首页
社区
课程
招聘
[原创]最新版360安全卫士极速版蓝屏分析
发表于: 2023-5-7 12:18 22627

[原创]最新版360安全卫士极速版蓝屏分析

2023-5-7 12:18
22627

今天(2023年5月7号)正在写文档,写到一半,还没来得及保存,突然电脑蓝屏了,瞬间懵了,我的文档!!蓝屏后,我又打开了电脑,我没来的及保存的文档没了,又的重写,重写就重写呗,写着写着,我擦!又蓝屏了,气的我吐血。作为一个程序员,受不了了,我要查查为什么蓝屏!
图片描述
(蓝屏的操作系统版本)

1、查找蓝屏dmp文件
在目录C:\Windows\Minidump下找到了蓝屏dmp文件,
果然今天两次蓝屏的dmp文件都在这里。日期都是2023年5月7号

图片描述
2、用windbg分析dmp文件
显示的蓝屏原因:系统服务异常。
图片描述
(蓝屏原因)
再继续分析看看,从windbg的分析看,导致蓝屏的模块名称叫360hvm64.sys
,这个文件到底是谁的啊,我用everything搜了一下,我擦!原来是360.
图片描述
(蓝屏调用堆栈和蓝屏模块)
图片描述
(原来导致蓝屏的这个驱动文件是360安全卫士的)

看下我电脑上的360安全卫士
图片描述
(查看360安全卫士版本)
图片描述
(查看360主版本号和病毒库版本)

使用windbg命令lmvm,查看下360hvm64.sys模块信息


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2023-5-9 17:34 被kanxue编辑 ,原因:
上传的附件:
收藏
免费 1
支持
分享
最新回复 (17)
雪    币: 3335
活跃值: (5455)
能力值: ( LV6,RANK:92 )
在线值:
发帖
回帖
粉丝
2
所以为什么会产生蓝屏呢?
2023-5-7 20:07
0
雪    币: 3535
活跃值: (31016)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
找到了位置,具体原因不知呗
2023-5-7 20:25
1
雪    币: 25899
活跃值: (5007)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
没下文了?
2023-5-7 20:27
0
雪    币: 2590
活跃值: (4455)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
5
统一回复:各位逆向大佬分析分析,逆向我业余水平,主要正向开发。
2023-5-7 20:39
0
雪    币: 3001
活跃值: (2625)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
卸载360
2023-5-8 09:02
0
雪    币: 70
活跃值: (1762)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
原来以为能学点东西
2023-5-8 09:23
0
雪    币: 457
活跃值: (2793)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
都啥年代了,怎么可能是hook。
这也明显不是函数地址的事情,都调到NtOpenKey了,那么函数地址肯定没问题。至于内部为啥获取不到nt!CmpCallbackListLock,要拿fulldmp看看才能清楚。
2023-5-8 09:26
0
雪    币: 405
活跃值: (2350)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
9

用360急救箱扫描后,重启即可,否则还会随机蓝屏。哎。

最后于 2023-5-8 10:13 被wowocock编辑 ,原因:
2023-5-8 10:12
0
雪    币: 9179
活跃值: (6400)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
10
之前我还遇到过开了360.他会让vs2022无法产生c#程序的问题。就算关闭360也无效,只能卸载。
2023-5-8 13:52
0
雪    币: 203
活跃值: (113)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
saloyun 都啥年代了,怎么可能是hook。 这也明显不是函数地址的事情,都调到NtOpenKey了,那么函数地址肯定没问题。至于内部为啥获取不到nt!CmpCallbackListLock,要拿fulldmp ...
有道理... hvm应该是360的在x64上的使用虚拟技术做的Filter吧
2023-5-8 16:32
0
雪    币: 940
活跃值: (9936)
能力值: ( LV13,RANK:385 )
在线值:
发帖
回帖
粉丝
12
看下参数能分析出来吗.
2023-5-10 10:27
0
雪    币: 3700
活跃值: (4091)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
大佬接着分析下呗。
2023-5-22 19:28
0
雪    币: 498
活跃值: (2334)
能力值: ( LV12,RANK:356 )
在线值:
发帖
回帖
粉丝
14
根据栈回溯,在nt!CmpCallCallBacksEx函数中crash,看了一下,可能应该是注册表回调出问题了
```
  v11 = KeGetCurrentThread();                   // KTHREAD
  v50 = v11;
  if ( a4 == 1 )
  {
    v12 = *(v11 + 0263);
    if ( v12 )
      v13 = *(v12 + 8);                         // <-----
    else
      v13 = &CallbackListHead;
    v14 = KeGetCurrentThread();
    --*(v14 + 242);
    ExAcquirePushLockSharedEx(&CmpCallbackListLock, 0i64);
    v15 = a7;
    while ( 1 )
    {
      do
      {
        v13 = *v13;                             // <-----
        v48 = v13;
        v44 = 1;
        if ( v13 == &CallbackListHead )
          goto LABEL_21;
      }
```
2023-5-23 18:10
0
雪    币: 4751
活跃值: (3692)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
我觉得应该是驱动出了点问题
2023-5-24 10:08
0
雪    币: 576
活跃值: (2035)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
这么闲还去分析,一点收益都没有的事情,除非360的开发查bug
2023-5-24 10:51
0
雪    币: 20
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
17
看看!!!谢谢分享!!!
2023-5-26 10:58
0
雪    币: 47
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
18
可能是驱动卸载了没有调用注册表回调卸载
2023-9-17 11:43
0
游客
登录 | 注册 方可回帖
返回
//