从昨天下午开始,陆续有很多电脑出现了蓝屏问题,Win7系统表现为蓝屏代码0X000000F4,XP系统表现为explorer进程报告内存错误。其中Win7的蓝屏表现为开机数分钟内电脑呈现蓝屏F4或反复重启。电脑重新启动后能正常进入系统,但是数分钟后会再次蓝屏,大多数故障电脑的安全模式可以正常登录。
蓝屏代码有很多种,每一种的含义也都不尽相同,有时候同一个代码会有不同的原因,有时候同一个原因会出现不同代码,所以蓝屏问题有时候可能重装一遍系统就能解决,有时候可能换完所有配件仍未解决。
具体到蓝屏代码F4,如果是硬件问题,大概率是内存颗粒故障或者机械硬盘缓存故障,如果使用了杂牌固态硬盘要优先排除固态硬盘翻新颗粒的可能性。如果是软件问题,可能是系统损坏、驱动故障和各类软件冲突。
那么本次是什么原因造成的呢?网上众说纷纭,有人说是系统补丁的问题,有人说QQ电脑管家或者WEGAME的问题,有人说是爱奇艺的问题,还有人说是钉钉的问题(这么说的那位亲,学生们会为你点赞的)。但是经过老盛和团队的测试结果,上述说法都不确实。
- 第一,我们排除硬件问题。
硬件问题造成的蓝屏代码各种各样,比如同样是硬盘问题,可能出现F4、可能出现ED、可能出现7B等等,同样内存问题,可能出现F4、可能出现50、可能出现24、可能出现C1等等。但是如此大面积的集中出现同样的蓝屏代码,一般情况下不会是硬件问题,不可能都是同一个硬件出现同样的损坏。
- 第二,我们排除系统补丁问题。
Win7系统已在2020年1月停止了更新,虽然微软团队又在2月份加更了一个汇总补丁,但是推出日期是2月11日,并不是发生问题的2月21日,如果真的是补丁的问题,这个时间段内应该会陆续出现,或者在2月11日开始集中爆发。同时,如果是补丁问题,几乎不可能正常进入安全模式,也很难进入系统几分钟,大部分情况下补丁问题会导致开机过程中就蓝屏。
- 第三我们依次排除
QQ电脑管家、钉钉、WEGAME、爱奇艺等正常软件。经我们人工测试,所有单独或同时安装了这些软件的电脑都没有出现类似情况。
到了这里我们似乎没有什么头绪了,然而并非如此,鉴于这段时间很多同行没有营业,只能通过远程帮助客户解决问题,但是客户的电脑5分钟左右就会蓝屏,远程就会中断,整个过程只能获取一些零散的信息和极其有限的样本,似乎依然是各种情况的都有,但是根据多位同行反馈的信息,几乎问题电脑都存在或者曾经存在过一些流氓软件,这类软件会以极其恶劣的方式控制系统的一些功能,有时会和系统以及正常软件冲突,而这种冲突可能就是蓝屏的原因。
那到底是不是如此呢?由于很多客户在和我们的交流过程中存在理解障碍,在十分困难的情况下,我们搜集到了少量的蓝屏样本。
由于电脑的运行机制,当一个程序启动的时候,需要从硬盘加载到内存,然后在内存中运行,内存是一种临时存储,当程序崩溃的时候,系统将调试信息写入到硬盘保存,有时因为硬件或系统的问题,这种调试信息可能无法创建成功,但是绝大多数情况下,都可以成功创建。那么这种调试信息保存在哪里呢?
调试信息分为两种类型,一种是小内存转储,一种是核心内存转储,一般考虑空间利用率,我们会选择创建小内存转储文件,如上图所示,它的存储位置在%SystemRoot%\Minidump,翻译成大家能看懂的就是C:\Windows\Minidump。如果有小内存转储的调试信息,那么就会在这个文件夹里面。经过一番周折,我们提取到少量电脑的调试信息,如下图所示:
经过分析我们得到了如下信息:
“smss.exe”造成的本次蓝屏。
那么这个smss.exe到底是什么呢?它是一个Windows系统的重要进程,叫做“Windows会话管理器”,和系统一起启动,正常情况下,它存在于C:/Windows/System32/smss.exe目录中,感染病毒的情况下也有可能会出现在其他目录。由于这个进程可用于启动winlogon.exe,而这个winlogon又可以用来启动其他软件,所以经常会被病毒和流氓软件利用。
由此我们基本可以判断,本次的蓝屏很有可能是因为smss.exe被劫持导致的,流氓软件抢夺了smss的控制权,导致正常的软件运行时,smss出现问题蓝屏,所以才会表现出貌似爱奇艺、钉钉、QQ电脑管家等各种软件都有问题的症状,其实这些软件都在为流氓软件背锅。
由于样本中绝大多数故障电脑是流氓软件和QQ电脑管家共存状态,而且二者都是开机启动的,所以流氓软件和QQ电脑管家抢夺smss进程的控制权会尤为常见,为此我们查看了一下,发现QQ电脑管家在2月20日提供了一次更新,由于大多数同行没有营业,没有获取到足够的样本提供协助。而大多数的客户在问题本身得到解决后就放弃了进一步研判的操作,导致我们无法判断是否所有故障电脑的QQ电脑管家版本都是2月20日的这个版本(即13.5.20525.234),只能猜测或许与此有关。
那么会不会是这次的更新或者QQ电脑管家本身有问题呢?答案是不会!我们在没有任何流氓软件的电脑上更新腾讯全系列软件到最新版本,均没有出现这个情况。
紧接着,下一个问题又来了,到底是哪个流氓软件导致的呢?我们知道流氓软件都是恶性推广,如果你装了其中某一款,就会不断的后台下载其他类似的、相关的流氓软件,所以一般存在流氓软件的电脑,肯定都不止一个流氓软件,少则十个八个,多则数十上百个,那么这么多的流氓软件到底谁才是真凶呢?
很可惜的是,因为出发点不同,所以大多数客户对于我们进行的工作没有共鸣,出于不浪费自身时间的考虑,在解决问题之后都没有兴趣再研究根源。而我们所有参与研判的同行从业者的电脑上都因为使用习惯的良好,并没有流氓软件出现,有一位河北清河的同行邱总为了演示故障,在自己电脑上安装了数十款流氓软件,但是由于不是所有的流氓软件都有光明正大的下载渠道,有几款常见的流氓软件不知道客户都是以什么方式安装上的,所以没有集齐,所以这种实验依然是无效的。但是有一点,无论是哪一个流氓软件导致的,只要是流氓软件,我们就无需客气,给它卸之而后快即可,所以客户的选择反而是一个简单的选择,就是不再深究。
既然QQ电脑管家和流氓软件共存所致,那么我们接下来解决方案也就有了:
- 方案一:降级QQ电脑管家。
我们可以安装较为早期的QQ电脑管家,采取完全卸载后重新安装或者完整覆盖安装的方式,将其降级到稍早的版本。但是这种方式是否有效,目前未知,也有同行反馈一定量的电脑卸载QQ电脑管家后并不能解决,这种方式我们不鼓励。
- 方案二:卸载并完全清除所有流氓软件及其痕迹。
这种方式自然是最好的解决方案,但是也是最为费时的,因为流氓软件之所以得名,就是因其安装容易卸载难。正常情况下,软件的默认安装目录是C:\Program Files或C:\Program Files (x86),部分软件会在C:\Users\当前用户\AppData中创建数据或者程序,这是为了保证数据和程序的安全性。然而由于Windows的工作机制漏洞,这个AppData目录反而成了流氓软件的首选安装路径。除此之外,流氓软件还会创建诸如驱动级文件、服务、计划任务、插件等,以便自身在系统启动时启动,更有甚者还会修改系统引导或硬盘引导。所以对于很多用户面对流氓软件都会有卸载了还有,卸载了还会出现的感觉,那是因为你没有将它完全清除干净。目前来看,不重装系统的情况下,这个操作是最彻底最根本的解决方式,但是技术难度也是最高的。
- 方案三:禁用所有软件的开机启动,让其共存。
这是一种选择性忽视的方法,也是解决问题最快的方法,几分钟内即可将问题解决。但是这种解决方案和方案一一样,隐患较大,也不是我们所推荐的。
- 方案四:借助第三方软件处理。
有人试图通过某数字安全软件的“蓝屏修复”功能解决,这个修复方式其实也是该软件分析蓝屏相关信息之后做出的操作,由于该软件从客户手中获取到了完整的电脑控制权,可能会得到更加完整的蓝屏信息,所以或许能找到根源性的流氓软件本体,由于没有相关样本,我们无法判断其机制。但是这种解决方案和方案一、方案三一样,没有解决仍然存在的隐患。并且,该软件本身也会捆绑一些自己公司生产的其他软件,从而占领阵地,对于一些不需要或不习惯此类软件的用户,也会不胜其扰。
方案五:先使用方案一、三、四处理之后,再进行方案二操作。这种方案相对较为完善,但是和方案二一样,需要一定的技术水平。
方案六:重装系统。这个方案是最为方便快捷无后患的,需要的技术水平较方案二、五稍低。但是需要注意的,重装完毕的电脑要注意在安装软件的时候不要再次安装上流氓软件,否则后患依然。
说了半天的流氓软件,到底哪些软件是流氓软件呢?请关注我们的公众号,下一篇文章我们将着重为大家讲解流氓软件的那些套路。
特别鸣谢:IT天空Skyfree、定州市鼎盛电脑、清河县浩兴电脑、博兴县北斗星科技、沂水县延辉电脑、肥城市鼎诚电脑、临朐县鑫达电脑等。
以上朋友为本文的成文提供了一些帮助,排名不分先后,功劳不分大小,未提到的朋友也请原谅老盛的疏漏。
样本有限,技术也有限,将就看吧。