本文作者:Hy221

关于湛江市和茂名市网吧大面积蓝屏情况的分析

Hy221 7个月前 ( 12-18 ) 1530 抢沙发

一、情况简介

自11月起湛江大部分网吧和茂名高州茂名网吧反馈上网的时候出现蓝屏死机的现象,网维公司把文网卫士客户端停止启动后,发现蓝屏情况消失。情况反馈到文网亿联公司后,我们初步分析认为:

1、文网卫士客户端只在用户态运行,没有驱动,不会引起蓝屏;

2、文网卫士客户端在湛江市以及茂名市已使用半年,且近期无版本跟新,不会突然在11月集中出现蓝屏;

结合在其他省市安装部署的经历,我们初步结论是计费或无盘更新版本或更新插件后,检测到文网卫士客户端的处理逻辑有漏洞,导致了蓝屏。为了对文网卫士安装部署工作负责,把工作做扎实,文网亿联技术人员在11月27日一早来广州排查定位问题。

二、排查过程

北京文网亿联科技有限公司本着为网吧服务,有能力为网吧解决困难的宗旨,从北京研发部门派工程师到湛江、茂名蓝屏问题网吧实际调研提取蓝屏文件并复现。11月28日,工程师到达湛江市经济开发区GAME PLUS网咖协同网咖技术网管黄叶慈作出调研提取蓝屏文件并复现,11月29日工程师到茂名市高州一网网咖协同网吧技术网管吴荣海作出调研并提取证据,11月30日工程师根据提取到的证据作出解析。

本次大规模蓝屏事件中一半的蓝屏信息显示系统关键进程csrss.exe退出导致的蓝屏,windbg 分析结果为进程崩溃,进程名为csrss.exe,湛江网吧编写驱动程序保护csrss.exe进程,不让其他进程写以及关闭csrss.exe进程,并记录访问csrss.exe的进程信息,记录结果如下

cltupdate.exe Open csrss.exe With PROCESS_TERMINATE

cltupdate.exe Open csrss.exe With PROCESS_VM_WRITE

fxoyafwm.exe Open csrss.exe With PROCESS_TERMINATE

fxoyafwm.exe Open csrss.exe With PROCESS_VM_WRITE

BarClientView. Open csrss.exe With PROCESS_TERMINATE

BarClientView. Open csrss.exe With PROCESS_VM_WRITE

由此证明,本次湛江茂名大规模蓝屏事件并非由文网卫士客户端造成。

具体技术调研报告如下:

湛江市蓝屏分析报告:

1.湛江市经济开发区GAME PLUS网咖分析50多个dump文件其中一半的蓝屏信息显示系统关键进程csrss.exe退出导致的蓝屏

csrss.exe对系统的正常运行非常重要,必须一直运行,终止进程后会蓝屏,蓝屏代码

CRITICAL_OBJECT_TERMINATION (f4)

A process or thread crucial to system operation has unexpectedly exited or been

terminated.

Several processes and threads are necessary for the operation of the

system; when they are terminated (for any reason), the system can no

longer function.

Arguments:

Arg1: 0000000000000003, Process

Arg2: fffffa8005b8db30, Terminating object

Arg3: fffffa8005b8de10, Process image file name -----> 内存指向内容为csrss.exe

Arg4: fffff8000278b240, Explanatory message (ascii)

windbg 分析结果为进程崩溃,进程名为csrss.exe

2.湛江网吧编写驱动程序保护csrss.exe进程,不让其他进程写以及关闭csrss.exe进程,并记录访问csrss.exe的进程信息,记录结果如下

cltupdate.exe Open csrss.exe With PROCESS_TERMINATE

cltupdate.exe Open csrss.exe With PROCESS_VM_WRITE

fxoyafwm.exe Open csrss.exe With PROCESS_TERMINATE

fxoyafwm.exe Open csrss.exe With PROCESS_VM_WRITE

BarClientView. Open csrss.exe With PROCESS_TERMINATE

BarClientView. Open csrss.exe With PROCESS_VM_WRITE

3.一直运行系统只有上面3个进程打开过csrss.exe进程,而这3个进程都是shunwang的签名程序,整个过程文网程序不存在访问csrss.exe.

最终报告

之前说过F4蓝屏是因为系统进程csrss.exe以外崩溃或者被结束时,系统会立马蓝屏。由此可以通过对比实验论证始作俑者。

实验一:手动通过任务管理器(taskmgr.exe)来强制结束csrss.exe进程

蓝屏后取出dmp文件,使用windbg进行分析,显示错误信息如下

STACK_TEXT:  

fffff880`0808f9d8 fffff800`04457ec2 : 00000000`000000f4 00000000`00000003 fffffa80`11307b10 fffffa80`11307df0 : nt!KeBugCheckEx

fffff880`0808f9e0 fffff800`0441575b : 00000000`00000001 fffffa80`33706600 fffffa80`11307b10 fffffa80`22cffb01 : nt!PspCatchCriticalBreak+0x92

fffff880`0808fa20 fffff800`0437ea84 : 00000000`00000001 00000000`00000220 fffffa80`11307b10 fffffa80`00000008 : nt! ?? ::NNGAKEGL::`string'+0x26fa6

fffff880`0808fa70 fffff800`040c40d3 : 00000000`00000220 fffffa80`33706600 fffffa80`11307b10 00000000`02db5240 : nt!NtTerminateProcess+0x284

fffff880`0808fae0 00000000`7750bffa : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13

00000000`0020ebb8 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x7750bffa


FAILURE_BUCKET_ID:  X64_0xF4_csrss.exe_BUGCHECK_CRITICAL_PROCESS_TERMINATED_BY_taskmgr.exe_33706600_ANALYSIS_INCONCLUSIVE

BUCKET_ID:  X64_0xF4_csrss.exe_BUGCHECK_CRITICAL_PROCESS_TERMINATED_BY_taskmgr.exe_33706600_ANALYSIS_INCONCLUSIVE

PRIMARY_PROBLEM_CLASS:  X64_0xF4_csrss.exe_BUGCHECK_CRITICAL_PROCESS_TERMINATED_BY_taskmgr.exe_33706600_ANALYSIS_INCONCLUSIVE

实验二:直接分析网咖今天下午F4蓝屏的dmp文件

错误信息如下:

STACK_TEXT:  

fffff880`08e129d8 fffff800`04462ec2 : 00000000`000000f4 00000000`00000003 fffffa80`0fcb6b10 fffffa80`0fcb6df0 : nt!KeBugCheckEx

fffff880`08e129e0 fffff800`0442075b : 00000000`00000001 fffffa80`07aaeb50 fffffa80`0fcb6b10 fffffa80`21c8a001 : nt!PspCatchCriticalBreak+0x92

fffff880`08e12a20 fffff800`04389a84 : 00000000`00000001 00000000`00000d58 fffffa80`0fcb6b10 fffffa80`00000008 : nt! ?? ::NNGAKEGL::`string'+0x26fa6

fffff880`08e12a70 fffff800`040cf0d3 : 00000000`00000d58 fffffa80`07aaeb50 fffffa80`0fcb6b10 00000000`00000000 : nt!NtTerminateProcess+0x284

fffff880`08e12ae0 00000000`772dbffa : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13

00000000`0736e808 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x772dbffa

FAILURE_BUCKET_ID:  X64_0xF4_csrss.exe_BUGCHECK_CRITICAL_PROCESS_TERMINATED_BY_clsmn.exe_7aaeb50_ANALYSIS_INCONCLUSIVE

BUCKET_ID:  X64_0xF4_csrss.exe_BUGCHECK_CRITICAL_PROCESS_TERMINATED_BY_clsmn.exe_7aaeb50_ANALYSIS_INCONCLUSIVE

PRIMARY_PROBLEM_CLASS:  X64_0xF4_csrss.exe_BUGCHECK_CRITICAL_PROCESS_TERMINATED_BY_clsmn.exe_7aaeb50_ANALYSIS_INCONCLUSIVE

对比两次实验蓝屏后的dmp文件执行的代码片段一模一样,代码执行流程(内核部分)

1.SYSENTER进入内核nt!KiSystemServiceCopyEnd+0x13       --->

2.调用SSDT函数nt!NtTerminateProcess+0x284结束进程    --->

3.内核捕捉关键进程结束异常nt!PspCatchCriticalBreak+0x92  --->

4.系统蓝屏

区别是试验一通过手动结束进程csrss.exe触发蓝屏,所以蓝屏分析结果是taskmgr.exe结束的csrss.exe导致蓝屏,同理实验二就是进程clsmn.exe干掉了csrss.exe.

而clsmn.exe签名就是shanghai xin hao yi software Co., Ltd(Pubwin收费系统模块)。


文章版权及转载声明:

作者:Hy221本文地址:https://www.imf8.cn/post/611.html发布于 7个月前 ( 12-18 )
文章转载或复制请以超链接形式并注明出处爱免费吧

分享到:
赞(3

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

发表评论

快捷回复:

评论列表 (暂无评论,1530人围观)参与讨论

还没有评论,来说两句吧...