解。
另外由于此处更改，导致者依赖它的驱动出现问题（比如金山自己的kisknl.sys，导致与红伞驱动的冲突），系统可能会某些ark报告出现service table limit mismatch、service table base modified、mutiple unknown system services added等异常。

ps:
在某群听说XueTr结束金山必然蓝屏，以为金山加了BreakOnTermination之类的，就随便看了下。
此问题很久以前卡巴也有过，不过现在早就不用这样的设计了。
http://www.cnbeta.com/articles/38806.htm
至于金山，至少3年前就有人公开报告了。

teddy230010

大牛又来了  
毒霸怎么又这么多问题？？
搞的不敢用了

byxxdrls

回复 107楼 teddy230010 的帖子

你估计是被101楼吓怕了

klinxun

回复 107楼 teddy230010 的帖子

呃，问题一直不少吧……缺乏人才，或者用人不当等原因吧。猜的。

seehere

dl123100 发表于 2011-5-12 22:16
有人说根据蓝屏时的调用流程找不到相关的hook，刚才看了下，仍然是金山一直以来对内核的某个更改导致的。 ...

佩服！两贴如此详细的信息，相信对金山帮助很大。