实践探索(香港二四六开奖免费资料大全)微软全球蓝屏事件真相：配置文件触发系统逻辑错误，致全球 10 亿台计算机崩溃

“C-*.sys”配置文件触发的系统逻辑错误瞬间摧毁了全球约10亿台计算机，并随后引发了所有二阶、三阶效应。

正如AI大师所说，科技领域中任何一个单点瞬时故障仍然存在，都会给人类社会带来巨大的隐患。

全球TI灾难的始作俑者，CEO被外媒发现有犯罪前科。

正是他在 2010 年通过一次更新导致世界各地的设备崩溃！

逻辑错误引发全球崩溃

故障一出现，就有网友向大家发出警告——停止一切更新！停止一切更新！

而对于事件发生的原因，-See基金会创始人也在第一时间进行了详细的调查。

首先，他查看了故障位置 - mov r9d，[r8]，其中 R8 是未映射的地址。

该位置取自指针数组（存储在RAX中），索引RDX（0x14*0x8）存储无效的内存地址。

其他“驱动程序”（例如“C--...32.sys”）似乎是混淆数据，并由“.sys”交叉引用。

因此，也许正是这个无效的（配置/签名）数据引发了.sys 中的故障。

这可以通过调试更容易地确定。

显然，此次事件中最重要的未解问题是，这个“C--...xxx.sys”文件到底是什么？

一旦 .sys 引用它们，它就会立即崩溃；删除它们可以解决崩溃问题。

在 VT 上，他还对 .sys 以及来自单个崩溃转储的数据进行了逆向工程。

最后，他分享了几个版本的.sys（+idb），以及各种“C-....sys”文件（包括他认为已经包含“修复”的最新文件）。

他表示，由于自己没有任何系统和虚拟机，希望网友们能够继续探索。

就在昨天，恶意软件专家发现了更多细节——

在地址 1c66 处，似乎有一个文件魔术检查。

此模式也是“通道文件”的前四个字节。全为 NULL 的文件可能会导致 cmp 失败。

可以看到，被比较的rcx中的值被分配在最顶部，这是接收读取数据的缓冲区。

然后使用 cmp 将该值传递给函数（这些函数在图中被命名为内部 wdm.h 函数调用）。

健全性检查表明，字节模式仅在正在检查的通道文件中偏移量 0 处出现一次。

以下是执行类似 cmp 操作的地址。

如你所见，只有外观不同。

官方解释

很快，官博就发布解释，澄清网友的疑惑：

2024 年 7 月 19 日 04:09 UTC，作为正在进行的操作期间平台保护机制的一部分，传感器配置更新被发布到系统。此配置更新触发了逻辑错误，导致受影响的系统崩溃和蓝屏 (BSOD)。导致系统崩溃的更新已于 2024 年 7 月 19 日 05:27 UTC 修复。

举报地址：

技术细节如下：

在系统中，频道文件位于以下目录：C:\\\\\，文件名以“C-”开头。每个频道文件都有一个唯一的编号作为标识。

此次事件中受影响的通道文件为 291，以“C--”开头，以 .sys 扩展名结尾。虽然通道文件以 SYS 扩展名结尾，但它们不是内核驱动程序。

通道文件 291 影响命名管道在系统上的评估方式。这些命名管道用作正常进程间或系统间通信的机制。

周五的更新原本是为了针对网络攻击中常见 C2 框架中使用的新发现的恶意命名管道，但实际上却触发了系统逻辑错误，导致了崩溃。

但是，这与通道文件 291 或任何其他通道文件中的空字节问题无关。

此事已被网友用Suno创作成歌曲

要恢复，您必须以安全模式启动机器，以本地管理员身份登录并删除内容 - 这是无法自动完成的。

因此，这种瘫痪的影响是如此之大，并且难以恢复。

上次就是他。

尽管该公司承认了错误，但于周五发表了道歉声明并给出了解决方案。

但他们尚未解释为何在未进行测试和其他安全措施的情况下就发布了这一破坏性更新。

自然而然，众多批评的声音开始聚焦到此次事件的核心人物身上：首席执行官库尔茨。

科技行业分析师萨格指出，这并不是库尔茨第一次在重大IT事件中扮演重要角色。

熟悉的菜谱，熟悉的味道

2010年4月21日，该防病毒软件针对企业客户发布了软件更新。

更新后的软件删除了系统的关键文件，导致全球数百万台计算机反复崩溃并重启。

与 和 的错误类似， 的问题也需要手动修复（设备处于离线状态）。

当时库尔茨担任首席技术官。

2012年，库尔茨创立该公司并担任首席执行官至今。

2010 年发生了什么？

2010 年 4 月 21 日上午 6:00，向企业客户发布了“有问题的”病毒定义更新。

然后，这些自动更新的XP电脑就会直接陷入“无限重启”的循环，直到技术支持人员到达并手动修复。

背后的原因其实很简单——在收到新的定义后，杀毒软件会将普通的二进制文件“.exe”识别为病毒“W32/.a”并将其销毁。

一位大学 IT 工作者报告说，他所在的网络上有 1,200 台计算机瘫痪了。

另一封来自美国企业的电子邮件表示，他们有“数百名用户”受到影响：

这个问题影响了大量的用户，简单地替换.exe并不能解决问题。您必须启动到安全模式，安装extra.dat文件，然后手动运行vsca控制台。之后，您还需要删除隔离的文件。每个用户至少有两个文件被隔离，有些用户有多达15个。不幸的是，使用这种方法，您无法确定恢复的文件中哪些是重要的系统文件，哪些是病毒文件。

澳大利亚也有报道称，该国最大的连锁超市10%的收银机陷入瘫痪，导致14至18家门店关闭。

这起事件在当时影响之大，让很多人都惊叹：“即便是专注于开发病毒的黑客，大概也无法制作出像今天这样能迅速‘搞垮’如此多机器的恶意软件。”

SANS Storm 对此事件的描述如下：

“DAT”文件的 5958 版本正在导致大量 XP SP3 出现问题。受影响的系统将进入重新启动循环并失去所有网络连接。这个有问题的 DAT 文件可以感染单个工作站以及连接到域的工作站。使用“”更新病毒定义文件似乎加速了这个有问题的 DAT 文件的传播。它通常用于在企业中更新“DAT”文件，但由于受影响的系统将失去网络连接，因此它无法撤销这个有问题的签名。

.exe是系统中最重要的文件之一，承载着几乎所有系统功能的服务，没有.exe，根本无法启动。

虽然两起事件相隔14年，但它们提出了同样的问题：这样的更新是如何从测试实验室流出并进入生产服务器的？理论上，这样的问题应该在测试的早期阶段就被发现和解决。

是谁？

库尔茨在新泽西州特洛伊山长大并上高中。

库尔茨说，他从四年级开始在电脑上编写视频游戏程序解析2023澳门正版资料免费公开，高中时，他建立了早期的在线交流平台——公告板系统。

他毕业于西顿霍尔大学，获得会计学位。

他随后创立了并担任首席技术官。

目前，库尔茨担任他共同创立的网络安全公司的首席执行官。

除了商业上的成就，他还是一名赛车手。

价格（普华永道）和

大学毕业后，库尔茨在普莱斯公司以注册会计师（CPA）的身份开始了他的职业生涯。

1993 年，普莱斯任命库尔茨为他新成立的安全小组的第一批员工之一。

1999年，他与乔尔合作撰写了一本针对网络管理员的网络安全书籍。该书已售出60多万册，并被翻译成30多种语言。

同年晚些时候经典案例新澳门开奖记录查询今天，他创立了一家网络安全公司，这是最早的专业安全咨询公司之一，专注于漏洞管理软件和服务，并开发了知名的事件响应业务实践探索(香港二四六开奖免费资料大全)微软全球蓝屏事件真相：配置文件触发系统逻辑错误，致全球 10 亿台计算机崩溃，许多财富 100 强公司都是其客户。

2004 年 8 月，库尔茨成为该公司的高级副总裁兼风险管理总经理，该公司以 8600 万美元收购了该公司。在任职期间，他帮助制定了公司的安全风险管理战略。

2009年10月，他被任命为全球首席技术官兼执行副总裁。

随着时间的推移，库尔茨对现有安全技术的缓慢感到沮丧，他认为这些技术无法跟上新威胁的步伐。

他在飞机上看到坐在自己旁边的一位乘客要等待 15 分钟才能将软件加载到笔记本电脑上，这激发了他创办这家公司的灵感。

2011 年 11 月，库尔茨以“入驻企业家”的身份加入这家私募股权公司，并开始着手他的下一个项目。

2012年2月，他与前任CFO Gregg联手，正式成立。

该公司将重点从反恶意软件和反病毒产品转向识别黑客用来发现来袭威胁的技术，并开发了“云优先”模型来减轻客户计算机上的软件负担。

2017年5月，估值突破10亿美元。2019年，该公司在纳斯达克首次公开募股阐述2023年澳门开奖结果，募资6.12亿美元，估值66亿美元。

2020年7月，IDC的一份报告将其评为增长最快的端点安全软件供应商。

2024年，库尔茨将继续担任总裁兼首席执行官。

果然，世界只是一支庞大的临时团队。

参考：