最近网吧行业玩DNF游戏过程中突然出现109蓝屏比较多,各类网吧技术人员提供了各类解决办法,效果不一定明显。 而且随着DNF等腾讯游戏的更新,109蓝屏的概率出现不一样的波动。
没有找到罪魁祸首之前,本文也谈不了解决办法,但是我们至少可以明白下,这个蓝屏到底是怎么回事。
好比是,就算糊涂的你在电视剧里都活不到第二集,但是至少得知道自己是被谁干掉的吧。
一 DNF游戏中出现109蓝屏究竟是什么东西?那得从微软开始说起。
从前,微软不希望任何程序更改内核,就弄了PatchGuard。这个能够有效防止内核模式驱动改动或替换Windows内核的任何内容,第三方软件将无法再给Windows 内核添加任何“补丁”。
二 PatchGuard是如何工作的?它是靠什么引发蓝屏的?
没有确切的答案,微软不说。 但是有个《Bypassing PatchGuard on Windows X64》的文档里提到过其中一个方面。
PatchGuard保护了ntoskrnl.exe,hal.dll,ndis.sys不被恶意篡改。PatchGuard注册了个DPC,每隔一段时间(大约8分钟)就例行检查一次内核。
如果发现保护的驱动被修改了任何一处地方,则调用以下代码执行蓝屏: KeBugCheckEX(0x109,0x0,0x0,0x0,0x7)
当出现109蓝屏时候,(百度翻译:这表明内核已检测到关键的内核代码或数据损坏。。)
也就是说没有了微软的 PatchGuard 的保护,就没有109蓝屏。(109蓝屏好比就是微软的 PatchGuard “弹窗提醒”你在,有坏人骚扰他了,调戏他了。)
但是如果没有 PatchGuard 的保护,任何来历不明的驱动都可以加载,任何函数都可以挂钩,在 WIN32 里的“驱动斗法”场景会再次出现。而“驱动斗法”,基本上都是以恶意软件胜利而告终。
也就是说,没有PatchGuard 也不行,有了他,虽然有109蓝屏,但是能遏制坏人进行更坏的行为,能有效约束他们,对行业长久来看,是有好处的。。。。。。
所以解决109蓝屏的根本在于找到这个坏人。而不在于微软的PatchGuard 的保护,微软的PatchGuard只是主动通过蓝屏109来告诉你环境里有坏人。
三 如何解决呢?
现在DNF109蓝屏到底是怎么回事,应该是明白了吧。
那接下来DNF109蓝屏到底该谁来解决呢?
基本是能力越大的责任就越大,就越应该带领大家抓《到底是谁触发了PatchGuard 的109蓝屏提醒》。
1 ,腾讯正在解决,因为DNF在其中啊,和TP有直接关联吧。 可能腾讯的TP安全组件也会检查,看是否有恶意程序作乱。
2, 网吧里的各大软件厂家来解决。因为用的你的软件呢。你帮忙找找源头也是情有可原的吧。
3 ,也有个人英雄逆袭的,发现了惊天阴谋,到底是谁“搞坏了”PatchGuard 。干掉他就行了,或者让他自己尽快修正。
除了腾讯给的测试补丁,我们也可以试试其他方面。
主要就是找源头,找到坏人,腾讯TP安全组件和各大网吧软件都可以把它列入黑名单屏蔽掉,蓝屏就不会出现了,问题就解决了。
或者是源头本身发现了其错误,主动修正了问题。
更可以网吧里最小化环境排查确定。在严重的网吧可以用干净的系统+各大无盘+计费软件。暂时不是要其他任何插件工具来确定方向。
万一找到了是什么东西在动微软的内核,找到这些个东西后,直接屏蔽掉就能立竿见影。
欢迎大家一起来找原因,并告诉我们,我们来爆料。。。。。
爆料1 :有个别网吧反馈设置危险进程 TenSafe.exe;TenSafe_1.exe ; 或者MD5过滤, 也可以解决蓝屏问题。TenioDL.exe;TPHelper.exe;TQMCenter.exe, 这样3个也可以考虑屏蔽。还在验证中。。。( 建议优先使用腾讯提供的补丁解决,不建议优先设置危险进程处理)
——————————————————————————————————————
本文“大量”技术说明,几乎原文照搬各类技术分享文档,主要来源有下:
*百度。
*微软MSDN官方文档。
谷歌被拦,百度当道。其实主要是自身水平有限,所以如果有翻译有不准确的地方,你有本事就自己去翻译啊?
*黑客防线,csdn论坛,《Bypassing PatchGuard on Windows X64》
*《在Win64 上反蓝屏》-胡文亮。
*..........
感谢他们指引了前行的方向,阿门。
——————————————————————————————————
