[原创]最新版360安全卫士极速版蓝屏分析

1天前 981

今天（2023年5月7号）正在写文档，写到一半，还没来得及保存，突然电脑蓝屏了，瞬间懵了，我的文档！！蓝屏后，我又打开了电脑，我没来的及保存的文档没了，又的重写，重写就重写呗，写着写着，我擦！又蓝屏了，气的我吐血。作为一个程序员，受不了了，我要查查为什么蓝屏！

（蓝屏的操作系统版本）

1、查找蓝屏dmp文件
在目录C:\Windows\Minidump下找到了蓝屏dmp文件，
果然今天两次蓝屏的dmp文件都在这里。日期都是2023年5月7号

2、用windbg分析dmp文件
显示的蓝屏原因：系统服务异常。

(蓝屏原因)
再继续分析看看，从windbg的分析看，导致蓝屏的模块名称叫360hvm64.sys
，这个文件到底是谁的啊，我用everything搜了一下，我擦！原来是360.

(蓝屏调用堆栈和蓝屏模块)

（原来导致蓝屏的这个驱动文件是360安全卫士的）

看下我电脑上的360安全卫士

（查看360安全卫士版本）

（查看360主版本号和病毒库版本）

使用windbg命令lmvm，查看下360hvm64.sys模块信息

找到360hvm64.sys文件，拖到IDA里面逆向分析下。看看到底是哪个位置蓝屏了。先rebase一下。方法，IDA菜单Edit->Segments->Rebase program...
在弹出的框内输入windbg命令lmvm 360Hvm64命令显示的模块起始地址。

（rebase程序）
在IDA中，按下快捷键G(或者菜单Jump->Jump to address)跳转到崩溃的地址处

（查看下奔溃的伪代码）

个人盲猜是hooknt!NtOpenKey 下图有个指针转换，然后调用到nt!NtOpenKey，盲猜是hook nt!NtOpenKey出错，如果错误，欢迎各位大佬拍砖，下面我上传了dmp文件和引起蓝屏的

备注：附件中是dmp文件和导致蓝屏的360的驱动文件

Linux平台漏洞分析、利用和挖掘

最后于 17小时前 被sanganlei编辑 ，原因：