Nếu bạn đã đọc Dedoimedo trong mười một năm qua, bạn sẽ biết rằng tôi không quá thích phần mềm bảo mật. Nhưng tôi thử nghiệm các sản phẩm bảo mật, chỉ để xem cách chúng hoạt động trong phạm vi rộng hơn. Việc thực hành vị tha như vậy cũng cho phép tôi so sánh và đánh giá phần mềm, đặc biệt là so với tiêu chuẩn vàng của các chương trình bảo mật Windows, EMET vinh quang, hữu ích và vô nghĩa nhất. Ở đó.
Dù sao đi nữa, vài tháng trước, tôi đã quét bằng MalwareBytes Anti-Malware (MBAM) trên máy Windows 7 và ở giữa quá trình quét, tôi gặp Màn hình xanh chết chóc (BSOD). Không tốt. Sau khi hồi phục, tôi bắt đầu cuộc điều tra. Theo tôi.
Thiết lập hoạt động, thông tin bổ sung
Trước khi chúng tôi bắt đầu tìm hiểu chuyện gì đã xảy ra, hãy để tôi cung cấp cho bạn thêm một số thông tin. Mặt khác, điều này trong khi tập thể dục là vô nghĩa. Đầu tiên, BSOD. Nói chung, Windows cực kỳ ổn định trong môi trường gia đình - máy chủ là một chủ đề riêng biệt - và thực sự không có lý do gì khiến bạn gặp sự cố hệ thống nghiêm trọng do lỗi nhân Windows bên trong.
Trong khoảng 15 năm sử dụng Windows nhiều, trải rộng trên khoảng chục hệ thống khác nhau, tôi chỉ gặp phải BSOD một vài lần - do card đồ họa quá nóng, do trình điều khiển đồ họa bị lỗi, một tình tiết đáng buồn mà chúng tôi đã nói đến từ lâu, và một lần khi tôi kết nối điện thoại thông minh qua cáp USB. Đó là về nó.
Thật vậy, quay trở lại tuyên bố trước đây của tôi, lần duy nhất bạn thấy sự cố hạt nhân là do lỗi phần cứng hoặc trình điều khiển bị lỗi, thực sự, điều này hoàn toàn phù hợp với lịch sử sử dụng của tôi. Điều này cũng đi đôi với kinh nghiệm làm việc khá phong phú của tôi với Linux, mà tôi đã ghi lại trong cuốn sách về sự cố Linux của mình. Về bản chất, phần cứng, cuộc gọi hệ thống xấu hoặc lỗi hạt nhân thuần túy. Đó là tất cả những gì có, và cuối cùng là ít có khả năng nhất.
Nhưng bây giờ, tôi đang gặp sự cố với trình điều khiển ataport.sys - đây là trình điều khiển của Microsoft và trình điều khiển này sẽ không có bất kỳ lỗi nào. Sau đó, chúng ta có một vấn đề phần cứng trong tay? Và nếu có thì loại nào? Tuy nhiên, trước khi chúng ta vội vã tiến tới, tôi muốn bạn chú ý đến nghệ thuật giải quyết vấn đề và cách nó phải được thực hiện một cách chậm rãi, cẩn thận và có phương pháp.
Phân tích, bước đầu tiên
Được rồi. Hãy hiểu những gì đã xảy ra. Chúng tôi biết cách phân tích BSOD vì tôi đã chỉ cho bạn cách thực hiện điều đó trong hướng dẫn BSOD chi tiết của mình. Sử dụng một trong những công cụ có sẵn được trình bày trong hướng dẫn, chúng ta có thể phân tích kết xuất sự cố. Tôi đã chọn chương trình BlueScreenView của Nirsoft. Hóa ra sự cố là do:
ataport.SYS+1ff3c
Và lỗi cụ thể là KERNEL_DATA_INPAGE_ERROR. Kiểm tra một số đối số khác có sẵn trong lõi bộ nhớ, điều này chỉ ra lỗi phần cứng trong quá trình vận hành lõi, điều này chắc chắn dẫn đến sự cố hệ thống. Cho đến nay rất đơn giản.
Nhưng tại sao sự cố lại xảy ra trong quá trình quét MBAM?
Đây là một câu hỏi thú vị? Thật vậy, bây giờ chúng ta cần tìm hiểu xem:
- Sự cố này chỉ dành riêng cho MBAM.
- Một sự cố hệ thống chung hơn đã vô tình xuất hiện trong quá trình quét.
Để xác định xem khẳng định a) hay b) là đúng, chúng ta cần lặp lại các tình huống xảy ra sự cố. Một vài chi tiết khác ở đây:Máy Windows 7, không có phần mềm bảo mật bổ sung nào ngoài EMET, với bộ chứa TrueCrypt được gắn. Điều này quan trọng và phù hợp vì đây là một phần mềm khác sử dụng trình điều khiển lớp lưu trữ và có khả năng ảnh hưởng đến kết quả của tình huống này.
Tôi đã quét lần thứ hai - nhưng lần này hệ thống không gặp sự cố, bộ chứa TrueCrypt và tất cả. Tuy nhiên, tôi đã thấy lỗi trong Nhật ký sự kiện, ID sự kiện 11 có nội dung:
Trình điều khiển đã phát hiện lỗi bộ điều khiển trên \Device\Ide\IdePort1.
Tôi chưa bao giờ thấy loại lỗi này trước đây và thời gian quét MBAM khá thú vị. Bây giờ chúng tôi đã có thêm thông tin trong tay, chúng tôi phải tìm ra bước tiếp theo trong cuộc điều tra của mình.
Ý nghĩa của lỗi bộ điều khiển
Nếu bạn tìm kiếm lỗi cụ thể này, bạn sẽ tìm thấy toàn bộ các mục, từ những người hỏi cùng một câu hỏi. Cuối cùng, nó tập trung vào ba vấn đề chính - cáp SATA xấu, đĩa xấu hoặc bộ điều khiển chipset xấu, nghĩa là một bo mạch chủ mới. Nghe khá nham hiểm. Tuy nhiên, sự cố chỉ xuất hiện trong quá trình quét MBAM. Và tại thời điểm này, chúng ta cần hiểu liệu chúng ta đang xử lý một sự cố đơn lẻ hay một sự cố hệ thống.
Phân tích, tình trạng hệ thống
Tôi quyết định kiểm tra tình trạng của máy ở nhiều cấp độ, bao gồm cả kiểm tra phần cứng. Xin lưu ý rằng bạn không bao giờ có thể chắc chắn 100%. Ngay cả khi kiểm tra cụ thể rõ ràng, về mặt kỹ thuật, phần cứng của bạn có thể chết vào ngày hôm sau. Do đó, bạn không thể tìm kiếm sự an ủi và đảm bảo trong những lần kiểm tra này. Những gì họ nói với bạn là trong thời điểm hiện tại, trong trường hợp tốt nhất, không có triệu chứng nào cho thấy một vấn đề lớn hơn.
- Kiểm tra đĩa SMART, làm sạch.
- WD Data Lifeguard Diagnostics kiểm tra, làm sạch.
- Hệ thống ổn định ngoài sự cố ở trên.
- Không có sự cố nào khác xảy ra, kể cả một tuần sau sự cố.
Mặc dù tôi rất muốn làm một việc gì đó, nhưng tôi quyết định không làm gì cả và để máy tính chạy cả tuần, bao gồm các hoạt động căng thẳng như - chơi nhiều trò chơi có IO nặng, sao lưu dữ liệu, chụp ảnh hệ thống, Cập nhật Windows, v.v. Trong tất cả các thử nghiệm có thể xảy ra này, hệ thống hoạt động có thể dự đoán được, giống như cách nó đã có hàng tháng và hàng năm trước đó.
Tại thời điểm này, tôi quyết định rằng không có vấn đề sức khỏe sắp xảy ra với phần cứng, ít nhất là bất chấp số liệu thống kê tạm thời và mê tín dị đoan. Điều này khiến tôi tin rằng vấn đề là do MBAM gây ra. Và nó phù hợp với kinh nghiệm của tôi rằng Windows không bao giờ gặp sự cố, mà luôn là thứ khác làm điều đó.
MBAM, điều tra bổ sung
Bây giờ, chúng tôi tập trung vào phần mềm bảo mật này. Một lần nữa, nếu bạn tìm kiếm trực tuyến, bạn sẽ tìm thấy vô số mục, với các chủ đề chính này lặp đi lặp lại:a) phần mềm độc hại, như DUH, bao gồm một số trojan ngăn phần mềm bảo mật chạy và gây ra sự cố loại này b) người dùng khiếu nại rằng MBAM 3 gây ra sự cố trong khi MBAM 2 thì không c) rằng có thể có sự không tương thích với TrueCrypt có thể dẫn đến BSOD.
Tôi quyết định kiểm tra những giả thuyết này và xem liệu chúng có đúng không. Đầu tiên, liên quan đến c), điều này có thể đã từng là vấn đề, nhưng chắc chắn nó không còn nữa. Theo kinh nghiệm của tôi, tôi luôn có các ổ đĩa TrueCrypt được gắn và chúng chưa bao giờ gây ra sự cố trước đây.
Về a), điều này thật vô nghĩa, nhưng tôi đã quyết định làm theo một vài đề xuất nhanh để xem họ có kiểm tra không. Tất nhiên là không. Hơn nữa, MBAM đã hoàn thành lần quét tiếp theo mà không có bất kỳ BSOD nào nhưng có các lỗi bộ điều khiển có liên quan, giúp thu hẹp vấn đề đối với phần mềm.
MBAM + ID sự kiện 11
Bây giờ, chúng ta thực sự có thể tìm kiếm thông tin liên quan. Chỉ có một số ít mục trong diễn đàn chính thức và câu chuyện của họ rất giống với câu chuyện của tôi. Một số người đã gặp sự cố và họ phát hiện ra sự cố này là do xung đột giữa trình điều khiển MBAM và Intel Rapid Storage Technology (RST). à. Tôi đã cài đặt trình điều khiển được hỗ trợ mới nhất và khởi động lại. Tôi đã khám phá ra một số điều trong quá trình thực hiện:
- Các ký tự ổ đĩa của tôi bị lộn xộn, vì vậy tôi phải gán lại chúng cho chính xác.
- Đèn đĩa trên thùng máy ít nhấp nháy hơn trước - ngay cả khi không bật bất kỳ quản lý năng lượng nào của Liên kết SATA - đây có thể chỉ là một trò lừa thị giác hoặc thực tế là hoạt động kiểm tra ổ đĩa đã giảm hơn trước. Số liệu hệ thống không cho thấy bất kỳ sự khác biệt lớn nào.
- Có một sự gia tăng hiệu suất rất nhẹ do các trình điều khiển mới này.
Và bây giờ, tôi đã chạy một lần quét MBAM mới và nó đã hoàn thành mà không gặp bất kỳ sự cố nào. Đây cũng không phải là bất kỳ lỗi nào trong Nhật ký sự kiện. Vì vậy, hóa ra đây là sự cố do phần mềm của bên thứ ba gây ra chứ không phải lỗi của Microsoft hay sự cố phần cứng. Tái bút Những người dùng MBAM khác đã báo cáo sự cố sẽ biến mất SAU KHI nâng cấp phiên bản MBAM.
Hãy để tôi từ chối nó, các lỗi không phải do Windows hoặc các nền tảng cơ bản gây ra, theo như bạn có thể nói. Nó không nằm trong khả năng hợp lý của người dùng để tìm ra điều này. Bởi vì trên máy tính để bàn cũ của tôi, như bạn có thể đọc trong bài viết thú vị của tôi về chủ đề này, một đĩa có bảng dữ liệu SMART sạch sẽ đã chết mà không có bất kỳ cảnh báo trước nào, trong khi một đĩa khác, với sự cố được cho là cực kỳ nghiêm trọng đáng lẽ phải thông báo đĩa sắp chết, đã đã tồn tại trong nhiều tháng một cách vui vẻ kể từ khi lỗi xuất hiện. Số liệu thống kê hoạt động tốt cho đến khi chúng chống lại bạn.
Nhưng đối với tất cả các mục đích thực tế, ngay tại đây, ngay lúc đó, đó là sự cố 100% MBAM và không liên quan gì đến phần cứng. Xung đột giữa trình quét bảo mật với các đặc quyền hệ thống cấp thấp và trình điều khiển lưu trữ. Câu hỏi là tại sao?
Thật vậy, tại sao?
Nếu không có quyền truy cập vào các nguồn mã MBAM, bạn không thể thực sự biết chắc chắn, nhưng tôi có một lý thuyết. Phần mềm độc hại đôi khi cố ẩn mình trên đĩa bằng tất cả các loại kế hoạch thông minh. Một cách để làm điều đó là buộc hệ thống sử dụng các trình điều khiển I/O giả, để chúng báo đĩa sạch. Điều này có nghĩa là trình quét phần mềm độc hại có thể không tin tưởng vào các chức năng của hệ thống để trả về giá trị thực.
Tôi tin rằng MBAM thực hiện các chức năng truy cập đĩa của riêng nó, bao gồm các lệnh của bộ điều khiển, cũng như các lệnh gọi và chức năng tìm kiếm, đọc, hủy liên kết cũng như các chức năng và lệnh gọi hệ thống khác của chính nó. Vì lý do nào đó, một trong những lệnh này đã xung đột với RST của Intel, gây ra lỗi I/O mà hệ thống hiểu là lỗi bộ điều khiển. Do đó, BSOD hoặc sự kiện hệ thống. Đây là lý thuyết của tôi, và nó có thể sai, nhưng nó có lý.
Đọc thêm
Vì bạn không bao giờ có thể chắc chắn rằng hệ thống của mình sẽ không bị lỗi, nên bạn thực sự nên lập kế hoạch cho lỗi của chúng. Nói cách khác, hãy đón nhận những khoảnh khắc đau thương, chuẩn bị sẵn sàng khi chúng xảy ra để bạn có thể hồi phục nhanh chóng với tổn thất tối thiểu. Chẳng hạn, tôi luôn có phần cứng dự phòng, bao gồm ít nhất 2-3 đĩa cứng mới.
Tôi cũng siêng sao lưu dữ liệu và thực hiện image hệ thống để nếu có nhu cầu thay thế phần cứng, tôi có thể nhanh chóng quay trở lại với năng suất. Và điều đó xảy ra, vài tháng trước, tôi đã phải đối mặt với lỗi đĩa đột ngột này trên một máy tính để bàn khác. Đừng lo lắng. Tôi đã hoạt động trở lại trong vòng khoảng một giờ mà không bị mất dữ liệu hay thậm chí là cấu hình hệ thống.
Cuối cùng, tôi nói về cách giải quyết vấn đề và cách thực hiện nó một cách có phương pháp. Đây là bản chất của việc khắc phục sự cố, đặc biệt là các vấn đề về phần cứng và phần mềm. Nếu bạn làm đúng, bạn sẽ ít mắc lỗi hơn, tiết kiệm thời gian và tiền bạc. Thay đổi mọi thứ một cách mù quáng không bao giờ là một ý tưởng hay. Tôi cũng có cả một cuốn sách về điều này.
Kết luận
Đây là một vấn đề khó khăn, phức tạp, với nhiều yếu tố ảnh hưởng. Tại một thời điểm, chúng tôi có thể gặp sự cố phần cứng trên nhiều mặt, TrueCrypt, phần mềm độc hại và lỗi phần mềm, tất cả đều tranh giành sự chú ý. Giải quyết điều này không dễ dàng. Chưa hết, với cách làm việc cẩn thận, chậm rãi, chúng tôi có thể hiểu đầy đủ vấn đề, xác định nguyên nhân gốc rễ, xác thực các khiếu nại và thử nghiệm các giải pháp tiềm năng. Tất cả mà không có bất kỳ thay đổi hệ thống mạnh mẽ.
Tôi tin rằng đây là một bài học quý giá. Nó đã xảy ra với tôi, nhưng tôi muốn bạn lấy đi những phát hiện. Bất cứ khi nào có điều gì tồi tệ xảy ra, Internet sẽ ném rác vào bạn. Phần cứng, phần mềm độc hại, hãy lựa chọn của bạn. Mọi người sẽ gặp vấn đề của bạn, tuy nhiên, nó sẽ hơi khác một chút và không hoàn toàn áp dụng được. Bạn có thể phát điên theo cách này. Có một sự cám dỗ mạnh mẽ để thử những gì tất cả những người này đã làm. Nhưng cách tốt nhất là kiểm tra rất cẩn thận các triệu chứng, phân tích kỹ lưỡng chúng và áp dụng các bản sửa lỗi, các bản sửa lỗi có thể đảo ngược, có thể định lượng đầy đủ, bắt đầu từ những bản sửa lỗi đơn giản nhất, ít xâm phạm nhất.
Đó là cách chúng tôi đã đi về vấn đề này. Chúng ta có biết chuyện gì đã xảy ra không? Chúng ta có thể tái sản xuất nó? Thông tin mới tìm thấy có ý nghĩa không? Chúng ta có thể xác nhận các nguyên nhân có thể không? Chúng ta có thể loại bỏ một số trong số họ? Với những cái chúng tôi còn lại, một vòng tìm kiếm mới. Tuyên bố mới, giả thuyết mới, kiểm tra mới. Kết quả rõ ràng, có thể lặp lại. Nghị quyết. Hiểu biết. Vui vẻ. Tôi hy vọng bạn thích điều này. Hãy nhớ rằng, đừng đổ lỗi cho Windows và hãy hoài nghi về những gì Internet nói về phần cứng của bạn. Đó là tất cả cam chịu và u ám. Nhưng nó không phải như vậy. Chúc mừng máy tính.
Chúc mừng.