找回密码
 注册

QQ登录

只需一步,快速开始

搜索
网吧三国 首页 网吧技术 热点问题 查看内容

【解密】DNF游戏中出现的109蓝屏到底是神马东西?

2016-6-24 12:11| 发布者: 曹操| 查看: 16737| 评论: 0

最近网吧行业玩DNF游戏过程中突然出现109蓝屏比较多,各类网吧技术人员提供了各类解决办法,效果不一定明显。 而且随着DNF等腾讯游戏的更新,109蓝屏的概率出现不一样的波动。 没有找到罪魁祸首之前,本文也谈不了 ...

      



     最近网吧行业玩DNF游戏过程中突然出现109蓝屏比较多,各类网吧技术人员提供了各类解决办法,效果不一定明显。 
      而且随着DNF等腾讯游戏的更新,109蓝屏的概率出现不一样的波动。 没有找到罪魁祸首之前,本文也谈不了解决办法,但是我们至少可以明白下,这个蓝屏到底是怎么回事。
      好比是,就算糊涂的你在电视剧里都活不到第二集,但是至少得知道自己是被谁干掉的吧。

     一  DNF游戏中出现109蓝屏究竟是什么东西?那得从微软开始说起。 
       从前,微软不希望任何程序更改内核,就弄了PatchGuard。这个能够有效防止内核模式驱动改动或替换Windows内核的任何内容,第三方软件将无法再给Windows 内核添加任何“补丁”。 

    二    PatchGuard是如何工作的?它是靠什么引发蓝屏的? 
        没有确切的答案,微软不说。 但是有个《Bypassing PatchGuard on Windows X64》的文档里提到过其中一个方面。
        PatchGuard保护了ntoskrnl.exe,hal.dll,ndis.sys不被恶意篡改。PatchGuard注册了个DPC,每隔一段时间(大约8分钟)就例行检查一次内核。
     如果发现保护的驱动被修改了任何一处地方,则调用以下代码执行蓝屏: KeBugCheckEX(0x109,0x0,0x0,0x0,0x7) 
     据查(http://msdn.microsoft.com/en-us/library/ff557228(v=VS.85).aspx) ,BugCheckCode 为 0x109 是专门为 PatchGuard 准备的蓝屏。        This indicates that the kernel has detected critical kernel code or data corruption. 
  当出现109蓝屏时候,(百度翻译:这表明内核已检测到关键的内核代码或数据损坏。。) 

  也就是说没有了微软的 PatchGuard 的保护,就没有109蓝屏。(109蓝屏好比就是微软的 PatchGuard “弹窗提醒”你在,有坏人骚扰他了,调戏他了。)
  但是如果没有 PatchGuard 的保护,任何来历不明的驱动都可以加载,任何函数都可以挂钩,在 WIN32 里的“驱动斗法”场景会再次出现。而“驱动斗法”,基本上都是以恶意软件胜利而告终。 
   也就是说,没有PatchGuard 也不行,有了他,虽然有109蓝屏,但是能遏制坏人进行更坏的行为,能有效约束他们,对行业长久来看,是有好处的。。。。。。
  所以解决109蓝屏的根本在于找到这个坏人。而不在于微软的PatchGuard 的保护,微软的PatchGuard只是主动通过蓝屏109来告诉你环境里有坏人。

  三 如何解决呢?
      现在DNF109蓝屏到底是怎么回事,应该是明白了吧。
     那接下来DNF109蓝屏到底该谁来解决呢?
  基本是能力越大的责任就越大,就越应该带领大家抓《到底是谁触发了PatchGuard 的109蓝屏提醒》。
  1 ,腾讯正在解决,因为DNF在其中啊,和TP有直接关联吧。 可能腾讯的TP安全组件也会检查,看是否有恶意程序作乱。
  2, 网吧里的各大软件厂家来解决。因为用的你的软件呢。你帮忙找找源头也是情有可原的吧。
  3 ,也有个人英雄逆袭的,发现了惊天阴谋,到底是谁“搞坏了”PatchGuard 。干掉他就行了,或者让他自己尽快修正。
    
    除了腾讯给的测试补丁,我们也可以试试其他方面。
   主要就是找源头,找到坏人,腾讯TP安全组件和各大网吧软件都可以把它列入黑名单屏蔽掉,蓝屏就不会出现了,问题就解决了。
    或者是源头本身发现了其错误,主动修正了问题。
    更可以网吧里最小化环境排查确定。在严重的网吧可以用干净的系统+各大无盘+计费软件。暂时不是要其他任何插件工具来确定方向。
    万一找到了是什么东西在动微软的内核,找到这些个东西后,直接屏蔽掉就能立竿见影。
    欢迎大家一起来找原因,并告诉我们,我们来爆料。。。。。

 爆料1 :有个别网吧反馈设置危险进程 TenSafe.exe;TenSafe_1.exe ; 或者MD5过滤,  也可以解决蓝屏问题。TenioDL.exe;TPHelper.exe;TQMCenter.exe, 这样3个也可以考虑屏蔽。还在验证中。。。( 建议优先使用腾讯提供的补丁解决,不建议优先设置危险进程处理)

  

——————————————————————————————————————
 本文“大量”技术说明,几乎原文照搬各类技术分享文档,主要来源有下: 
 *百度。
 *微软MSDN官方文档。
     谷歌被拦,百度当道。其实主要是自身水平有限,所以如果有翻译有不准确的地方,你有本事就自己去翻译啊? 
 *黑客防线,csdn论坛,《Bypassing PatchGuard on Windows X64》
 *《在Win64 上反蓝屏》-胡文亮。 
 *..........
感谢他们指引了前行的方向,阿门。
——————————————————————————————————

1

鲜花

握手

雷人

路过

鸡蛋

刚表态过的朋友 (1 人)

  • 鲜花

    匿名

相关阅读

最新评论

小黑屋|手机版|Archiver|联系我们|网吧三国 ( 鄂ICP备10020833号-5 )

GMT+8, 2018-6-24 21:10 , Processed in 0.148774 second(s), 9 queries , Gzip On, Memcache On.

Powered by 583go

© 2001-2013 58三国

返回顶部