虫趣：别动系统的奶酪——内核保护错误(CRITICAL_STRUCTURE_CORRUPTION) - 推酷
虫趣：别动系统的奶酪——内核保护错误(CRITICAL_STRUCTURE_CORRUPTION)
下班的时候准备关掉调试机，却遇到蓝屏。本想直接拔电源，但蓝屏总是让我好奇，于是决定多待十分钟，看看这个蓝屏是怎么回事。主机的windbg调试器已经用DML标记出了自动分析命令
!analyze –v
。于是点进去：
1: kd& !analyze -v
ERROR: FindPlugIns 8007007b
ERROR: Some plugins may not be available [8007007b]
*******************************************************************
Bugcheck Analysis
*******************************************************************
CRITICAL_STRUCTURE_CORRUPTION (109)
This bugcheck is generated when the kernel detects that critical kernel code or
data have been corrupted. There are generally three causes for a corruption:
1) A driver has inadvertently or deliberately modified critical kernel code
or data. See /whdc/driver/kernel/64bitPatching.mspx
2) A developer attempted to set a normal kernel breakpoint using a kernel
debugger that was not attached when the system was booted. Normal breakpoints,
&bp&, can only be set if the debugger is attached at boot time. Hardware
breakpoints, &ba&, can be set at any time.
3) A hardware corruption occurred, e.g. failing RAM holding kernel code or data.
Arguments:
Arg1: a3a039d89bef061c, Reserved
Arg2: b3b7465eee6c05cb, Reserved
Arg3: fffff, Failure type dependent information
Arg4: 0001, Type of corrupted region, can be
0 : A generic data region
1 : Modification of a function or .pdata
2 : A processor IDT
3 : A processor GDT
4 : Type 1 process list corruption
5 : Type 2 process list corruption
6 : Debug routine modification
7 : Critical MSR modification
这一段内容很丰富，原来是系统发现关键结构体被破坏了。在XP时代，我们有一个很热门的技术话题，就是各种内核Hook。比如注明的SSDT Hook。SSDT是操作系统保存各种内核服务的一张表，里面保存的是各种内核函数指针。骇客只要把这张表给偷梁换柱，换成自己写的函数地址，就可以实现其狂妄的目的了。这个技术是这么地流行，不仅Rootkit和Virus爱它，Anti-Rootkit和Anti-Virus也爱它。搜索引擎查关键字“SSDT HOOK”，能找到一大堆经典文章和讨论。
这好比操作系统有一块奶酪放在办公桌上，路过的人把它里面的东西换成了橙汁。味道也许不错， 甚至更好，但操作系统很不喜欢！万一换的是放射性有毒物质呢？
这个技术现在还能在x86平台上使用，但微软决定在64位系统上，把这个漏洞或多或少地堵住。微软在它的第一版x64系统（XP x64）上引入了一项新技术。新增了一个内核检查措施，称为Kernel Patch Protection又名PatchGuard，简称KPP，对内核本身和重要的数据结构进行保护。似乎可以把KPP用中文直译成：内核补丁保护（这个翻译其实有点不妥，需要注意，不可以理解成保护内核补丁，而应该理解成保护内核不被补丁侵害）。
KPP的保护对象有很多，比如内核文件（NT、Hal.dll、Ndis.sys、Tcpip.sys等），内核结构体（如SSDT、内核堆栈、ObjectTypes），CPU结构体或寄存器（GDT、IDT、MSR）等等。一旦发现这些被保护的对象受到不当修改，就立刻蓝屏，蓝屏号恰恰就是CRITICAL_STRUCTURE_CORRUPTION （0&109）。
KPP和反KPP技术，现在和以后，都是一个很流行的讨论话题。
从自动分析的提示中可知，KPP检测到有一个系统函数被修改了。为了找出KPP引发蓝屏的那个原因，必须使用!chkimg命令：
1& CHKIMG_EXTENSION: !chkimg -lo 50 -d !nt
fffff - nt!DbgBreakPoint
4& 1 error : !nt (fffff)
运行之后，它列举了一个错误，是在nt!DbgBreakPoint函数中地址0x fffff处发现的。第三行的
意思是说，这个地址处的指令应该是cc，但现在是90。指明了错误原因。
我到底做过什么了，就动了系统的奶酪了？还是来看看这个函数吧：
1: kd& uf nt!DbgBreakPoint
nt!DbgBreakPoint [d:\w8rtm\minkernel\ntos\rtl\amd64\debugstb.asm]:
51 fffff800`53b0b910 90
54 fffff800`53b0b911 c3
再看看未修改的代码：
2: kd& uf nt!DbgBreakPoint
nt!DbgBreakPoint [d:\w8rtm\minkernel\ntos\rtl\amd64\debugstb.asm]:
51 fffff801`e4d06910 cc
54 fffff801`e4d06911 c3
哈哈，原来是公司的代码中滥用了太多的DbgBreak函数，调试的时候必须不断地按F5过滤掉这些
断点。于是大家都忍不住把这个本是断点指令的cc改成了无操作指令90。这就是原因所在了。
后来，我把这个patch改在了公司自己的驱动文件中，只要不影响系统文件，就避免了KPP检查的问题。
到这里真相大白了。系统的KPP一直在系统中运行着，它不保证当问题发生的时候，马上就抓到它。但它保证，只要问题存在足够长的时间（可能要经过几个小时，也可能只需几分钟），KPP就一定能够抓到它。
这一点很重要，足以制止Patch技术的商业运用
，甚至技术体验也都变得毫无价值。
已发表评论数()
请填写推刊名
描述不能大于100个字符!
权限设置： 公开
仅自己可见
正文不准确
标题不准确
排版有问题
主题不准确
没有分页内容
图片无法显示
视频无法显示
与原文不一致　 情况1：如果百分数走完无法进入系统
解决方法：建议备份数据通过Windows高级启动菜单，疑难解答中的系统还原，可以恢复系统；　 情况2：如果百分数走完可以进入系统
解决方法：
1、依次点击计算机右键属性&高级系统设置---高级---启动和故障恢复&；
2、改为完全内存转储，保存后重启计算机。
备注：若仍然出现蓝屏，建议您到专业维修点维修。　　情况3：如果安装360安全卫士
解决方法：建议暂时卸载以解决临时问题。
以上就是对Win8.1系统蓝屏错误CRITICAL_STRUCTURE_CORRUPTION(Ntfs_sys)问题的解决方法的介绍，有同样问题的朋友可以动手尝试下。
最新教程周点击榜
微信扫一扫电脑win10，会不定时蓝屏重启，显示错误： CRITICAL_STRUCTURE_CORRUPTION_问答百科_我爱台球网
我爱台球网-www.52tq.net
电脑win10，会不定时蓝屏重启，显示错误： CRITICAL_STRUCTURE_CORRUPTION
电脑win10，会不定时蓝屏重启，显示错误： CRITICAL_STRUCTURE_CORRUPTION
来源：网络收集 & 发布时间： &
我试试怎么用？？用什么修复软件？？？360自带的系统修复是了，说找不到问题那只能重装
以管理员身份运行dos命令行，输入“SFC /scannow"，程序启动，开始扫描并修复系统文件。然后到C:\Windows\Logs\CBS查看CBS.log日志，看最后几行，可以看到哪些文件损坏了。我的是C:\Windows\WinSxS\wow64_microsoft-windows-r..xwddmdriver-wow64-c_31bf_10.0.10547.0_none_3ddab5\opencl.dll文件有错误。然后发现C:\Windows\System32下面也有一个opencl.dll，经过比较我认为应该是相同的文件，但是看创建日期和大小却不同，我想问题应该就是出现在这里，于是把C:\Windows\System32下的opencl.dll覆盖掉出错的opencl.dll，然后就没有出现蓝屏了！！！如果你也是这个文件出错，可以试试我的办法。
joann：故障原因——新系统不成熟，又慢又卡，与不少应用软件不兼容，影响系统正常运转。解决方法——建议重装《 Win7 旗舰版 》，稳定可靠快捷易用，比新系统好！
tlcphkw：用360系统修复试试
wzcgq：蓝屏有代码的 蓝屏重启后可以用bluescreenview查看代码 然后逐一去排查吧
月下之排骨：可能确实了什么文件，建议用修复程序
超越EVO：WIN10现在还不是太成熟....问题多多的
罗家仔：这个不好搞，自己把蓝屏代码在网上搜一下，任何系统都会蓝屏的。
我的最爱——car：换WIN7吧，WIN10现在还是会有问题
龙龙..!：那么你建议去重新做系统。
看优酷时会不定时蓝屏重启请问是怎么回事?电脑上网看视频就会不定时自动重启或者蓝屏我的win10电脑一重启就蓝屏,我选择了重置所以驱动,不知道会...[求助] 求救: 电脑使用中会不定时蓝屏,自动重启 求救最近电脑会不定时出现蓝屏死机,然后自动重启。 更多关于“电脑win10，会不定时蓝屏重启，显示错误： CRITICAL_STRUCTURE_CORRUPTION”内容
蓝屏重启,错误代码CRITICAL_STRUCTURE_CORRUPTION ,怎... ……,也会出现这样的错误,建议更换适合的显卡驱动安装。 4、电脑中毒,使用360杀毒软件进... 并把隔离区的文件删除,重启电脑,再进行一次查杀,防止二次病毒感染。 5、安装了不稳...……
电脑每隔10几分钟就蓝屏重启 错误信息是 CRITICAL_STRUCTURE_CORRUPTION笔记本电脑蓝屏
出现critical structure corruption
4月7日，联想与苏宁携手在上海举办联想ideapad 710S“新薄主轻约会”发布会，推出一款集轻薄、时尚和高性能于一身的商务办公笔记本——联想ideapad 710S。4月7日...
微信公众账号ZOL问答堂
关注微信，随时随地解答您的疑惑
ZOL问答堂官方微博@ZOL问答堂
关注成功！该问题被回答后，将给您发送站内短信。
您也可以通过关注问答堂微信，及时获得您关注问题的回答。
微信关注问题方法“”}