蓝屏冲突事件来历

在2013年6月12日，也就是端午节当天，微软发布了6月例行补丁日的Windows/Office相关补丁，国内各大安全厂商也向用户及时推送了这些补丁，而在补丁发布后，各大安全厂商、电脑厂商却接到了大量的用户反馈，说安装了微软KB2839229补丁后，导致系统蓝屏，无法开机。

经过对蓝屏DUMP深入分析，可以明确这是金山系列软件中的驱动程序，在挂钩Windows内核时处理不当引发的蓝屏问题，受影响的软件包括金山毒霸、金山卫士、猎豹浏览器、驱动精灵（被金山收购）和WPS Office，受影响的驱动程序组件是：kisknl.sys(金山毒霸）、 KsDef.sys(金山卫士）、knbdrv.sys(猎豹浏览器）、dgsafe.sys(驱动精灵）和WpsSafe.sys(WPS Office)。金山毒霸于12日下午1点紧急更新了新版驱动解决此问题，其他的产品升级状况暂时还不清楚。

阅读全文 »

前段时间，360蓝屏分析哥（@360蓝屏分析专家）给笔者发了个Dump，说发现很多某安全软件和苹果电脑的Boot Camp共存的时候出现蓝屏的案例，看上去是冲突的问题，但不能100%确定原因，于是我们就一起来分析一下。 这是在Win7 X64系统上的产生蓝屏Dump，故障堆栈如下：2: kd> kChild-SP RetAddr Call Sitefffff880`0d2a0da8 fffff80...

阅读全文 »

1.引言

近日有同事反馈给笔者一个win32k的蓝屏崩溃dump，说是在开发新的界面程序中遇到的。

笔者在对拿到的Minidump进行分析后，发现这是win32k.sys在处理内核的menu窗口对象中的Use-After-Free/Null-Pointer-Dereference漏洞引发的。

笔者进行进一步分析后发现，这实际是一系列2011年已经修补的win32k漏洞， 微软公告编号为MS11-054，涉及8个CVE（CVE-2011-1878~CVE-2011-1885)，都是由当时在挪威安全公司Norman的内核漏洞达人Tarjei Mandt(@kernelpool)报告的，相关的细节未被公开过。

阅读全文 »