① 動態加密的技術原理
在文件系統層,不僅能夠獲得文件的各種信息,而且能夠獲得訪問這些文件的進程信息和用戶信息等,因此,可以研製出功能非常強大的文檔安全產品。就動態加解密產品而言,有些文件系統自身就支持文件的動態加解密,如Windows系統中的NTFS文件系統,其本身就提供了EFS(Encryption File System)支持,但作為一種通用的系統,雖然提供了細粒度的控制能力(如可以控制到每個文件),但在實際應用中,其加密對象一般以分區或目錄為單位,難以做到滿足各種用戶個性化的要求,如自動加密某些類型文件等。雖然有某些不足,但支持動態加密的文件系統在某種程度上可以提供和磁碟級加密技術相匹敵的安全性。由於文件系統提供的動態加密技術難以滿足用戶的個性化需求,因此,為第三方提供動態加解密安全產品提供了足夠的空間。
要研發在文件級的動態加解密安全產品,雖然與具體的操作系統有關,但仍有多種方法可供選擇,一般可通過Hook或過濾驅動等方式嵌入到文件系統中,使其成為文件系統的一部分,從某種意義上來說,第三方的動態加解密產品可以看作是文件系統的一個功能擴展,這種擴展往往以模塊化的形式出現,能夠根據需要進行掛接或卸載,從而能夠滿足用戶的各種需求,這是作為文件系統內嵌的動態加密系統難以做到的。
下面我們以億賽通公司的SmartSec為例,分析一下文件動態加解密的具體實現方式。圖2給出了SmartSec的實現原理,從中可以看出,SmartSec的動態加解密是以文件過濾驅動程序的方式進行實現的(位於層次III),同時在應用層(層次II)和內核層(層次III)均提供訪問控制功能,除此之外,還提供了日誌和程序行為控制等功能,這種通過應用層和內核層相互配合的實現方式,不僅能提供更高的安全性,而且有助於降低安全系統對系統性能的影響。 對於信息安全要求比較高的用戶來說,文件級加密是難以滿足要求的。例如,在Windows系統中(在其它操作系統中也基本類似),我們在訪問文件時,會產生各種臨時文件,雖然這些臨時文件在大多數情況下,會被應用程序自動刪除,但某些情況下,會出現漏刪的情況,即使臨時文件被刪除,但仍然可以通過各種數據恢復軟體將其進行恢復,在實際應用中,這些臨時文件一般不會被加密,從而成為信息泄密的一個重要渠道。更進一步,即使將臨時文件也進行了加密處理,但系統的頁面交換文件等(如Windows的Pagefile.sys等,除文件系統內嵌的加密方式外,第三方動態加解密產品一般不能對系統文件進行加密,否則會引起系統無法啟動等故障)也會保留用戶訪問文件的某些信息,從而引起信息的泄密。
有一種方式可以避免上述提到的各種漏洞,那就是將存儲設備上包括操作系統在內的所有數據全部加密,要達到這個目的,只有基於磁碟級的動態加解密技術才能滿足要求。靜態加密技術在這種情況下,一般無法使用,這是因為操作系統被加了密,要啟動系統,必須先解密操作系統才能啟動,如果採用靜態加解密方式,只能在每次關機後將磁碟上的所有數據進行加密,在需要啟動時再解密磁碟上的所有數據(至少也得解密所有的操作系統文件,否則系統無法啟動),由於操作系統佔用的空間越來越大,這個過程所需要的時間是難以忍受的。
與靜態方式不同,在系統啟動時,動態加解密系統實時解密硬碟的數據,系統讀取什麼數據,就直接在內存中解密數據,然後將解密後的數據提交給操作系統即可,對系統性能的影響僅與採用的加解密演算法的速度有關,對系統性能的影響也非常有限,這類產品對系統性能總體的影響一般不超過10%(取目前市場上同類產品性能指標的最大值)。圖3給出了億賽通公司基於磁碟級動態加解密的安全產品DiskSec的實現原理,從中可以看出,DiskSec的動態加解密演算法位於操作系統的底層,操作系統的所有磁碟操作均通過DiskSec進行,當系統向磁碟上寫入數據時,DiskSec首先加密要寫入的數據,然後再寫入磁碟;反之,當系統讀取磁碟數據時,DiskSec會自動將讀取到的數據進行解密,然後再提交給操作系,因此,加密的磁碟數據對操作系統是透明的,也就是說,在操作系統看來,磁碟上的加密數據和未加密的狀態是一樣的。 這兩類加密方法均有各自的優點和缺點,磁碟級加密與文件級加密方式相比,主要優點是:加密強度高,安全性好。
由於這一級別的加密方式直接對磁碟物理扇區進行加密,不考慮文件等存儲數據的邏輯概念,在這種加密方式下,任何存儲在磁碟上的數據均是加密的,相反,採用文件級的加密方式一般只對用戶指定的某些文件進行加密,而這些文件在用戶日常使用中,由於臨時文件等均會帶來安全隱患。因此,採用磁碟級的加密方式要較文件級的加密方式安全。
磁碟級加密的主要缺點是:不夠靈活方便,適用面比較窄。
與文件級的加密方式不同,由於磁碟級的加密方式沒有文件、目錄等概念,難以對指定的文件或目錄進行加密、隱藏等操作,反之,文件級的加密方式可以採用各種靈活的加密手段,能夠做到更細粒度的控制,用戶不僅可以指定要加密的文件類型或目錄,同時也可以隱藏某些目錄等。
② linux怎樣載入文件過濾驅動
文件系統過濾驅動是一種可選的,為文件系統提供具有附加值功能的驅動程序。文件系統過濾驅動是一種核心模式組件,它作為Windows NT執行體的一部分運行。
文件系統過濾驅動可以過濾一個或多個文件系統或文件系統卷的I/O操作。按不同的種類劃分,文件系統過濾驅動可以分成日誌記錄、系統監測、數據修改或事件預防幾類。通常,以文件系統過濾驅動為核心的應用程序有防毒軟體、加密程序、分級存儲管理系統等。
二、文件系統過濾驅動並不是設備驅動
設備驅動是用來控制特定硬體I/O設備的軟體組件。例如:DVD存儲設備驅動是一個DVD驅動。
相反,文件系統過濾驅動與一個或多個文件系統協同工作來處理文件I/O操作。這些操作包括:創建、打開、關閉、枚舉文件和目錄;獲取和設置文件、目錄、卷的相關信息;向文件中讀取或寫入數據。另外,文件系統過濾驅動必須支持文件系統特定的功能,例如緩存、鎖定、稀疏文件、磁碟配額、壓縮、安全、可恢復性、還原點和卷裝載等。
下面兩部分詳細的闡述了文件系統過濾驅動和設備驅動之間的相似點與不同點。
三、安裝文件系統過濾驅動
對於Windows XP和後續操作系統來說,可以通過INI文件或安裝應用程序來安裝文件系統過濾驅動(對於Windows 2000和更早的操作系統,過濾驅動通常通過服務控制管理器Service Control Manager來進行安裝)。
四、初始化文件系統過濾驅動
與設備驅動類似,文件系統過濾驅動也使用DriverEntry常式進行初始化工作。在驅動程序載入後,載入驅動相同的組件將通過調用驅動程序的 DriverEntry常式來對驅動程序進行初始化工作。對於文件系統過濾驅動來說,載入和初始化過濾驅動的系統組件為I/O管理器。
DriverEntry常式運行於系統線程上下文中,其IRQL = PASSIVE_LEVEL。本常式可分頁,詳細信息參見MmLockPagableCodeSection。
DriverEntry常式定義如下:
NTSTATUS
DriverEntry (
IN PDRIVER_OBJECT DriverObject,
IN PUNICODE_STRING RegistryPath
)
本常式有兩個輸入參數。第一個參數,DriverObject為系統在文件系統過濾驅動載入時所創建的驅動對象;第二個參數,RegistryPath為包含驅動程序注冊鍵路徑的Unicode字元串。
文件系統過濾驅動按如下順序執行DriverEntry常式:
01、創建控制設備對象:
文件系統過濾驅動的DriverEntry常式通常以創建控制設備對象作為該常式的起始。創建控制設備對象的目的在於允許應用程序即使在過濾驅動載入到文件系統或卷設備對象之前也能夠直接與過濾驅動進行通信。
注意:文件系統也會創建控制設備對象。當文件系統過濾驅動將其自身附加到文件系統之上時(而不是附加到某一特定文件系統卷),過濾驅動同樣將其自身附加到文件系統的控制設備對象之上。
在FileSpy驅動範例中,控制設備對象按如下方式創建:
RtlInitUnicodeString(&nameString, FILESPY_FULLDEVICE_NAME);
status = IoCreateDevice(
DriverObject, //DriverObject
0, //DeviceExtensionSize
&nameString, //DeviceName
FILE_DEVICE_DISK_FILE_SYSTEM, //DeviceType
FILE_DEVICE_SECURE_OPEN, //DeviceCharacteristics
FALSE, //Exclusive
&gControlDeviceObject); //DeviceObject
RtlInitUnicodeString(&linkString, FILESPY_DOSDEVICE_NAME);
status = IoCreateSymbolicLink(&linkString, &nameString);
與文件系統不同,文件系統過濾驅動並不是一定要為其控制設備對象命名。如果傳遞給DeviceName參數一個非空(Non-NULL)值,該值將作為控制設備對象的名稱。接下來,在前面的代碼範例中DriverEntry可以調用IoCreateSymbolicLink常式來將該對象的核心模式名稱與應用程序可見的用戶模式名稱關聯到一起(同樣可以通過調用IoRegisterDeviceInterface來使設備對象對應用程序可見)。
注意:由於控制設備對象是唯一不會附加到設備堆棧中的設備對象,因此控制設備對象是唯一的可安全命名的設備對象。由此,是否為文件系統過濾驅動的控制設備對象是否命名是可選的。
注意:文件系統的控制設備對象必須命名。過濾設備對象從不命名。
③ 請教:基於塊存儲和基於文件系統的存儲
Ceph布式存儲系統支持象文件快介面設計目標:
? 所組件橫向擴展
? 沒單點故障
? 普通廠商硬體使用
? 所機制都能自我管理
? 源
布式存儲應用場景相於其存儲介面現流行三種:
象存儲: 通意義鍵值存儲其介面簡單GET,PUTDEL其擴展七牛、拍SwiftS3等
2.塊存儲: 種介面通QEMUDriver或者KernelMole式存種介面需要實現LinuxBlock Device介面或者QEMU提供Block Driver介面SheepdogAWSEBS青雲雲硬碟阿雲盤古系統CephRDB(RDBCeph面向塊存儲介面)
3、文件存儲: 通意義支持POSIX介面跟傳統文件系統Ext4類型區別於布式存儲提供並行化能力CephCephFS(CephFSCeph面向文件存儲介面)候GFSHDFS種非POSIX介面類文件存儲介面歸入類
提存儲種類提另外題:存儲能做統化必須要同軟體棧管理同存儲設備:SSDSATA等
Ceph提同觀點RADOS提供基礎存儲設備管理、數據控制流訪問管理提供靠持久數據存儲平台基於其我實現同介面戶實現面向同需求接比象存儲我單獨庫實現滿足同存儲需要比我塊存儲通RDP實現
統存儲並意味著所存儲都同介面同實現同軟體棧其實使用同設備管理命周期數據訪問效控制提供相合理非適合運維利於本利於軟體靠性控制機制保證我存儲靠
舉例部存儲廠商甚至網路廠商都自核軟體棧文件系內核基於其演化各種同產品線廠商要追求各產品線極致應該每產品完全獨立追求極致事實核底層技術棧需要高質量代碼、完備測試期使用Ceph布式系統並發IO、布式恢復、數據端端校驗等等關鍵實現唯實現熟系統系統些實現需要經定量級間考驗才Ceph所謂統存儲其介面堆疊式發
【Ceph其源布式存儲、其商用存儲區別處哪】
眾所周知傳統廠商立、富士通等存儲廠採用Ceph作存儲硬體載體Ceph能提供企業級存儲服務定優勢才能讓傳統存儲廠商棄採用源存儲案
1、化系統我認數據控制系統面做較遷移運維面提供較實現卻元數據瓶頸訪問數據需要經元數據伺服器查詢再尋找相應數據伺服器規模擴展遇性能瓶頸問題
2、全布式系統雖提供較數據訪問能力能高效處理客戶端LO請求卻沒提供非數據控制實現比故障處理能力足數據恢復困難跳化元數據存儲系統沒辦做強致性數據恢復
彈性數據布策略物理拓撲輸入實現高用性高持久性Ceph高性能重構體現利用CRush算數進行約束避免數據布所集群節點利用Ceph設計並提供由CRush算支持高自由化存儲集群設計實現高靠性高持久性高性能
④ 文件過濾驅動程序中volume和磁碟是什麼關系
DB庫、dat、cfg……多了,只需要研發者自行設置一種就可以。關鍵是你要做什麼?要解密?
⑤ 我想設計一個程序,就是將一個文件夾加密,禁止別人訪問,但是我這個程序可以調用這個文件夾里的東西。
恩。是要文件過濾驅動才能做,別的方法做的,不能保證安全
⑥ 請教用文件過濾驅動的方式透明加密linux中的文件
文件系統過濾驅動是一種可選的,為文件系統提供具有附加值功能的驅動程序。文件系統過濾驅動是一種核心模式組件,它作為Windows NT執行體的一部分運行。 文件系統過濾驅動可以過濾一個或多個文件系統或文件系統卷的I/O操作。按不同的種類劃分,...
⑦ 我是設計公司安全部門,現在公司要做一個公司內網文檔防泄密系統。這種產品一般都有哪些形式
推薦下海宇安全防泄密系統。
防泄密系統(簡稱:數據防泄密系統)採用文件過濾驅動實現透明加解密,對用戶完全透
明,不影響用戶操作習慣,從源頭上保障企業數據安全。通過對電子文檔的實時動態保護、操
作全程跟蹤,對各種可能造成泄密的途徑進行控制,防止企業計算機信息被破壞、丟失、泄密。
數據防泄密系回統由服務端、控制台和終端三部分組成。服務端安裝在長時間開機的伺服器
電腦上,控制台安裝在管理員使用的電腦上,終端程序安裝在每個需要文檔保護/或者需要閱
讀加密文檔的員工電腦上答。
防泄密終端安裝在需要文件加密或監控管理的客戶端電腦上。防泄密服務端對客戶端電腦
的監控管理和對文檔的加解密功能都是通過防泄密終端實現的,終端即使脫離了服務端也仍受
到設置好的控制規則限制。此外,還可在終端修改終端用戶的登錄密碼、申請解密文件、申請
離線、批量解密等功能。
⑧ 應用層加密相比驅動層加密為什麼容易破解,應用層加密是什麼意思啊!是怎麼做的破解的
透明加密技術是近年來針對企業文件保密需求應運而生的一種文件加密技術。所謂透明,是指對使用者來說是未知的。當使用者在打開或編輯指定文件時,系統將自動對未加密的文件進行加密,對已加密的文件自動解密。文件在硬碟上是密文,在內存中是明文。一旦離開使用環境,由於應用程序無法得到自動解密的服務而無法打開,從而起來保護文件內容的效果。
透明加密有以下特點:
強制加密:安裝系統後,所有指定類型文件都是強制加密的;
使用方便:不影響原有操作習慣,不需要限止埠;
於內無礙:內部交流時不需要作任何處理便能交流;
對外受阻:一旦文件離開使用環境,文件將自動失效,從而保護知識產權。
透明加密技術原理
透明加密技術是與windows緊密結合的一種技術,它工作於windows的底層。通過監控應用程序對文件的操作,在打開文件時自動對密文進行解密,在寫文件時自動將內存中的明文加密寫入存儲介質。從而保證存儲介質上的文件始終處於加密狀態。
監控windows打開(讀)、保存(寫)可以在windows操作文件的幾個層面上進行。現有的32位CPU定義了4種(0~3)特權級別,或稱環(ring),如圖1所示。其中0級為特權級,3級是最低級(用戶級)。運行在0級的代碼又稱內核模式,3級的為用戶模式。常用的應用程序都是運行在用戶模式下,用戶級程序無權直接訪問內核級的對象,需要通過API函數來訪問內核級的代碼,從而達到最終操作存儲在各種介質上文件的目的。
為了實現透明加密的目的,透明加密技術必須在程序讀寫文件時改變程序的讀寫方式。使密文在讀入內存時程序能夠識別,而在保存時又要將明文轉換成密文。Window 允許編程者在內核級和用戶級對文件的讀寫進行操作。內核級提供了虛擬驅動的方式,用戶級提供Hook API的方式。因此,透明加密技術也分為API HOOK廣度和VDM(Windows Driver Model)內核設備驅動方式兩種技術。API HOOK俗稱鉤子技術,VDM俗稱驅動技術。
「只要安裝了透明加密軟體,企業圖紙辦公文檔在企業內部即可自動加密,而且對用戶完全透明,絲毫不改變用戶的工作習慣。在沒有授權的情況下,文件即使流傳到企業外部,也無法正常應用。就像一個防盜門,裝上就能用,而且很管用。」這是2006年透明加密在開辟市場時打出的宣傳旗號。
對於當時空白的市場來講,這一旗號確實打動了不少企業。如今,經過四年多的歲月洗禮,透明加密技術也在不斷進步。就目前市面上的透明加密技術來看,主要分為兩大類:即應用層透明加密技術和驅動層透明加密技術。本文將重點對兩種技術的優缺點進行剖析。
應用層透明加密(鉤子透明加密)技術簡介
所有Windosw應用程序都是通過windows API函數對文件進行讀寫的。程序在打開或新建一個文件時,一般要調用windows的CreateFile或OpenFile、ReadFile等Windows API函數;而在向磁碟寫文件時要調用WriteFile函數。
同時windows提供了一種叫鉤子(Hook)的消息處理機制,允許應用程序將自己安裝一個子程序到其它的程序中,以監視指定窗口某種類型的消息。當消息到達後,先處理安裝的子程序後再處理原程序。這就是鉤子。
應用層透明加密技術俗稱鉤子透明加密技術。這種技術就是將上述兩種技術(應用層API和Hook)組合而成的。通過windows的鉤子技術,監控應用程序對文件的打開和保存,當打開文件時,先將密文轉換後再讓程序讀入內存,保證程序讀到的是明文,而在保存時,又將內存中的明文加密後再寫入到磁碟中。
應用層透明加密(鉤子透明加密)技術與應用程序密切相關,它是通過監控應用程序的啟動而啟動的。一旦應用程序名更改,則無法掛鉤。同時,由於不同應用程序在讀寫文件時所用的方式方法不盡相同,同一個軟體不同的版本在處理數據時也有變化,鉤子透明加密必須針對每種應用程序、甚至每個版本進行開發。
目前不少應用程序為了限止黑客入侵設置了反鉤子技術,這類程序在啟動時,一旦發現有鉤子入侵,將會自動停止運行,所以應用層加密很容易通過反鉤子來避開繞過。
驅動層透明加密技術簡介
驅動加密技術是基於windows的文件系統(過濾)驅動(IFS)技術,工作在windows的內核層。我們在安裝計算機硬體時,經常要安裝其驅動,如列印機、U盤的驅動。文件系統驅動就是把文件作為一種設備來處理的一種虛擬驅動。當應用程序對某種後綴文件進行操作時,文件驅動會監控到程序的操作,並改變其操作方式,從而達到透明加密的效果。
驅動加密技術與應用程序無關,他工作於windows API函數的下層。當API函數對指定類型文件進行讀操作時,系統自動將文件解密;當進入寫操作時,自動將明文進行加密。由於工作在受windows保護的內核層,運行速度更快,加解密操作更穩定。
但是,驅動加密要達到文件保密的目的,還必須與用戶層的應用程序打交道。通知系統哪些程序是合法的程序,哪些程序是非法的程序。
驅動層透明加密技術工作在內核層。
驅動加密技術雖然有諸多的優點,但由於涉及到windows底層的諸多處理,開發難度很大。如果處理不好與其它驅動的沖突,應用程序白名單等問題,將難以成為一個好的透明加密產品。因此,目前市面上也只有天津優盾科技等少數幾家公司有成熟的產品。
應用層透明加密技術(鉤子透明加密技術)與驅動層透明加密技術優缺點比較
兩種加密技術由於工作在不同的層面,從應用效果、開發難度上各有特點。綜上所述,應用層透明加密技術(鉤子透明加密技術)開發容易,但存在技術缺陷,而且容易被反Hook所破解。正如殺毒軟體技術從Hook技術最終走向驅動技術一樣,相信透明加密技術也終將歸於越來越成熟應用的驅動技術,為廣大用戶開發出穩定、可靠的透明加密產品來。
⑨ 還原精靈與病毒
機器狗
機器狗的生前身後,曾經有很多人說有穿透還原卡、冰點的病毒,但是在各個論壇都沒有樣本證據,直到2007年8月29日終於有人在社區里貼出了一個樣本。這個病毒沒有名字,圖標是SONY的機器狗阿寶,就像前輩熊貓燒香一樣,大家給它起了個名字叫機器狗。
工作原理
機器狗本身會釋放出一個pcihdd.sys到drivers目錄,pcihdd.sys是一個底層硬碟驅動,提高自己的優先順序接替還原卡或冰點的硬碟驅動,然後訪問指定的網址,這些網址只要連接就會自動下載大量的病毒與惡意插件。然後修改接管啟動管理器,最可怕的是,會通過內部網路傳播,一台中招,能引發整個網路的電腦全部自動重啟。
重點是,一個病毒,如果以hook方式入侵系統,接替硬碟驅動的方式效率太低了,而且毀壞還原的方式這也不是最好的,還有就是這種技術應用范圍非常小,只有還原技術廠商范圍內有傳播,在這方面國際上也只有中國在用,所以,很可能就是行業內杠。
對於網吧而言,機器狗就是劍指網吧而來,針對所有的還原產品設計,可預見其破壞力很快會超過熊貓燒香。好在現在很多免疫補丁都以出現,發稿之日起,各大殺毒軟體都以能查殺。
免疫補丁之爭
現在的免疫補丁之數是疫苗形式,以無害的樣本復制到drivers下,欺騙病毒以為本身已運行,起到阻止危害的目的。這種形式的問題是,有些用戶為了自身安全會在機器上運行一些查毒程序(比如QQ醫生之類)。這樣疫苗就會被誤認為是病毒,又要廢很多口舌。
解決之道
最新的解決方案是將system32/drivers目錄單獨分配給一個用戶,而不賦予administror修改的許可權。雖然這樣能解決,但以後安裝驅動就是一件頭疼的事了。
來徹底清除該病毒,處理後重啟一下電腦就可以了,之前要打上補丁!
或者這樣:
1注冊表,組策略中禁止運行userinit.exe 進程
2 在啟動項目中加入批處理
A : 強制結束userinit.exe進程 Taskkill /f /IM userinit.exe (其中「/IM」參數後面為進程的圖像名,這命令只對XP用戶有效)
B : 強制刪除userinit.exe文件 DEL /F /A /Q %SystemRoot%\system32\userinit.exe
C : 創建userinit.exe免疫文件到%SystemRoot%\system32\
命令:md %SystemRoot%\system32\userinit.exe >nul 2>nul
或者 md %SystemRoot%\system32\userinit.exe
attrib +s +r +h +a %SystemRoot%\system32\userinit.exe
D : reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe" /v debugger /t reg_sz /d debugfile.exe /f
userinit1.exe是正常文件改了名字,多加了一個1,你也可以自己修改,不過要手動修改這4個注冊表,並導出,這個批處理才能正常使用。
最新動向
好像機器狗的開發以停止了,從樣本放出到現在也沒有新的版本被發現,這到讓我們非常擔心,因為雖著研究的深入,現在防禦的手段都是針對病毒工作原理的,一但機器狗開始更新,稍加改變工作原理就能大面積逃脫普遍的防禦手段,看來機器狗的爆發只是在等待,而不是大家可以高枕了。
目前網上流傳一種叫做機器狗的病毒,此病毒採用hook系統的磁碟設備棧來達到穿透目的的,危害極大,可穿透目前技術條件下的任何軟體硬體還原!基本無法靠還原抵擋。目前已知的所有還原產品,都無法防止這種病毒的穿透感染和傳播。
機器狗是一個木馬下載器,感染後會自動從網路上下載木馬、病毒,危及用戶帳號的安全。
機器狗運行後會釋放一個名為PCIHDD.SYS的驅動文件,與原系統中還原軟體驅動進行硬碟控制權的爭奪,並通過替換userinit.exe文件,實現開機啟動。
>> 那麼如何識別是否已中毒呢?
是否中了機器狗的關鍵就在 Userinit.exe 文件,該文件在系統目錄的 system32 文件夾中,點擊右鍵查看屬性,如果在屬性窗口中看不到該文件的版本標簽的話,說明已經中了機器狗。如果有版本標簽則正常。
臨時解決辦法:
一是在路由上封IP:
ROS腳本,要的自己加上去
/ ip firewall filter
add chain=forward content=yu.8s7.net action=reject comment="DF6.0"
add chain=forward content=www.tomwg.com action=reject
二是在c:\windows\system32\drivers下建立免疫文件: pcihdd.sys ,
三是把他要修改的文件在做母盤的時候,就加殼並替換。
在%systemroot%\system32\drivers\目錄下建立一個名為「pcihdd.sys 」的文件夾,設置屬性為「任何人禁止」
批處理
1、md %systemroot%\system32\drivers\pcihdd.sys
2、cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n
3、cacls %systemroot%\system32\userinit.exe /e /p everyone:r
4、exit
目前,網路流行以下解決方法,或者可以在緊急情況下救急:
1、首先在系統system32下復制個無毒的userinit.exe,文件名為FUCKIGM.exe(文件名可以任意取),這就是下面批處理要指向執行的文件!也就是開機啟動userinit.exe的替代品!而原來的userinit.exe保留!其實多復制份的目的只是為了多重保險!可能對防止以後變種起到一定的作用。
2、創建個文件名為userinit.bat的批處理(文件名也可任意取,但要和下面說到的注冊表鍵值保持一致即可),內容如下:
start FUCKIGM.exe (呵呵,夠簡單吧?)
3、修改注冊表鍵值,將userinit.exe改為userinit.bat。內容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.bat,"
就這3步,讓這條狗再也凶不起來!這是在windows 2003測試的,雙擊機器狗後,沒什麼反應,對比批處理也是正常,即這狗根本沒改動它!開關機游戲均無異常!但唯一美中不足的是,採用經典模式開機的啟動時會出現個一閃而過的黑框!
如果嫌麻煩,也不要緊。上面三條批處理網友已搞好了,直接復制下面的這個存為批處理執行就OK了。三步合二為一
@echo off
:::直接復制系統system32下的無毒userinit.exe為FUCKIGM.exe
cd /d %SystemRoot%\system32
/y userinit.exe FUCKIGM.exe >nul
:::創建userinit.bat
echo @echo off >>userinit.bat
echo start FUCKIGM.exe >>userinit.bat
:::注冊表操作
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit / t REG_SZ /d "C:\WINDOWS\system32\userinit.bat," /f >nul
:::刪掉自身(提倡環保)
del /f /q %0
當然,如果實在不行,下載程序killigm。然後直接解壓運行裡面的程序:機器狗免疫補丁.bat 執行就可以了.
網上流傳的另一種新的變種的防止方法 :
開始菜單運行.輸入CMD
cd ……到drivers
md pcihdd.sys
cd pcihdd.sys
md 1...\
可防止最新變種。請注意:此法只能是防止,對於殺機器狗還得靠最新的殺毒程序才行。
針對該病毒,反病毒專家建議廣大用戶及時升級殺毒軟體病毒庫,補齊系統漏洞,上網時確保打開「網頁監控」、「郵件監控」功能;禁用系統的自動播放功能,防止病毒從U盤、MP3、移動硬碟等移動存儲設備進入到計算機;登錄網游賬號、網路銀行賬戶時採用軟鍵盤輸入賬號及密碼
「機器狗」新、老版本病毒特徵
[編輯本段]
1:新版本「機器狗」病毒採用VC++ 6.0編寫,老版本「機器狗」病毒採用匯編編寫。
2:新版本「機器狗」病毒採用UPX加殼,老版本「機器狗」病毒採用未知殼。
3:新版本「機器狗」病毒驅動文件很小(1,536 位元組),老版本「機器狗」病毒驅動文件很大(6,768 位元組)。
4:新版本「機器狗」病毒安裝驅動後沒有執行卸載刪除操作,老版本「機器狗」病毒安裝驅動工作完畢後會卸載刪除。
5:新版本「機器狗」病毒針對的是系統「conime.exe」、「ctfmon.exe」和「explorer.exe」程序文件,老版本「機器狗」病毒只針對系統「userinit.exe」文件。
6:新版本「機器狗」病毒沒有對注冊表進行操作,老版本「機器狗」病毒有對注冊表「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon」項進行操作(感覺該操作沒必要,因為重新啟動系統後,「還原保護程序」系統會將其還原掉)。
7:新版本「機器狗」病毒去到系統dllcache文件夾下調用真實系統文件運行,老版本「機器狗」病毒沒有到系統dllcache文件夾下調用真實系統文件運行。
8:新版本「機器狗」病毒採用的是控制台程序圖標,老版本「機器狗」病毒採用的是黑色機器小狗圖案的圖標。
大概列舉出來了上邊的幾點,經過仔細分析它們的工作原理和編碼風格後,可以推測出新版本「機器狗」病毒和老版本「機器狗」病毒決定不是出自一個人之手。
錯誤糾正
[編輯本段]
在此要糾正兩個技術性的問題,網路上流傳的一些關於分析「機器狗」病毒(新、老版本)的部分文章中,有兩處表達錯誤的地方。
第一處是:在那些分析文章中所提到「『機器狗』病毒會破壞『還原保護程序』系統,使其還原功能失效」。其實,從概念的理解上來講述,那些表達都是錯誤的,是讓人理解不清晰的,會嚴重誤導讀者。正確的表述應該是這樣的:「『機器狗』病毒並沒有破壞『還原保護程序』系統,也沒有使其還原功能失效。只是安裝了一個病毒自己的磁碟過濾驅動去操作真實的磁碟I/O埠,向真實的磁碟中執行修改覆蓋「C:\windows\explorer.exe」目標文件(文件名是病毒作者定義的,不固定、會變。但肯定的是,真實磁碟中是存在該文件的。並且病毒運行後,一般只會修改覆蓋一個真實磁碟中的系統文件,再不會去破壞其它真實磁碟中的文件)操作。雖然『機器狗』病毒運行後下載了很多其它惡意程序並安裝運行,但重新啟動計算機後,這些都會被『還原保護程序』系統還原掉的,只是唯一那個被修改覆蓋的真實磁碟文件沒有被還原。如果發現重新啟動計算機後,系統中依然有一大堆病毒在運行。其實,這些都是系統重新啟動後,由那個被修改覆蓋後的系統程序全部重新下載回來並安裝運行的惡意程序。也就是說,每次重新啟動計算機,都要重新下載安裝一次所有的其它惡意程序」。
第二處是:在那些分析文章中所提到「『機器狗』病毒會替換系統中的正常程序『conime.exe』、『ctfmon.exe』、『explorer.exe』或『userinit.exe』」或「『機器狗』病毒會感染系統中的正常程序『conime.exe』、『ctfmon.exe』、『explorer.exe』或『userinit.exe』」。其實,從概念的理解上來講述,那些表達都是錯誤的,是讓人理解不清晰的,會嚴重誤導讀者。正確的表述應該是這樣的:「『機器狗』病毒並不是替換了系統中的那些正常文件,而是針對那些正常文件在硬碟中所存放的真實物理地址進行以覆蓋的方式去寫入相應的惡意數據。大家可以找來正常的系統文件『explorer.exe』、被病毒修改覆蓋後的系統文件『explorer.exe』和病毒釋放出來的惡意程序『tmp281.tmp』。對比它們內部數據代碼後會發現,被病毒修改後的系統文件『explorer.exe』的前部分數據代碼和」病毒釋放出來的惡意程序『tmp281.tmp』文件的數據代碼是完全相同的,而後邊的數據代碼依然是正常系統文件『explorer.exe』後邊的數據代碼。」。
簡單的概念解釋:
替換:把原目標程序的數據代碼全部清除掉,用新程序的數據代碼來代替以前的整個程序。這樣,替換後的程序只有新程序的功能。
感染:在不破壞原目標程序數據代碼的前提下,向原目標程序的數據代碼中追加上新程序的數據代碼。這樣,感染後的程序既有原目標程序的功能,又有新程序的功能。
覆蓋:從原目標程序數據代碼的文件頭0地址處開始,向後依次執行覆蓋寫入新程序的數據代碼操作,我們這里只假設原目標程序文件遠遠大於新程序。這樣,覆蓋後的程序只執行新程序的功能,雖然原目標程序的數據代碼還存在一部分,但由於沒有被調用,所以不會執行。
總結
[編輯本段]
上邊所指的「還原保護程序」為利用磁碟過濾驅動技術編寫而成的系統還原保護程序,出名一點的軟體有「冰點還原精靈」和「影子系統」等。也就是說,就算用戶計算機安裝了上邊這樣的「還原保護程序」,只要是中了「機器狗」一類利用穿「還原保護程序」技術的病毒,就算您重新啟動計算機了,但被修改的那個文件「explorer.exe」也是依然不會被還原的,因為病毒的惡意代碼已經覆蓋進了這個真實的磁碟文件中。
目前的「機器狗」一類利用穿「還原保護程序」技術的病毒有一個致命的軟肋,那就是他們所覆蓋的真實系統文件在重新啟動計算機後一定要自啟動運行,不然就失去病毒存在的意義了。現今的「機器狗」病毒都只是能夠穿透磁碟保護的,並穿透不了注冊表(無法在注冊表中保存添加或修改後的數據信息),這個就是它最大的缺陷。其實,注冊表數據信息也是以文件的形式保存在磁碟中的,下一代「機器狗」病毒可能會實現穿透注冊表的功能,等那個時候,可能就很難防範了。這還是不算什麼的,下下一代的「機器狗」病毒可能會利用自己的磁碟過濾驅動去感染真實硬碟下的PE文件,相當的恐怖啊!!
一旦感染了該版本的「機器狗」病毒,它不僅僅可以穿透「還原保護程序」,真實系統也一樣會中毒。因為病毒修改覆蓋了真實的系統文件「C:\windows\explorer.exe」。所以每次重新啟動計算機後,被修改覆蓋的系統程序「C:\windows\explorer.exe」它都會在被感染計算機的後台連接網路下載駭客事先定義好的下載列表中的全部惡意程序並自動調用運行。那麼如果中該病毒的用戶比較多,幾萬台計算機同時啟動,駭客的下載伺服器會掛掉嗎?呵呵~!!
「機器狗」問題及回答
[編輯本段]
問題1:這個最新的機器狗變種,是否與你12月19日發的病毒播報中的機器狗變種是同一個病毒?
回答:不是同一個病毒,只是工作原理十分的相似而已。經過仔細分析它們的工作原理和編碼風格後,可以推測出新版本「機器狗」病毒和老版本「機器狗」病毒決定不是出自一個人之手。
問題2:這個最新的機器狗變種是否功能更強大?強大在那兒?與以往機器狗病毒的不同之處在哪?
回答:應該是相對的強大了些。對比「機器狗」一類新、老版本病毒的部分特徵如下:
問題3:機器狗病毒對網吧的影響很大,對個人用戶的影響有多少?
回答:個人用戶的影響與網吧的影響是同樣大的。因為不管計算機系統是否安裝「還原保護系統」程序,都會同樣下載非常多的(目前是下載27個惡意程序)網路游戲盜號木馬等惡意程序進行安裝運行,從而給被感染計算機用戶帶去一定的損失。如果「用戶計算機硬體配置比較低」或者「存在所下載的多個惡意程序中出現相互不兼容現象」的話,會導致用戶計算機系統崩潰掉無法啟動運行。
殺毒方法
[編輯本段]
·手動殺毒方法
1:結束掉被病毒修改覆蓋後的「C:\windows\explorer.exe」程序進程,刪除該程序文件。
2:也許系統會自動還原回來一個正常的「explorer.exe」桌面程序,如果沒有還原的話,我們可以手動把「C:\windows\system32\dllcache\」下的「explorer.exe」文件拷貝到「C:\windows\」下。
3:手動卸載掉病毒惡意驅動程序「phy.sys」文件。可以在注冊表中找到病毒惡意驅動程序「phy.sys」的啟動關聯位置然後刪除,接著再刪除掉「C:\windows\system32\DRIVERS\phy.sys」文件。 我實際試過N次這種方法,針對該病毒決定好使。
4:重新啟動計算機後,一切就都會變為正常了。但是該新版的「機器狗」病毒會下載27個(不固定)惡意程序到被感染計算機中安裝運行,這些病毒可以安裝江民公司的KV2008去查殺,效果很不錯。
· 超級巡警之機器狗病毒專殺v1.3:
本工具可檢測並查殺機器狗病毒,可穿透機器狗所能穿透的還原系統來修復被感染的文件。本工具還具有免疫的功能,針對已知機器狗變種進行免疫,防止再次感染。另外,可使用命令行方式進行殺毒,便於自動化操作,建議網吧等場所設置為開機自動殺毒,減少重復作業。
下載地址:
http://download.pchome.net/utility/antivirus/trojan/detail-81071.html
http://update4.dswlab.com/RodogKiller1.3.zip
「機器狗」變種
[編輯本段]
08機器狗變種一:注入"explorer.exe"進程
Explorer.exe機器狗-分析(逆向工程)
文章末尾所添加的機器狗、IGM、寫穿還原的工具
樣本脫殼
OD載入樣本explorer.exe,
對GetMoleHandleA下斷,參數為NULL時即為入口點處對此函數的調用,
退出CALL之後可以得到入口為 004016ED。
重新載入樣本,對004016ED下內存寫入斷點,中斷後StepOver一步,然後在004016ED
下斷點,F9運行到入口,DUMP。DUMP之後不關閉OD,讓樣本處於掛起狀態,使用ImportREC修復DUMP
出來的文件的導入表。
修復之後DUMP出來的文件用OD載入出錯,使用PEDITOR的rebuilder功能重建PE之後即可用OD載入,說明
脫殼基本成功,但資源部分仍有問題,無法用Reshacker查看
pcihdd.sys的提取
OD載入樣本explorer.exe,設置有新模塊載入時中斷,F9運行
當ADVAPI32.DLL載入時,對CreateServiceA下斷點,F9運行
當CreateServiceA中斷時,即可提取出pcihdd.sys
pcihdd.sys基本流程如下
1)檢查IDT的09(NPX Segment Overrun)和0E(Page Fault )處理程序的地址
如果09號中斷處理程序存在,並且處理程序地址的高8位與0E處理程序高8位不同,則把
IDT中0E的高16位設為0。估計是檢查0E是不是被HOOK了
我比較齷齪,看不懂這些操作的意思,這樣不BSOD?請懂的兄弟跟帖告訴一聲
2)通過搜索地址來查找自己的載入地址
查找驅動文件的資源中的1000/1000,並復制到一個全局緩沖區中
3)創建了\Device\PhysicalHardDisk0及其符號連接\DosDevices\PhysicalHardDisk0
4)只對IRP_MJ_CREATE
IRP_MJ_CLOSE
IRP_MJ_DEVICE_CONTROL
作出響應
其中IRP_MJ_CREATE中會斷開\Device\Harddisk0\DR0上附加的設備。這個操作會使磁碟過濾驅動、文件系統
驅動(OS提供的,
但一些殺毒軟體
也通過此渠道進行文件系統監控)及其上的文件系統過濾驅動(大多數文件訪問控制和監控
都是這個層次的)無效
在IRP_MJ_CLOSE 中對恢復DR0上的附加
在IRP_MJ_DEVICE_CONTROL中對0xF0003C04作出響應,只是把2)中找到的資源數據解密後返回到應用程序。
解密密鑰是通過應用程序傳入的一個串(密鑰種子?)查表後產生(KEY:0x3f702d98)
0xF0003C04的作用:
將用戶態傳入的整個代碼體作為密鑰種子對這個代碼體進行類似於校驗和的運算後得
到4位元組的解密KEY,然後使用此解密key將驅動自身攜帶的資源解密(僅僅是XOR),將解密
結果返回給用戶態。
關於解除DR0上的附加設備:
這種操作應該會影響系統正常的文件系統操作,但是因為實際操作時此驅動被打開和關閉的的間隔很短,所以應該
不會有明顯影響。
explorer.exe流程
1、釋放資源中的pcihdd.sys並創建名為pcihdd的服務,啟動服務
2、定位userinit.exe在硬碟中的位置。定位方法如下
1)通過FSCTL_GET_RETRIEVAL_POINTERS獲取文件數據的分布信息
2)通過直接訪問硬碟(\\.\PhysicalHardDisk0)的的MDR和
第一個分區的引導扇區得到分區參數(每簇扇區數),配合1)中得到的信息
來定位文件在硬碟上的絕對偏移量。
這里有個小BUG,扇區大小是使用固定的512位元組而不是從引導扇區中獲取
3)通過對比ReadFile讀取的文件數據和自己定位後直接
讀取所得到的文件數據,確定定位是否正確
3、把整個代碼體作為參數傳遞給pcihdd.sys,控制碼0xF0003C04,並將pcihdd返回
的數據直接寫入userinit.exe的第一簇
被修改後的userinit.exe
1)查詢SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的Shell鍵值
2)創建Shell進程
3)等待網路鏈接,當網路鏈接暢通後,則從http://yu.8s7.net/cert.cer下載列表
4)對於列表中的文件每個文件,創建一個新線程下載並執行,線程計數加一(INC)
5)等待所有線程結束後(線程計數為0)結束進程。
對於線程計數的操作並不是原子操作,理論上多CPU情況下有小的概率出問題。
不過人家是寫針對普通PC的病毒,多CPU不常見,也不需要穩定
文中所指的病毒就是一般說的新AV終結者
機器狗:http://www.esfast.net/downs/explorer.rar
IGM:http://www.esfast.net/downs/IGM.rar
⑩ stop:0x0000004e (0x0000008f, 0x0000677f,0x0000677e,0x00000000)
一、藍屏含義
1、故障檢查信息
***STOP 0x0000001E(0xC0000005,0xFDE38AF9,0x0000001,0x7E8B0EB4)
KMODE_EXCEPTION_NOT_HANDLED ***其中錯誤的第一部分是停機碼(Stop Code)也就是STOP 0x0000001E, 用於識別已發生錯誤的類型, 錯誤第二部分是被括弧括起來的四個數字集, 表示隨機的開發人員定義的參數(這個參數對於普通用戶根本無法理解, 只有驅動程序編寫者或者微軟操作系統的開發人員才懂). 第三部分是錯誤名. 信息第一行通常用來識別生產錯誤的驅動程序或者設備. 這種信息多數很簡潔, 但停機碼可以作為搜索項在微軟知識庫和其他技術資料中使用
2.推薦操作
藍屏第二部分是推薦用戶進行的操作信息. 有時, 推薦的操作僅僅是一般性的建議(比如: 到銷售商網站查找BIOS的更新等); 有時, 也就是顯示一條與當前問題相關的提示. 一般來說, 惟一的建議就是重啟.
3.調試埠告訴用戶內存轉儲映像是否寫到磁碟商了, 使用內存轉儲映像可以確定發生問題的性質, 還會告訴用戶調試信息是否被傳到另一台電腦商, 以及使用了什麼埠完成這次通訊. 不過, 這里的信息對於普通用戶來說, 沒有什麼意義.有時保衛科可以順利的查到是哪個生產小組的問題, 會在第一部分明確報告是哪個文件犯的錯, 但常常它也只能查個大概范圍, 而無法明確指明問題所在. 由於工廠全面被迫停止, 只有重新整頓開工, 有時, 那個生產小組會意識到錯誤 , 不再重犯. 但有時仍然會試圖哄搶零件, 於是廠領導不得不重復停工決定(不能啟動並顯示藍屏信息, 或在進行相同操作時再次出現藍屏).
二、藍屏的處理方法
Windows 2K/XP藍屏信息非常多, 無法在一篇文章中全面講解, 但他們產生的原因往往集中在不兼容的硬體和驅動程序、有問題的軟體、病毒等, 因此首先為大家提供了一些常規的解決方案, 在遇到藍屏錯誤時, 應先對照這些方案進行排除.
1.重啟
有時只是某個程序或驅動程序一時犯錯, 重啟後他們會改過自新.(注意:此時參見7.查詢停機碼)
2.新硬體
首先, 應該檢查新硬體是否插牢, 這個被許多人忽視的問題往往會引發許多莫名其妙的故障. 如果確認沒有問題, 將其拔下, 然後換個插槽試試, 並安裝最新的驅動程序. 同時還應對照微軟網站的硬體兼容類別檢查一下硬體是否與操作系統兼容. 如果你的硬體沒有在表中, 那麼就得到硬體廠商網站進行查詢, 或者撥打他們的咨詢電話.
Windows XP的硬體兼容列表
Windows 2K的硬體兼容類別
3.新驅動和新服務
如果剛安裝完某個硬體的新驅動, 或安裝了某個軟體, 而它又在系統服務中添加了相應項目(比如:殺毒軟體、CPU降溫軟體、防火牆軟體等), 在重啟或使用中出現了藍屏故障, 請到安全模式來卸載或禁用它們.
4.檢查病毒
比如沖擊波和振盪波等病毒有時會導致Windows藍屏死機, 因此查殺病毒必不可少. 同時一些木馬間諜軟體也會引發藍屏, 所以最好再用相關工具進行掃描檢查.
5.檢查BIOS和硬體兼容性
對於新裝的電腦經常出現藍屏問題, 應該檢查並升級BIOS到最新版本, 同時關閉其中的內存相關項, 比如:緩存和映射. 另外, 還應該對照微軟的硬體兼容列表檢查自己的硬體. 還有就是, 如果主板BIOS無法支持大容量硬碟也會導致藍屏, 需要對其進行升級.
小提示:
BIOS的緩存和映射項
Video BIOS Shadowing (視頻BIOS映射)
Shadowing address ranges(映射地址列)
System BIOS Cacheable(系統BIOS緩沖)
Video BIOS Cacheable(視頻BIOS緩沖)
Video RAM Cacheable(視頻內存緩沖)
6.檢查系統日誌
在開始-->菜單中輸入:EventVwr.msc, 回車出現"事件查看器", 注意檢查其中的"系統日誌"和"應用程序日誌"中表明"錯誤"的項.
7.查詢停機碼
把藍屏中密密麻麻的E文記下來, 接著到其他電腦中上網, 進入微軟幫助與支持網站http://support.microsoft.com?, 在左上角的"搜索(知識庫)"中輸入停機碼, 如果搜索結果沒有適合信息, 可以選擇"英文知識庫"在搜索一遍. 一般情況下, 會在這里找到有用的解決案例. 另外, 在、Google等搜索引擎中使用藍屏的停機碼或者後面的說明文字為關鍵詞搜索, 往往也會有以外的收獲.
8.最後一次正確配置
一般情況下, 藍屏都出現於更新了硬體驅動或新加硬體並安裝其驅動後, 這時Windows 2K/XP提供的"最後一次正確配置"就是解決藍屏的快捷方式. 重啟系統, 在出現啟動菜單時按下F8鍵就會出現高級啟動選項菜單, 接著選擇"最後一次正確配置".
9.安裝最新的系統補丁和Service Pack
有些藍屏是Windows本身存在缺陷造成的, 應此可通過安裝最新的系統補丁和Service Pack來解決.
三、藍屏代碼含義和解決方案
1、0x0000000A:IRQL_NOT_LESS_OR_EQUAL
◆錯誤分析:主要是由問題的驅動程序、有缺陷或不兼容的硬體與軟體造成的. 從技術角度講. 表明在內核模式中存在以太高的進程內部請求級別(IRQL)訪問其沒有許可權訪問的內存地址.
◇解決方案:請用前面介紹的解決方案中的2、3、5、8、9方案嘗試排除.
2、0x00000012:TRAP_CAUSE_UNKNOWN
◆錯誤分析:如果遇到這個錯誤信息, 那麼很不幸, 應為KeBudCheck分析的結果是錯誤原因
未知.
◇解決方案:既然微軟都幫不上忙, 就得靠自己了, 請仔細回想這個錯誤是什麼時候出現的; 第一次發生時你對系統做了哪些操作; 發生時正在進行什麼操作. 從這些信息中找出可能的原因, 從而選擇相應解決方案嘗試排除.
3、0x0000001A:MEMORY_MANAGEMENT
◆錯誤分析:這個內存管理錯誤往往是由硬體引起的, 比如: 新安裝的硬體、內存本身有問題等.
◇解決方案:如果是在安裝Windows時出現, 有可能是由於你的電腦達不到安裝Windows的最小內存和磁碟要求.
4、0x0000001E:KMODE_EXCEPTION_NOT_HANDLED
◆錯誤分析:Windows內核檢查到一個非法或者未知的進程指令, 這個停機碼一般是由問題的內存或是與前面0x0000000A相似的原因造成的.
◇解決方案:
(1)硬體兼容有問題:請對照前面提到的最新硬體兼容性列表, 查看所有硬體是否包含在該列表中.
(2)有問題的設備驅動、系統服務或內存沖突和中斷沖突: 如果在藍屏信息中出現了驅動程序的名字, 請試著在安裝模式或者故障恢復控制台中禁用或刪除驅動程序, 並禁用所有剛安裝的驅動和軟體. 如果錯誤出現在系統啟動過程中, 請進入安全模式, 將藍屏信息中所標明的文件重命名或者刪除.
(3)如果錯誤信息中明確指出Win32K.sys: 很有可能是第三方遠程式控制制軟體造成的, 需要從故障恢復控制台中將對該軟體的服務關閉.
(4)在安裝Windows後第一次重啟時出現:最大嫌疑可能時系統分區的磁碟空間不足或BIOS兼容有問題.
(5)如果是在關閉某個軟體時出現的:很有可能時軟體本省存在設計缺陷, 請升級或卸載它.
5、0x00000023:FAT_FILE_SYSTEM
0x00000024:NTFS_FILE_SYSTEM
◆錯誤分析:0x00000023通常發生在讀寫FAT16或者FAT32文件系統的系統分區時, 而
0x00000024則是由於NTFS.sys文件出現錯誤(這個驅動文件的作用是容許系統讀寫使用
NTFS文件系統的磁碟). 這兩個藍屏錯誤很有可能是磁碟本身存在物理損壞, 或是中斷要求封包(IRP)損壞而導致的. 其他原因還包括:硬碟磁碟碎片過多; 文件讀寫操作過於頻繁, 並且數據量非常達或者是由於一些磁碟鏡像軟體或殺毒軟體引起的.
◇解決方案:
第一步:首先打開命令行提示符, 運行"Chkdsk /r"(注:不是CHKDISK, 感覺象這個, 但是……)命令檢查並修復硬碟錯誤, 如果報告存在懷道(Bad Track), 請使用硬碟廠商提供的檢查工具進行檢查和修復.
第二步:接著禁用所有即使掃描文件的軟體, 比如:殺毒軟體、防火牆或備份工具.
第三步:右擊C:\winnt\system32\drivers\fastfat.sys文件並選擇"屬性", 查看其版本是否與當前系統所使用的Windows版本相符.(注:如果是XP, 應該是C:\windows\system32
\drivers\fastfat.sys)
第四步:安裝最新的主板驅動程序, 特別IDE驅動. 如果你的光碟機、可移動存儲器也提供有驅動程序, 最好將它們升級至最新版.
6、0x00000027:RDR_FILE_SYSTEM
◆錯誤分析:這個錯誤產生的原因很難判斷, 不過Windows內存管理出了問題很可能會導致這個停機碼的出現.
◇解決方案:如果是內存管理的緣故, 通常增加內存會解決問題.
7、0x0000002EATA_BUS_ERROR
◆錯誤分析:系統內存存儲器奇偶校驗產生錯誤, 通常是因為有缺陷的內存(包括物理內存、二級緩存或者顯卡顯存)時設備驅動程序訪問不存在的內存地址等原因引起的. 另外, 硬碟被病毒或者其他問題所損傷, 以出現這個停機碼.
◇解決方案:
(1)檢查病毒
(2)使用"chkdsk /r"命令檢查所有磁碟分區.
(3)用Memtest86等內存測試軟體檢查內存.
(4)檢查硬體是否正確安裝, 比如:是否牢固、金手指是否有污漬.
8、0x00000035:NO_MORE_IRP_STACK_LOCATIONS
◆錯誤分析:從字面上理解, 應該時驅動程序或某些軟體出現堆棧問題. 其實這個故障的真正原因應該時驅動程序本省存在問題, 或是內存有質量問題.
◇解決方案:請使用前面介紹的常規解決方案中與驅動程序和內存相關的方案進行排除.
9、0x0000003F:NO_MORE_SYSTEM_PTES
◆錯誤分析:一個與系統內存管理相關的錯誤, 比如:由於執行了大量的輸入/輸出操作, 造成內存管理出現問題: 有缺陷的驅動程序不正確地使用內存資源; 某個應用程序(比如:備份軟體)被分配了大量的內核內存等.
◇解決方案:卸載所有最新安裝的軟體(特別是哪些增強磁碟性能的應用程序和殺毒軟體)和驅動程序.
10、0x00000044:MULTIPLE_IRP_COMPLIETE_REQUESTS
◆錯誤分析:通常是由硬體驅動程序引起的.
◇解決方案:卸載最近安裝的驅動程序. 這個故障很少出現, 目前已經知道的是, 在使用
www.in-system.com/這家公司的某些軟體時會出現, 其中的罪魁就是Falstaff.sys文件.(作者難道不怕吃官司嘛, 把公司網址公布)
11、0x00000050: PAGE_FAULT_IN_NONPAGED+AREA
◆錯誤分析:有問題的內存(包括屋裡內存、二級緩存、顯存)、不兼容的軟體(主要是遠程式控制制和殺毒軟體)、損壞的NTFS卷以及有問題的硬體(比如: PCI插卡本身已損壞)等都會引發這個錯誤.
◇解決方案:請使用前面介紹的常規解決方案中與內存、軟體、硬體、硬碟等相關的方案進
行排除.
12、0x00000051:REGISTRY_ERROR
◆錯誤分析:這個停機碼說明注冊表或系統配置管理器出現錯誤, 由於硬碟本身有物理損壞或文件系統存在問題, 從而造成在讀取注冊文件時出現輸入/輸出錯誤.
◇解決方案:使用"chkdsk /r"檢查並修復磁碟錯誤.
13、0x00000058:FTDISK_INTERNAL_ERROR
◆錯誤分析:說明在容錯集的主驅動發生錯誤.
◇解決方案:首先嘗試重啟電腦看是否能解決問題, 如果不行, 則嘗試"最後一次正確配置"進行解決.
14、0x0000005E:CRITICAL_SERVICE_FAILED
◆錯誤分析:某個非常重要的系統服務啟動識別造成的.
◇解決方案:如果是在安裝了某個新硬體後出新的, 可以先移除該硬體, 並通過網上列表檢查它是否與Windows 2K/XP兼容, 接著啟動電腦, 如果藍屏還是出現, 請使用"最後一次正確配置"來啟動Windows, 如果這樣還是失敗, 建議進行修復安裝或是重裝.
15、0x0000006F:SESSION3_INITIALIZATION-FAILED
◆錯誤分析:這個錯誤通常出現在Windows啟動時, 一般是由有問題的驅動程序或損壞的系統文件引起的.
◇解決方案:建議使用Windows安裝光碟對系統進行修復安裝.
16、0x00000076ROCESS_HAS_LOCKED_PAGES
◆錯誤分析:通常是因為某個驅動程序在完成了一次輸入/輸出操作後, 沒有正確釋放所佔有的內存
◇解決方案:
第一步:點擊開始-->運行:regedt32, 找到[HKLM\SYSTEM\Currentcontrol set\control\session manager\memory management], 在右側新建雙位元組值"TrackLockedPages", 值為1. 這樣Windows便會在錯誤再次出現時跟蹤到是哪個驅動程序的問題.第二步:如果再次出現藍屏, 那麼錯誤信息會變成:STOP:0x0000000CB(0xY,0xY,0xY,0xY)DRIVER_LEFT_LOCKED_PAGES_IN_PROCESS其中第四個"0xY"會顯示為問題驅動程序的名字, 接著對其進行更新或刪除.第三步:進入注冊表, 刪除添加的"TrackLockedPages".
17、0x00000077:KERNEL_STACK_INPAGE_ERROR
◆錯誤分析:說明需要使用的內核數據沒有在虛擬內存或物理內存中找到. 這個錯誤常常於是著磁碟有問題, 相應數據損壞或受到病毒侵蝕.
◇解決方案:使用殺毒軟體掃描系統; 使用"chkdsk /r"命令檢查並修復磁碟錯誤, 如不行則使用磁碟廠商提供的工具檢查修復.
18、0x0000007A:KERNEL_DATA_INPAGE_ERROR
◆錯誤分析:這個錯誤往往是虛擬內存中的內核數據無法讀入內存造成的. 原因可能是虛擬內存頁面文件中存在壞簇、病毒、磁碟控制器出錯、內存有問題.
◇解決方案:首先用升級為最新病毒庫殺毒軟體查殺病毒, 如果促無信息中還0xC000009C
或0xC000016A代碼, 那麼表示是壞簇造成的, 並且系統的磁碟檢測工具無法自動修復, 這時要進入"故障恢復控制台", 用"chkdsk /r"命令進行手動修復.
19、0x0000007B:INACESSIBLE_BOOT_DEVICE
◆錯誤分析:Windows在啟動過程中無法訪問系統分區或啟動卷. 一般發生在更換主板後第一次啟動時, 主要是因為新主板和舊主板的IDE控制器使用了不同晶元組造成的. 有時也可能是病毒或硬碟損傷所引起的.
◇解決方案:一般只要用安裝光碟啟動電腦, 然後執行修復安裝即可解決問題. 對於病毒則可使用DOS版的殺毒軟體進行查殺(主戰有kv2005DOS版下載). 如果是硬碟本身存在問題, 請將其安裝到其他電腦中, 然後使用"chkdsk /r"來檢查並修復磁碟錯誤.
20、0x0000007E:SYSTEM_THREAD_EXCEPTION_NOT_HANDLED
◆錯誤分析:系統進程產生錯誤, 但Windows錯誤處理器無法捕獲. 其產生原因很多, 包括:硬體兼容性、有問題的驅動程序或系統服務、 或者是某些軟體.
◇解決方案:請使用"事件查看器"來獲取更多的信息, 從中發現錯誤根源.(發現好像不是解決哦, 看來這里大家要自力更生了!)
21、0x0000007F:UNEXPECTED_KERNEL_MOED_TRAP
◆錯誤分析:一般是由於有問題的硬體(比如:內存)或某些軟體引起的. 有時超頻也會產生這個錯誤.
◇解決方案:用檢測軟體(比如:Memtest86)檢查內存, 如果進行了超頻, 請取消超頻. 將PCI硬體插卡從主板插槽拔下來, 或更換插槽. 另外, 有些主板(比如:nForce2主板)在進行超頻後, 南橋晶元過熱也會導致藍屏, 此時為該晶元單獨增加散熱片往往可以有效解決問題.
22、0x00000080:NMI_HARDWARE_FAILURE
◆錯誤分析:通常是有硬體引起的.(似乎藍屏與硬體錯誤有不解之緣)
◇解決方案:如果最近安裝了新硬體, 請將其移除, 然後試試更換插槽和安裝最新的驅動程序, 如果升級了驅動程序, 請恢復後原來的版本; 檢查內存金手指是否有污染和損壞; 掃描病毒; 運行"chkdsk /r"檢查並修復磁碟錯誤; 檢查所有硬體插卡已經插牢. 如果以上嘗試都無效果, 就得找專業的電腦維修公司請求幫助了.
23、0x0000008E:KERNEL_MODE_EXCEPTION_NOT_HANDLED
◆錯誤分析:內核級應用程序產生了錯誤, 但Windows錯誤處理器沒有捕獲. 通常是硬體兼容性錯誤.
◇解決方案:升級驅動程序或升級BIOS.
24、0x0000009C:MACHINE_CHECK_EXCEPTION
◆錯誤分析:通常是硬體引起的. 一般是因為超頻或是硬體存在問題(內存、CPU、匯流排、電
源).
◇解決方案:如果進行了超頻, 請降會CPU原來頻率, 檢查硬體.
25、0x0000009FRIVER_POWER_STATE_FAILURE
◆錯誤分析:往往與電源有關系, 常常發生在與電源相關的操作, 比如:關機、待機或休睡.
◇解決方案:重裝系統, 如果不能解決, 請更換電源.
26、0x000000A5:ACPI_BIOS_ERROR
◆錯誤分析:通常是因為主板BIOS不能全面支持ACPI規范.
◇解決方案:如果沒有相應BIOS升級, 那麼可在安裝Windows 2K/XP時, 當出現"press F6 if you need to install a third-party SCSI or RAID driver"提示時, 按下F7鍵, 這樣Windows便會自動禁止安裝ACPI HAL, 而安裝 Standard PC HAL.
27、0x000000B4:VIDEO_DRIVER_INIT_FAILURE
◆錯誤分析:這個停止信息表示Windows因為不能啟動顯卡驅動, 從而無法進入圖形界面. 通常是顯卡的問題, 或者是存在與顯卡的硬體沖突(比如:與並行或串列埠沖突).
◇解決方案:進入安全模式查看問題是否解決, 如果可以, 請升級最新的顯卡驅動程序, 如果還不行, 則很可能是顯卡與並行埠存在沖突, 需要在安全模式按下WIN+break組合鍵打開"系統屬性", 在硬體-->設備管理器中找到並雙擊連接列印的LPT1埠的項, 在"資源"選項卡中取消"使用自動配置"的構選, 然後將"輸入/輸出范圍"的"03BC"改為"0378".
28、0x000000BE:ATTEMPTED_WRITE_TO_READONLY_MEMORY
◆錯誤分析:某個驅動程序試圖向只讀內存寫入數據造成的. 通常是在安裝了新的驅動程序, 系統服務或升級了設備的固件程序後.
◇解決方案:如果在錯誤信息中包含有驅動程序或者服務文件名稱, 請根據這個信息將新安裝的驅動程序或軟體卸載或禁用.
29、0x000000C2:BAD_POOL_CALLER
◆錯誤分析:一個內核層的進程或驅動程序錯誤地試圖進入內存操作. 通常是驅動程序或存在BUG的軟體造成的.
◇解決方案:請參考前面介紹的常規解決方案相關項目進行排除.
30、0x000000CERIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERATIONS
◆錯誤分析:通常是由有問題的驅動程序或系統服務造成的.
◇解決方案:請參考前面介紹的常規解決方案相關項目進行排除.
31、0x000000D1RIVER_IRQL_NOT_LESS_OR_EQUAL
◆錯誤分析:通常是由有問題的驅動程序引起的(比如羅技滑鼠的Logitech MouseWare 9.10和9.24版驅動程序會引發這個故障). 同時,有缺陷的內存、 損壞的虛擬內存文件、 某些軟體(比如多媒體軟體、殺毒軟體、備份軟體、DVD播放軟體)等也會導致這個錯誤.
◇解決方案:檢查最新安裝或升級的驅動程序(如果藍屏中出現"acpi.sys"等類似文件名, 可以非常肯定時驅動程序問題)和軟體; 測試內存是否存在問題; 進入"故障恢復控制台", 轉到虛擬內存頁面文件Pagefile.sys所在分區, 執行"del pagefile.sys"命令, 將頁面文件刪除; 然後在頁面文件所在分區執行"chkdsk /r"命令;進入Windows後重新設置虛擬內存.如果在上網時遇到這個藍屏, 而你恰恰又在進行大量的數據下載和上傳(比如:網路游戲、BT下載), 那麼應該是網卡驅動的問題, 需要升級其驅動程序.
32、0x000000EA:THREAD_STUCK_IN_DEVICE_DRIVER
◆錯誤分析:通常是由顯卡或顯卡驅動程序引發的.
◇解決方案:先升級最新的顯卡驅動, 如果不行, 則需要更換顯卡測試故障是否依然發生.
33、0x000000ED:UNMOUNTABLE_BOOT_VOLUME
◆錯誤分析:一般是由於磁碟存在錯誤導致的, 有時也建議檢查硬碟連線是否接觸不良, 或是沒有使用合乎該硬碟傳輸規格的連接線, 例如ATA-100仍使用ATA-33的連接線, 對低速硬碟無所謂, 但告訴硬碟(支持ATA-66以上)的要求較嚴格, 規格不對的連線有時也會引起這類沒辦法開機的故障. 如果在修復後, 還是經常出現這個錯誤, 很可能是硬碟損壞的前兆.
◇解決方案:一般情況下, 重啟會解決問題, 不管怎麼樣都建議執行"chkdsk /r"命令來檢查修復硬碟
34、0x000000F2:HARDWARE)INTERRUPT_STORM
◆錯誤分析:內核層檢查到系統出現中斷風暴, 比如:某個設備在完成操作後沒有釋放所佔用
的中斷. 通常這是由缺陷的驅動程序造成的.
◇解決方案:升級或卸載最新安裝的硬體驅動程序.
35、0x00000135:UNABLE_TO_LOCATE_DLL
◆錯誤分析:通常表示某個文件丟失或已經損壞, 或者是注冊表出現錯誤.
◇解決方案:如果是文件丟失或損壞, 在藍屏信息中通常會顯示相應的文件名, 你可以通過網路或是其他電腦找到相應的文件, 並將其復制到系統文件夾下的SYSTEM32子文件夾中. 如果沒有顯示文件名, 那就很有可能是注冊表損壞, 請利用系統還原或是以前的注冊表備份進行恢復.
36、0x0000021A:STATUS_SYSTEM_PROCESS_TERMINATED
◆錯誤分析:用戶模式子系統, 例如Winlogon或客服服務運行時子系統(CSRSS)已損壞, 所以無法再保證安全性, 導致系統無法啟動. 有時, 當系統管理員錯誤地修改了用戶帳號許可權, 導致其無法訪問系統文件和文件夾.
◇解決方案:使用"最後一次正確的配置", 如果無效, 可使用安裝光碟進行修復安裝.
37、STOP 0xC0000221 or STATUS_IMAGE_CHECKSUM_MISMATCH
◆錯誤分析:通常是由於驅動程序或系統DLL文件損壞造成的. 一般情況下, 在藍屏中會出現
文件名稱
◇解決方案:
(1)使用Windows安裝光碟進行修復安裝;
(2)如果還能進入安全模式, 可以"開始-->運行": sfc /scannow
(3)還可以採用提取文件的方法來解決, 進入"故障恢復控制台", 使用或expand命令從光碟中復制或解壓受損的文件. 不過, 藍屏一般都是驅動程序文件的問題, 所以expand命令會用的都一些, 比如:藍屏中提示tdi.sys文件, 因為驅動文件一般在i386\driver壓縮包里, 所以使用: expand %CDROM:\i386\driver.cab \f:tdi.sys c:\winnt\system\drivers.(xp為expand %CDROM:\i386\driver.cab \f:tdi.sys c:\windowns\system\drivers)
38、如果啟動時出現這些藍屏停機碼
如果在Windows啟動時出現藍屏, 並出現附表一中的錯誤信息, 那麼多半時硬體出現了問題, 請用硬體廠商提供的診斷工具來判斷硬體是否存在問題, 並到其網站查看是否有最新的BIOS或固件更新程序. 如果硬體沒有問題, 重裝Windows 2K/XP, 若相同問題還是出現, 就只能求助專業的技術支持了