|
阅读:3824回复:27
请教sfilter和杀毒软件冲突的原因
tooflat的sfilter在我的机器上终于成功运行了,
以前出的问题和缓存有关,已经解决。 但如果打开symantec antivirus,还是会蓝屏, 而且并不用等到加密或解密就出问题, 具体原因是什么?有没有解决的方案? 请高手指教. |
|
最新喜欢: linshi...
|
|
沙发#
发布于:2007-05-13 22:48
我的机器蓝屏时保存的dump如下,用windbg查看似乎没有什么有用的信息。
如何才能找到在什么地方导致死机。 Microsoft (R) Windows Debugger Version 6.6.0003.5 Copyright (c) Microsoft Corporation. All rights reserved. Loading Dump File [C:\WINDOWS\Minidump\Mini051107-01.dmp] Mini Kernel Dump File: Only registers and stack trace are available Symbol search path is: *** Invalid *** **************************************************************************** * Symbol loading may be unreliable without a symbol search path. * * Use .symfix to have the debugger choose a symbol path. * * After setting your symbol path, use .reload to refresh symbol locations. * **************************************************************************** Executable search path is: ********************************************************************* * Symbols can not be loaded because symbol path is not initialized. * * * * The Symbol Path can be set by: * * using the _NT_SYMBOL_PATH environment variable. * * using the -y <symbol_path> argument when starting the debugger. * * using .sympath and .sympath+ * ********************************************************************* Unable to load image \WINDOWS\system32\ntoskrnl.exe, Win32 error 2 *** WARNING: Unable to verify timestamp for ntoskrnl.exe *** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe Windows XP Kernel Version 2600 (Service Pack 1) UP Free x86 compatible Product: WinNt Kernel base = 0x804d5000 PsLoadedModuleList = 0x8054d850 Debug session time: Fri May 11 13:46:04.500 2007 (GMT+8) System Uptime: 0 days 0:03:37.093 ********************************************************************* * Symbols can not be loaded because symbol path is not initialized. * * * * The Symbol Path can be set by: * * using the _NT_SYMBOL_PATH environment variable. * * using the -y <symbol_path> argument when starting the debugger. * * using .sympath and .sympath+ * ********************************************************************* Unable to load image \WINDOWS\system32\ntoskrnl.exe, Win32 error 2 *** WARNING: Unable to verify timestamp for ntoskrnl.exe *** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe Loading Kernel Symbols .................................................................................................................. Loading User Symbols Loading unloaded module list ........ *** WARNING: Unable to verify timestamp for Fastfat.SYS *** ERROR: Module load completed but symbols could not be loaded for Fastfat.SYS ******************************************************************************* * * * Bugcheck Analysis * * * ******************************************************************************* Use !analyze -v to get detailed debugging information. BugCheck 1000007F, {8, 80042000, 0, 0} ***** Kernel symbols are WRONG. Please fix symbols to do analysis. Followup: MachineOwner |
|
|
板凳#
发布于:2007-05-16 13:13
我感觉我的总结没人看嘛,失望ing。。。。
|
|
|
|
地板#
发布于:2007-05-16 13:23
请问symantec antivirus和最原始的Sfilter冲突吗?
要是真冲突,我还得把代码移到filespy中去呢  |
|
|
地下室#
发布于:2007-05-16 16:34
 早移植早解脱! |
|
|
|
5楼#
发布于:2007-05-16 16:50
谢谢devia,看来又得有几个晚上没得睡了,刚刚试了以下瑞星,果然很卡,
卡巴倒是很流畅的说 |
|
|
6楼#
发布于:2007-05-16 17:00
郁闷,filespy中才实现了这几个,其他的都要自己再写了
DriverObject->MajorFunction[IRP_MJ_CREATE] = SpyCreate; DriverObject->MajorFunction[IRP_MJ_CLOSE] = SpyClose; DriverObject->MajorFunction[IRP_MJ_FILE_SYSTEM_CONTROL] = SpyFsControl; 版主能不能发一个不要加密,只需要实现了hook read和write的filespy 测试模型 ,把加密处理和加密标识核心技术去掉,这样可以让更多的人少走弯路 直捣filespy |
|
|
7楼#
发布于:2007-05-19 19:16
devia, 你的总结只是简单说你已经解决了,并没有具体是什么原因,也没有解决方法,
更没有代码,对我这种新手,有些困难啊! 我想先看看文件过滤驱动的书,哪本比较好?谢谢! |
|
|
8楼#
发布于:2007-05-19 21:34
你的头顶上,有一只鸟站着的:)
|
|
|
|
9楼#
发布于:2007-05-24 07:31
devia的总结在哪篇文章里,是不是我找错了.
znsoft,那只鸟就是我吧:) |
|
|
10楼#
发布于:2007-05-24 08:57
引用第8楼znsoft于2007-05-19 21:34发表的 : 就是那个 NT文件内幕 的书(那是个好大的鸟),不是说人,znsoft 还没有那么无聊吧 |
|
|
|
11楼#
发布于:2007-05-24 09:29
 太有才了,那只鸟我也有了。直捣不怕太出血嘛,最起码那本书看还蛮不错.... 想我这样的菜鸟,直捣简直太恐怖了。 |
|
|
12楼#
发布于:2007-05-24 09:59
貌似这样不知道windbg分析对否,bugcheck code 怪大的。
kd> !analyze -show 1000007F UNEXPECTED_KERNEL_MODE_TRAP_M (1000007f) This means a trap occurred in kernel mode, and it's a trap of a kind that the kernel isn't allowed to have/catch (bound trap) or that is always instant death (double fault). The first number in the bugcheck params is the number of the trap (8 = double fault, etc) Consult an Intel x86 family manual to learn more about what these traps are. Here is a *portion* of those codes: If kv shows a taskGate use .tss on the part before the colon, then kv. Else if kv shows a trapframe use .trap on that value Else .trap on the appropriate frame will show where the trap was taken (on x86, this will be the ebp that goes with the procedure KiTrap) Endif kb will then show the corrected stack. Arguments: Arg1: 00000000, EXCEPTION_DIVIDED_BY_ZERO Arg2: 00000000 Arg3: 00000000 Arg4: 00000000 |
|
|
13楼#
发布于:2007-05-24 17:37
通常是栈溢出了。
|
|
|
14楼#
发布于:2007-05-24 17:46
文件过滤驱动和杀软冲突,和使用的框架没有关系吧,我们看出sfilter和filespy在框架上的区别。
和杀软冲突可能的一个原因是过滤驱动中维护文件上下文采用的方法和杀软用stream fileobject去scan有冲突,这个也是很好解决的,总之和sfilter,filespy的框架无关。 |
|
|
15楼#
发布于:2007-05-29 20:56
引用第14楼tooflat于2007-05-24 17:46发表的 : 请问大侠有什么好的解决办法? |
|
|
16楼#
发布于:2007-07-05 16:48
引用第14楼tooflat于2007-05-24 17:46发表的 : 应该是和sfilter框架无关,因为sfilter的例子在我的机器上运行的很好,不过维护文件上下文采用的方法 我也没有看出什么问题,FileCtx都是在本层驱动中使用的,杀软应该不会访问到,除非杀软在scan中 重新创建了fileobject,或FsContent,我想才可能会有冲突,能否请tooflat说说详细的解决方法。 万分感谢! |
|
|
17楼#
发布于:2007-07-05 17:59
这处可能性应该比较少
其实杀软一般比较简单,现在国内的基本上是在驱动中截获到文件打开请求,然后pending后让应用层的服务进行扫描... |
|
|
|
18楼#
发布于:2007-07-06 11:20
我测试过FileCtx不用就不和杀毒软件冲突了.
|
|
|
19楼#
发布于:2007-07-06 11:22
filectx ? 啥杀软?你都测试过几种杀软?
|
|
|
上一页
下一页