[原创] Bluefish分析和解决Beep.sys蓝屏问题(私服蓝屏)
温馨提示:这篇文章已超过1400天没有更新,请注意相关的内容是否还可用!
【问题现象】
最近一个月一些网吧出现玩家玩传奇SF登录或玩的过中蓝屏,有的是半小时,有的长达7小时才蓝屏。
【DUMP分析】
![[原创] Bluefish分析和解决Beep.sys蓝屏问题(私服蓝屏)](https://img.yweihu.com/wz/113/1131.jpg)
我们可以看到导致蓝屏的是Beep.sys这个驱动,这个驱动是Windows系统自带的,很多人以为就是Beep.sys蓝屏。但是我们看到模块名称 MODULE_NAME 显示为“Beep_fffff8800bc4c000”,这让我想去了驱动“借壳启动”技术。
去客户机打开用户提供的SF登录器,地址:http://www.baidu371.com/down/down.html
发现 Beep.sys 加载的时候,实际上是 kmnldurhij.sys 这个驱动被释放加载了,果然是借壳启动。
![[原创] Bluefish分析和解决Beep.sys蓝屏问题(私服蓝屏)](https://img.yweihu.com/wz/113/1132.jpg)
![[原创] Bluefish分析和解决Beep.sys蓝屏问题(私服蓝屏)](https://img.yweihu.com/wz/113/1133.jpg)
通过工具分析,得出如下流程:
![[原创] Bluefish分析和解决Beep.sys蓝屏问题(私服蓝屏)](https://img.yweihu.com/wz/113/1134.jpg)
![[原创] Bluefish分析和解决Beep.sys蓝屏问题(私服蓝屏)](https://img.yweihu.com/wz/113/1135.jpg)
![[原创] Bluefish分析和解决Beep.sys蓝屏问题(私服蓝屏)](https://img.yweihu.com/wz/113/1136.jpg)
![[原创] Bluefish分析和解决Beep.sys蓝屏问题(私服蓝屏)](https://img.yweihu.com/wz/113/1137.jpg)
![[原创] Bluefish分析和解决Beep.sys蓝屏问题(私服蓝屏)](https://img.yweihu.com/wz/113/1138.jpg)
【解决办法】
拦截该驱动加载,或者告知顾客蓝屏是私服程序的问题;
驱动文件名称是随机的,可以使用特征码、md5等拦截;
本文地址:http://www.clxp.net.cn/thread-19641-1-1.html 转载请注明出处!
本文作者(Bluefish),博客:https://www.cnblogs.com/radmin/
下载地址
文章版权声明:除非注明,否则均为云维护原创文章,转载或复制请以超链接形式并注明出处。
还没有评论,来说两句吧...