手握利器，直面“蓝脸”

核心提示： 当然，如果您熟练以后，手握利器，直面“蓝脸”(10)，觉得没有必要使用“!analyze -v”命令的话，可以直接使用!thread或者kb命令显示出核心的线程栈信息来二审判决，也许您会发现该软件已经提供了更新的解决此问题的文件，同样，现在好了，犯罪嫌疑人目标锁定在

当然，如果您熟练以后，觉得没有必要使用“!analyze -v”命令的话，可以直接使用

!thread

或者

kb

命令显示出核心的线程栈信息来二审判决。现在好了，犯罪嫌疑人目标锁定在BaseTDI和HookUrl.sys身上。现在，我们来看看它们究竟是什么、是哪个公司、哪个程序的模块。(从之前不能够自动从微软服务器为他们加载符号文件就可以知道，它们一定都是第三方驱动程序)

使用命令

lm kv m Basetdi*

(使用lm(列出模块)命令和内核k选项、详细v选项以及参数m，配合包含通配符*的字符串BaseTDI，来列出当时已加载于内核模式的包含字符BaseTDI的所有驱动文件详细信息。使用通配符来取代完整的文件名后缀可以避免信息的局限性，借此也许可以发现多个相关的模块以提供更多诊断线索)，我们得到下图结果：

从图中蓝色框选部分，我们可以看出，当时内核态下只有一个叫BaseTDI.SYS的文件，这个文件的路径位于System32Drivers下，属于名称为“瑞星个人防火墙”(ProductName: Rising PFW, PFW=Personal Firewall)的程序组件，软件公司注册商标为“瑞星”(LegalTrademarks: RISING)。文件的这些英文描述信息如果您不知道，可以百度一下。当然，没有被笔者高亮显示的信息(如文件时间戳、版本、校验和等等)也是非常有用的，比如百度一下文件版本，也许您会发现该软件已经提供了更新的解决此问题的文件。同样，我们使用

lm kv m hookurl*

来显示当时内核态下包含HookUrl的文件及其详细信息。结果如下：