记一次排查chrome浏览器崩溃原因的过程
|
385
|
0
|
杂记

1108 字
|
5 分钟

记一次排查chrome浏览器崩溃原因的过程

错误代码:STATUS_INVALID_IMAGE_HASH

image-20240623163312430

一、前言

最终确定是由于被恶意安装IP-Guard监控客户端导致。由于崩溃问题是在chrome从118版本更新之后才出现的,当时只是以为版本的兼容性出现问题。后来也百度谷歌各种办法都试过,并不能完美解决这个问题。最后通过修改chrome.exe的文件名坚持使用了一段时间,就用edge了。

之后更换电脑仍然出现问题,才引起重视,此时chrome已经更新至126版本。

二、排查过程

查看日志

chrome启动时事件日志查看方式如下:

Windows事件日志将包含有关拒绝加载模块的信息,排查上面这个chrome崩溃错误时的方法:
1. 右键开始图标,打开事件查看器
2. 展开应用程序和服务日志>Microsoft>windows> codeIntegrity > Operational
3. 查找ID为3033的事件
详细信息将指示导致崩溃的d的名称和位置

在日志中发现很多错误日志,均是在chrome启动时产生的。

Code Integrity determined that a process (\Device\HarddiskVolume3\Program Files\Google\Chrome\Application\chrome.exe) attempted to load \Device\HarddiskVolume3Windows\System32\WINNCAP364.DLL that did not meet the Microsoft signing level rquirements.

image-20240623165010263

均是跟调用WINNCAP364.DLL依赖库文件有关。

1ede1be2bff572e35ad26b22ab4403b

后查找相关资料得知此文件,

以及

  • thooksv3.dll ; tsysdrv.dll ; winhafnt.dll ; winusrmd.dll ; winhadnt.dll ; winencyx.dll ; winimhc3.dll ; msowcnv3.dll等等均是IP-Guard监控客户端所产生文件。

  • Program Files\Common Files\System目录下winrdgv3.exewinwdgsvr.exe等,这是IP-Guard监控软件为数不多的可执行文件之一(其他几乎全部是dll和sys文件);

  • system32\drivers目录里面,有tfsfltdrv.sys ; tpacket.sys ; tsysdrv.sys ; tvdisk.sys等。

ipguard监控端口一般用TCP 8237 端口和UDP 8235端口,也可以用TCP 8235端口

image-20240623170139853

IPGuard客户端

image-20240623165937959

image-20240623181501059

IPGuard

我对ipguard不是很了解,以下是来自一位知乎网友的回答,可以看得出功能很强大,被当成病毒就更恐怖了。

知乎上的回答

寻找监控的服务端IP

  • 通过百度查找资料得知,C:\Windows\win.ini文件中包含ipguard客户端连接服务端的配置信息。

    image-20240623175441680

  • SIP转为16进制为95f81358,分成95/f8/13/58四个部分,再转为十进制表示得到IP为149.248.19.88

    image-20240623175804267

  • 百度搜索了一下这个数据中心,这台服务器应该是对方在纵横数据购买的境外服务器

    image-20240623175917647

  • 再通过fofa进行查询得到

    image-20240623180049269

由此可见,8237端口刚好是在使用的,到这里我电脑上的IPGuard被人用作病毒使用已经实锤了。

三、解决办法

  • 重装系统

    这是最为简单粗暴的办法,效果也最好。这里就不讲重装系统的内容了,有很多很好用的启动盘工具,我一般用的ventoy。

  • PE删除恶意程序

    ipguard的文件直接删除一般是删不掉的,所以需要通过pe启动进行删除。因为需要重新的配置的东西太多,我并不想重装系统。

我这里用的蜂鸟PE的系统镜像,可以通过ventoy直接启动进入pe系统。

在 PE 系统中将:

  • C:\windows
  • C:\windows\system32
  • C:\Windows\SysWOW64
  • C:\windows\system32\drivers
  • C:\program files\common files\system

四个文件夹下,所有属性内(从文件栏题头右键,其他,中调出“公司”选项)公司名称为 T.E.C Solutions (G.Z.)Limited. 的文件全部删除。(实际上这样就能解决问题,但是因为是对系统文件夹进行操作,为了防止误删重要文件,我建议在 PE 系统的桌面下新建 备份文件夹,先将系统文件备份一遍,如果删完windows系统出现什么问题还可以还原)

image-20240623192135548

最后重启电脑,就算是完成了。再打开chrome浏览器恢复正常了。

image-20240623204437397

四、总结

最终,我通过分析ipguard文件的创建时间来追溯其来源,但仍无法确定具体的安装途径。令人担忧的是,若非Chrome出现问题,我可能始终未察觉自己的电脑处于监控之下。初步推测,这可能是由于安装的某些工具中捆绑了恶意软件。因此,在使用第三方作者发布的软件或工具时,我们应保持警惕,尽量避免使用盗版软件等潜在风险较高的工具。

暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																				
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇
下一篇