记一次windows 2008 R2 SP1中永恒之蓝病毒的处理过程

最新推荐文章于 2024-04-01 21:32:15 发布
最新推荐文章于 2024-04-01 21:32:15 发布
阅读量8.8k 收藏 9
点赞数 2
分类专栏: windows2008 PAGE_FAULT_IN_NONPAGED_AREA (5 蓝屏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shanda_liang/article/details/85248675
版权
本文记录了一次针对Windows 2008 R2 SP1服务器遭受永恒之蓝病毒攻击的处理过程。通过windbg分析dump文件,确定mssecsvc.exe驱动异常导致蓝屏,进一步确认为勒索病毒变种。解决方案包括:服务器断网、关闭445端口、打补丁和使用360安全卫士进行全盘查杀。
摘要由CSDN通过智能技术生成

问题描述:win2008 R2服务器发现不停重启,蓝屏,蓝屏界面如下图。各种百度,不知问题何解。

PAGE_FAULT_IN_NONPAGED_AREA (50)

解决步骤:利用windbg工具分析dump文件。巴拉巴拉一通,用windbg分析出了有用的东西,看如下截图。

初步分析是程序mssecsvc.exe导致驱动异常,ntkrnlmp.exe挂掉,导致蓝屏。这mssecsvc.exe是什么东东?有巴拉巴拉的得出结论这是勒索病毒的变种。详细可参考。

http://www.sohu.com/a/156392749_244641

http://blog.sina.com.cn/s/blog_1909a80c70102y4kd.html</

最低0.47元/天 解锁文章
shanda_liang
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
永恒之蓝--Windows server 2008R2
chang113的博客
06-20 1352
永恒之蓝--Windows server 2008R2
Win7安全模式卡在ClassPNP.sys位置解决办法
热门推荐
空箱子
05-04 5万+
本原来是win10系统的,但是使用过程,发现win10自带的程序和系统太多了,一点一点的禁用很麻烦。于是乎就想换成原来的win7系统,熟悉么? 格式化,然后系统安装的过程, win7安全模式卡在ClassPNP.sys位置 笔本Win7操作系统突然启动不了,一直卡在这个界面 在网上找了很多信息,没有解决: 后来找到一句:Windows7不完全支持UEFI 进入进入B...
电脑病毒WannaCry(永恒之蓝)更新补丁蓝屏处理办法
05-16
电脑病毒WannaCry(永恒之蓝)更新补丁蓝屏处理办法,win7系统测试成功。
针对windows server 2008R2 复现永恒之蓝漏洞(命令行操作)
m0_50505929的博客
03-31 2532
kali渗透windows server 2008 R2 永恒之蓝 linux:kali Linux windowswindows server 2008 R2 确认进入kali的root 进入kali的msf:msfconsole 使用可用端口模块:use auxiliary/scanner/smb/smb_version 查看需要设置的参数:show options yes为需要设置的参数,no无需设置 设置目标主机地址:set rhosts 192.168.205.150 设置线程数:set
[ MSF使用实例 ] 利用永恒之蓝(MS17-010)漏洞导致windows靶机蓝屏并获取靶机权限
qq_51577576的博客
10-20 4071
[ MSF使用实例 ] 利用永恒之蓝(MS17-010)漏洞导致windows靶机蓝屏并获取靶机权限 永恒之蓝漏洞是方程式组织在其漏洞利用框架一个针对SMB服务进行攻击的漏洞,该漏洞导致攻击者在目标系统上可以执行任意代码。
Windows Server 2008 R2更新永恒之蓝 补丁包方法
weixin_41123024的博客
01-19 1万+
Windows Server 2008 R2更新永恒之蓝 补丁包方法
win2012R2永恒之蓝安全补丁.zip
05-12
在网络安全领域,永恒之蓝(EternalBlue)是一个具有里程碑意义的漏洞,它曾被广泛利用于 WannaCry 勒索软件攻击,对全球范围内的Windows系统造成了严重威胁。Windows Server 2012 R2作为微软的一款企业级服务器...
方程式工具-永恒之蓝 Windows 2008 r2 安装补丁
04-12
【1】Microsoft Windows SMB 输入验证漏洞(CVE-2017-0143)(方程式工具-永恒之蓝)[原理扫描] 【2】Microsoft Windows SMB 输入验证漏洞(CVE-2017-0144)(方程式工具-永恒之蓝)[原理扫描] 【3】Microsoft Windows SMB...
永恒之蓝病毒处理方法
04-10
永恒之蓝病毒处理方法,电脑自动重启和蓝屏,过一段时间又重启
win-server-2008/xp-ippromon.dll ipmontr.dll
05-16
Windows Vista/7netsh没有routing这个模块   Vista可以提取Windows xp或Windows Server 2003%systemdrive%windows/system32/下的ippromon.dll和ipmontr.dll文件到Vista/7下的Windows/system32目录下   Win7必须提取Windows Server 2008 R2 的以上文件到以上目录   然后cmd运行以下命名   netsh   delete helper ipmontr.dll   delete helper ippromon.dll   add helper ipmontr.dll   add helper ippromon.dll
永恒之蓝病毒处置安全补丁
09-18
永恒之蓝病毒处置安全补丁,server 2008/2012 R2、vista、win7、win8.1、XP、2003专区
MS12-020永恒之蓝(蓝屏进攻)复现教程
最新发布
知音 の 小破站!
04-01 528
MS12-020永恒之蓝(蓝屏进攻)复现教程来源:知音 の 小破站!
ARP那点事,以及永恒之蓝
joshua2011的专栏
11-30 869
今天公司停电了,当然开发机(centos 7)也关机了。 来电后,开发人员 反馈说,开发机上不了网。 tcpdump 发现 从 172.16.40.12(开发机)-------> 172.16.40.1(网关),只看到第一个tcp syn 包,没有看到网关回的第二个ack包。 1)于是开始了下面图片的ping测试,同时也打开tcpdump看ICMP包。 先敲好命令(还没执行)
永恒之蓝源码进一步剖析
HaleyLiu123的博客
05-15 1万+
一.蠕虫攻击谁干的        最新消息,这次攻击始作俑者是美国一位高生,在缅因州波特兰高,FBI已经在路上,如果他没有价值的话,就会上新闻了,这货真强,犯了大忌,触犯了黑客联盟的宗旨:“不对学生下手,也不针对任何盈利组织”惹出了全球170多万黑客在线找,首当其冲的是俄罗斯黑客。现在从FBI,到国家安全局,到全球黑客都在通缉。 二.剖析永恒之蓝工作原理 勒索病毒
永恒之蓝MS17-010漏洞复现
y873798291的博客
11-01 3239
本次漏洞复现主要展示如何复现一次永恒之蓝漏洞攻击,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限,并且后来的WannaCry的勒索病毒变种也是由永恒之蓝的基础上改造而来。
miniport, port driver,disk.sys 之间的关系(转)
大坡3D软件开发
10-06 3110
miniport, port driver,disk.sys 之间关系驱动程序由CLASS DRIVER,PORT DRIVER,MINIPORT,三部分组成,从层次上来说,LCASS DRIVER是针对几大类设备的驱动,比如存储设备驱动,就可以通过一个CLASS DRIVER来统一管理,完成一些这类设备共有的操作,主要是与设备无关的操作.PORT DRIVER从层次上来说,是在CLA
永恒之蓝】最新勒索软件WannaCrypt病毒感染前后应对措施
Enweitech Software Works
05-17 3009
针对WannaCrypt勒索病毒的讨论和技术文章是铺天盖地,大量的技术流派,安全厂家等纷纷献计献策,有安全厂家开发各种安全工具,对安全生态来说是一个好事,但对个人未必就是好事,我们国家很多用户是普通用户是安全小白,如果遭遇WannaCrypt勒索软件,我们该怎么办?是主动积极应对,还是被动等待被病毒感染,这完全取决于您个人选择,笔者战斗在病毒对抗的第一线,将一些经验跟大家分享,希望能对您有所帮助!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值