标题:
瑞星“火绒”和微点冲突问题说明
[打印本页]
作者:
点饭的百度空间
时间:
2012-5-13 00:08
标题:
瑞星“火绒”和微点冲突问题说明
前瑞星公司CTO刘刚创办“火绒实验室”
发表于 2012-4-26 17:54:30
最近有许多同学在群内咨询微点和火绒冲突的问题~
下面捏~我们亲爱滴周老师为大家解读下这冲突问题~
1
环境
2
说明
3
结论
1 环境
微点:微点主动防御软件体验版,程序版本 2.0.20266.0140
火绒:火绒系统诊断工具/火绒安全防御软件,产品版本 v0.8-rc1
2 说明
通过BSOD时的Dump,可以得知导致系统最终崩溃的原因是无限递归导致的栈溢出,下面是崩溃时的调用栈:
复制代码通过分析Dump可以看到,微点会Hook火绒驱动的所有IRP请求回调函数:
分析mp110003.sys代码可知,该驱动会在拦截到对被拦截驱动的IRP请求时,通过驱动对象和IRP请求号查找原始回调函数地址并调用
而火绒的部分内部处理流程也会调用自身的IRP请求回调。 mp110003.sys的Hook并没有考虑此类情况,只通过IRP请求号和驱动对象来关联被Hook的原始函数地址导致了错误的重入,最终导致系统崩溃。下图分别说明了正常的处理流程和被mp110003.sys拦截后异常的处理流程之间的区别:
3
结论
mp110003.sys没有正确管理并处理被Hook函数地址,从而导致错误的代码重入,最终导致系统崩溃。
by vardyh
出自:
http://www.huorong.cn/bbs/thread-74-1-1.html
[
Last edited by 点饭的百度空间 on 2012-5-13 at 00:10
]
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn