» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 微点茶室 » 瑞星“火绒”和微点冲突问题说明   作者: 标题: 瑞星“火绒”和微点冲突问题说明 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #1  瑞星“火绒”和微点冲突问题说明 前瑞星公司CTO刘刚创办“火绒实验室” 发表于 2012-4-26 17:54:30 最近有许多同学在群内咨询微点和火绒冲突的问题~ 下面捏~我们亲爱滴周老师为大家解读下这冲突问题~ 1 环境 2 说明 3 结论 1 环境 微点：微点主动防御软件体验版，程序版本 2.0.20266.0140 火绒：火绒系统诊断工具/火绒安全防御软件，产品版本 v0.8-rc1 2 说明 通过BSOD时的Dump，可以得知导致系统最终崩溃的原因是无限递归导致的栈溢出，下面是崩溃时的调用栈： 复制代码通过分析Dump可以看到，微点会Hook火绒驱动的所有IRP请求回调函数： 分析mp110003.sys代码可知，该驱动会在拦截到对被拦截驱动的IRP请求时，通过驱动对象和IRP请求号查找原始回调函数地址并调用 而火绒的部分内部处理流程也会调用自身的IRP请求回调。 mp110003.sys的Hook并没有考虑此类情况，只通过IRP请求号和驱动对象来关联被Hook的原始函数地址导致了错误的重入，最终导致系统崩溃。下图分别说明了正常的处理流程和被mp110003.sys拦截后异常的处理流程之间的区别： 3 结论 mp110003.sys没有正确管理并处理被Hook函数地址，从而导致错误的代码重入，最终导致系统崩溃。   by vardyh    出自：http://www.huorong.cn/bbs/thread-74-1-1.html [ Last edited by 点饭的百度空间 on 2012-5-13 at 00:10 ] ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2012-5-13 00:08 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号