TsFltMgr.sys系统蓝屏的原因就在于QQ电脑管家!

最新推荐文章于 2025-03-19 06:16:48 发布
最新推荐文章于 2025-03-19 06:16:48 发布
阅读量2.1w 收藏 1
点赞数
分类专栏: Windows相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smstong/article/details/9979763
版权

同事一WindowsXP系统,正常运行,关闭后,第二天无法启动,具体症状为:

(1)安全模式以及带网络功能的安全模式都可以进入;

(2)正常模式,还没出现WindowXP滚动条就开始重启;

(3)进安全模式,禁用自动重启后,再正常启动,出现蓝屏,报TsFltMgr.sys内存错误!

经过互联网查询,和不断摸索,最后发现竟然是可恶的QQ软件管家惹的祸,进安全模式果断卸载QQ软件管家后,再重启,系统完全正常了。


下面转载了一篇分析QQ电脑管家的文章,请参考:

QQ电脑管家中的TsFltMgr Hook框架分析


新版的QQ电脑管家中多了一个名字叫TsFltMgr.sys的驱动(应该是Sysnap大牛开发的,膜拜),对该驱动进行了一些简单的分析,看见了一套漂亮的Hook框架,发出来与大家分享。分析不对的地方请多多包涵。

首先TsFltMgr挂钩了KiFastCallEntry函数,Hook点在这里:

代码: 
kd> u KiFastCallEntry+e3
nt!KiFastCallEntry+0xe3:
8053dbb3 c1e902        shr     ecx,2
-------------------------------------------------------------------------
8053dbb6 90            nop
8053dbb7 90            nop
8053dbb8 90            nop
8053dbb9 e962170c77    jmp     TsFltMgr+0x2320 (f75ff320)
-------------------------------------------------------------------------
8053dbbe 0f83a8010000  jae     nt!KiSystemCallExit2+0x9f (8053dd6c)
8053dbc4 f3a5          rep movs dword ptr es:[edi],dword ptr [esi]
8053dbc6 ffd3          call    ebx
原始的KiFastCallEntry在 shr ecx, 2 指令后面应该是 mov edi,esp;cmp esi, MmUserProbeAddress,共8个字节,在这里被 TsFltMgr 替换成了3个nop和一个jmp。

该jmp会跳转到 KiFastCallEntry_Detour 函数中,KiFastCallEntry_Detour 函数代码如下:

代码: 
// 保存现场
pushfd        
pushad        

// 调用 KiFastCallEntry_Filter 函数,实现过滤
push edi                    // 本次系统调用对应的SysCall Table的地址(SSDT或SSDTShadow的地址)
push ebx                    // 本次系统调用在SysCall Table中对应的内核函数地址
push eax                    // 本次系统调用对应的内核函数在SysCall Table中的功能号
call KiFastCallEntry_Filter // 调用KiFastCallEntry_Filter,实现过滤
mov  [esp+10h], eax         // 更改本次调用对应的内核函数地址!

// 恢复现场
popad        
popfd

// 执行 KiFastCallEntry 函数中被替换掉的指令,并跳回原函数
mov     edi,esp
cmp     esi, g_7fff0000
push    g_JmpBack
ret
这里需要注意的是 call KiFastCallEntry_Filter 之后的 mov [esp+10h], eax。之前保存现场时的指令pushad会导致寄存器EAX, ECX, EDX, EBX, ESP, EBP, ESI, EDI依次入栈,并通过后面的popad指令恢复这些寄存器的值。因此此处的mov [esp+10h], eax实际上是用 KiFastCallEntry_Filter 函数的返回值来改写堆栈中保存的ebx的值,即改写本次系统调用对应的内核函数地址。

KiFastCallEntry_Filter 是真正实现过滤的函数,该函数的参数和返回值上文已经说明了,其具体实现分析整理后,C语言描述如下:

代码: 
ULONG __stdcall KiFastCallEntry_Filter(ULONG ulSyscallId, ULONG ulSyscallAddr, PULONG pulSyscallTable) 
{
    PFAKE_SYSCALL pFakeSysCall = NULL;

    if ( ulSyscallId >= 0x400 ) 
        return ulSyscallAddr;

    if ( pulSyscallTable == g_KiServiceTable && ulSyscallId <= g_ServiceNum/* 0x11c */ ) 
    {
        pFakeSysCall = g_FakeSysCallTable[ulSyscallId];        // SSDT
    }
    else if (pulSyscallTable == g_KeServiceDescriptorTable && 
             g_KeServiceDescriptorTable && ulSyscallId <= g_ServiceNum/* 0x11c */)
    {
        pFakeSysCall = g_FakeSysCallTable[ulSyscallId];        // SSDT
    }
    else if (pulSyscallTable == g_W32pServiceTableAddr && ulSyscallId <= g_ShadowServiceNum/* 0x29b */)
    {
        pFakeSysCall = g_FakeSysCallTable[ulSyscallId + 1024]; // ShadowSSDT
    }

    if ( pFakeSysCall && pFakeSysCall->ulFakeSysCallAddr )
    {
        pFakeSysCall->ulOrigSysCallAddr = ulSyscallAddr;
        return pFakeSysCall->ulFakeSysCallAddr;
    }
    return ulSyscallAddr;
}
这里需要说明的是,TsFltMgr内部有一张表,暂且命名为 g_FakeSysCallTable,该表中存放的是指向 FAKE_SYSCALL 结构的指针。表中的每一个 FAKE_SYSCALL 结构对应一个系统调用,表的前半部分对应SSDT中的系统调用,1024项以后对应ShadowSSDT里的系统调用。

其中 FAKE_SYSCALL 结构大致如下(其中很多域的作用没弄明白):

代码: 
typedef struct __FAKE_SYSCALL__ {
    ULONG xxx1;
    ULONG ulSyscallId;        // 该系统调用的功能号
    ULONG xxx3;
    ULONG ulTableIndex;    
    ULONG xxx5;
    ULONG ulCountForPreWork;
    ULONG ulCountForPostWork;
    ULONG xxx8;
    ULONG ulOrigSysCallAddr;    // 真实的系统调用地址
    ULONG ulFakeSysCallAddr;    // 假的系统调用地址
    ULONG xxx11;
    ULONG xxx12;
    ULONG xxx13;
    ……
} FAKE_SYSCALL, *PFAKE_SYSCALL, **PPFAKE_SYSCALL;
因此 KiFastCallEntry_Filter 函数的所做的就是根据系统调用的功能号在 g_FakeSysCallTable 中索引出对应的 pFakeSysCall 对象,然后判断该系统调用是否需要hook,如果需要则将真实的系统调用地址保存到 pFakeSysCall->ulOrigSysCallAddr 中,并将 pFakeSysCall->ulFakeSysCallAddr 作为假系统调用的地址返回。

这种调用过程中动态获取真实系统调用地址的方法使 TsFltMgr 的Hook框架有较高的兼容性,例如不会使加载顺序晚于TsFltMgr的驱动中的SSDT Hook失效,例如QQ电脑管家本身带的TSKsp.sys驱动。

对于我的测试系统(XP_SP2),TsFltMgr hook的函数有:

代码: 
// SSDT中:
NtCreateFile、NtCreateKey、NtCreateSection、NtCreateSymbolicLinkObject、NtCreateThread、NtDeleteFile、NtDeleteKey、NtDeleteValueKey、NtDeviceIoControlFile、NtDuplicateObject、NtEnumerateValueKey、NtLoadDriver、NtOpenProcess、NtOpenSection、NtProtectVirtualMemory、NtQueryValueKey、NtRequestWaitReplyPort、NtSetContextThread、NtSetInformationFile、NtSetSystemInformation、NtSetValueKey、NtSuspendThread、NtSystemDebugControl、NtTerminateProcess、NtTerminateThread、NtWriteFile、NtWriteVirtualMemory

// ShadowSSDT中:
NtUserBuildHwndList、NtUserFindWindowEx、NtUserGetForegroundWindow、NtUserMoveWindow、NtUserQueryWindow、NtUserSendInput、NtUserSetParent、NtUserSetWindowLong、NtUserSetWindowPlacement、NtUserSetWindowPos、NtUserShowWindow、NtUserShowWindowAsync、NtUserWindowFromPoint
所有假系统函数都有统一的代码框架,假系统函数的代码框架大致如下:

代码: 
NTSTATUS __stdcall FakeNt_XXX(xxx)
{
    PFAKE_SYSCALL pFakeSysCall;
    ULONG ulXXX = 0;
    ULONG ulStatus;
    NTSTATUS status;
    ULONGLONG ullTickCount;
    
    pFakeSysCall = g_pFakeSysCall_Nt_XXX;  // 该系统调用对应的 pFakeSysCall 对象
    
    status = STATUS_ACCESS_DENIED;
  

    // 貌似是做性能测试时候需要的,实际版本中 g_bPerformanceTest 为 FALSE
    if ( g_bPerformanceTest ) {
        ullTickCount = KeQueryInterruptTime();
    }


    // 系统调用的调用前处理!
    // +++
    InterlockedIncrement(&pFakeSysCall->ulCountForPreWork);
    ulStatus = PreWork(&ulXXX, pFakeSysCall);
    InterlockedDecrement(&pFakeSysCall->ulCountForPreWork);
    // ---
    
    if ( ulStatus != 0xEEEE0004 && ulStatus != 0xEEEE0005) 
    {    
        OrigSysCall * pOrigSysCall = pFakeSysCall->ulOrigSysCallAddr;

        // 调用原始系统调用!
        if ( pOrigSysCall && NT_SUCCESS(pOrigSysCall(xxx)) ) 
        {
            // 系统调用的调用后处理!
            // +++
            InterlockedIncrement(&pFakeSysCall->ulCountForPostWork),
            ulStatus = PostWork(&ulXXX),
            InterlockedDecrement(&pFakeSysCall->ulCountForPostWork),
            // ---
        }
    }

    // 0xEEEE0004 应该是拒绝调用的意思,0xEEEE0005 应该是允许调用的意思
    if (ulStatus == 0xEEEE0005)
        status = STATUS_SUCCESS;

    // PsGetCurrentProcessId 这个调用的返回值后面并没有用到,可能是多余的
    PsGetCurrentProcessId();

    // 貌似是做性能测试时候需要的
    if ( g_pFakeSysCall_NtTerminateProcess->xxx5 && ullTickCount && g_bPerformanceTest) {
        PerformanceTest(&g_pFakeSysCall_NtTerminateProcess->xxx13, ullTickCount);
    }

    return status;
}
以上就是对TsFltMgr Hook框架的一些分析,祝大家元宵快乐~ 
查询 service monitor 时发生内部错误_win10系统电脑蓝屏提示fltmgr.sys错误的问题
weixin_39876856的博客
12-11 2327
一位深度技术的电脑系统用户,在使用win10专业版系统的时候,电脑出现了蓝屏错误提示SYSTEM SERVICE EXCEPTION(fltmgr.sys)的问题,经过蓝屏代码查询分析是驱动程序错误引起的,下面深度技术小编给大家带来win10系统出现fltmgr.sys蓝屏错误的具体解决方法。  很多时候,如上所述,由于该文件中的错误而发生BSOD。 但有时候,由于此错误,您重新启动后无法登录计算...
数字驱动分析笔记之HookPort1
08-03
- 腾讯管家的TsFltMgr是安全软件的驱动组件,用于保护系统免受恶意软件攻击。它的分析有助于理解如何在驱动层面实现防御机制。 4. **HookPort代码实现**: - HookPort提供了可编译和替换的代码,用于构建钩子模板...
TsFltMgr.sys原因是,该系统蓝屏QQ计算机管理器!
aofan9566的博客
06-08 256
同事一WindowsXP系统,正常执行,关闭后,第二天无法启动。详细症状为: (1)安全模式以及带网络功能的安全模式都能够进入。 (2)正常模式。还没出现WindowXP滚动栏就開始重新启动; (3)进安全模式,禁用自己主动重新启动后,再正常启动,出现蓝屏。报TsFltMgr.sys内存错误! 经过互联网查询,和不断摸索。最后发现居然是可恶的QQ软件管家惹的祸,进安全模式...
FltMgr.sys 服务未启动
最新发布
lydstory123的专栏
03-19 156
【代码】FltMgr.sys 服务未启动。
fltmgr.sys蓝屏代码如何解决?
xitongzhijianet的博客
02-13 1万+
我们在使用电脑的过程中,难免会遇到蓝屏、绿屏等等问题,导致蓝屏原因有很多,可能是位置的BUG或者第三方程序不兼容,也可能是别的原因。下面就来看看fltmgr.sys蓝屏代码的解决办法。1、使用“win+r”组合键打开运行窗口,并以管理员身份运行cmd程序。2、在cmd窗口里输入sfc /scannow,等待扫描修复完成。fltmgr.sys蓝屏错误代码的解决方法。3、重启电脑试试,如果没有解决,建议在本站。重新下载安装新系统,站内系统永久激活。
联想电脑使用“联想电脑管家”之后电脑频繁蓝屏
码码哈哈的博客
11-01 2494
蓝屏代码:0x0000003b,0x0000000a,0x0000000a。(WIndows11中可能显示Windows 终端(管理员))使用联想蓝屏分析工具分析都是和第三方安全软件冲突导致。(按下Enter键)(按下Enter键)(按下Enter键)(按下Enter键)
HookPort深度解析:数字驱动模板与自定义Hook机制
1. **腾讯管家攻防驱动分析-TsFltMgr**: TsFltMgr可能是一个针对系统安全防护的驱动程序,它通过HookPort技术对Windows内核操作进行监控和干预,例如拦截CreateProcess等系统调用。 2. **HookPort代码示例与工作...
解决文件过滤驱动安装失败,提示依赖的 fltmgr.sys 不存在的问题
一柯的专栏
05-19 6014
解决文件系统过滤驱动安装失败,提示依赖的fltmgr.sys不存在的问题
如何安装 Fltmgr.sys 驱动程序
ALCAT的专栏
06-12 1万+
用Minifilter开发的驱动程序都依赖于驱动程序 Fltmgr.sys,也就是我们所说的File System Filter Manager。 从系统的安装镜像中提取Filter Manager所需要的文件,分为3步: 1. 文件包含4个:fltmgr.inf, fltmc.exe, fltmgr.sys, fltlib.dll 2. 这些文件都在安装文件的i386目录下,对应为:flt
win10蓝屏修复之死路一条
热门推荐
ChuanjieZhu
09-06 6万+
  总结: 如果你的电脑系统崩溃蓝屏以后: 1. 重启不能解决问题;2. 重启并进行自动修复失败;3. 无法进入安全模式;4.无法恢复备份(如果没创建过还原点);5. 无法回退到上一个更新点;那就只能重置电脑或者重装系统了,不要在浪费过多的时间去修复了。   前言:   事情从2017年9月5日说起,我在用VisualStudio2010写c++程序的时候,打开软件,提示我有一个包加载...
启动应用程序出现Themes.SsfDownload.ScheduledTask.dll找不到问题
wbcmbfy的博客
11-07 495
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个Themes.SsfDownload.ScheduledTask.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.
文件系统Minifilter驱动(四)
听风
03-02 4423
四、控制Filter管理器操作在早于Vista的Windows中,filter管理器的操作由注册表中下列REG_DWORD AttachWhenLoaded值控制:HKLM/System/CurrentControlSet/Services/FltMgr当AttachWhenLoaded被设置为零时,filter管理器不会绑定到任何卷上直到某个minifilter驱动向filter管理
WIN10无限蓝屏重启,错误代码TsNetHIpX64.sys
qq_40491305的博客
08-01 1万+
问题如图 TsNetHIpX64.sys 是腾讯的文件 进入安全模式卸载掉腾讯电脑管家即可,这软件真是。。一言难尽 进入安全模式方法见:https://jingyan.baidu.com/article/fb48e8be15ad4f6e622e14c2.html 参考:https://bbs.guanjia.qq.com/thread-534009-1-1.html?direction=1 ...
电脑windows 蓝屏【恢复—无法加载操作系统原因是关键系统驱动程序丢失或包含错误。.......
lh0324的博客
03-27 4622
windows蓝屏情况:恢复—无法加载操作系统原因是关键系统驱动程序丢失或包含错误。
Windows自动恢复报错:无法加载操作系统原因是关键系统驱动程序丢失或包含错误
AaronCao
01-30 3万+
Windows自动恢复报错:无法加载操作系统原因是关键系统驱动程序丢失或包含错误 1. 问题 无法加载操作系统原因是关键系统驱动程序丢失或包含错误 上午因为有点事就没有像往常一样打开电脑,下午回到家休息了一会本来准备打开电脑开始我愉快地下午生活,没想到一个自动恢复给我整懵逼了。于是就开始百度,怎么样搞怎么样搞。 网上关于这个问题的帖子很多,但是能提供帮助的很少,最后能够解决问题的也很少。摸爬滚打一下午,到最后也算是搞定了。记录一下心得,也给后面的小伙伴一些帮助。 2. 解决过程 首先在百度的过程中自己
windows XP系统内核文件分析(全)
weixin_33841722的博客
11-29 557
Windows XP个别 System32 文件 System32 文件夹下个别要移除的文件 我们就要删除另外600 个 system32 文件...我们要一次把它们全都解决掉. 以下是我所删除的 System32 文件列表, 另外还有相关的批处理文件. 我不会把自己用的批处理文件给别人的.我已经厌倦别人认为我的批处理文件就是最适合他们的. 其实并不是这么回事. 这里有个很简...
Unity项目启动不了,闪退回unityhub界面
lxfHaHaHa的博客
09-26 1万+
如题,今天突然unity项目启动不了,点击启动项目,在下面这个界面过个3s左右又自动闪退回hub界面 开始百度查找解决问题,如下尝试均已失败; 重启电脑 更新许可证 卸载了unityhub重新安装 最后发现他在闪退回unityhub时,hub界面左下角有个报错,但消失太快了看不到,故用录屏软件把这一整个过程录下来,发现报错: Unity已存在。您无法加载相同的版本 故又开始百度,,发现很蠢的解决方法,好像是因为我的网络环境的变化(之前将有线网给禁用了),导致他无法启动,故恢复被我禁用的网络; 然
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值