WIN8 X64莫名其妙的蓝屏
昨天有人给我发了一个链接:http://bbs.pediy.com/showthread.php?t=155861&page=2里面有人说:
到了WIN8上,你连 object type的support callbacks(可以制造更多的ob callbacks的一个技巧)都会被PG发现,从而BSOD
此人的意思大概是说,在WIN8里修改OBJECT_TYPE里的任何一个成员的值,都会被PG检测到并引发蓝屏。
于是运行我之前写的文件访问监视器(正好是利用了这个技巧的),结果一个小时后蓝屏,蓝屏代码是0x109(正好是PG的蓝屏代码,但通过这个代码蓝屏的话,PG也不是唯一的理由)。
我的疑问来了。疑点有两个,1.时间;2.参数。
1.由于我的WIN8没有激活,按照微软的说法,应该是会一个小时蓝屏一次的。另外在我的印象中,PatchGuard的蓝屏速度极快,最多不到30分钟,这次怎么拖了一个小时才蓝屏?
2.在WINDOWS事件查看器里,KeBugCheckEx的第四个参数竟然是0x8!在微软的官方说明(http://msdn.microsoft.com/en-us/library/windows/hardware/ff557228)里,根本没有这个值。而且微软的官方说明里,修改内核数据导致蓝屏的话,代码应该是1、2、6、7。
废话一堆,疑问一个:是不是我的程序导致蓝屏呢?
2012-09-17更新:
经KiCall大牛验证,在WIN8上已经不能对OBJECT_TYPE做任何修改操作了。 不懂,飘过 不懂,飘过............{:soso__6338092662515793418_3:} 本帖最后由 LittlePig 于 2012-9-16 20:03 编辑
Bug Check 0x109: CRITICAL_STRUCTURE_CORRUPTION
This indicates that the kernel has detected critical kernel code or data corruption.
ParametersThe following parameters are displayed on the blue screen.
ParameterDescription
1Reserved
2Reserved
3Reserved
4The type of the corrupted region.
The value of Parameter 4 indicates the type of corrupted region.
Parameter 4Type of Corrupted Region, Type of Corruption, or Type of Action Taken That Caused the Corruption
0x0A generic data region
0x1A function modification or the Itanium-based function location
0x2A processor interrupt dispatch table (IDT)
0x3A processor global descriptor table (GDT)
0x4A type-1 process list corruption
0x5A type-2 process list corruption
0x6A debug routine modification
0x7A critical MSR modification
表示我在网上完全查不到参数4是0x8的情况……呃 看来微软反rootkit技术越来越强劲啦 M。。。。先收下~
页:
[1]