在一次写文件过滤驱动的时候突然蓝屏,状况如下:
堆栈如下:
分析: 应用层在调用NtQueryAttributesFile 经过KiFastCallEntry 进入到内核的NtQueryAttributesFile,然后调用文件系统管理器去解析IopParseDevice解析的时候挂了,我们看汇编
挂在了 mov eax,dword pre[eax+28h], 这句汇编代码
查看寄存器:
该地址是不能被访问的,所以会挂掉了。我们在分析下汇编,eax为什么会是-1;
看之前的代码 mov eax,[ecx+8] , ecx 这时候 等于 8428ac08 , 我们看 这个地址
偏移 + 8h的位置确实是-1, 我们看看这片区域里的值,发现 一个8428acc0, 查看内存
发现了什么 8428ac08,正式之前那个内存地址,而前面1c0901, 0x901就是当前自己的文件过滤系统的设备属性,那么就可以判断8428ac08这个地址是个_Device_OBJECT
我们查看下
确实是自己挂载的设备,出现了设置扩展设置而实际上挂载出错了。
我们再进一步证实:
查看上面的DriverObject 对应的内存
这下可以清楚了是挂载"\Driver\kesvc"出错了,这下好调试分析挂载的地方的代码了。
转载请注明原文地址: https://ju.6miu.com/read-962439.html
