- 主题:为什么这次国内受微软影响小
不是受微软影响,是安全公司CrowdStrike的一个驱动导致的
这个公司在国内客户没那么多
--
FROM 221.218.161.*
哈哈
去年还是今年,火绒直接把MS的explorer.exe给remove了
【 在 coocodelie 的大作中提到: 】
: 编程这种版面也充斥中专生吗
--
FROM 221.218.161.*
技术细节
在 Windows 系统上,频道文件位于以下目录中:
C:\Windows\System32\drivers\CrowdStrike\
并且文件名以“ C-”开头。每个通道文件都分配有一个数字作为唯一标识符。此事件中受影响的通道文件为 291,文件名以“ C-00000291-”开头并以扩展名结尾.sys。虽然通道文件以 SYS 扩展名结尾,但它们不是内核驱动程序。
通道文件 291 控制 Falcon 如何评估 Windows 系统上的命名管道执行。命名管道用于 Windows 中的正常、进程间或系统间通信。
UTC 时间 04:09 发生的更新旨在针对新发现的常见 C2 框架在网络攻击中使用的恶意命名管道。配置更新触发了逻辑错误,导致操作系统崩溃。
频道文件 291
CrowdStrike 已通过更新通道文件 291 中的内容纠正了逻辑错误。除了更新后的逻辑之外,不会对通道文件 291 进行任何其他更改。Falcon 仍在评估和防止滥用命名管道。
这与通道文件 291 或任何其他通道文件中包含的空字节无关。
www dot crowdstrike dot com /blog/technical-details-on-todays-outage/
--
修改:z16166 FROM 221.218.161.*
FROM 221.218.161.*
安全模式,或者“回退到上次成功启动的状态”,再加上手动的PE模式(专家用的),
这些就是微软给严重崩溃设计的预案
【 在 abettor 的大作中提到: 】
: 驱动程序有bug, 降级就行了, 也不应该蓝屏死机啊
: 阿三掌管微软后就是不太行啊
:
--
FROM 221.218.161.*
感觉类似从云端下发规则、策略、特征库。
这个sys文件里就是安全规则、策略、特征库之类的东西,然后其内核驱动会执行这个规则。
一般要测试,所以说是草台班子了。
我以前也干过类似的事情,远没这个严重
有个小兄弟也干过,差点把公司搞死了,具体就不说了
【 在 wknh 的大作中提到: 】
: 这更奇怪了
: 发布前都不测试吗?
:
: ...................
--
FROM 221.218.161.*