本帖最后由 德玛西亚网吧 于 2018-1-24 16:57 编辑
不说了,网吧现在已经被领航绑架了,领航导致的各种问题网吧都不愿意相信,从今天起,发现领航的问题就锤,锤到领航无话可说。
网吧反馈最近几天开始各种卡顿掉线,单台客户机随机出问题。一开始我是不相信的,以为是网络波动,毕竟这几天晚上吃鸡的服务器偶尔会卡一下。
后来看了网吧给我发的小视频
,有兴趣的可以下载下来看看,客户机画面卡住不动,就像死机了一样。
根据以前排查问题的经验,此类问题应该是云计算类的增值导致的(别问我为什么不先怀疑回写盘、交换机)。
远程了客户机看看,第一眼就看了问题所在
让网吧再看看别的机器
果然是句柄泄漏了,而且是System进程,这就很奇怪了。
本人技术能力有限,只能用排查法,先用我最开始做的系统,只安装过驱动的,没有任何问题。直接排除了无盘软件、服务器的问题。
接着运行了领航的客户端,过了一会儿,问题就出现了。
以上内容,都是本人排查问题时遇到的,没有真凭实据,所以我又想办法找人搞到了些有用的东西,可是这些东西我看不懂。但是我贴出来,总会有看得懂的人能看到的。检查系统的各种驱动,发现MiniProtect.sys很可疑,用PCHunter摘掉这个驱动的钩子后,system的句柄就不再增加了。
这个附件是抓到的领航的驱动
,很多人应该都能抓到这个驱动,抓不到可以在这里下载,驱动签名不会有假。
使用IDA分析,MiniProtect.sys+0x18f4的第三个参数如果设置为0的话,理应在后面的代码调用一次ObfDereferenceObject,可是这里没有,如图:
|
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
