it-swarm-ja.com

Xの命令はYのメモリを参照しました。メモリを書き込めませんでした

TFG(Total Files Gaurd) は、マルウェアやユーザーによる泥棒からクライアントのデータを保護するためにオフィスで使用されるソフトウェアです。それはいくつかのタイプのファイルを暗号化し(ネットワークの管理者は保護したいタイプを選択します)、ソフトウェアはそのタイプのファイルをすべて暗号化しますユーザーがファイルをダブルクリックして開くとAMDはファイルを復号化し、変更後、ソフトウェアは暗号化します再度ハードディスクに保存します(すべての処理は自動的に行われます)。

OK、私たちのオフィスでは、このソフトウェアを多くのクライアントにインストールしました。ほとんどすべてのシステムで正常に動作します。ただし、一部のクライアントでは、再起動後、次のウィンドウが表示され、何も機能しません。ユーザーができることは、システムをシャットダウンすることだけです。 (そして管理者はそれをリモートで削除する必要があります)

enter image description here

私の質問:

この画像は何と言っていますか?何が起こっている?このソフトウェアは偽物を作りますかexpolorer.exe 処理する?それとも、OSとExplorerプロセス間のインターフェイスですか?メモリの保護された部分に何かを書き込みたいですか?

1
Abraham

その場所のメモリが破損しているか、システム上の別のアプリケーションによって保護されている可能性があります。システムはネットワーク管理者によって管理されているので、すべてのシステムに同じソフトウェアがインストールされており、すべてのシステムが同じモデル/仕様であると思います。その場合、問題はその特定のアドレスでのRAM破損である可能性が最も高いです。

具体的には、アドレス###のCPUに設定された命令が、アドレス###のRAMの一部にアクセスしようとしましたが、失敗しました。送信するようなものです。間違ったアドレスへのメールで、未開封のまま返送されています。

1
Bilfred

このソフトウェアは偽のexpolorer.exeプロセスを作成しますか?

別のプログラムの[ファイルを開く]ダイアログからファイルを開くと機能しないため、おそらくいいえです。おそらくファイルシステムフィルター+エクスプローラープラグイン(シェル拡張子)として動作します。

私の疑惑は、この暗号化ソフトウェアが、「問題のある」システム上にある他のシェル拡張機能とうまく連携していないことです。

メモリの保護された部分に何かを書き込みたいですか?

多分。アドレスがプロセスコンテキストで定義されていない場合も、同じエラーメッセージが表示されます。典型的な例はアドレス0で、これはWindowsプロセスでは定義されません。

ただし、メモリページを読み取り専用アクセス用に保護することは可能です。これは通常、プログラム定数に使用されます。未定義のアドレスに書き込もうとした場合と同じように、プロセスが書き込もうとした場合も同じエラーが発生します。

通常の基礎となるこのようなエラーの理由は、アドレス(0x600507da)が間違っていることです。これは、プログラムが取得したメモリの場所に間違った内容が含まれているか、コードにバグがあるために発生します。 (実際には、「プログラムが取得したメモリ位置に間違った内容が含まれている」ことも、そこに格納されているコードのバグが原因である可能性があります。)

これは通常、場所0x600507daの実際のRAMの問題を示すものではないことに注意してください。表示されるアドレスはすべて仮想アドレスであり、物理(RAM)アドレスではなく、プログラムの1回の実行からは予測できません。別の瞬間に、そしてある瞬間から別の瞬間にさえ、その仮想アドレスがどのように物理アドレスにマップされるか。

ただし、RAM どこか)の問題である可能性があります。RAMがビットをドロップしている場合は、その理由が考えられます。コードがアドレス0x600507daを調べているのは、(たとえば)0x600517daを調べているはずだったということです...そのアドレスはRAM内の別の場所から読み取られています...しかしRAM代わりに0x600507daを返しました。しかしRAMエラーはあまり一般的ではありません。このようなエラーがRAMエラーだった場合、エラーはいたるところにあると予想されます。 "、時間の経過とともに同じRAMの場所が、時間の経過とともに多くの異なるプロセスと仮想アドレスに使用される可能性があるためです。

notは、コンテンツ指定された場所の(0x600507da)が「破損」している、つまり書き込み前に間違ったコンテンツを持っていることを意味します。メモリへの書き込みは、前の内容が何であるかを1ビット(しゃれを意図したもの)は気にしません。

また、問題はnotであり、その場所は「システム上の別のアプリケーションによって保護されている」と確実に言うことができます。これはプロセスごとの仮想アドレスであり、システム上の他のプロセスはそれについて何も言うことができません。

1
Jamie Hanrahan