หากคุณอ่าน Dedoimedo มาตลอด 11 ปีที่ผ่านมา คุณจะรู้ว่าฉันไม่ชอบซอฟต์แวร์รักษาความปลอดภัยมากนัก แต่ฉันทำการทดสอบผลิตภัณฑ์รักษาความปลอดภัยเพื่อดูว่าพวกเขาทำงานอย่างไรในขอบเขตที่กว้างขึ้น การปฏิบัติที่ไม่เสียสละดังกล่าวยังช่วยให้ฉันสามารถเปรียบเทียบและตัดสินซอฟต์แวร์ โดยเฉพาะอย่างยิ่งกับมาตรฐานทองคำของโปรแกรมรักษาความปลอดภัยของ Windows ซึ่งเป็น EMET ที่ยอดเยี่ยม มีประโยชน์ และไร้สาระที่สุด ที่นั่น.
อย่างไรก็ตาม เมื่อไม่กี่เดือนที่ผ่านมา ฉันได้ทำการสแกนด้วย MalwareBytes Anti-Malware (MBAM) บนเครื่องที่ใช้ Windows 7 และระหว่างการสแกน ฉันพบ Blue Screen of Death (BSOD) ไม่ดี. เมื่อหายดีแล้ว ฉันก็เริ่มเป็นแม่ของการสืบสวนทั้งหมด ปฏิบัติตามฉัน.
การตั้งค่าการทำงาน ข้อเท็จจริงเพิ่มเติม
ก่อนที่เราจะเริ่มหาว่าเกิดอะไรขึ้น ให้ฉันให้ข้อมูลเพิ่มเติมแก่คุณ มิฉะนั้นขณะออกกำลังกายก็ไม่มีประโยชน์ ประการแรก BSOD โดยทั่วไปแล้ว Windows มีความเสถียรอย่างมากในสภาพแวดล้อมที่บ้าน - เซิร์ฟเวอร์เป็นหัวข้อแยกต่างหาก - และไม่มีเหตุผลใดที่คุณควรประสบกับปัญหาระบบล่มอย่างรุนแรงเนื่องจากจุดบกพร่องของเคอร์เนลภายใน Windows
ในการใช้งาน Windows อย่างหนักหน่วงเป็นเวลาประมาณ 15 ปี ซึ่งครอบคลุมระบบต่างๆ กว่าสิบระบบ ฉันมีอาการ BSOD เพียงไม่กี่ครั้ง - เกิดจากการ์ดกราฟิกร้อนเกินไป ไดรเวอร์กราฟิกบั๊ก มีเรื่องเศร้าที่เราพูดถึงกันยาวๆ และครั้งหนึ่ง เมื่อฉันเชื่อมต่อสมาร์ทโฟนผ่านสาย USB เกี่ยวกับมัน.
ย้อนกลับไปที่ข้อเรียกร้องก่อนหน้าของฉัน ครั้งเดียวที่คุณควรเห็นเคอร์เนลพังนั้นเกิดจากข้อผิดพลาดของฮาร์ดแวร์หรือไดรเวอร์ที่ผิดพลาด ซึ่งสอดคล้องกับประวัติการใช้งานของฉันอย่างสมบูรณ์แบบ สิ่งนี้ยังสอดคล้องกับประสบการณ์การทำงานที่ค่อนข้างกว้างขวางกับ Linux ซึ่งฉันได้บันทึกไว้ในหนังสือความผิดพลาดของ Linux โดยพื้นฐานแล้ว ฮาร์ดแวร์ การเรียกระบบที่ไม่ดี หรือจุดบกพร่องของเคอร์เนลล้วน ๆ นั่นคือทั้งหมดที่มี และสุดท้ายมีโอกาสน้อยที่สุด
แต่ตอนนี้ฉันประสบปัญหากับไดรเวอร์ ataport.sys ซึ่งเป็นไดรเวอร์ของ Microsoft และไม่ควรมีข้อบกพร่องใดๆ ถ้าอย่างนั้นเรามีปัญหาด้านฮาร์ดแวร์หรือไม่? และถ้าเป็นเช่นนั้น แบบไหน? ถึงกระนั้น ก่อนที่เราจะก้าวไปข้างหน้า ผมอยากให้คุณสนใจศิลปะของการแก้ปัญหาและวิธีที่มันต้องทำ ช้าๆ ระมัดระวัง เป็นระบบ
การวิเคราะห์ ขั้นตอนแรก
ไม่เป็นไร. มาทำความเข้าใจกับสิ่งที่เกิดขึ้นกันเถอะ เรารู้วิธีวิเคราะห์ BSOD เพราะฉันได้แสดงวิธีวิเคราะห์ในคู่มือ BSOD โดยละเอียดแล้ว เราสามารถวิเคราะห์การถ่ายโอนข้อมูลข้อขัดข้องโดยใช้หนึ่งในเครื่องมือที่มีให้ในบทช่วยสอน ฉันเลือกใช้โปรแกรม BlueScreenView ของ Nirsoft ปรากฎว่าความผิดพลาดเกิดจาก:
ataport.SYS+1ff3c
และข้อผิดพลาดเฉพาะคือ KERNEL_DATA_INPAGE_ERROR การตรวจสอบอาร์กิวเมนต์อื่น ๆ ที่มีอยู่ในแกนหน่วยความจำ ชี้ไปที่ข้อผิดพลาดของฮาร์ดแวร์ระหว่างการทำงานของเคอร์เนล ซึ่งนำไปสู่ความล้มเหลวของระบบอย่างหลีกเลี่ยงไม่ได้ จนถึงตอนนี้ง่ายมาก
แต่เหตุใดความผิดพลาดจึงเกิดขึ้นระหว่างการสแกน MBAM
นี่เป็นคำถามที่น่าสนใจ? ตอนนี้เราต้องหาว่า:
- ปัญหานี้เฉพาะกับ MBAM เท่านั้น
- ปัญหาทั่วไปของระบบที่เกิดขึ้นโดยบังเอิญระหว่างการสแกน
เพื่อยืนยันว่าการอ้างสิทธิ์ a) หรือ b) ถูกต้อง เราจำเป็นต้องทำซ้ำสถานการณ์ของการชน รายละเอียดเพิ่มเติมเล็กน้อยที่นี่:เครื่อง Windows 7 ไม่มีซอฟต์แวร์ความปลอดภัยเพิ่มเติมนอกเหนือจาก EMET พร้อมคอนเทนเนอร์ TrueCrypt ที่ติดตั้ง นี่เป็นสิ่งสำคัญและมีความเกี่ยวข้อง เนื่องจากเป็นซอฟต์แวร์อีกตัวที่ใช้ไดรเวอร์ชั้นจัดเก็บข้อมูลและอาจส่งผลต่อผลลัพธ์ของสถานการณ์นี้
ฉันทำการสแกนครั้งที่สอง - แต่คราวนี้ระบบไม่ขัดข้อง คอนเทนเนอร์ TrueCrypt และทั้งหมด อย่างไรก็ตาม ฉันเห็นข้อผิดพลาดในบันทึกเหตุการณ์ รหัสเหตุการณ์ 11 อ่านว่า:
ไดรเวอร์ตรวจพบข้อผิดพลาดของคอนโทรลเลอร์ใน \Device\Ide\IdePort1
ฉันไม่เคยเห็นข้อผิดพลาดประเภทนี้มาก่อน และเวลาในการสแกน MBAM ก็น่าสนใจทีเดียว ขณะนี้เรามีข้อมูลเพิ่มเติมแล้ว เราต้องหาขั้นตอนต่อไปในการตรวจสอบของเรา
ความหมายของคอนโทรลเลอร์ผิดพลาด
หากคุณค้นหาข้อผิดพลาดเฉพาะนี้ คุณจะพบรายการทั้งหมดตั้งแต่คนที่ถามคำถามเดียวกัน สรุปแล้วสรุปประเด็นหลักสามประเด็น ได้แก่ สาย SATA ไม่ดี ดิสก์เสีย หรือตัวควบคุมชิปเซ็ตไม่ดี ซึ่งหมายถึงเมนบอร์ดใหม่อย่างมีประสิทธิภาพ ฟังดูน่ากลัวทีเดียว อย่างไรก็ตาม ปัญหาจะปรากฏระหว่างการสแกน MBAM เท่านั้น และ ณ จุดนี้ เราต้องเข้าใจว่าเรากำลังจัดการกับเหตุการณ์เฉพาะหน้าหรือปัญหาของระบบหรือไม่
การวิเคราะห์, ความสมบูรณ์ของระบบ
ฉันตัดสินใจตรวจสอบสถานะของเครื่องในหลายระดับ รวมถึงการตรวจสอบฮาร์ดแวร์ โปรดทราบว่าคุณไม่สามารถแน่ใจได้ 100% แม้ว่าการตรวจสอบเฉพาะจะออกมาสะอาด แต่ในทางเทคนิคแล้ว ฮาร์ดแวร์ของคุณก็อาจเสียได้ในวันถัดไป ดังนั้นคุณจึงไม่สามารถขอคำปลอบใจและรับประกันในเช็คเหล่านี้ได้ สิ่งที่พวกเขาบอกคุณก็คือ ในกรณีที่ดีที่สุดในขณะนี้ ไม่มีอาการใดๆ ที่บ่งบอกถึงปัญหาในวงกว้าง
- ตรวจสอบ SMART ของดิสก์ ล้างข้อมูล
- WD Data Lifeguard Diagnostics ตรวจสอบ ล้างข้อมูล
- ระบบมีความเสถียรสูง นอกเหนือจากปัญหาข้างต้น
- ไม่มีปัญหาอื่นๆ เกิดขึ้นเลย รวมถึงหนึ่งสัปดาห์เต็มหลังจากเหตุการณ์ดังกล่าว
แม้ว่าฉันอยากจะทำอะไรบางอย่าง แต่ฉันตัดสินใจที่จะไม่ทำอะไรและปล่อยให้คอมพิวเตอร์ทำงานตลอดทั้งสัปดาห์ รวมถึงกิจกรรมที่เคร่งเครียด เช่น เกมจำนวนมากที่มี IO จำนวนมาก การสำรองข้อมูล การทำอิมเมจระบบ การอัปเดต Windows และอื่นๆ ในการทดสอบทั้งหมดเหล่านี้ ระบบมีพฤติกรรมที่คาดเดาได้ในลักษณะเดียวกับเมื่อหลายเดือนและหลายปีก่อนหน้านี้
ณ จุดนี้ ฉันตัดสินใจว่าไม่มีปัญหาสุขภาพที่ใกล้เข้ามากับฮาร์ดแวร์ อย่างน้อยที่สุด สถิติทางโลกและความเชื่อโชคลางก็ตาม สิ่งนี้ทำให้ฉันเชื่อว่าปัญหาเกิดจาก MBAM และมันก็สอดคล้องกับประสบการณ์ของฉันที่ว่า Windows ไม่เคยล่มเลย มีอะไรอย่างอื่นทำเสมอ
MBAM การสอบสวนเพิ่มเติม
ตอนนี้ เรามุ่งเน้นไปที่ซอฟต์แวร์ความปลอดภัยนี้ อีกครั้ง หากคุณค้นหาทางออนไลน์ คุณจะพบรายการจำนวนไม่สิ้นสุด โดยมีประเด็นหลักเหล่านี้เกิดขึ้นซ้ำๆ:ก) มัลแวร์ เช่น DUH รวมถึงโทรจันบางตัวที่ป้องกันไม่ให้ซอฟต์แวร์ความปลอดภัยทำงานและทำให้เกิดปัญหาประเภทนี้ ข) ผู้ใช้อ้างว่า MBAM 3 ทำให้เกิดข้อขัดข้องในขณะที่ MBAM 2 ไม่ได้ c) อาจมีความเข้ากันไม่ได้กับ TrueCrypt ที่อาจนำไปสู่ BSOD
ฉันตัดสินใจที่จะทดสอบสมมติฐานเหล่านี้และดูว่าเป็นจริงหรือไม่ ประการแรก เกี่ยวกับข้อ ค) นี่อาจเป็นปัญหาครั้งหนึ่ง แต่แน่นอนว่าไม่ใช่อีกต่อไปแล้ว จากประสบการณ์ของฉัน ฉันมักจะเมาต์วอลลุม TrueCrypt และไม่เคยทำให้เกิดข้อขัดข้องมาก่อน
เกี่ยวกับ ก) นี่เป็นเรื่องไร้สาระ แต่ฉันตัดสินใจทำตามคำแนะนำสั้นๆ สองสามข้อเพื่อดูว่าพวกเขาตรวจสอบหรือไม่ แน่นอนพวกเขาไม่ นอกจากนี้ MBAM ยังทำการสแกนในภายหลังให้เสร็จสมบูรณ์โดยไม่มี BSOD ใดๆ แต่มีข้อผิดพลาดของคอนโทรลเลอร์ที่เกี่ยวข้อง ซึ่งจำกัดปัญหาให้แคบลงเฉพาะซอฟต์แวร์
MBAM + รหัสเหตุการณ์ 11
ตอนนี้เราสามารถค้นหาข้อมูลที่เกี่ยวข้องได้อย่างแท้จริง มีเพียงไม่กี่รายการในฟอรัมอย่างเป็นทางการ และเรื่องราวของพวกเขาก็คล้ายกับของฉันมาก หลายคนมีปัญหา และพวกเขาพบว่าสิ่งนี้เกิดจากการปะทะกันระหว่างไดรเวอร์ MBAM และ Intel Rapid Storage Technology (RST) อ่า ฉันติดตั้งไดรเวอร์ที่รองรับล่าสุดและรีบูต ฉันค้นพบหลายสิ่งหลายอย่างระหว่างทาง:
- อักษรระบุไดรฟ์ของฉันผิดพลาด ฉันจึงต้องกำหนดใหม่ให้ถูกต้อง
- ไฟดิสก์บนเคสกะพริบน้อยกว่าเมื่อก่อน แม้ว่าไม่ได้เปิดใช้การจัดการพลังงาน SATA Link ก็ตาม นี่อาจเป็นเพียงภาพลวงตา หรือจริงๆ แล้วกิจกรรมการสำรวจดิสก์ลดลงกว่าเดิม เมตริกของระบบไม่แสดงความแตกต่างมากนัก
- มีการเพิ่มประสิทธิภาพเล็กน้อยเนื่องจากไดรเวอร์ใหม่เหล่านี้
และตอนนี้ ฉันรันการสแกน MBAM ใหม่ และเสร็จสิ้นโดยไม่มีปัญหาใดๆ และไม่มีข้อผิดพลาดเหล่านี้ในบันทึกเหตุการณ์ ปรากฎว่านี่เป็นปัญหาที่เกิดจากซอฟต์แวร์ของบุคคลที่สาม ไม่ใช่ความผิดของ Microsoft หรือปัญหาฮาร์ดแวร์ ป.ล. คน MBAM คนอื่น ๆ รายงานว่าปัญหาจะหายไปหลังจากการอัปเกรดเวอร์ชัน MBAM
ผมขอปฏิเสธข้อผิดพลาดไม่ได้เกิดจาก Windows หรือแพลตฟอร์มพื้นฐาน เท่าที่คุณสามารถบอกได้ มันไม่ได้อยู่ในความสามารถที่สมเหตุสมผลของผู้ใช้ที่จะคิดออก เนื่องจากบนเดสก์ท็อปเครื่องเก่าของฉัน อย่างที่คุณอ่านได้ในบทความที่มีความสุขของฉันเกี่ยวกับหัวข้อนี้ ดิสก์ที่มีแผ่นข้อมูล SMART ที่ไม่มีจุดด่างพร้อยตายโดยไม่มีการเตือนล่วงหน้า ในขณะที่อีกอันหนึ่งซึ่งมีปัญหาร้ายแรงที่คาดคะเนว่าน่าจะประกาศการตายของดิสก์ที่ใกล้เข้ามา อยู่ได้หลายเดือนอย่างมีความสุขตั้งแต่ข้อผิดพลาดปรากฏขึ้น สถิติทำงานได้ดีจนกว่าพวกเขาจะต่อต้านคุณ
แต่เพื่อวัตถุประสงค์ในทางปฏิบัติทั้งหมด ณ ตอนนี้ เป็นปัญหาของ MBAM 100% และไม่เกี่ยวข้องกับฮาร์ดแวร์เลย การปะทะกันระหว่างเครื่องสแกนความปลอดภัยที่มีสิทธิ์ระบบระดับต่ำและไดรเวอร์อุปกรณ์จัดเก็บข้อมูล คำถามคือทำไม?
แน่นอน ทำไม?
หากไม่มีการเข้าถึงซอร์สโค้ด MBAM คุณจะไม่รู้แน่ชัด แต่ฉันมีทฤษฎี มัลแวร์พยายามซ่อนตัวเองในดิสก์ในบางครั้งโดยใช้แผนการที่ชาญฉลาดทุกประเภท วิธีหนึ่งในการทำเช่นนี้คือการบังคับให้ระบบใช้ไดรเวอร์ I/O ปลอม เพื่อให้รายงานดิสก์ที่สะอาด ซึ่งหมายความว่าโปรแกรมสแกนมัลแวร์อาจไม่สามารถเชื่อถือการทำงานของระบบในการส่งคืนค่าจริงได้
ฉันเชื่อว่า MBAM ใช้ฟังก์ชันการเข้าถึงดิสก์ของตัวเอง รวมถึงคำสั่งตัวควบคุม เช่นเดียวกับการค้นหา อ่าน ยกเลิกการเชื่อมโยง และการเรียกใช้ระบบและฟังก์ชันอื่นๆ ของตัวเอง ด้วยเหตุผลบางประการ คำสั่งข้อใดข้อหนึ่งขัดแย้งกับ RST ของ Intel ทำให้เกิดข้อผิดพลาด I/O ซึ่งระบบตีความว่าเป็นข้อผิดพลาดของคอนโทรลเลอร์ ดังนั้น BSOD หรือเหตุการณ์ของระบบ นี่คือทฤษฎีของฉัน และมันอาจจะผิด แต่ก็สมเหตุสมผล
อ่านเพิ่มเติม
เนื่องจากคุณไม่สามารถแน่ใจได้ว่าระบบของคุณจะไม่ล้มเหลว คุณจึงควรวางแผนสำหรับความล้มเหลว กล่าวอีกนัยหนึ่งคือ ยอมรับช่วงเวลาที่เจ็บปวด เตรียมพร้อมเมื่อมันเกิดขึ้น เพื่อที่คุณจะได้ฟื้นตัวอย่างรวดเร็วโดยมีความสูญเสียน้อยที่สุด ตัวอย่างเช่น ฉันมีฮาร์ดแวร์สำรองอยู่เสมอ รวมถึงฮาร์ดดิสก์ใหม่อย่างน้อย 2-3 ตัว
ฉันยังสำรองข้อมูลและทำอิมเมจระบบอย่างขยันขันแข็ง ดังนั้นหากจำเป็นต้องเปลี่ยนฮาร์ดแวร์ ฉันก็สามารถกลับไปใช้ประสิทธิภาพการทำงานได้อย่างรวดเร็ว และมันก็เกิดขึ้นเมื่อหลายเดือนก่อน ฉันเคยเผชิญกับความล้มเหลวของดิสก์อย่างกะทันหันบนเดสก์ท็อปเครื่องอื่น ไม่ต้องห่วง. ฉันกลับมาใช้งานได้ภายในหนึ่งชั่วโมงโดยไม่สูญเสียข้อมูลหรือแม้แต่การกำหนดค่าระบบ
ในที่สุดฉันก็คุยโวเกี่ยวกับการแก้ปัญหาและวิธีที่ควรทำอย่างเป็นระบบ นี่คือสาระสำคัญของการแก้ไขปัญหา โดยเฉพาะปัญหาเกี่ยวกับฮาร์ดแวร์และซอฟต์แวร์ หากคุณทำอย่างถูกต้อง โอกาสที่คุณจะผิดพลาดก็น้อยลง ประหยัดเวลาและเงิน การเปลี่ยนแปลงสิ่งต่าง ๆ แบบสุ่มสี่สุ่มห้าไม่เคยเป็นความคิดที่ดี ฉันมีหนังสือทั้งเล่มเกี่ยวกับเรื่องนี้ด้วย
สรุป
นี่เป็นปัญหาที่ยากและซับซ้อน โดยมีปัจจัยหลายอย่างเข้ามาเกี่ยวข้อง ถึงจุดหนึ่ง เราอาจมีปัญหาเกี่ยวกับฮาร์ดแวร์ในหลายด้าน เช่น TrueCrypt มัลแวร์ และข้อบกพร่องของซอฟต์แวร์ที่ต่างแย่งชิงความสนใจ การแก้ปัญหานี้ไม่ใช่เรื่องง่าย และด้วยการทำงานที่ช้าและระมัดระวัง เราจึงสามารถเข้าใจปัญหาอย่างถ่องแท้ แยกสาเหตุที่แท้จริง ตรวจสอบการอ้างสิทธิ์ และทดสอบวิธีแก้ปัญหาที่เป็นไปได้ ทั้งหมดนี้ไม่มีการเปลี่ยนแปลงระบบที่รุนแรง
ฉันเชื่อว่านี่เป็นบทเรียนที่มีค่า มันเกิดขึ้นกับฉัน แต่ฉันต้องการให้คุณนำสิ่งที่ค้นพบออกไป เมื่อใดก็ตามที่มีสิ่งเลวร้ายเกิดขึ้น อินเทอร์เน็ตจะทำลายคุณด้วยขยะ ฮาร์ดแวร์ มัลแวร์ เลือกตามที่คุณต้องการ ทุกคนจะมีปัญหาของคุณ แต่มันจะแตกต่างกันเล็กน้อยและไม่สามารถใช้ได้ คุณสามารถบ้าด้วยวิธีนี้ มีการล่อลวงอย่างมากที่จะลองสิ่งที่คนเหล่านี้ทำ แต่วิธีที่ดีที่สุดคือการตรวจสอบอาการอย่างรอบคอบ วิเคราะห์อย่างละเอียดและใช้การแก้ไข การแก้ไขแบบย้อนกลับได้และเชิงปริมาณได้เต็มที่ โดยเริ่มจากสิ่งที่ง่ายที่สุดและรบกวนน้อยที่สุด
ซึ่งเป็นวิธีที่เราดำเนินการเกี่ยวกับปัญหานี้ เรารู้ไหมว่าเกิดอะไรขึ้น? เราสามารถทำซ้ำได้หรือไม่? ข้อมูลที่เพิ่งค้นพบนั้นสมเหตุสมผลหรือไม่? เราสามารถตรวจสอบสาเหตุที่เป็นไปได้ได้หรือไม่? เราสามารถตัดสิทธิ์บางส่วนได้หรือไม่? ด้วยสิ่งที่เราเหลืออยู่ การค้นหารอบใหม่ การอ้างสิทธิ์ใหม่ สมมติฐานใหม่ การตรวจสอบใหม่ ผลลัพธ์ที่ชัดเจนและทำซ้ำได้ ปณิธาน. ความรู้. สนุก. ฉันหวังว่าคุณจะสนุกกับมัน จำไว้ว่า อย่าโทษ Windows และสงสัยว่าอินเทอร์เน็ตพูดถึงฮาร์ดแวร์ของคุณอย่างไร มันคือหายนะและความเศร้าโศก แต่ไม่จำเป็นต้องเป็นเช่นนั้น มีความสุขในการคำนวณ
ไชโย
