一次文件系统过滤驱动蓝屏的分析

最新推荐文章于 2022-10-29 13:00:00 发布
最新推荐文章于 2022-10-29 13:00:00 发布
阅读量1.6k 收藏
点赞数
分类专栏: windows内核开发 文章标签: 文件过滤 windows驱动 文件过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/basketwill/article/details/53432856
版权

在一次写文件过滤驱动的时候突然蓝屏,状况如下:

堆栈如下:


分析: 应用层在调用NtQueryAttributesFile   经过KiFastCallEntry   进入到内核的NtQueryAttributesFile,然后调用文件系统管理器去解析IopParseDevice解析的时候挂了,我们看汇编

挂在了 mov eax,dword pre[eax+28h],     这句汇编代码

查看寄存器:



 

该地址是不能被访问的,所以会挂掉了。我们在分析下汇编,eax为什么会是-1;

看之前的代码  mov  eax,[ecx+8]   ,   ecx 这时候 等于 8428ac08 , 我们看 这个地址


偏移 + 8h的位置确实是-1,   我们看看这片区域里的值,发现  一个8428acc0,  查看内存


发现了什么 8428ac08,正式之前那个内存地址,而前面1c09010x901就是当前自己的文件过滤系统的设备属性,那么就可以判断8428ac08这个地址是个_Device_OBJECT

我们查看下



确实是自己挂载的设备,出现了设置扩展设置而实际上挂载出错了。

我们再进一步证实:


查看上面的DriverObject 对应的内存


这下可以清楚了是挂载"\Driver\kesvc"出错了,这下好调试分析挂载的地方的代码了。 

basketwill
关注
专栏目录
linux下的文件过滤驱动
04-12
linux文件过滤驱动,编译成模块之后直接加载
文件系统过滤驱动教程
05-27
文件系统过滤驱动是一种特殊类型的驱动程序,它能够拦截和控制对文件系统的输入/输出(I/O)操作,如创建、读取、写入、重命名等文件操作。通过这些能力,开发者可以实现诸如反病毒保护、数据安全增强、备份机制以及...
linux 磁盘过滤驱动_Linux系统结构
weixin_39637260的博客
12-11 378
打工人,打工魂,打工的都是人上人Linux系统由4个部分组成:shell、kernel、filesystem、user application。其中shell、kernel、filesystem组成了操作系统结构,他们使user可以运行程序、管理文件及使用系统。四者的关系如下图所示。Linux KernelKernel是User Application和Computer Source交流...
linux 过滤驱动 用户态,增强Linux内核中访问控制安全的方法
weixin_42365490的博客
04-29 492
背景前段时间,我们的项目组在帮客户解决一些操作系统安全领域的问题,涉及到windows,Linux,macOS三大操作系统平台。无论什么操作系统,本质上都是一个软件,任何软件在一开始设计的时候,都不能百分之百的满足人们的需求,所以操作系统也是一样,为了尽可能的满足人们需求,不得不提供一些供人们定制操作系统的机制。当然除了官方提供的一些机制,也有一些黑魔法,这些黑魔法不被推荐使用,但是有时候面对具体...
File System Minifilter Drivers(文件系统微型过滤驱动)入门
aguchu2119的博客
12-25 664
问题: 公司之前有一套文件过滤驱动,但是在实施过程中经常出现问题,现在交由我维护。于是在边看代码的过程中,一边查看官方资料,进行整理。 这套文件过滤驱动的目的只要是根据应用层下发的策略来控制对某些特定文件的控制,例如根据后缀名来决定是否允许查看,是否允许查看指定目录啊之类的功能。 介绍: MSDN上对可安装的文件系统驱动介绍http://msdn.microso...
文件过滤系统驱动开发Filemon学习笔记
myworldbig的专栏
07-06 2314
文件过滤系统驱动开发 Filemon 学习笔记                                WINDOWS 文件过滤系统驱动开发,可用于硬盘还原,防病毒,文件安全防护,文件加密等诸多领域。而掌握核心层的理论及实践,对于成为一名优秀的开发人员不
WindowsNT内核下文件系统过滤驱动程序开发
07-30
Windows NT内核架构中,文件系统过滤驱动程序(File System Filter Driver,FSFD)是一种特殊的内核模式驱动程序。它位于文件系统驱动(File System Driver,FSD)之上,文件系统驱动位于本地卷设备驱动之上,负责...
文件系统过滤驱动开发教程
09-11
7. **实例分析**:提供实际的文件系统过滤驱动代码示例,如实现一个简单的日志记录功能,让读者能够直观理解理论知识在实际项目中的应用。 8. **安全与最佳实践**:讲解驱动开发中的安全注意事项,如防止内存泄漏、...
Windows文件系统过滤驱动开发教程(第二版)
04-23
Windows文件系统过滤驱动开发教程(第二版)》是一本深度探讨Windows操作系统中文件系统过滤驱动程序开发的专业书籍。在Windows系统中,文件系统过滤驱动是内核模式驱动程序的一部分,它们位于文件系统栈中,可以...
Windows NT内核函数大全
qq_42577465的博客
06-06 1622
Nt内核函数大全 NtLoadDriver服务控制管理器加载设备驱动. NtUnloadDriver服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice加载新驱动文件. NtQueryIntervalProfile返回数据. NtSetIntervalProfile指定采样间隔. NtStartProfile开始取样. NtStopProfile停止采样...
Windows 非法操作详解!!!(转)
大海 & Seape Blog 休闲茶馆
01-09 1450
color=red]1.停止错误编号:0x0000000A[/color] 说明文字:IRQL-NOT-LESS-OR-EQUAL 通常的原因:驱动程序使用了不正确的内存地址. 解决方法:如果无法登陆,则重新启动计算机.当出现可用的操作系统列表时,按F8键.在Windows高级选项菜单屏幕上,选择"最后一次正确的配置",然后按回车键. 检查是否正确安装了所有的新硬件或软件.如果这是一次全新安装,请
使用NtQueryInformationFile函数获得不到完整路径
weixin_33729196的博客
01-22 378
#include <windows.h> #include <iostream> using namespace std; typedef struct _OBJECT_NAME_INFORMATION { WORD Length; WORD MaximumLength; LPWSTR Buffer; } OBJECT_NAME...
windows进程/线程创建过程 --- windows操作系统学习
weixin_33947521的博客
12-06 634
有了之前的对进程和线程对象的学习的铺垫后,我们现在可以开始学习windows下的进程创建过程了,我将尝试着从源代码的层次来分析windows下创建一个进程都要涉及到哪些步骤,都要涉及到哪些数据结构。   1. 相关阅读材料 《windows 内核原理与分析》 --- 潘爱民 《深入解析windows操作系统(第4版,中文版)》 http://bbs.pediy.com/showthre...
Win7下过盛*大Hack*Shield的部分驱动保护
o6108的专栏
06-22 5831
在Win7下很多XP的驱动都不适用了!前几个月研究了一下盛*大游戏的泡泡*堂的Hack*Shield驱动保护发现Hook了十多个内核函数,Ring 3和 Ring 0的双重保护,同时加了Themida的壳。 现在暂时发现钩住了以下函数: hook NtReadVirtualMemory hook NtWriteVirtualMemory Hook NtClose Hook NtProte
过滤驱动加密文件(代码)
weixin_33729196的博客
11-19 970
转载自http://www.misssir.cn/art/_show.aspx?art=49 摘要:     我想做一个unlocker一样的程序,不管这个文件有没有被使用,先实现删除它。在查资料过程中,就知道了如果不访问磁盘扇区的话,除非写驱动才能做到。奈何时间有限,工作匆忙,一直没有完成。而且忽视了更简便的方法——在别的路径下把修改后的OCX控件重新注册一下就可以了。    ...
windows蓝屏原因速查表(常见蓝屏原因与解决方法速查(适用于Windows 7/8/8.1/10/11))
最新发布
秃了也弱了
10-29 1万+
2.卸载最新更新,用杀毒软件对电脑进行全盘查杀,然后使用SFC与DISM工具查找并修复文件损坏,若不能独立完成,重新安装系统是最彻底简单的解决方法。1.卸载最新更新,用杀毒软件对电脑进行全盘查杀,然后使用SFC与DISM工具查找并修复文件损坏,若不能独立完成,重新安装系统是最彻底简单的解决方法。2.使用杀毒软件对电脑进行全盘查杀,再使用然后使用SFC与DISM工具查找并修复文件损坏,若不能独立完成,重新安装系统是最彻底简单的解决方法。
PassThru驱动开发笔记:电力监控系统安全与NDIS中间层
这个资源提供了一个深入的NDIS过滤驱动开发教程,不仅讲解了基本的发送处理流程,还涵盖了驱动调试、系统安全、数据处理等多个方面的技术细节。对于想要深入理解网络驱动开发,尤其是电力监控系统安全防护的读者来说...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值