记一次360FsFlt.sys蓝屏问题

最新推荐文章于 2024-07-10 22:22:07 发布
最新推荐文章于 2024-07-10 22:22:07 发布
阅读量902 收藏
点赞数
文章标签: windows 驱动开发 c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44891742/article/details/134282955
版权

最近电脑突然蓝屏了。错误码为0x3B: SYSTEM_SERVICE_EXCEPTION(https://learn.microsoft.com/en-us/windows-hardware/drivers/debugger/bug-check-0x3b–system-service-exception)。
发生这种情况的原因可能是取消引用 NULL 指针或访问了随机的错误地址。这可能是由于内存过早释放或数据结构损坏引起的。

于是我打开蓝屏dmp查看崩溃时堆栈,可以看到是360的一个文件系统过滤驱动(360FsFlt.sys)在调用内核API。
在这里插入图片描述
于是我打开了ida,逆向了一下360这个驱动,定位到伪代码如下,对比windbg的参数,发现第一个参数也就是Token为0。
在这里插入图片描述
那么这里结合windg和ida的现象,初步认为该蓝屏是360驱动在调用SeQueryInformationToken的时候,抛出了一个错误为访问了非法内存。而直接原因是因为token的值不对,那么token的值为什么不对呢?到底是360驱动本身的bug,还是我们的驱动给他改掉了?不确定,继续往下排查。

github上有个开源项目reactos,是一个开源的windows内核系统,有很多值得借鉴的地方。于是我们在这个项目里面查看SeQueryInformationToken的编码实现,通过IDA逆向nt内核模块计算偏移计算定位到这里。在这里插入图片描述

在这里插入图片描述
然后查看UserAndGroupCount,holyshit,这个值怎么这么大,明显不合理啊。
在这里插入图片描述
这时候好像没法查了,不知道这个值被谁改的。没办法,只能找360的社区问问了。(问题链接:https://bbs.360.cn/thread-16093498-1-1.html?openid=ZYxwVgs4hBgA08%2BQfRuNbYdAUyTjq%2BQjcVX8fzgUl2k%3D&ticket=gQGO7zwAAAAAAAAAAS5odHRwOi8vd2VpeGluLnFxLmNvbS9xLzAyNEthVlFicHdhTWUxZ3MzYnhCYy0AAgQM9UplAwQQDgAA)
结果技术工程师说他们驱动没问题,就是被别人改了,然后我重试了三十次都没复现。

在这里插入图片描述


虽然最后没查出来根因,但是蓝屏的时候我们的驱动已经卸载掉了,而且也没有我们申请的内存(没有我们的tag)。所以基本可以自证清白。

shalunZhou
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Win10 每天蓝屏多次,蓝屏代码0x3B:SYSTEM_SERVICE_EXCEPTION
玩人工智能的辣条哥的博客
01-17 5301
联想E14笔本Win10 专业版。
浅析360在系统的进程自保护及突破
weixin_33728708的博客
12-04 264
自从改行玩硬件后,就很少关注病毒和反病毒之间的斗争了。某天在中关村论坛听到一 名网友说 360在WIN64 上有了进程自我保护,万分牛逼,连微软的Process Explorer都不 能结束呢!我听后心里十分好奇,于是重操旧业,下载了最新版本的360 安全卫士7.7版本 (2011-5-6),安装在64位 Windows 7虚拟机上来测试。 首先拿“任务管理器”...
Win10系统蓝屏终止代码SYSTEM_SERVICE_EXCEPTION解决方案
热门推荐
物似人非 情有何堪
11-12 21万+
Win10的蓝屏呈现和win7有所不同,不过都有终止代码,比较常见的就是用户启动win10系统时出现蓝屏提示代码SYSTEM_SERVICE_EXCEPTION 解决方法一: 1、使用 Windows键+R打开运行,输入“control.exe”,点击确定,如下图: 2、选择“电源选项”,如下图: 3、点击“选择电源按钮的功能”,如下图: 4、点击“更改当前不可用的设置”,如下图: 5、取消对关机设置中“启用快速启动(推荐)”的勾选,保存修改后退出控制面板。 解决方法二: 1、重启电脑按F8进入安
windbg查阅资料(持续更新)
qq_31932681的博客
06-16 846
打开dump文件,选择“file->Open Crash Dump… ” 打开dump文件。 .lastevent 命令显示最近一次发生的异常或事件。 异常错误码查询 异常 值 描述 EXCEPTION_ACCESS_VIOLATION 0xC0000005 程序企图读写一个不可访问的地址时引发的异常。例如企图读取0地址处的内存。 EXCEPTION_ARRAY_BOUNDS_EXCEEDED 0xC000008C 数组访问越界时引发的异常。 EXCEPTION_BREAKPO
w7电脑蓝屏怎么解决_电脑蓝屏怎么解决win7
weixin_31184569的博客
12-24 833
2016-11-07 14:51:03有很多用户在使用电脑的过程中,都遇到过电脑蓝屏现象,这是电脑中很常见的故障。如果在电脑中出现蓝屏故障0x0000040,则应该怎么解决?遇到蓝屏问题首先要知道导致的原因是什么,蓝屏...2015-11-08 13:52:53如果我们按照正常的步骤关闭计算机后,显示器突然显示蓝屏界面,键盘和鼠标也无法使用的情况下应该如何解决呢?这种情况很有可能是系统中缺少某些重...
4款nvmini.sys蓝屏专杀
08-09
标题中的“4款nvmini.sys蓝屏专杀”指的是针对nvmini.sys驱动程序导致的Windows系统蓝屏问题,有四种专门的解决方案或工具。这个问题通常出现在计算机启动时,由于nvmini.sys驱动不兼容或者出现错误,导致操作系统...
disk.sys蓝屏-安全模式卡在disk.sys解决方法.docx
09-26
Windows 7 安装中,可能会出现 disk.sys 蓝屏问题,导致无法启动系统。这种问题通常是由于分区格式没有成功转化成为 MBR 格式所致。解决方法是使用 DiskPart 工具重新分区,具体步骤如下: 1. 使用 Windows 7 ...
iastor.sys 蓝屏问题解决方法
08-25
蓝屏DRIVER_IRQL_NOT_LESS_OR_EQUAL:提示iastor.sys问题。 查看本本xp sp3的iastor.sys的版本是 8.6.0.1007。网上查到8.6.0.1007的驱动是带有很大BUG的驱动,对xp不友好,对vista也有点问题。 解决方法:下载新版...
nvmini.sys蓝屏专杀.zip
12-14
"nvmini.sys"是一个与NVIDIA显卡驱动相关的系统文件,当这个文件出现问题时,可能会导致计算机频繁蓝屏。本文将深入探讨nvmini.sys引发蓝屏的原因,并提供有效的解决策略。 一、nvmini.sys简介 nvmini.sys是NVIDIA...
aswsp.sys 蓝屏 解决
05-30
标题中的“aswsp.sys 蓝屏解决”指出我们面临的问题是计算机在运行过程中出现了蓝屏错误,并且这个错误与驱动程序aswsp.sys有关。aswsp.sys通常是一个安全软件,比如Avast反病毒软件的一部分,它负责提供系统级别的...
鼠标一直转圈。Windows内新建进程没反应,卡在KiStartUserThread
u010607621的博客
11-30 1360
目录故障现象初步怀疑双机调试dmp分析 故障现象 Win7x64系统,多见于刚展开Windows桌面。鼠标一直转圈。Windows内新建进程没反应,但是可浏览文件夹,ctrl+alt+del可呼出winlogon桌面。但是任务管理器点击没反应,win+r可键入notepad,cmd等,但是均无反应。直到5-15分钟后自然恢复。 难以复现,但每天总有出现。 初步怀疑 故障时触发ScrollLock蓝屏,分析dmp,发现许多新进程的头号线程都卡在nt!KiStartUserThread。 THREAD ffff
Windows10蓝屏代码:SYSTEM_SERVICE_EXCEPTION 排查及解决方案
weixin_44559465的博客
01-22 12万+
Windows10蓝屏代码:SYSTEM_SERVICE_EXCEPTION 排查及解决方案 问题描述 win10正常使用过程中,出现蓝屏蓝屏代码为SYSTEM_SERVICE_EXCEPTION,出现时间或时机没有明显规律,但最近两次出现均是在电脑待机睡眠后重新唤醒时。 电脑配置环境如下 其中:内存为阿斯加特32GB 3000 51°灰套条 解决方案 因最近出现时机为睡眠唤醒中,考虑与主板芯片组驱动及睡眠机制有关,故 重新安装系统[可选]: 如条件允许,重新安装系统是最好的解决方案,可以基本排除掉系
C#知识|账号管理系统:数据库查询账号类别动态绑定到下拉框。
做有价值的事,积累有价值的笔记!
07-10 312
当点击【添加账号信息】按钮时,打开添加账号信息子窗体,加载子窗体的同时,查询数据库中账号所有类型,将其添加到账号类型的下拉框中;以上为数据库查询账号类别并动态绑定到下拉框的实现方法,接下来继续学习如何将账号信息保存到数据库。在FrmAddAccount窗体初始化时,将查询到的所有账号类型添加到账号类型下拉框中;本节学习如何将数据库中账号类别动态添加到下拉框列表中。③:发送语句查询所有类型,查询结果封装到集合;②:写查询数据库中对应表的SQL语句;①:首先添加需要的命名空间;①:首先引入需要的命名空间;
c++ 多边形 xyz 数据 获取 中心点方法,线的中心点取中心值搞定 已解决
PHP代码的博客
07-09 492
多边形 获取中心点方法,绝大多数都是 puthon和java版本。立体几何学中的知识。
java 实现Comparable接口和实现Comparator接口排序的区别
最新发布
weixin_40323532的博客
07-10 1233
这取决于Collections.sort()方法是否传入了自定义Comparator排序规则,如果传入了自定义Comparator排序规则那以Comparator为准否则以Comparable为准。
力扣 24两两交换链表中节点
weixin_43261508的博客
07-10 283
注意判断时先判断cur->next!= nullptr,再判断cur->next->next!注意末尾返回dumyhead->next,用新建result指针来接并返回。
Netio.sys蓝屏
06-02
当Netio.sys文件出现问题时,可能会导致系统蓝屏,这通常是由以下原因导致: 1. Netio.sys文件损坏或丢失。这可能是由于恶意软件感染、系统错误或硬件故障等原因导致的。 2. 系统驱动程序冲突。如果系统中某些驱动程序与Netio.sys驱动程序发生冲突,就可能导致蓝屏。 3. 操作系统错误。如果Windows操作系统本身存在问题,也可能导致Netio.sys蓝屏。 为了解决这个问题,你可以尝试以下步骤: 1. 执行系统文件检查和修复。在命令提示符下输入sfc /scannow,这将扫描系统文件并尝试修复任何损坏的文件。 2. 更新系统驱动程序。你可以通过设备管理器或厂商网站更新系统驱动程序,确保它们与Netio.sys兼容。 3. 进行系统更新。确保你的操作系统处于最新状态,以确保任何已知的问题得到修复。 4. 进行系统恢复。如果以上步骤无法解决问题,你可以尝试使用系统还原或重装操作系统等方法来恢复系统到正常状态。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值