在一次写文件过滤驱动的时候突然蓝屏,状况如下:
堆栈如下:
分析: 应用层在调用NtQueryAttributesFile 经过KiFastCallEntry 进入到内核的NtQueryAttributesFile,然后调用文件系统管理器去解析IopParseDevice解析的时候挂了,我们看汇编
挂在了 mov eax,dword pre[eax+28h], 这句汇编代码
查看寄存器:
该地址是不能被访问的,所以会挂掉了。我们在分析下汇编,eax为什么会是-1;
看之前的代码 mov eax,[ecx+8] , ecx 这时候 等于 8428ac08 , 我们看 这个地址
偏移 + 8h的位置确实是-1, 我们看看这片区域里的值,发现 一个8428acc0, 查看内存
发现了什么 8428ac08,正式之前那个内存地址,而前面1c0901, 0x901就是当前自己的文件过滤系统的设备属性,那么就可以判断8428ac08这个地址是个_Device_OBJECT
我们查看下
确实是自己挂载的设备,出现了设置扩展设置而实际上挂载出错了。
我们再进一步证实:
查看上面的DriverObject 对应的内存
这下可以清楚了是挂载"Driverkesvc"出错了,这下好调试分析挂载的地方的代码了。
最后
以上就是失眠裙子最近收集整理的关于一次文件系统过滤驱动蓝屏的分析的全部内容,更多相关一次文件系统过滤驱动蓝屏内容请搜索靠谱客的其他文章。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复