지난 11년 동안 Dedoimedo를 읽었다면 내가 보안 소프트웨어를 별로 좋아하지 않는다는 것을 알 것입니다. 그러나 저는 보안 제품을 테스트하여 더 넓은 범위에서 어떻게 작동하는지 확인합니다. 이러한 이기심 없는 관행을 통해 소프트웨어, 특히 Windows 보안 프로그램의 황금 벤치마크인 가장 훌륭하고 유용하며 실용적인 EMET를 비교하고 판단할 수 있습니다. 거기.
여하튼 몇 달 전에 Windows 7 컴퓨터에서 MBAM(MalwareBytes Anti-Malware)으로 스캔을 실행했는데 스캔 중간에 BSOD(Blue Screen of Death)가 나타났습니다. 안좋다. 회복하자마자 나는 모든 조사의 어머니를 시작했습니다. 나를 따르라.
운영 설정, 추가 정보
무슨 일이 일어났는지 알아보기 전에 몇 가지 정보를 더 알려드리겠습니다. 그렇지 않으면 운동이 무의미합니다. 첫째, BSOD. 일반적으로 Windows는 가정 환경에서 매우 안정적이며(서버는 별도의 주제) 내부 Windows 커널 버그로 인해 심각한 시스템 충돌이 발생할 이유가 없습니다.
약 15년 동안 약 12개의 서로 다른 시스템에 걸쳐 Windows를 많이 사용하면서 그래픽 카드 과열, 버그가 있는 그래픽 드라이버로 인한 BSOD, 우리가 오랫동안 이야기한 슬픈 에피소드, USB 케이블을 통해 스마트폰을 연결했을 때. 그게 전부입니다.
실제로 이전 주장으로 돌아가서 커널 충돌이 발생하는 유일한 경우는 하드웨어 오류 또는 결함이 있는 드라이버 때문이며 이는 실제로 내 사용 기록과 완벽하게 일치합니다. 이것은 또한 Linux 크래시 북에 문서화한 Linux에 대한 다소 광범위한 작업 경험과 함께 진행됩니다. 본질적으로 하드웨어, 잘못된 시스템 호출 또는 순수 커널 버그입니다. 그게 전부이고 마지막이 가장 가능성이 적습니다.
하지만 이제 ataport.sys 드라이버에 문제가 생겼습니다. 이 드라이버는 Microsoft 드라이버이고 버그가 있어서는 안 됩니다. 그렇다면 하드웨어 문제가 있습니까? 그렇다면 어떤 종류입니까? 그러나 우리가 서두르기 전에 문제 해결의 기술과 그것이 어떻게 천천히, 조심스럽게, 체계적으로 이루어져야 하는지에 대해 여러분의 관심을 끌고 싶습니다.
분석, 첫 단계
괜찮은. 무슨 일이 있었는지 이해합시다. 자세한 BSOD 가이드에서 그 방법을 보여 주었기 때문에 BSOD를 분석하는 방법을 알고 있습니다. 자습서에 제시된 사용 가능한 도구 중 하나를 사용하여 크래시 덤프를 분석할 수 있습니다. 저는 Nirsoft의 BlueScreenView 프로그램을 선택했습니다. 다음으로 인해 충돌이 발생한 것으로 밝혀졌습니다.
ataport.SYS+1ff3c
특정 오류는 KERNEL_DATA_INPAGE_ERROR입니다. 메모리 코어에서 사용할 수 있는 다른 인수 중 일부를 확인하면 커널 작업 중 하드웨어 오류가 발생하여 불가피하게 시스템 충돌이 발생했음을 알 수 있습니다. 지금까지는 간단합니다.
그런데 MBAM 검사 중에 충돌이 발생한 이유는 무엇입니까?
이것은 흥미로운 질문입니까? 실제로 우리는 이제 다음 사항을 파악해야 합니다.
- 이 문제는 MBAM에만 해당됩니다.
- 스캔 중에 실수로 나타난 보다 일반적인 시스템 문제입니다.
주장 a) 또는 b)가 올바른지 확인하려면 충돌 상황을 반복해야 합니다. 여기에 몇 가지 추가 세부 정보가 있습니다. 탑재된 TrueCrypt 컨테이너가 있는 EMET 외에 추가 보안 소프트웨어가 없는 Windows 7 시스템입니다. 이는 저장소 계층 드라이버를 사용하는 또 다른 소프트웨어이며 잠재적으로 이 상황의 결과에 영향을 미칠 수 있기 때문에 중요하고 관련이 있습니다.
두 번째 스캔을 실행했지만 이번에는 TrueCrypt 컨테이너와 같은 시스템이 충돌하지 않았습니다. 그러나 이벤트 로그에 다음과 같은 이벤트 ID 11 오류가 표시되었습니다.
드라이버가 \Device\Ide\IdePort1에서 컨트롤러 오류를 감지했습니다.
이전에는 이러한 유형의 오류를 본 적이 없으며 MBAM 스캔의 타이밍이 매우 흥미로웠습니다. 이제 추가 정보를 확보했으므로 조사의 다음 단계를 파악해야 합니다.
컨트롤러 오류의 의미
이 특정 오류를 검색하면 동일한 질문을 하는 사람들의 모든 항목을 찾을 수 있습니다. 결국 불량 SATA 케이블, 불량 디스크 또는 불량 칩셋 컨트롤러의 세 가지 주요 문제로 귀결되며 이는 사실상 새 마더보드를 의미합니다. 꽤 불길한 소리. 그러나 이 문제는 MBAM 검사 중에만 나타났습니다. 그리고 이 시점에서 우리는 고립된 사건을 처리하고 있는지 아니면 시스템 문제를 처리하고 있는지 이해해야 합니다.
분석, 시스템 상태
하드웨어 점검을 포함하여 여러 수준에서 시스템 상태를 조사하기로 결정했습니다. 100% 확신할 수 없다는 점에 유의하십시오. 특정 수표가 깨끗하게 나오더라도 기술적으로 하드웨어는 다음 날 죽을 수 있습니다. 따라서 이러한 수표에서 위안과 보증을 구할 수 없습니다. 그들이 말하는 것은 당분간 최선의 경우 더 넓은 문제를 나타내는 증상이 없다는 것입니다.
- Disk SMART 검사, 청소.
- WD Data Lifeguard Diagnostics 검사, 청소.
- 위의 문제 외에는 시스템이 매우 안정적입니다.
- 사건 발생 후 1주일을 포함하여 다른 문제는 전혀 발생하지 않습니다.
무언가를 하고 싶은 마음이 간절했지만 아무 것도 하지 않기로 결정하고 컴퓨터를 일주일 내내 실행하기로 했습니다. 여기에는 IO가 많은 많은 게임, 데이터 백업, 시스템 이미징, Windows 업데이트 등과 같은 스트레스가 많은 활동이 포함됩니다. 이러한 예상 테스트에서 시스템은 몇 달, 몇 년 전과 동일한 방식으로 예측 가능하게 작동했습니다.
이 시점에서 나는 최소한 임시 통계와 미신에도 불구하고 하드웨어에 임박한 건강 문제가 없다고 결정했습니다. 이로 인해 문제가 MBAM에 의해 발생했다고 믿게 되었습니다. 그리고 충돌하는 것은 Windows가 아니라 항상 충돌을 일으키는 다른 무언가라는 내 경험과 잘 일치합니다.
MBAM, 추가 조사
이제 우리는 이 보안 소프트웨어에 집중합니다. 다시 말하지만, 온라인으로 검색하면 다음과 같은 주요 주제가 반복되는 끝없는 항목을 찾을 수 있습니다. MBAM 3은 충돌을 일으키는 반면 MBAM 2는 충돌을 일으키지 않았습니다. c) BSOD로 이어질 수 있는 TrueCrypt와의 비호환성이 있을 수 있습니다.
나는 이러한 가설을 테스트하고 그것이 사실인지 확인하기로 결정했습니다. 첫째, c)와 관련하여 이것은 한때 문제가 되었을 수 있지만 확실히 더 이상은 아닙니다. 내 경험상, 나는 항상 TrueCrypt 볼륨을 마운트했고 전에는 충돌을 일으키지 않았습니다.
a)와 관련하여 이것은 말도 안 되는 소리이지만 그들이 확인하는지 확인하기 위해 몇 가지 빠른 권장 사항을 따르기로 결정했습니다. 물론 그렇지 않습니다. 또한 MBAM은 BSOD 없이 관련 컨트롤러 오류가 있는 후속 스캔을 완료하여 문제를 소프트웨어로 좁혔습니다.
MBAM + 이벤트 ID 11
이제 관련 정보를 실제로 검색할 수 있습니다. 공식 포럼에는 소수의 항목만 있으며 그들의 이야기는 나와 매우 유사합니다. 여러 사람이 충돌을 일으켰고 MBAM과 Intel RST(Rapid Storage Technology) 드라이버 간의 충돌로 인해 발생했음을 알아냈습니다. 아하. 지원되는 최신 드라이버를 설치하고 재부팅했습니다. 그 과정에서 몇 가지 사실을 발견했습니다.
- 내 드라이브 문자가 엉망이어서 올바르게 재할당해야 했습니다.
- SATA 링크 전원 관리가 활성화되지 않은 경우에도 케이스의 디스크 표시등이 이전보다 덜 자주 깜박입니다. 이는 단지 시각적인 속임수일 수도 있고 실제로 이전보다 디스크 폴링 활동이 감소한 것일 수도 있습니다. 시스템 메트릭은 큰 차이를 나타내지 않습니다.
- 이 새로운 드라이버로 인해 약간의 성능 향상이 있습니다.
그리고 이제 새로운 MBAM 스캔을 실행했고 아무 문제 없이 완료되었습니다. 이벤트 로그에도 이러한 오류가 없었습니다. 따라서 이것은 Microsoft의 잘못이나 하드웨어 문제가 아니라 타사 소프트웨어로 인해 발생한 문제인 것으로 밝혀졌습니다. 추신 다른 MBAM 사람들은 MBAM 버전 업그레이드 후 문제가 사라진다고 보고했습니다.
귀하가 알 수 있는 한 오류는 Windows 또는 기본 플랫폼에 의해 발생하지 않습니다. 이것을 알아내는 것은 사용자의 합리적인 능력 내에 있지 않습니다. 내 오래된 데스크톱에서 이 주제에 대한 내 행복한 기사에서 읽을 수 있듯이 흠 없는 SMART 데이터 시트가 있는 디스크가 사전 경고 없이 사망한 반면 다른 디스크는 임박한 디스크 사망을 발표했어야 하는 매우 심각한 문제가 있었습니다. 오류가 나타난 이후로 몇 달 동안 행복하게 살아 남았습니다. 통계는 그들이 당신에게 등을 돌릴 때까지 잘 작동합니다.
그러나 모든 실질적인 목적을 위해 바로 여기에서 바로 그때 그것은 100% MBAM 문제였으며 하드웨어와 관련이 없습니다. 낮은 수준의 시스템 권한과 스토리지 드라이버가 있는 보안 스캐너 간의 충돌입니다. 질문은 왜?
과연, 왜?
MBAM 코드 소스에 대한 액세스 권한이 없으면 확실하게 알 수 없지만 이론이 있습니다. 맬웨어는 때때로 모든 종류의 영리한 계획을 사용하여 디스크에 자신을 숨기려고 합니다. 이를 수행하는 한 가지 방법은 시스템이 가짜 I/O 드라이버를 사용하도록 강제하여 깨끗한 디스크를 보고하도록 하는 것입니다. 이는 맬웨어 스캐너가 시스템의 기능을 신뢰하여 실제 값을 반환하지 못할 수 있음을 의미합니다.
필자는 MBAM이 자체 검색, 읽기, 연결 해제 및 기타 시스템 호출 및 기능뿐만 아니라 컨트롤러 명령을 포함한 자체 디스크 액세스 기능을 구현한다고 생각합니다. 어떤 이유로 이러한 명령 중 하나가 Intel의 RST와 충돌하여 시스템이 컨트롤러 오류로 해석하는 I/O 오류를 트리거했습니다. 따라서 BSOD 또는 시스템 이벤트입니다. 이것은 내 이론이고 틀릴 수도 있지만 이치에 맞습니다.
더 읽어보기
시스템이 실패하지 않을 것이라고 확신할 수 없으므로 실제로 실패에 대한 계획을 세워야 합니다. 즉, 고통스러운 순간을 받아들이고, 손실을 최소화하면서 신속하게 회복할 수 있도록 이러한 상황이 발생했을 때를 대비하십시오. 예를 들어, 적어도 2-3개의 새 하드 디스크를 포함하여 항상 여분의 하드웨어가 있습니다.
또한 열심히 데이터를 백업하고 시스템 이미지를 수행하기 때문에 하드웨어 교체가 필요한 경우 빠르게 생산성으로 돌아갈 수 있습니다. 그래서 몇 달 전에 다른 데스크탑에서 갑작스러운 디스크 오류에 직면했습니다. 걱정 마. 나는 데이터나 시스템 구성의 손실 없이 약 1시간 이내에 작업에 복귀했습니다.
마지막으로 나는 문제 해결과 그것이 체계적으로 수행되는 방법에 대해 외쳤다. 이것은 문제 해결, 특히 하드웨어 및 소프트웨어 문제의 핵심입니다. 올바르게 수행하면 실수할 가능성이 줄어들고 시간과 비용이 절약됩니다. 맹목적으로 변화를 시도하는 것은 결코 좋은 생각이 아닙니다. 이것에 관한 책도 있습니다.
결론
이것은 여러 요소가 얽힌 어렵고 복잡한 문제였습니다. 어느 시점에서 우리는 TrueCrypt, 맬웨어 및 소프트웨어 버그가 모두 주의를 끌기 위해 여러 전선에서 가능한 하드웨어 문제가 있었습니다. 이것을 해결하는 것은 쉽지 않습니다. 그러나 느리고 신중한 작업을 통해 우리는 문제를 완전히 이해하고, 근본 원인을 격리하고, 주장을 검증하고, 잠재적 해결책을 테스트할 수 있었습니다. 급격한 시스템 변경 없이 모두 가능합니다.
소중한 교훈이라고 생각합니다. 나에게 일어난 일이지만 당신이 그 결과를 가져 갔으면합니다. 나쁜 일이 생길 때마다 인터넷은 당신을 쓰레기로 날려버릴 것입니다. 하드웨어, 맬웨어, 선택하십시오. 모든 사람이 당신의 문제를 가지고 있을 것이지만, 그것은 아주 조금씩 다를 것이고 완전히 적용되지 않을 것입니다. 이런 식으로 화를 낼 수 있습니다. 이 모든 사람들이 한 일을 시도하고 싶은 강한 유혹이 있습니다. 그러나 최선의 방법은 증상을 매우 신중하게 검사하고 철저히 분석한 다음 수정 사항을 적용하는 것입니다. 가역적이고 완전히 정량화할 수 있는 수정 사항은 가장 단순하고 방해가 적은 것부터 시작합니다.
이것이 우리가 이 문제를 해결한 방법입니다. 무슨 일이 있었는지 알아? 재현할 수 있습니까? 새로 발견한 정보가 의미가 있습니까? 가능한 원인을 확인할 수 있습니까? 그들 중 일부를 실격시킬 수 있습니까? 우리에게 남은 것은 새로운 검색입니다. 새로운 주장, 새로운 가설, 새로운 확인. 명확하고 재현 가능한 결과. 해결. 지식. 재미있는. 나는 당신이 이것을 즐겼기를 바랍니다. Windows를 비난하지 말고 인터넷이 귀하의 하드웨어에 대해 말하는 것에 대해 회의적임을 기억하십시오. 그것은 모두 파멸과 우울입니다. 그러나 반드시 그럴 필요는 없습니다. 행복한 컴퓨팅.
건배.