»
游客:
注册
|
登录
|
帮助
微点交流论坛
»
微点茶室
» 瑞星“火绒”和微点冲突问题说明
作者:
标题: 瑞星“火绒”和微点冲突问题说明
点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
#1
瑞星“火绒”和微点冲突问题说明
前瑞星公司CTO刘刚创办“火绒实验室”
发表于 2012-4-26 17:54:30
最近有许多同学在群内咨询微点和火绒冲突的问题~
下面捏~我们亲爱滴周老师为大家解读下这冲突问题~
1
环境
2
说明
3
结论
1 环境
微点:微点主动防御软件体验版,程序版本 2.0.20266.0140
火绒:火绒系统诊断工具/火绒安全防御软件,产品版本 v0.8-rc1
2 说明
通过BSOD时的Dump,可以得知导致系统最终崩溃的原因是无限递归导致的栈溢出,下面是崩溃时的调用栈:
复制代码通过分析Dump可以看到,微点会Hook火绒驱动的所有IRP请求回调函数:
分析mp110003.sys代码可知,该驱动会在拦截到对被拦截驱动的IRP请求时,通过驱动对象和IRP请求号查找原始回调函数地址并调用
而火绒的部分内部处理流程也会调用自身的IRP请求回调。 mp110003.sys的Hook并没有考虑此类情况,只通过IRP请求号和驱动对象来关联被Hook的原始函数地址导致了错误的重入,最终导致系统崩溃。下图分别说明了正常的处理流程和被mp110003.sys拦截后异常的处理流程之间的区别:
3
结论
mp110003.sys没有正确管理并处理被Hook函数地址,从而导致错误的代码重入,最终导致系统崩溃。
by vardyh
出自:
http://www.huorong.cn/bbs/thread-74-1-1.html
[
Last edited by 点饭的百度空间 on 2012-5-13 at 00:10
]
※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2012-5-13 00:08
论坛跳转:
微点软件公测区
安全快报
> 病毒快报
> 漏洞快报
微点产品在线技术支持
> 微点主动防御软件
> 预升级反馈专区
> 微点杀毒软件
微点用户交流区
> 微点新闻
> 微点软件使用交流
> 微点茶室
安全技术交流区
> 主动防御
> 反病毒
> 防火墙
综合区
> 电脑&数码
> 体育&娱乐&休闲
> 灌水区
版务管理
内部使用专区
可打印版本
|
推荐
|
订阅
|
收藏
[
联系我们
-
东方微点
]
北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司
闽ICP备05030815号