安天发布CrowdStrike造成系统崩溃专项处置工具

keen-qv

北京时间2024年7月19日中午左右，使用CrowdStrike公司终端安全产品的Windows操作系统遭遇了大规模的“蓝屏”故障。安天安全应急响应中心第一时间发布“CrowdStrike造成系统崩溃专项处置工具”，让用户一键处理。
下载链接：https://vs2.antiy.cn/

神龟Turmi

能运行这个工具的说明进得去安全模式 能进安全模式那就是删掉一个Patch文件就完成的事情了。。。还写个工具
不能进安全模式的有工具也跑不了。。。
脱裤子放屁

1. echo Set RequestUAC = CreateObject^("Shell.Application"^)>"%temp%\getadmin.vbs"
   
2. echo RequestUAC.ShellExecute "%~s0", "", "", "runas", 1 >>"%temp%\getadmin.vbs"
   
3. "%temp%\getadmin.vbs" /f
   
4. del C:\Windows\System32\drivers\Crowdstrike\C-00000291-00000000-00000034.sys

复制代码

好了，写完了

胖墩蚂蚁

还是不错的，问题确认在周五下班时

双休日就完成工具制作，网页设计，全网发布

会有一些奇怪的质疑：说敲命令删除文件不就好了

但是如果遇到需要删除分散多个不同文件夹下的多个文件

需要执行多步修改处理的紧急任务，同样能发布工具

支持有技术实力的安天

longkidd

神龟Turmi 发表于 2024-7-21 19:33
能运行这个工具的说明进得去安全模式 能进安全模式那就是删掉一个Patch文件就完成的事情了。。。还写个工具 ...

对啊，所以好奇，怎么进去系统？目前好像没有解决办法？

神龟Turmi

longkidd 发表于 2024-7-21 23:07
对啊，所以好奇，怎么进去系统？目前好像没有解决办法？

没有bitlocker或者你知道bitlocker恢复密钥的话直接安全模式/WinRE就行了
如果是那种DLP开的bitlocker 没有恢复密钥 只能联网在控制台解除的 那就无解了

Zeason.W

昨天微软也发布了个修复工具，制作启动盘，插入设备 然后从u盘启动 自动清除cs的驱动

https://go.microsoft.com/fwlink/?linkid=2280386

longkidd

Zeason.W 发表于 2024-7-22 01:53
昨天微软也发布了个修复工具，制作启动盘，插入设备 然后从u盘启动 自动清除cs的驱动

https://go.micros ...

如果硬盘加了bitlocker，是不是还是无解呢？

GreatMOLA

都能正常进入系统了还要这工具干嘛。。。

dwer

不是说人家自己出更新了嘛 ，只需要重启电脑， 教主分析可能有自己网络协议，在蓝屏前直接就能入网下拉更新包了

Eunismal

longkidd 发表于 2024-7-22 21:00
如果硬盘加了bitlocker，是不是还是无解呢？

知道恢复密钥的就有解，不知道就无解了