最近网吧行业玩DNF游戏过程中突然出现109蓝屏比较多,各类网吧技术人员提供了各类解决办法,效果不一定明显。 而且随着DNF等腾讯游戏的更新,109蓝屏的概率出现不一样的波动。 没有找到罪魁祸首之前,本文也谈不了 ...
最近网吧行业玩DNF游戏过程中突然出现109蓝屏比较多,各类网吧技术人员提供了各类解决办法,效果不一定明显。 而且随着DNF等腾讯游戏的更新,109蓝屏的概率出现不一样的波动。
没有找到罪魁祸首之前,本文也谈不了解决办法,但是我们至少可以明白下,这个蓝屏到底是怎么回事。 好比是,就算糊涂的你在电视剧里都活不到第二集,但是至少得知道自己是被谁干掉的吧。 一 DNF游戏中出现109蓝屏究竟是什么东西?那得从微软开始说起。
从前,微软不希望任何程序更改内核,就弄了PatchGuard。这个能够有效防止内核模式驱动改动或替换Windows内核的任何内容,第三方软件将无法再给Windows 内核添加任何“补丁”。 二 PatchGuard是如何工作的?它是靠什么引发蓝屏的? 没有确切的答案,微软不说。 但是有个《Bypassing PatchGuard on Windows X64》的文档里提到过其中一个方面。 PatchGuard保护了ntoskrnl.exe,hal.dll,ndis.sys不被恶意篡改。PatchGuard注册了个DPC,每隔一段时间(大约8分钟)就例行检查一次内核。 如果发现保护的驱动被修改了任何一处地方,则调用以下代码执行蓝屏: KeBugCheckEX(0x109,0x0,0x0,0x0,0x7) 据查(http://msdn.microsoft.com/en-us/library/ff557228(v=VS.85).aspx) ,BugCheckCode 为 0x109 是专门为 PatchGuard 准备的蓝屏。 This indicates that the kernel has detected critical kernel code or data corruption. 当出现109蓝屏时候,(百度翻译:这表明内核已检测到关键的内核代码或数据损坏。。) 也就是说没有了微软的 PatchGuard 的保护,就没有109蓝屏。(109蓝屏好比就是微软的 PatchGuard “弹窗提醒”你在,有坏人骚扰他了,调戏他了。) 但是如果没有 PatchGuard 的保护,任何来历不明的驱动都可以加载,任何函数都可以挂钩,在 WIN32 里的“驱动斗法”场景会再次出现。而“驱动斗法”,基本上都是以恶意软件胜利而告终。 也就是说,没有PatchGuard 也不行,有了他,虽然有109蓝屏,但是能遏制坏人进行更坏的行为,能有效约束他们,对行业长久来看,是有好处的。。。。。。 所以解决109蓝屏的根本在于找到这个坏人。而不在于微软的PatchGuard 的保护,微软的PatchGuard只是主动通过蓝屏109来告诉你环境里有坏人。 三 如何解决呢? 现在DNF109蓝屏到底是怎么回事,应该是明白了吧。 那接下来DNF109蓝屏到底该谁来解决呢? 基本是能力越大的责任就越大,就越应该带领大家抓《到底是谁触发了PatchGuard 的109蓝屏提醒》。 1 ,腾讯正在解决,因为DNF在其中啊,和TP有直接关联吧。 可能腾讯的TP安全组件也会检查,看是否有恶意程序作乱。 2, 网吧里的各大软件厂家来解决。因为用的你的软件呢。你帮忙找找源头也是情有可原的吧。 3 ,也有个人英雄逆袭的,发现了惊天阴谋,到底是谁“搞坏了”PatchGuard 。干掉他就行了,或者让他自己尽快修正。 除了腾讯给的测试补丁,我们也可以试试其他方面。 主要就是找源头,找到坏人,腾讯TP安全组件和各大网吧软件都可以把它列入黑名单屏蔽掉,蓝屏就不会出现了,问题就解决了。 或者是源头本身发现了其错误,主动修正了问题。 更可以网吧里最小化环境排查确定。在严重的网吧可以用干净的系统+各大无盘+计费软件。暂时不是要其他任何插件工具来确定方向。 万一找到了是什么东西在动微软的内核,找到这些个东西后,直接屏蔽掉就能立竿见影。 欢迎大家一起来找原因,并告诉我们,我们来爆料。。。。。 爆料1 :有个别网吧反馈设置危险进程 TenSafe.exe;TenSafe_1.exe ; 或者MD5过滤, 也可以解决蓝屏问题。TenioDL.exe;TPHelper.exe;TQMCenter.exe, 这样3个也可以考虑屏蔽。还在验证中。。。( 建议优先使用腾讯提供的补丁解决,不建议优先设置危险进程处理) —————————————————————————————————————— 本文“大量”技术说明,几乎原文照搬各类技术分享文档,主要来源有下: *百度。 *微软MSDN官方文档。 谷歌被拦,百度当道。其实主要是自身水平有限,所以如果有翻译有不准确的地方,你有本事就自己去翻译啊? *黑客防线,csdn论坛,《Bypassing PatchGuard on Windows X64》 *《在Win64 上反蓝屏》-胡文亮。 *..........
感谢他们指引了前行的方向,阿门。 —————————————————————————————————— |