迅维网

查看: 286|回复: 4
[安装经验]

有人注意过反复蓝屏问题和暗云木马么?

[复制链接]

3

主题

25

帖子

3

积分

会员等级:小小白

发表于 2017-7-17 20:48 | 显示全部楼层 |阅读模式
几个月前不少Win10出现反复蓝屏,代码CRITICAL_STRUCTURE_CORRUPTION,我检查后发现大多是中了MBR木马导致的,后来基本确定是“暗云”木马。

当时用360的系统急救箱可以杀,WinPE下用DiskGenius等软件重建MBR也可以解决。

用GHOST重装系统时好像没覆盖MBR,导致系统重装后病毒仍然留存。

360还发现了藏身BIOS的“谍影”木马,看上去是暗云的BIOS版,里面提到了这个蓝屏代码:
www.freebuf.com/articles/system/133243.html

不过他们说木马是用编程器刷进去的,而且只影响Legacy BIOS引导的系统。

最近好像不太容易碰见这个蓝屏了……

不知道有多少朋友注意过这个问题?

656

主题

3万

帖子

5940

积分

会员等级:维修专家

管理员

发表于 2017-7-17 21:52 | 显示全部楼层
目前没有遇到过 …… 值得注意

点评

https://guanjia.qq.com/news/n3/201703/16_387.html 这里面提到的USBxxxxx.sys木马我是亲眼见过的,它也会导致反复蓝屏,但代码并不是CRITICAL_STRUCTURE_CORRUPTION。  详情 回复 发表于 2017-7-17 22:50
关于CRITICAL_STRUCTURE_CORRUPTION或者0x00000109,我大概查过资料,它是微软的内核自我保护机制PatchGuard被触发后产生的。 可能原因分软件和硬件两个方面…… 软件方面,可能是内核驱动木马、Bootkit木马,或者  详情 回复 发表于 2017-7-17 22:49
让大脑偶尔归零  让内心保持平静  工作QQ:495700018
回复 支持 反对

使用道具 举报

3

主题

25

帖子

3

积分

会员等级:小小白

 楼主| 发表于 2017-7-17 22:49 | 显示全部楼层
本帖最后由 fakefixer 于 2017-7-17 23:02 编辑
天意wx 发表于 2017-7-17 21:52
目前没有遇到过 …… 值得注意

关于CRITICAL_STRUCTURE_CORRUPTION或者0x00000109,我大概查过资料,它是微软的内核自我保护机制PatchGuard被触发后产生的。
可能原因分软件和硬件两个方面……
软件方面,可能是内核驱动木马、Bootkit木马,或者是某个驱动有Bug。
前者的例子是“天翼客户端木马事件”和“暗云木马”,后者的例子有VirtualBox,好像还有某个杀软。
原因大概可以解释为:
1.病毒想要劫持正常的系统函数来隐藏、保护自己,但病毒造成的篡改被不定时进行的PatchGuard检查发现,然后系统就主动触发蓝屏了。
2.杀软也想用类似的手段检查文件、拦截病毒,但老系统没被PatchGuard监视的地方,新系统纳入监视范围了,所以老系统不蓝屏,升级完系统就蓝屏。
3.VirtualBox被一些安卓模拟器使用,所以好像也能看到类似BlueStacks模拟器导致109蓝屏的帖子……这个好像是MSR寄存器的问题,具体我也不太懂。
硬件方面,可能是内存有问题,不过如果是内存的问题,一般会出现很多不同代码的蓝屏,CRITICAL_STRUCTURE_CORRUPTION只是可能出现的一种,这一点和上面的软件原因有很大不同。

另外,PatchGuard(尤其是Win7这种老系统)是有办法绕过的,游戏外挂/恶意软件都可能想办法让PatchGuard失效:
http://www.m5home.com/bbs/thread-7870-1-1.html
http://bbs.pediy.com/thread-187214.htm
如果PatchGuard被干掉了,那自然就没有109或CRITICAL_STRUCTURE_CORRUPTION蓝屏了,可想而知,这未必是什么好事……

评分

参与人数 1下载分 +4 收起 理由
天意wx + 4 老司机!双击666+关注.....

查看全部评分

回复 支持 反对

使用道具 举报

3

主题

25

帖子

3

积分

会员等级:小小白

 楼主| 发表于 2017-7-17 22:50 | 显示全部楼层
天意wx 发表于 2017-7-17 21:52
目前没有遇到过 …… 值得注意

https://guanjia.qq.com/news/n3/201703/16_387.html
这里面提到的USBxxxxx.sys木马我是亲眼见过的,它也会导致反复蓝屏,但代码并不是CRITICAL_STRUCTURE_CORRUPTION。
回复 支持 反对

使用道具 举报

21

主题

5118

帖子

1246

积分

会员等级:助理工程师

实地毕业勋章

发表于 2017-7-18 00:18 | 显示全部楼层
这种蓝屏还没碰到过,涨姿势了  
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

手机版|帮助中心|排行榜|小黑屋|迅维网 ( 粤ICP备13090452号-2 ) 增值业务许可证:粤B2-20160324 |网站地图 

GMT+8, 2017-11-19 05:32 , Processed in 0.062393 second(s), 20 queries , MemCache On.

Powered by Discuz! X3.4 -ALicensed

© 2017 Comsenz Inc.

深圳网络警察报警平台 深圳网络警
察报警平台

深圳市市场监督管理局企业主体身份公示

经营性网站备案信息 经营性网站
备案信息

快速回复 返回顶部 返回列表