内存地址。 其他的「驱动程序例如似乎是混淆的数据并且被「y」进行了-’操作。 因此或许是这种无效(配置签名)的数据触发了y中的故障。 通过调试可以更容易地判断这一点。 显然事故中最重要的悬而未决的问题就是这个文件究竟是什么? 旦引用它
们就立马崩溃了;而只要删
除它们就可以修复崩溃。 在V上他还对以及来自单个故障转储的数据进行了逆向分析。 最后分享出了y的几个版本(+)以及各种「-…y」文件(包括他认为已经包含了「修复」的最新文件)。所以希望网友们能继续挖掘。 就在昨天恶意软件专
家 有了更多细节的发现—— 这个地址处似乎有一个针 Rang 数据 对的文件魔法检查。 这个模式也是「通道文件」( )的前四个字节。全部为的文件就可能会导致该失败。 可以看到中与进行比较的值由y分配在顶部;那里正是接收Z读取的数据的缓冲区。 这个
值会在之后用传递给函数(在图中将这些 确保正确返回目录数据 我们在文章开头提 函数命名为内部的函数调用)。 通过合理性检查可发现:字节模式仅在此处检查的「通道文件」偏移处出现过一次。 以下就是执行类似的地址。 可以看到只有看起来不同。 二、官方解释 很快在官博放出
的解释对于网友们疑惑的问题进
行了澄清—— 年月日: 在持续运营中向系统发布了一次传感器配置更新这也是平台保护机制的一部分。 这次配置更新触发了一个逻辑错误导致受影响的
系统出现崩溃和蓝屏()。 导致系统崩溃的更新已于年月日: 得到修复。 报告地址中技术细节如下—— 在系统中通道文件位于以下目录::yv并且文件名以「-」开头。每个通道文件都有一个唯一编号作为标识。 此次事件中受影响的通道文件为文件名以「–」开头以y扩展名结尾。
虽然通道文件以Y扩展名结尾但它们不是 ZNB 目录 内核驱动程序。 通道文件会影响如何评估系统上的命名管道执行。这些命名管道用于中正常进程间或系统间通信的机制。 周五的更新本意是针对网络攻击中常见的框架中所使用的新发现的恶意命名管道但实际上却触
发了系统的逻辑错误导致崩溃。 不过这与通道文件或任何其他通道文件中的空字节问题无关。 此事已被网友用做成歌曲要想恢复就必须在安全模式下启动机器并且以本地管理员身份登录并删除内容——这是不可能自动化的。 因此这次瘫痪的打击面才会这么大并且难以恢复。 三、上次也是他 虽然承认了自己的错误并在周五发布了道歉声明和解决方案。 但他们尚未解释清楚这个破坏性的更新
