Bluefish分析和解决Beep.sys私服蓝屏问题 - 网吧备忘录
通告:收集网吧无盘常见问题,关注网吧行业动态,唾弃和鄙视网吧垄断及恶意广告行为!
横条广告

Bluefish分析和解决Beep.sys私服蓝屏问题

兽性大发 174 0 条
  • 【问题现象】

最近一个月一些网吧出现玩家玩传奇SF登录或玩的过中蓝屏,有的是半小时,有的长达7小时才蓝屏。

  • 【DUMP分析】

101432rzlvors6ygj61emt.png

我们可以看到导致蓝屏的是Beep.sys这个驱动,这个驱动是Windows系统自带的,很多人以为就是Beep.sys蓝屏。但是我们看到模块名称 MODULE_NAME 显示为“Beep_fffff8800bc4c000”,这让我想到了驱动“借壳启动”技术。

去客户机打开用户提供的SF登录器,地址:http://www.baidu371.com/down/down.html,发现 Beep.sys 加载的时候,实际上是 kmnldurhij.sys 这个驱动被释放加载了,果然是借壳启动。

211228nr5bc3bjjzu7lg35.png

305354jf0h7ydg0f5luzt5.png

通过工具分析,得出如下流程:

403329qwvvt6946zgszg6t.png

505209hor00roi7n1z1nbd.png

605209h51vqm442m57z3m3.png

705209qk891g988z8zy8iy.png

805515mzdfux66z6vq1u6d.png

  • 【解决办法】

拦截该驱动加载,或者告知顾客蓝屏是私服程序的问题;驱动文件名称是随机的,可以使用特征码、md5等拦截;

驱动文件样本:kmnldurhij.rar-进入“立即下载页”,输入验证码后,要选择“普通下载”线路

本文转载自作者Bluefish:http://www.clxp.net.cn/thread-19641-1-1.html

与本文相关的文章


发表我的评论

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址