[求助] CRITICAL_STRUCTURE_CORRUPTION (109) 怎么分析？-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助] CRITICAL_STRUCTURE_CORRUPTION (109) 怎么分析？

发表于: 2020-5-30 09:31 6375

[求助] CRITICAL_STRUCTURE_CORRUPTION (109) 怎么分析？

yirucandy

2020-5-30 09:31

6375

运行我的驱动2个小时候，蓝屏，dump信息如下：

CRITICAL_STRUCTURE_CORRUPTION (109)

This bugcheck is generated when the kernel detects that critical kernel code or

data have been corrupted. There are generally three causes for a corruption:

1) A driver has inadvertently or deliberately modified critical kernel code

or data. See http://www.microsoft.com/whdc/driver/kernel/64bitPatching.mspx

2) A developer attempted to set a normal kernel breakpoint using a kernel

debugger that was not attached when the system was booted. Normal breakpoints,

"bp", can only be set if the debugger is attached at boot time. Hardware

breakpoints, "ba", can be set at any time.

3) A hardware corruption occurred, e.g. failing RAM holding kernel code or data.

Arguments:

Arg1: a39fd5daa811f5b8, Reserved

Arg2: b3b6e260fa94be54, Reserved

Arg3: ffff968135b5d040, Failure type dependent information

Arg4: 0000000000000005, Type of corrupted region, can be

0 : A generic data region

1 : Modification of a function or .pdata

2 : A processor IDT

3 : A processor GDT

4 : Type 1 process list corruption

5 : Type 2 process list corruption

6 : Debug routine modification

7 : Critical MSR modification

Debugging Details:

------------------

DUMP_FILE_ATTRIBUTES: 0x8

Kernel Generated Triage Dump

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: WIN8_DRIVER_FAULT

BUGCHECK_STR: 0x109

PROCESS_NAME: csrss.exe

CURRENT_IRQL: 2

ANALYSIS_VERSION: 6.3.9600.17237 (debuggers(dbg).140716-0327) amd64fre

LAST_CONTROL_TRANSFER: from 0000000000000000 to fffff803593adb90

STACK_TEXT:

ffffd087`531b6878 00000000`00000000 : 00000000`00000109 a39fd5da`a811f5b8 b3b6e260`fa94be54 ffff9681`35b5d040 : nt!KeBugCheckEx

STACK_COMMAND: kb

FOLLOWUP_IP:

nt+1aab90

fffff803`593adb90 48894c2408 mov qword ptr [rsp+8],rcx

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: nt+1aab90

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: nt

IMAGE_NAME: ntkrnlmp.exe

DEBUG_FLR_IMAGE_TIMESTAMP: 5ddf4fa0

IMAGE_VERSION: 10.0.17134.1184

FAILURE_BUCKET_ID: 0x109_nt+1aab90

BUCKET_ID: 0x109_nt+1aab90

ANALYSIS_SOURCE: KM

FAILURE_ID_HASH_STRING: km:0x109_nt+1aab90

FAILURE_ID_HASH: {a1fa6256-df92-7f0a-5054-fe84230d0ca9}

Followup: MachineOwner

我的驱动应该没有触发PatchGuard，怎么会有这个蓝屏呢。

这个dump也没有表示是哪里触发了PatchGuard，像CRITICAL_STRUCTURE_CORRUPTION (109)的dump应该怎么分析?

已经使用!chkimg命令分析过内核，没有发现patch。

另外Arg4: 0000000000000005，代表 5 : Type 2 process list corruption，是什么进程链表损坏了？

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・0

免费・0

支持

最新回复 (11)
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 2 楼进程断链 2020-5-30 12:09 0
yirucandy 雪币： 6509 活跃值： (2382) 能力值： ( LV12，RANK：320 ) 在线值：发帖 23 回帖 100 粉丝 122 关注私信	yirucandy 6 3 楼 hzqst 进程断链进程的什么链段了？ 2020-5-30 15:02 0
yirucandy 雪币： 6509 活跃值： (2382) 能力值： ( LV12，RANK：320 ) 在线值：发帖 23 回帖 100 粉丝 122 关注私信	yirucandy 6 4 楼原来是 (PCHAR)((char )pEthread + g_nSuspend_count) = MAXIMUM_SUSPEND_COUNT; 这句代码造成的，修改了KTHREAD头导致的，但是我修改的是自己线程的，也会触发PG。有空深入研究下PG，看修改了哪些内容会引发PG。 2020-6-16 11:22 0
wx_李超_340 雪币： 56 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	wx_李超_340 5 楼楼主，我在用你的GHOST注入器，我想问下，怎么获取里面的东西出来。修改。 2020-6-22 18:34 0
yirucandy 雪币： 6509 活跃值： (2382) 能力值： ( LV12，RANK：320 ) 在线值：发帖 23 回帖 100 粉丝 122 关注私信	yirucandy 6 6 楼 wx_李超_340 楼主，我在用你的GHOST注入器，我想问下，怎么获取里面的东西出来。修改。[em_12] 没明白你的意思。 2020-6-22 19:45 0
wx_李超_340 雪币： 56 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	wx_李超_340 7 楼 yirucandy 没明白你的意思。 https://bbs.pediy.com/thread-190489.htm 这个还记得吗？我想获取里面的文件，取出来修改后再放回去。 2020-6-22 22:49 0
yirucandy 雪币： 6509 活跃值： (2382) 能力值： ( LV12，RANK：320 ) 在线值：发帖 23 回帖 100 粉丝 122 关注私信	yirucandy 6 8 楼 wx_李超_340 https://bbs.pediy.com/thread-190489.htm 这个还记得吗？我想获取里面的文件，取出来修改后再放回去。[em_41] GHOST注入器不能取出来吗？ 2020-6-23 08:46 1
wx_李超_340 雪币： 56 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	wx_李超_340 9 楼 # 获取内容，如果文件存在则获取其中的内容，否则返回失败只能获取到有没有这个文件吧，不能导出来是吗？你的qq是多少，我加下你。 2020-6-23 08:58 1
wx_李超_340 雪币： 56 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	wx_李超_340 10 楼 yirucandy 没明白你的意思。我是想把文件给取出来，比如 WIN10.GHO 里面有一个 ABC.TXT，我想取出来，去修改里面的内容后，又再次写入进去。 2020-6-23 14:49 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 10 关注私信	ZwCopyAll 11 楼 666 2020-6-23 15:16 0
黑洛雪币： 6124 活跃值： (4661) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 12 楼 PG不是不管非微软的的东西吗？怎么会109了 2020-7-2 08:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

yirucandy

发帖

100

回帖

320

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (11)
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 2 楼进程断链 2020-5-30 12:09 0
yirucandy 雪币： 6509 活跃值： (2382) 能力值： ( LV12，RANK：320 ) 在线值：发帖 23 回帖 100 粉丝 122 关注私信	yirucandy 6 3 楼 hzqst 进程断链进程的什么链段了？ 2020-5-30 15:02 0
yirucandy 雪币： 6509 活跃值： (2382) 能力值： ( LV12，RANK：320 ) 在线值：发帖 23 回帖 100 粉丝 122 关注私信	yirucandy 6 4 楼原来是 (PCHAR)((char )pEthread + g_nSuspend_count) = MAXIMUM_SUSPEND_COUNT; 这句代码造成的，修改了KTHREAD头导致的，但是我修改的是自己线程的，也会触发PG。有空深入研究下PG，看修改了哪些内容会引发PG。 2020-6-16 11:22 0
wx_李超_340 雪币： 56 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	wx_李超_340 5 楼楼主，我在用你的GHOST注入器，我想问下，怎么获取里面的东西出来。修改。 2020-6-22 18:34 0
yirucandy 雪币： 6509 活跃值： (2382) 能力值： ( LV12，RANK：320 ) 在线值：发帖 23 回帖 100 粉丝 122 关注私信	yirucandy 6 6 楼 wx_李超_340 楼主，我在用你的GHOST注入器，我想问下，怎么获取里面的东西出来。修改。[em_12] 没明白你的意思。 2020-6-22 19:45 0
wx_李超_340 雪币： 56 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	wx_李超_340 7 楼 yirucandy 没明白你的意思。 https://bbs.pediy.com/thread-190489.htm 这个还记得吗？我想获取里面的文件，取出来修改后再放回去。 2020-6-22 22:49 0
yirucandy 雪币： 6509 活跃值： (2382) 能力值： ( LV12，RANK：320 ) 在线值：发帖 23 回帖 100 粉丝 122 关注私信	yirucandy 6 8 楼 wx_李超_340 https://bbs.pediy.com/thread-190489.htm 这个还记得吗？我想获取里面的文件，取出来修改后再放回去。[em_41] GHOST注入器不能取出来吗？ 2020-6-23 08:46 1
wx_李超_340 雪币： 56 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	wx_李超_340 9 楼 # 获取内容，如果文件存在则获取其中的内容，否则返回失败只能获取到有没有这个文件吧，不能导出来是吗？你的qq是多少，我加下你。 2020-6-23 08:58 1
wx_李超_340 雪币： 56 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	wx_李超_340 10 楼 yirucandy 没明白你的意思。我是想把文件给取出来，比如 WIN10.GHO 里面有一个 ABC.TXT，我想取出来，去修改里面的内容后，又再次写入进去。 2020-6-23 14:49 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 10 关注私信	ZwCopyAll 11 楼 666 2020-6-23 15:16 0
黑洛雪币： 6124 活跃值： (4661) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 12 楼 PG不是不管非微软的的东西吗？怎么会109了 2020-7-2 08:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复