最近一个月一些网吧出现玩家玩传奇SF登录或玩的过中蓝屏,有的是半小时,有的长达7小时才蓝屏。 【DUMP分析】  我们可以看到导致蓝屏的是Beep.sys这个驱动,这个驱动是Windows系统自带的,很多人以为就是Beep.sys蓝屏。但是我们看到模块名称 MODULE_NAME 显示为“Beep_fffff8800bc4c000”,这让我想去了驱动“借壳启动”技术。 去客户机打开用户提供的SF登录器,地址:http://www.baidu371.com/down/down.html 发现 Beep.sys 加载的时候,实际上是 kmnldurhij.sys 这个驱动被释放加载了,果然是借壳启动。   通过工具分析,得出如下流程:      【解决办法】 拦截该驱动加载,或者告知顾客蓝屏是私服程序的问题; 驱动文件名称是随机的,可以使用特征码、md5等拦截; 驱动文件样本:https://n459.com/file/1259131-457952925 |
湘公网安备 43120202000168号 |
免责声明
本服务器托管于 <阿里云>
本站是非盈利性质的论坛,所有信息均为原作者提供和网友推荐收集整理而来,仅供学习和研究使用。如有侵犯你版权的,请来信指出(hxwglm@outlook.com),本站将立即改正.
学网吧技术,到华夏网盟
做网吧行业最后死去的一个论坛
