有人注意过反复蓝屏问题和暗云木马么？

会员1124828

几个月前不少Win10出现反复蓝屏，代码CRITICAL_STRUCTURE_CORRUPTION，我检查后发现大多是中了MBR木马导致的，后来基本确定是“暗云”木马。

当时用360的系统急救箱可以杀，WinPE下用DiskGenius等软件重建MBR也可以解决。

用GHOST重装系统时好像没覆盖MBR，导致系统重装后病毒仍然留存。

360还发现了藏身BIOS的“谍影”木马，看上去是暗云的BIOS版，里面提到了这个蓝屏代码：
www.freebuf.com/articles/system/133243.html

不过他们说木马是用编程器刷进去的，而且只影响Legacy BIOS引导的系统。

最近好像不太容易碰见这个蓝屏了……

不知道有多少朋友注意过这个问题？

会员494089

目前没有遇到过 …… 值得注意

会员1124828

天意wx 发表于 2017-7-17 21:52
目前没有遇到过 …… 值得注意

关于CRITICAL_STRUCTURE_CORRUPTION或者0x00000109，我大概查过资料，它是微软的内核自我保护机制PatchGuard被触发后产生的。
可能原因分软件和硬件两个方面……
软件方面，可能是内核驱动木马、Bootkit木马，或者是某个驱动有Bug。
前者的例子是“天翼客户端木马事件”和“暗云木马”，后者的例子有VirtualBox，好像还有某个杀软。
原因大概可以解释为：
1.病毒想要劫持正常的系统函数来隐藏、保护自己，但病毒造成的篡改被不定时进行的PatchGuard检查发现，然后系统就主动触发蓝屏了。
2.杀软也想用类似的手段检查文件、拦截病毒，但老系统没被PatchGuard监视的地方，新系统纳入监视范围了，所以老系统不蓝屏，升级完系统就蓝屏。
3.VirtualBox被一些安卓模拟器使用，所以好像也能看到类似BlueStacks模拟器导致109蓝屏的帖子……这个好像是MSR寄存器的问题，具体我也不太懂。
硬件方面，可能是内存有问题，不过如果是内存的问题，一般会出现很多不同代码的蓝屏，CRITICAL_STRUCTURE_CORRUPTION只是可能出现的一种，这一点和上面的软件原因有很大不同。

另外，PatchGuard（尤其是Win7这种老系统）是有办法绕过的，游戏外挂/恶意软件都可能想办法让PatchGuard失效：
http://www.m5home.com/bbs/thread-7870-1-1.html
http://bbs.pediy.com/thread-187214.htm
如果PatchGuard被干掉了，那自然就没有109或CRITICAL_STRUCTURE_CORRUPTION蓝屏了，可想而知，这未必是什么好事……

会员1124828

天意wx 发表于 2017-7-17 21:52
目前没有遇到过 …… 值得注意

https://guanjia.qq.com/news/n3/201703/16_387.html
这里面提到的USBxxxxx.sys木马我是亲眼见过的，它也会导致反复蓝屏，但代码并不是CRITICAL_STRUCTURE_CORRUPTION。

会员1113005

这种蓝屏还没碰到过，涨姿势了