电信天翼校园客户端导致 Windows 大面积蓝屏

2016-12-08 11:43:34 +08:00
 mason961125

前言

本人大一物理狗,从 12 月 5 日开始,舍友的电脑开始出现蓝屏(自己用 Mac 所以没啥事),蓝屏的报错都是 CRITICAL_STRUCTRE_CORRUPTION 。之前用了那么多年电脑,也遇到过这个错误,考虑到舍友的电脑没有装过任何不可描述的、或者非法的东西,我也就考虑是设备驱动的锅。但当我更新完所有的设备驱动之后,蓝屏问题依旧存在。接下来,我周围人的电脑都开始蓝屏,已经不仅仅是我们宿舍了。后来到 Windows 10 的贴吧,看到很多使用天翼校园客户端的人也在抱怨蓝屏问题。这时我才意识到可能是客户端的问题。

分析

Windows 版的天翼校园客户端,是不允许在连接之后开启 WiFi 共享的,目的就是做到一个账号只能同时由一台电脑使用,这样才能做到每个人一个账户。但是,通过查看客户端的文件之后发现,它可能是通过内核驱动的方式来过滤掉请求打开 WiFi 共享的 API 调用,也可能是在用户层使用 Hook 来过滤打开 WiFi 共享的 API 调用。

解决方案

昨晚,电信在天翼校园客户端的官方页面给出了解决方案。(此时已经撤下)

疑问

但我想问一句,为什么你的修复工具叫做 ClearVirus ?还要用 360 全家桶来查杀病毒?难道你用了不可描述的方式来搞事情?能不能有点节操?能不能把握以下自己代码质量?

附图:

3027 次点击
所在节点    问与答
27 条回复
mason961125
2016-12-10 17:51:27 +08:00
@acess 这玩意儿就是给学生用,即使是计算机系的学生,也不一定会知道是他的锅,知道了也没什么办法,最多就像我来吐个槽而已。
acess
2016-12-10 18:53:04 +08:00
@mason961125
哎……学生好欺负啊。

昨天 ClearVirus 都出 3.0 了,不知道现在是不是又更新了。

不过这个驱动的行为让人叹为观止,居然还在注册表里藏文件!?
电信这是要干啥?或者说,这破 rootkit 驱动果真是电信的杰作?
mason961125
2016-12-10 20:08:35 +08:00
@acess 肯定是电信的锅阿, Rootkit 用来过滤 WiFi 共享软件的系统调用?如果我没猜错的话。
mason961125
2016-12-10 20:09:51 +08:00
@acess 要么就是官方下发动态链接库的服务器被人黑了,然后下发的 Rootkit ,但是电信目前也没个说法。
acess
2016-12-10 20:38:12 +08:00
@mason961125
我还是觉得把文件数据放进注册表的行为太奇怪。
里面还有 svchost.exe 等内容。
看上去,好像是要用从这里释放 dll ,然后拉起 svchost.exe ,假冒正常系统服务干坏事。
驱动的数字签名证书也是被吊销的。

你有愿意逆向分析的朋友么?我从一台中招机上导出过那个注册表项。

貌似不少中招机上,那个注册表项里原本放着文件内容的 REG_BINARY 值都变成 1 字节了。这个键值在木马自我保护范围内,所以它被改应该是木马自己的行为。
mason961125
2016-12-10 21:20:32 +08:00
@acess 逆向分析的话,看 ClearVirus 就够了吧,感觉它是通过 ClearVirus 来清除之前的 Rootkit 的。留下联系方式,私聊。
acess
2016-12-10 21:41:20 +08:00
@mason961125 acessviolation@outlook.com

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/326133

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX