MBAM + Ataport.sys BSOD =どうなる?

過去 11 年間にわたってデドイメドを読んでいる方なら、私がセキュリティ ソフトウェアがあまり好きではないことをご存知でしょう。しかし、私はセキュリティ製品をテストして、それらがより広い範囲でどのように動作するかを確認しています.このような無私無欲な実践により、特に Windows セキュリティ プログラムのゴールデン ベンチマークである最も輝かしく、有用で、実用的な EMET とソフトウェアを比較して判断することができます。そこには。

とにかく、数か月前、Windows 7 マシンで MalwareBytes Anti-Malware (MBAM) を使用してスキャンを実行したところ、スキャンの途中でブルー スクリーン オブ デス (BSOD) が表示されました。良くない。回復すると、私はすべての調査の母を開始しました。フォローしてください。

運用上の設定、その他の事実

何が起こったのかを理解する前に、もう少し情報を提供しましょう。そうでなければ、この運動は無意味です。まずBSOD。一般に、Windows はホーム環境では非常に安定しており (サーバーは別のトピックです)、Windows カーネルの内部バグが原因で重大なシステム クラッシュが発生する理由はまったくありません。

約 15 年間、約 12 の異なるシステムで Windows を頻繁に使用してきましたが、BSOD が発生したのは数回だけです。グラフィック カードの過熱、グラフィック ドライバーのバグ、長々と話した悲しいエピソード、そして 1 回だけです。 USBケーブルでスマートフォンを接続したところ。それはそれについてです。

実際、私の以前の主張に戻ると、カーネル クラッシュが見られるのは、ハードウェア エラーまたはドライバーの欠陥によるものだけであり、これは私の使用履歴と完全に一致しています。これは、私の Linux クラッシュ ブックに記載されている、Linux に関するかなり広範な実務経験とも密接に関連しています。本質的には、ハードウェア、不適切なシステム コール、または純粋なカーネル バグです。それがすべてであり、最後のものは最も可能性が低いです。

しかし今、私は ataport.sys ドライバーの問題に直面していました。これはマイクロソフトのドライバーであり、バグはありません。では、手元にハードウェアの問題がありますか?もしそうなら、どのようなものですか？とはいえ、先に進む前に、問題解決の技術と、それをどのようにゆっくり、慎重に、整然と行う必要があるかに注目していただきたいと思います。

分析、最初のステップ

わかった。何が起こったのか理解しましょう。詳細な BSOD ガイドでその方法を示したので、BSOD を分析する方法を知っています。チュートリアルで紹介されている利用可能なツールの 1 つを使用して、クラッシュ ダンプを分析できます。私は Nirsoft の BlueScreenView プログラムを選びました。クラッシュの原因は次のとおりです:

ataport.SYS+1ff3c

特定のエラーは KERNEL_DATA_INPAGE_ERROR です。メモリ コアで使用可能なその他の引数のいくつかを確認すると、これはカーネル操作中のハードウェア エラーを示しており、必然的にシステム クラッシュにつながりました。ここまでは至ってシンプル。

しかし、MBAM スキャン中にクラッシュが発生したのはなぜですか?

これは興味深い質問ですか？実際、次のことを把握する必要があります:

• この問題は MBAM のみに固有のものです。
• スキャン中に誤って発生した、より一般的なシステムの問題。

主張 a) または b) が正しいかどうかを確認するには、クラッシュの状況を繰り返す必要があります。詳細はこちら:Windows 7 マシン、EMET 以外の追加のセキュリティ ソフトウェアなし、マウントされた TrueCrypt コンテナー。これは、ストレージ レイヤー ドライバーを使用する別のソフトウェアであり、この状況の結果に影響を与える可能性があるため、重要かつ関連性があります。

2 回目のスキャンを実行しましたが、今回はシステムはクラッシュせず、TrueCrypt コンテナーもすべてクラッシュしませんでした。ただし、イベント ログにイベント ID 11 のエラーが表示されました:

ドライバーは、\Device\Ide\IdePort1 でコントローラー エラーを検出しました。

この種のエラーはこれまで見たことがなく、MBAM スキャンのタイミングは非常に興味深いものです。追加情報が手元にあるので、調査の次のステップを見つけなければなりません。

コントローラ エラーの意味

この特定のエラーを検索すると、同じ質問をしている人々から、さまざまなエントリが見つかります。最終的には、SATA ケーブルの不良、ディスクの不良、またはチップセット コントローラーの不良の 3 つの主要な問題に要約されます。これは事実上、新しいマザーボードを意味します。かなり不吉に聞こえます。ただし、この問題は MBAM スキャン中にのみ現れました。この時点で、対処しているのは孤立したインシデントなのかシステムの問題なのかを理解する必要があります。

分析、システムの健全性

ハードウェアのチェックなど、いくつかのレベルでマシンのステータスを調べることにしました。 100%確実ではないことに注意してください。特定のチェックが問題なく行われたとしても、技術的にはハードウェアが翌日故障する可能性があります。したがって、これらのチェックで慰めや保証を求めることはできません。彼らがあなたに言っていることは、当分の間、最良の場合、より広い問題を示す症状がないということです.

• ディスク SMART チェック、クリーニング。
• WD Data Lifeguard Diagnostics チェック、クリーン。
• 上記の問題を除けば、システムは非常に安定しています。
• インシデントから丸 1 週間後を含め、その他の問題はまったく発生していません。

私は何かをしたくてうずうずしていましたが、何もせずに丸 1 週間コンピューターを動かしたままにしました。これには、負荷の高い IO を伴う多くのゲーム、データのバックアップ、システム イメージング、Windows Update などのようなストレスの多い活動が含まれていました。これらのすべてのテストで、システムは何ヶ月も何年も前と同じように、予想どおりに動作しました。

この時点で、ハードウェアに差し迫った健康上の問題はないと判断しました。少なくとも、一時的な統計と迷信は関係ありません。これにより、問題の原因が MBAM であると考えるようになりました。また、クラッシュするのは Windows ではなく、常に他の何かであるという私の経験とよく一致しています。

MBAM、追加調査

今、私たちはこのセキュリティソフトウェアに焦点を当てています.繰り返しになりますが、オンラインで検索すると、次の主要なテーマが繰り返し発生する無数のエントリが見つかります。 MBAM 3 ではクラッシュが発生しますが、MBAM 2 では c) BSOD につながる可能性のある TrueCrypt との非互換性がある可能性があります。

私はこれらの仮説をテストし、それらが正しいかどうかを確認することにしました。まず、c) に関しては、これはかつては問題だったかもしれませんが、今は確かにありません。私の経験では、私は常に TrueCrypt ボリュームをマウントしており、これまでクラッシュを引き起こしたことはありませんでした。

a) に関しては、これはナンセンスですが、いくつかの簡単な推奨事項に従って、チェックアウトするかどうかを確認することにしました。もちろん、そうではありません。さらに、MBAM は BSOD なしで後続のスキャンを完了しましたが、関連するコントローラー エラーが発生したため、問題がソフトウェアに絞り込まれました。

MBAM + イベント ID 11

これで、関連情報を実際に検索できるようになりました。公式フォーラムにはほんの一握りのエントリしかなく、彼らの話は私のものと非常に似ています.何人かがクラッシュしましたが、これは MBAM とインテル ラピッド ストレージ テクノロジー (RST) ドライバーの衝突が原因であることがわかりました。あはは。サポートされている最新のドライバをインストールして再起動しました。途中でいくつかのことを発見しました:

• ドライブ文字がおかしくなったので、正しく再割り当てする必要がありました。
• SATA リンクの電源管理が有効になっていない場合でも、ケースのディスク ライトが以前より点滅する頻度が減っています。システム メトリックには大きな違いは見られません。
• これらの新しいドライバーにより、パフォーマンスがわずかに向上します。

そして今、新しい MBAM スキャンを実行しましたが、問題なく完了しました。これらのエラーはイベント ログにもありませんでした。したがって、これはサードパーティのソフトウェアによって引き起こされた問題であり、Microsoft のせいでもハードウェアの問題でもないことが判明しました。追記他の MBAM 関係者は、MBAM バージョンのアップグレード後に問題が解決したと報告しています。

免責させていただきますが、エラーの原因は Windows や基盤となるプラットフォームではありません。これを理解することは、ユーザーの合理的な能力の範囲内ではありません。私の古いデスクトップでは、このトピックに関する私の幸せな記事で読むことができるように、SMART データ シートに汚れのないディスクが事前の警告なしに死にましたが、別のディスクには、差し迫ったディスクの死を発表するはずだった非常に重大な問題がありました。エラーが表示されて以来、何ヶ月も幸せに生き残りました。統計は、彼らがあなたに反対するまでうまく機能します。

しかし、すべての実際的な目的のために、ここで、まさにその時、それは 100% MBAM の問題であり、ハードウェアとは何の関係もありませんでした。低レベルのシステム権限を持つセキュリティ スキャナとストレージ ドライバの間の衝突。問題はなぜですか？

確かに、なぜですか?

MBAM コード ソースにアクセスしないと、確かなことはわかりませんが、私には理論があります。マルウェアは、あらゆる種類の巧妙なスキームを使用して、ディスク上に身を隠そうとします。これを行う 1 つの方法は、システムに偽の I/O ドライバーを強制的に使用させて、クリーンなディスクを報告させることです。これは、マルウェア スキャナーがシステムの機能を信頼して真の値を返すことができない可能性があることを意味します。

MBAM は、コントローラー コマンドを含む独自のディスク アクセス機能と、独自のシーク、読み取り、リンク解除、およびその他のシステム コールと機能を実装していると思います。何らかの理由で、これらのコマンドの 1 つが Intel の RST と衝突し、システムがコントローラ エラーとして解釈した I/O エラーを引き起こしました。したがって、BSODまたはシステムイベント。これは私の理論であり、間違っているかもしれませんが、理にかなっています。

続きを読む

システムに障害が発生しないとは断言できないため、実際にシステムの障害を計画する必要があります。言い換えれば、つらい瞬間を受け入れ、その瞬間に備えて、損失を最小限に抑えて迅速に回復できるようにします。たとえば、少なくとも 2 ～ 3 個の新しいハードディスクを含む予備のハードウェアが常に横たわっています。

また、データのバックアップとシステム イメージの実行もこまめに行っているため、ハードウェアを交換する必要が生じた場合でも、すぐに生産性を取り戻すことができます。そして、たまたま、数か月前、別のデスクトップでこの突然のディスク障害に直面していました。心配ない。データやシステム構成を失うことなく、約 1 時間以内に活動を再開できました。

最後に、私は問題解決とそれを系統的に行う方法について怒鳴りつけました。これはトラブルシューティングの本質であり、特にハードウェアとソフトウェアの問題です。正しく行えば、間違いを犯す可能性が低くなり、時間とお金を節約できます。やみくもに物事を変えようとするのは決して良い考えではありません。私もこれに関する本を丸ごと持っています。

結論

これは困難で複雑な問題であり、複数の要因が重なっていました。ある時点で、TrueCrypt、マルウェア、ソフトウェアのバグなど、いくつかの面でハードウェアの問題が発生する可能性がありました。これを解決するのは簡単ではありません。それでも、ゆっくりとした慎重な作業により、問題を完全に理解し、根本原因を特定し、主張を検証し、潜在的な解決策をテストすることができました.劇的なシステム変更なしですべて。

これは貴重な教訓だと思います。それは私に起こりましたが、調査結果を取り除いてほしいです。何か悪いことが起こるたびに、インターネットはあなたをゴミで爆破します。ハードウェア、マルウェア、お好きな方をお選びください。誰もがあなたの問題を抱えているでしょう。あなたはこのように狂うことができます。これらすべての人々が行ったことを試してみたいという強い誘惑があります。しかし、前進する最善の方法は、症状を非常に注意深く調べ、徹底的に分析し、修正、可逆的で完全に定量化可能な修正を適用することです。

これが私たちがこの問題に取り組んだ方法です。何が起こったのか知っていますか？再現できますか？新たに発見された情報は理にかなっていますか？考えられる原因を検証できますか?それらのいくつかを失格にすることはできますか？残っているもので、新たな検索ラウンド。新しい主張、新しい仮説、新しいチェック。明確で再現性のある結果。解像度。知識。楽しい。これを楽しんでいただければ幸いです。 Windows のせいにせず、ハードウェアについてインターネットが何を言おうとしているのか懐疑的であることを忘れないでください。それはすべて運命と暗がりです。しかし、そうである必要はありません。ハッピーコンピューティング。

乾杯。