网吧三国
标题:
客户机玩私服蓝屏
[打印本页]
作者:
小痞子
时间:
2020-9-3 17:36
标题:
客户机玩私服蓝屏
本帖最后由 小痞子 于 2020-9-3 17:38 编辑
问题现象:一些网吧出现玩家玩传奇SF登录或玩的过中蓝屏,有的是半小时,有的长达7小时才蓝屏
排查过程:1.分析蓝屏文件,如图:
(, 下载次数: 69)
上传
点击文件名下载附件
可以看到导致蓝屏的是
Beep.sys这个驱动,这个驱动是Windows系统自带的,很多人以为就是Beep.sys蓝屏
。但是我们看到模块名称
MODULE_NAME 显示为“Beep_fffff8800bc4c000”,这让我想去了驱动“借壳启动”技术
去客户机打开用户提供的SF登录器,
发现 Beep.sys 加载的时候,实际上是
kmnldurhij.sys 这个驱动被释放加载了,果然是借壳启动。
(, 下载次数: 71)
上传
点击文件名下载附件
(, 下载次数: 69)
上传
点击文件名下载附件
通过工具分析,得出如下流程:
(, 下载次数: 73)
上传
点击文件名下载附件
(, 下载次数: 75)
上传
点击文件名下载附件
(, 下载次数: 69)
上传
点击文件名下载附件
(, 下载次数: 71)
上传
点击文件名下载附件
(, 下载次数: 74)
上传
点击文件名下载附件
解决方法:
1.拦截该驱动加载,或者告知顾客蓝屏是私服程序的问题;
2.驱动文件名称是随机的,可以使用特征码、md5等拦截
欢迎光临 网吧三国 (http://www.583go.com/)
Powered by Discuz! X3.4