TsFltMgr。sys系统蓝屏的原因是什么

　　同事一WindowsXP系统，正常执行，关闭后，第二天无法启动，详细症状为：
　　（1）安全模式以及带网络功能的安全模式都能够进入；
　　（2）正常模式，还没出现WindowXP滚动栏就？始重新启动；
　　（3）进安全模式，禁用自己主动重新启动后，再正常启动，出现蓝屏，报TsFltMgr。sys内存错误！
　　经过互联网查询，和不断摸索，最后发现居然是可恶的QQ软件管家惹的祸，进安全模式果断卸载QQ软件管家后，再重新启动，系统全然正常了。
　　以下转载了一篇分析QQ电脑管家的文章，请参考：
　　QQ电脑管家中的TsFltMgrHook框架分析
　　新版的QQ电脑管家中多了一个名字叫TsFltMgr。sys的驱动，对该驱动进行了一些简单的分析，看见了一套美丽的Hook框架，发出来与大家分享。分析不正确的地方请多多包涵。
　　首先TsFltMgr挂钩了KiFastCallEntry函数，Hook点在这里：
　　代码：
　　复制代码
　　代码如下：
　　kdgt；uKiFastCallEntrye3
　　nt！KiFastCallEntry0xe3：
　　8053dbb3c1e902shrecx，2
　　8053dbb690nop
　　8053dbb790nop
　　8053dbb890nop
　　8053dbb9e962170c77jmpTsFltMgr0x2320（f75ff320）
　　8053dbbe0f83a8010000jaent！KiSystemCallExit20x9f（8053dd6c）
　　8053dbc4f3a5repmovsdwordptres：〔edi〕，dwordptr〔esi〕
　　8053dbc6ffd3callebx
　　原始的KiFastCallEntry在shrecx，2指令后面应该是movedi，esp；cmpesi，MmUserProbeAddress，共8个字节，在这里被TsFltMgr替换成了3个nop和一个jmp。
　　该jmp会跳转到KiFastCallEntryDetour函数中，KiFastCallEntryDetour函数代码例如以下：
　　代码：
　　复制代码
　　代码如下：
　　保存现场
　　pushfd
　　pushad
　　调用KiFastCallEntryFilter函数，实现过滤
　　pushedi本次系统调用相应的SysCallTable的地址（SSDT或SSDTShadow的地址）
　　pushebx本次系统调用在SysCallTable中相应的内核函数地址
　　pusheax本次系统调用相应的内核函数在SysCallTable中的功能号
　　callKiFastCallEntryFilter调用KiFastCallEntryFilter，实现过滤
　　mov〔esp10h〕，eax更改本次调用相应的内核函数地址！
　　恢复现场
　　popad
　　popfd
　　运行KiFastCallEntry函数中被替换掉的指令，并跳回原函数
　　movedi，esp
　　cmpesi，g7fff0000
　　pushgJmpBack
　　ret
　　这里须要注意的是callKiFastCallEntryFilter之后的mov〔esp10h〕，eax。之前保存现场时的指令pushad会导致寄存器EAX，ECX，EDX，EBX，ESP，EBP，ESI，EDI依次入栈，并通过后面的popad指令恢复这些寄存器的值。因此此处的mov〔esp10h〕，eax实际上是用KiFastCallEntryFilter函数的返回值来改写堆栈中保存的ebx的值，即改写本次系统调用相应的内核函数地址。
　　KiFastCallEntryFilter是真正实现过滤的函数，该函数的？数和返回值上文已经说明了，其详细实现分析整理后，C语言描写叙述例如以下：
　　代码：
　　复制代码
　　代码如下：
　　ULONGstdcallKiFastCallEntryFilter（ULONGulSyscallId，ULONGulSyscallAddr，PULONGpulSyscallTable）
　　｛
　　PFAKESYSCALLpFakeSysCallNULL；
　　if（ulSyscallIdgt；0x400）
　　returnulSyscallAddr；
　　if（pulSyscallTablegKiServiceTableamp；amp；ulSyscallIdlt；gServiceNum0x11c）
　　｛
　　pFakeSysCallgFakeSysCallTable〔ulSyscallId〕；SSDT
　　｝
　　elseif（pulSyscallTablegKeServiceDescriptorTableamp；amp；
　　gKeServiceDescriptorTableamp；amp；ulSyscallIdlt；gServiceNum0x11c）
　　｛
　　pFakeSysCallgFakeSysCallTable〔ulSyscallId〕；SSDT
　　｝
　　elseif（pulSyscallTablegW32pServiceTableAddramp；amp；ulSyscallIdlt；gShadowServiceNum0x29b）
　　｛
　　pFakeSysCallgFakeSysCallTable〔ulSyscallId1024〕；ShadowSSDT
　　｝
　　if（pFakeSysCallamp；amp；pFakeSysCallgt；ulFakeSysCallAddr）
　　｛
　　pFakeSysCallgt；ulOrigSysCallAddrulSyscallAddr；
　　returnpFakeSysCallgt；ulFakeSysCallAddr；
　　｝
　　returnulSyscallAddr；
　　｝
　　这里须要说明的是，TsFltMgr内部有一张表，暂且命名为gFakeSysCallTable，该表中存放的是指向FAKESYSCALL结构的指针。表中的每个FAKESYSCALL结构相应一个系统调用，表的前半部分相应SSDT中的系统调用，1024项以后相应ShadowSSDT里的系统调用。
　　当中FAKESYSCALL结构大致例如以下（当中非常多域的作用没弄明确）：
　　代码：
　　复制代码
　　代码如下：
　　typedefstructFAKESYSCALL｛
　　ULONGxxx1；
　　ULONGulSyscallId；该系统调用的功能号
　　ULONGxxx3；
　　ULONGulTableIndex；
　　ULONGxxx5；
　　ULONGulCountForPreWork；
　　ULONGulCountForPostWork；
　　ULONGxxx8；
　　ULONGulOrigSysCallAddr；真实的系统调用地址
　　ULONGulFakeSysCallAddr；假的系统调用地址
　　ULONGxxx11；
　　ULONGxxx12；
　　ULONGxxx13；
　　hellip；hellip；
　　｝FAKESYSCALL，PFAKESYSCALL，PPFAKESYSCALL；
　　因此KiFastCallEntryFilter函数的所做的就是依据系统调用的功能号在gFakeSysCallTable中索引出相应的pFakeSysCall对象，然后推断该系统调用是否须要hook，假设须要则将真实的系统调用地址保存到pFakeSysCallgt；ulOrigSysCallAddr中，并将pFakeSysCallgt；ulFakeSysCallAddr作为假系统调用的地址返回。
　　这样的调用过程中动态获取真实系统调用地址的方法使TsFltMgr的Hook框架有较高的兼容性，比如不会使载入顺序晚于TsFltMgr的驱动中的SSDTHook失效，比如QQ电脑管家本身带的TSKsp。sys驱动。
　　对于我的？试系统（XPSP2），TsFltMgrhook的函数有：
　　代码：
　　复制代码
　　代码如下：
　　SSDT中：
　　NtCreateFile、NtCreateKey、NtCreateSection、NtCreateSymbolicLinkObject、NtCreateThread、NtDeleteFile、NtDeleteKey、NtDeleteValueKey、NtDeviceIoControlFile、NtDuplicateObject、NtEnumerateValueKey、NtLoadDriver、NtOpenProcess、NtOpenSection、NtProtectVirtualMemory、NtQueryValueKey、NtRequestWaitReplyPort、NtSetContextThread、NtSetInformationFile、NtSetSystemInformation、NtSetValueKey、NtSuspendThread、NtSystemDebugControl、NtTerminateProcess、NtTerminateThread、NtWriteFile、NtWriteVirtualMemory
　　ShadowSSDT中：
　　NtUserBuildHwndList、NtUserFindWindowEx、NtUserGetForegroundWindow、NtUserMoveWindow、NtUserQueryWindow、NtUserSendInput、NtUserSetParent、NtUserSetWindowLong、NtUserSetWindowPlacement、NtUserSetWindowPos、NtUserShowWindow、NtUserShowWindowAsync、NtUserWindowFromPoint
　　全部假系统函数都有统一的代码框架，假系统函数的代码框架大致例如以下：
　　代码：
　　复制代码
　　代码如下：
　　NTSTATUSstdcallFakeNtXXX（xxx）
　　｛
　　PFAKESYSCALLpFakeSysCall；
　　ULONGulXXX0；
　　ULONGulStatus；
　　NTSTATUSstatus；
　　ULONGLONGullTickCount；
　　pFakeSysCallgpFakeSysCallNtXXX；该系统调用相应的pFakeSysCall对象
　　statusSTATUSACCESSDENIED；
　　貌似是做性能？试时候须要的，实际版本号中gbPerformanceTest为FALSE
　　if（gbPerformanceTest）｛
　　ullTickCountKeQueryInterruptTime（）；
　　｝
　　系统调用的调用前处理！
　　InterlockedIncrement（amp；pFakeSysCallgt；ulCountForPreWork）；
　　ulStatusPreWork（amp；ulXXX，pFakeSysCall）；
　　InterlockedDecrement（amp；pFakeSysCallgt；ulCountForPreWork）；
　　if（ulStatus！0xEEEE0004amp；amp；ulStatus！0xEEEE0005）
　　｛
　　OrigSysCallpOrigSysCallpFakeSysCallgt；ulOrigSysCallAddr；
　　调用原始系统调用！
　　if（pOrigSysCallamp；amp；NTSUCCESS（pOrigSysCall（xxx）））
　　｛
　　系统调用的调用后处理！
　　InterlockedIncrement（amp；pFakeSysCallgt；ulCountForPostWork），
　　ulStatusPostWork（amp；ulXXX），
　　InterlockedDecrement（amp；pFakeSysCallgt；ulCountForPostWork），
　　｝
　　｝
　　0xEEEE0004应该是拒绝调用的意思，0xEEEE0005应该是同意调用的意思
　　if（ulStatus0xEEEE0005）
　　statusSTATUSSUCCESS；
　　PsGetCurrentProcessId这个调用的返回值后面并没实用到，可能是多余的
　　PsGetCurrentProcessId（）；
　　貌似是做性能？试时候须要的
　　if（gpFakeSysCallNtTerminateProcessgt；xxx5amp；amp；ullTickCountamp；amp；gbPerformanceTest）｛
　　PerformanceTest（amp；gpFakeSysCallNtTerminateProcessgt；xxx13，ullTickCount）；
　　｝
　　returnstatus；
　　｝