[求助]为什么蓝屏-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]为什么蓝屏 0.00雪花

发表于: 2009-2-22 17:11 22847

[旧帖] [求助]为什么蓝屏 0.00雪花

爱我cctv

2009-2-22 17:11

22847

在看了下边文章之后的实验问题研究的，大家帮忙看看！！
标题: 【原创】Hide your DebugPort in ring0
作者: wowelf
时间: 2009-01-26,11:00
链接: http://bbs.pediy.com/showthread.php?t=80971

做实验的时候将这些函数都改为0x70h
PspCreateProcess、MmCreatePeb 进程创建，设置DebugPort
DbgkCreateThread 发送线程或者进程创建的调试信息
KiDispatchException、DbgkForwardException和DbgkpQueueMessage 发送异常调试信息
PspExitThread、DbgkExitThread和DbgkExitProcess 发送线程退出、进程退出的调试信息
DbgkMapViewOfSection和DbgkUnMapViewOfSection 发送映像装载卸载调试信息
DbgkpSetProcessDebugObject和DbgkpMarkProcessPeb 当调试器附加进程时设置DebugPort

其他都OK，就是DbgkpQueueMessage  一改就蓝
开始想着大概是没关内存保护吧，关了之后没用
然后单独把DbgkpQueueMessage  改了，OK，不蓝屏了
但是把其他一起改接着蓝
我又把DbgkpQueueMessage 这个函数排除了，先改其他函数也OK，不蓝了
再将DbgkpQueueMessage 函数改了，又蓝了
不明白  其他函数改过之后 DbgkpQueueMessage  我用Windbg看过了代码没改变啊

代码基本用的原文中的，只是改简单点另外去掉了NOP相关

只是对蓝屏原因不解，一般蓝屏都是因为堆栈平衡吧，我只改一个字节，这样就不会造成堆栈的变化啊，还有就是写保护也关了，还有什么其他原因能造成蓝屏呢

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费・0

支持

最新回复 (21)
爱我cctv 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	爱我cctv 2 楼顺便贴上 DUMP 文件分析 kd> !analyze -v ******************************************************************************* * * * Bugcheck Analysis * * * ******************************************************************************* IRQL_NOT_LESS_OR_EQUAL (a) An attempt was made to access a pageable (or completely invalid) address at an interrupt request level (IRQL) that is too high. This is usually caused by drivers using improper addresses. If a kernel debugger is available get the stack backtrace. Arguments: Arg1: 00000000, memory referenced Arg2: 00000002, IRQL Arg3: 00000001, bitfield : bit 0 : value 0 = read operation, 1 = write operation bit 3 : value 0 = not an execute operation, 1 = execute operation (only on chips which support this level of status) Arg4: 804fad26, address which referenced memory Debugging Details: ------------------ OVERLAPPED_MODULE: Address regions for 'msdirectx' and 'msdirectx.sy' overlap WRITE_ADDRESS: 00000000 CURRENT_IRQL: 2 FAULTING_IP: nt!KeWaitForSingleObject+186 804fad26 8939 mov dword ptr [ecx],edi CUSTOMER_CRASH_COUNT: 17 DEFAULT_BUCKET_ID: COMMON_SYSTEM_FAULT BUGCHECK_STR: 0xA PROCESS_NAME: svchost.exe LAST_CONTROL_TRANSFER: from 806d376e to 804fad26 STACK_TEXT: b8821af8 806d376e 00000000 00000000 00000000 nt!KeWaitForSingleObject+0x186 b8821b18 80639c31 000d0801 86702f68 00000000 hal!ExAcquireFastMutex+0x2a b8821be4 8063ad63 86702d20 863a7020 b8821c2c nt!DbgkpQueueMessage+0x11f b8821c08 8063b343 b8821c2c 00000001 86702d20 nt!DbgkpSendApiMessage+0x45 b8821d08 805c705f 7c8106e9 00000000 00000000 nt!DbgkCreateThread+0x391 b8821d50 80542dd2 00000000 7c8106e9 00000001 nt!PspUserThreadStartup+0x9d 00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x16 STACK_COMMAND: kb FOLLOWUP_IP: nt!KeWaitForSingleObject+186 804fad26 8939 mov dword ptr [ecx],edi SYMBOL_STACK_INDEX: 0 SYMBOL_NAME: nt!KeWaitForSingleObject+186 FOLLOWUP_NAME: MachineOwner MODULE_NAME: nt IMAGE_NAME: ntkrnlpa.exe DEBUG_FLR_IMAGE_TIMESTAMP: 4802516a FAILURE_BUCKET_ID: 0xA_nt!KeWaitForSingleObject+186 BUCKET_ID: 0xA_nt!KeWaitForSingleObject+186 Followup: MachineOwner 2009-2-22 17:14 0
爱我cctv 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	爱我cctv 3 楼没人看自己先慢慢解决了 interrupt request level (IRQL) that is too high. This is usually caused by drivers using improper addresses. IRQL太高跟进 Arg4: 804fad26, address which referenced memory STACK_TEXT: b8821af8 806d376e 00000000 00000000 00000000 nt!KeWaitForSingleObject+0x186 b8821b18 80639c31 000d0801 86702f68 00000000 hal!ExAcquireFastMutex+0x2a b8821be4 8063ad63 86702d20 863a7020 b8821c2c nt!DbgkpQueueMessage+0x11f b8821c08 8063b343 b8821c2c 00000001 86702d20 nt!DbgkpSendApiMessage+0x45 b8821d08 805c705f 7c8106e9 00000000 00000000 nt!DbgkCreateThread+0x391 b8821d50 80542dd2 00000000 7c8106e9 00000001 nt!PspUserThreadStartup+0x9d 00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x16 看了下堆栈原因大概是这里了 DbgkCreateThread 跟DbgkpQueueMessage 这两个函数的原因再看看DbgkCreateThread 用到的偏移 DbgkCreateThread 8063b0d7 399ebc000000 cmp dword ptr [esi+0BCh],ebx 2009-2-22 18:57 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 4 楼也玩了一下也是蓝是蓝不知楼主解决没 2009-4-17 19:34 0
无名指雪币： 248 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	无名指 5 楼我的也是蓝屏了，不知道楼主怎么解决的啊 2010-1-5 22:44 0
imdemon 雪币： 53 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 56 回帖 192 粉丝 0 关注私信	imdemon 6 楼顶...我也关注这个问题 2010-5-7 10:33 0
wshpdw 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	wshpdw 7 楼学习中 2010-5-7 11:10 0
guanghuisy 雪币： 355 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 100 粉丝 0 关注私信	guanghuisy 8 楼看晕了 2010-5-8 19:19 0
vstat 雪币： 87 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	vstat 9 楼这个我解决不掉，对我来说很有难度！学习一下！ 2010-5-8 21:55 0
imdemon 雪币： 53 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 56 回帖 192 粉丝 0 关注私信	imdemon 10 楼顶上去.... 2010-5-10 16:12 0
renguia 雪币： 74 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 91 粉丝 0 关注私信	renguia 11 楼小白路过，～～～～～～ 2010-5-10 16:57 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 12 楼事隔一年了，这个问题有解决没？ 2010-6-4 23:38 0
名叫教主雪币： 64 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	名叫教主 13 楼时隔一年多了，这个问题解决了么，同样遇到DbgkpQueueMessage一改就蓝屏 2010-9-19 17:33 0
cedarlotus 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	cedarlotus 14 楼同求解决方法 2010-9-22 19:43 0
暗徒雪币： 64 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	暗徒 15 楼我也想知道原因~希望有高手回答一下这个问题 2010-9-27 10:29 0
樱空释雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	樱空释 16 楼为了不让沉，继续关注~~~~~~~~~ 2010-9-28 12:59 0
Devilld 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	Devilld 17 楼学习中看的头都晕了 2010-9-29 17:58 0
cupworld 雪币： 159 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	cupworld 18 楼确实很难懂，来学习的 2010-9-30 10:48 0
hotpig 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	hotpig 19 楼等待答案 2010-10-3 12:26 0
beibeimail 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	beibeimail 20 楼我擦，这不是吓唬新人吗，这么难？ 2010-10-3 12:26 0
shandog 雪币： 101 活跃值： (1008) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 13 关注私信	shandog 21 楼这个我也不懂 2010-10-3 13:18 0
revolt 雪币： 124 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	revolt 22 楼我也被这个问题困惑，楼主找到方法了么 2010-10-18 20:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

爱我cctv

发帖

回帖

RANK

关注

私信

他的文章

[求助]为什么蓝屏 22848
[求助]OD不能下断点问题 4039

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
爱我cctv 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	爱我cctv 2 楼顺便贴上 DUMP 文件分析 kd> !analyze -v ******************************************************************************* * * * Bugcheck Analysis * * * ******************************************************************************* IRQL_NOT_LESS_OR_EQUAL (a) An attempt was made to access a pageable (or completely invalid) address at an interrupt request level (IRQL) that is too high. This is usually caused by drivers using improper addresses. If a kernel debugger is available get the stack backtrace. Arguments: Arg1: 00000000, memory referenced Arg2: 00000002, IRQL Arg3: 00000001, bitfield : bit 0 : value 0 = read operation, 1 = write operation bit 3 : value 0 = not an execute operation, 1 = execute operation (only on chips which support this level of status) Arg4: 804fad26, address which referenced memory Debugging Details: ------------------ OVERLAPPED_MODULE: Address regions for 'msdirectx' and 'msdirectx.sy' overlap WRITE_ADDRESS: 00000000 CURRENT_IRQL: 2 FAULTING_IP: nt!KeWaitForSingleObject+186 804fad26 8939 mov dword ptr [ecx],edi CUSTOMER_CRASH_COUNT: 17 DEFAULT_BUCKET_ID: COMMON_SYSTEM_FAULT BUGCHECK_STR: 0xA PROCESS_NAME: svchost.exe LAST_CONTROL_TRANSFER: from 806d376e to 804fad26 STACK_TEXT: b8821af8 806d376e 00000000 00000000 00000000 nt!KeWaitForSingleObject+0x186 b8821b18 80639c31 000d0801 86702f68 00000000 hal!ExAcquireFastMutex+0x2a b8821be4 8063ad63 86702d20 863a7020 b8821c2c nt!DbgkpQueueMessage+0x11f b8821c08 8063b343 b8821c2c 00000001 86702d20 nt!DbgkpSendApiMessage+0x45 b8821d08 805c705f 7c8106e9 00000000 00000000 nt!DbgkCreateThread+0x391 b8821d50 80542dd2 00000000 7c8106e9 00000001 nt!PspUserThreadStartup+0x9d 00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x16 STACK_COMMAND: kb FOLLOWUP_IP: nt!KeWaitForSingleObject+186 804fad26 8939 mov dword ptr [ecx],edi SYMBOL_STACK_INDEX: 0 SYMBOL_NAME: nt!KeWaitForSingleObject+186 FOLLOWUP_NAME: MachineOwner MODULE_NAME: nt IMAGE_NAME: ntkrnlpa.exe DEBUG_FLR_IMAGE_TIMESTAMP: 4802516a FAILURE_BUCKET_ID: 0xA_nt!KeWaitForSingleObject+186 BUCKET_ID: 0xA_nt!KeWaitForSingleObject+186 Followup: MachineOwner 2009-2-22 17:14 0
爱我cctv 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	爱我cctv 3 楼没人看自己先慢慢解决了 interrupt request level (IRQL) that is too high. This is usually caused by drivers using improper addresses. IRQL太高跟进 Arg4: 804fad26, address which referenced memory STACK_TEXT: b8821af8 806d376e 00000000 00000000 00000000 nt!KeWaitForSingleObject+0x186 b8821b18 80639c31 000d0801 86702f68 00000000 hal!ExAcquireFastMutex+0x2a b8821be4 8063ad63 86702d20 863a7020 b8821c2c nt!DbgkpQueueMessage+0x11f b8821c08 8063b343 b8821c2c 00000001 86702d20 nt!DbgkpSendApiMessage+0x45 b8821d08 805c705f 7c8106e9 00000000 00000000 nt!DbgkCreateThread+0x391 b8821d50 80542dd2 00000000 7c8106e9 00000001 nt!PspUserThreadStartup+0x9d 00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x16 看了下堆栈原因大概是这里了 DbgkCreateThread 跟DbgkpQueueMessage 这两个函数的原因再看看DbgkCreateThread 用到的偏移 DbgkCreateThread 8063b0d7 399ebc000000 cmp dword ptr [esi+0BCh],ebx 2009-2-22 18:57 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 4 楼也玩了一下也是蓝是蓝不知楼主解决没 2009-4-17 19:34 0
无名指雪币： 248 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	无名指 5 楼我的也是蓝屏了，不知道楼主怎么解决的啊 2010-1-5 22:44 0
imdemon 雪币： 53 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 56 回帖 192 粉丝 0 关注私信	imdemon 6 楼顶...我也关注这个问题 2010-5-7 10:33 0
wshpdw 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	wshpdw 7 楼学习中 2010-5-7 11:10 0
guanghuisy 雪币： 355 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 100 粉丝 0 关注私信	guanghuisy 8 楼看晕了 2010-5-8 19:19 0
vstat 雪币： 87 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	vstat 9 楼这个我解决不掉，对我来说很有难度！学习一下！ 2010-5-8 21:55 0
imdemon 雪币： 53 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 56 回帖 192 粉丝 0 关注私信	imdemon 10 楼顶上去.... 2010-5-10 16:12 0
renguia 雪币： 74 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 91 粉丝 0 关注私信	renguia 11 楼小白路过，～～～～～～ 2010-5-10 16:57 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 12 楼事隔一年了，这个问题有解决没？ 2010-6-4 23:38 0
名叫教主雪币： 64 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	名叫教主 13 楼时隔一年多了，这个问题解决了么，同样遇到DbgkpQueueMessage一改就蓝屏 2010-9-19 17:33 0
cedarlotus 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	cedarlotus 14 楼同求解决方法 2010-9-22 19:43 0
暗徒雪币： 64 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	暗徒 15 楼我也想知道原因~希望有高手回答一下这个问题 2010-9-27 10:29 0
樱空释雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	樱空释 16 楼为了不让沉，继续关注~~~~~~~~~ 2010-9-28 12:59 0
Devilld 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	Devilld 17 楼学习中看的头都晕了 2010-9-29 17:58 0
cupworld 雪币： 159 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	cupworld 18 楼确实很难懂，来学习的 2010-9-30 10:48 0
hotpig 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	hotpig 19 楼等待答案 2010-10-3 12:26 0
beibeimail 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	beibeimail 20 楼我擦，这不是吓唬新人吗，这么难？ 2010-10-3 12:26 0
shandog 雪币： 101 活跃值： (1008) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 13 关注私信	shandog 21 楼这个我也不懂 2010-10-3 13:18 0
revolt 雪币： 124 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	revolt 22 楼我也被这个问题困惑，楼主找到方法了么 2010-10-18 20:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复