[原创]最新版360安全卫士极速版蓝屏分析
2023-5-7 14:26:42 Author: bbs.pediy.com(查看原文) 阅读量:21 收藏

[原创]最新版360安全卫士极速版蓝屏分析

1天前 981

今天(2023年5月7号)正在写文档,写到一半,还没来得及保存,突然电脑蓝屏了,瞬间懵了,我的文档!!蓝屏后,我又打开了电脑,我没来的及保存的文档没了,又的重写,重写就重写呗,写着写着,我擦!又蓝屏了,气的我吐血。作为一个程序员,受不了了,我要查查为什么蓝屏!
图片描述
(蓝屏的操作系统版本)

1、查找蓝屏dmp文件
在目录C:\Windows\Minidump下找到了蓝屏dmp文件,
果然今天两次蓝屏的dmp文件都在这里。日期都是2023年5月7号

图片描述
2、用windbg分析dmp文件
显示的蓝屏原因:系统服务异常。
图片描述
(蓝屏原因)
再继续分析看看,从windbg的分析看,导致蓝屏的模块名称叫360hvm64.sys
,这个文件到底是谁的啊,我用everything搜了一下,我擦!原来是360.
图片描述
(蓝屏调用堆栈和蓝屏模块)
图片描述
(原来导致蓝屏的这个驱动文件是360安全卫士的)

看下我电脑上的360安全卫士
图片描述
(查看360安全卫士版本)
图片描述
(查看360主版本号和病毒库版本)

使用windbg命令lmvm,查看下360hvm64.sys模块信息

图片描述
找到360hvm64.sys文件,拖到IDA里面逆向分析下。看看到底是哪个位置蓝屏了。先rebase一下。方法,IDA菜单Edit->Segments->Rebase program...
在弹出的框内输入windbg命令lmvm 360Hvm64命令显示的模块起始地址。
图片描述
(rebase程序)
在IDA中,按下快捷键G(或者菜单Jump->Jump to address)跳转到崩溃的地址处
图片描述
(查看下奔溃的伪代码)
图片描述
个人盲猜是hooknt!NtOpenKey 下图有个指针转换,然后调用到nt!NtOpenKey,盲猜是hook nt!NtOpenKey出错,如果错误,欢迎各位大佬拍砖,下面我上传了dmp文件和引起蓝屏的
图片描述
备注:附件中是dmp文件和导致蓝屏的360的驱动文件

Linux平台漏洞分析、利用和挖掘

最后于 17小时前 被sanganlei编辑 ,原因:

上传的附件:
  • dmp文件050723-14343-01.zip (364.40kb,4次下载)
  • 驱动文件360Hvm64.zip (136.97kb,2次下载)

返回


文章来源: https://bbs.pediy.com/thread-277132.htm
如有侵权请联系:admin#unsafe.sh