问题现象：一些网吧出现玩家玩传奇SF登录或玩的过中蓝屏，有的是半小时，有的长达7小时才蓝屏
排查过程：1.分析蓝屏文件，如图：

可以看到导致蓝屏的是Beep.sys这个驱动，这个驱动是Windows系统自带的，很多人以为就是Beep.sys蓝屏。但是我们看到模块名称 MODULE_NAME 显示为“Beep_fffff8800bc4c000”，这让我想去了驱动“借壳启动”技术
去客户机打开用户提供的SF登录器，发现 Beep.sys 加载的时候，实际上是 kmnldurhij.sys 这个驱动被释放加载了，果然是借壳启动。

通过工具分析，得出如下流程：






解决方法：1.拦截该驱动加载，或者告知顾客蓝屏是私服程序的问题；
             2.驱动文件名称是随机的，可以使用特征码、md5等拦截

问题现象：一些网吧出现玩家玩传奇SF登录或玩的过中蓝屏，有的是半小时，有的长达7小时才蓝屏
排查过程：1.分析蓝屏文件，如图：

可以看到导致蓝屏的是Beep.sys这个驱动，这个驱动是Windows系统自带的，很多人以为就是Beep.sys蓝屏。但是我们看到模块名称 MODULE_NAME 显示为“Beep_fffff8800bc4c000”，这让我想去了驱动“借壳启动”技术
去客户机打开用户提供的SF登录器，发现 Beep.sys 加载的时候，实际上是 kmnldurhij.sys 这个驱动被释放加载了，果然是借壳启动。

通过工具分析，得出如下流程：






解决方法：1.拦截该驱动加载，或者告知顾客蓝屏是私服程序的问题；
             2.驱动文件名称是随机的，可以使用特征码、md5等拦截