Windows server 2008 R2 火绒6月26日晚更新后开始出现蓝屏

11235227

公司有一台旧服务器，装的是Windows server 2008 R2 是作为远程桌面服务器用的，从2019年到现在一直装着火绒使用，一直都很正常。直到2022年6月27日早上近11点的时候，服务器无故自动重启了，刚好那个时间段没人用，不知道服务器重启了，到下午远程过去后看到事件选项后查了日志才知道重启过，当时没其他问题，就没在意。到28日下午2点多，服务器突然蓝屏了，之后在三个小时内又蓝屏了两次，查日志看不出什么。想想一直没安装或更新过什么，除了昨天火绒手动更新过。试着卸载了火绒，之后正常，裸跑了三天后都没问题，试着再装上火绒，二个小时后又蓝屏。目前装了ESET EES 7.3用了一个多星期，没出现问题。

火绒工程师

您好，麻烦您上传一下C:\Windows\Minidump目录下dmp文件，或C:\windows\memory.dmp文件给我们分析，感谢您的反馈。

11235227

这是几次蓝屏的dmp文件

11235227

火绒工程师 发表于 2022-7-11 17:33
您好，麻烦您上传一下C:\Windows\Minidump目录下dmp文件，或C:\windows\memory.dmp文件给我们分析，感谢您 ...

你好，我已上传了C:\Windows\Minidump目录里的文件上来

火绒工程师

11235227 发表于 2022-7-12 12:01
你好，我已上传了C:\Windows\Minidump目录里的文件上来

已收到您提供的dmp文件，待分析后给您答复。

火绒工程师

您好，根据dmp分析，蓝屏原因可能与亿赛通和火绒有关，能否确认一下安装火绒但不安装亿赛通的场景是否会出现蓝屏？

wowocock

问题可能出在火绒的微过滤驱动sysdiag.sys的PRE CREATE里。向文件系统去查询了某个可能亿赛通创建的虚假对象，导致挂了。
if ( !v8 )
        {
          v31 = CallbackData->Iopb->TargetFileObject;
          if ( v31->DeviceObject->DeviceType == 20 )
          {
            LOBYTE(v30) = 1;
            v8 = sub_1400369B0(0i64, v30, v31, 0i64, 0i64, &v54, &v44);
          }
          else
          {
            if ( FltGetFileNameInformation(CallbackData, 0x401u, (PFLT_FILE_NAME_INFORMATION *)&FileHandle) )《------------挂这里了。
              return 1i64;
            v32 = sub_1400372B0(CallbackData->Iopb->TargetFileObject, FileHandle, &v54, &v44);
            v21 = (struct _FLT_FILE_NAME_INFORMATION *)FileHandle;
            v8 = v32;
            if ( !v32 )
              goto LABEL_26;
            FltReleaseFileNameInformation((PFLT_FILE_NAME_INFORMATION)FileHandle);
          }
          if ( !v8 )
            return 1i64;
        }

你开心就好

火绒工程师 发表于 2022-7-13 17:30
您好，根据dmp分析，蓝屏原因可能与亿赛通和火绒有关，能否确认一下安装火绒但不安装亿赛通的场景是否会出 ...

看下楼上回复喽

火绒工程师

wowocock 发表于 2022-7-13 18:34
问题可能出在火绒的微过滤驱动sysdiag.sys的PRE CREATE里。向文件系统去查询了某个可能亿赛通创建的虚假对 ...

我们确认下