WEB开发网
开发学院操作系统Windows XP 手握利器,直面“蓝脸” 阅读

手握利器,直面“蓝脸”

 2009-02-10 10:18:42 来源:WEB开发网   
核心提示: 当然,如果您熟练以后,手握利器,直面“蓝脸”(10),觉得没有必要使用“!analyze -v”命令的话,可以直接使用!thread或者kb命令显示出核心的线程栈信息来二审判决,也许您会发现该软件已经提供了更新的解决此问题的文件,同样,现在好了,犯罪嫌疑人目标锁定在

当然,如果您熟练以后,觉得没有必要使用“!analyze -v”命令的话,可以直接使用

!thread

或者

kb

命令显示出核心的线程栈信息来二审判决。现在好了,犯罪嫌疑人目标锁定在BaseTDI和HookUrl.sys身上。现在,我们来看看它们究竟是什么、是哪个公司、哪个程序的模块。(从之前不能够自动从微软服务器为他们加载符号文件就可以知道,它们一定都是第三方驱动程序)

使用命令

lm kv m Basetdi*

(使用lm(列出模块)命令和内核k选项、详细v选项以及参数m,配合包含通配符*的字符串BaseTDI,来列出当时已加载于内核模式的包含字符BaseTDI的所有驱动文件详细信息。使用通配符来取代完整的文件名后缀可以避免信息的局限性,借此也许可以发现多个相关的模块以提供更多诊断线索),我们得到下图结果:

手握利器,直面“蓝脸”

从图中蓝色框选部分,我们可以看出,当时内核态下只有一个叫BaseTDI.SYS的文件,这个文件的路径位于System32Drivers下,属于名称为“瑞星个人防火墙”(ProductName: Rising PFW, PFW=Personal Firewall)的程序组件,软件公司注册商标为“瑞星”(LegalTrademarks: RISING)。文件的这些英文描述信息如果您不知道,可以百度一下。当然,没有被笔者高亮显示的信息(如文件时间戳、版本、校验和等等)也是非常有用的,比如百度一下文件版本,也许您会发现该软件已经提供了更新的解决此问题的文件。同样,我们使用

lm kv m hookurl*

来显示当时内核态下包含HookUrl的文件及其详细信息。结果如下:

上一页  5 6 7 8 9 10 

Tags:利器 直面 蓝脸

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接