当有bug的第三方驱动程序使系统崩溃并导致蓝屏死机时,很难从所有正在运行的软件中找出原因。使用WinDbg的另一种方法是识别在蓝屏死机事件之前发生的任何设备驱动程序添加或更改。
Windows设备驱动程序只是更广泛的Windows操作环境功能“自动运行设置”的一部分。Windows的自动运行设置识别Windows的自动启动软件,包括所有Windows设备驱动程序,在系统启动或登录期间。
在这个图像中,AutorunCheck Forensic v1.0.1显示了驱动程序的BEFORE和AFTER状态。在追踪系统崩溃的原因时,知道什么发生了变化是很有价值的。
替代可靠的Windows调试器方法,车导致Windows设备驱动程序从一个稳定的操作环境遭受BSOD可以通过验证的过程发现所有设备驱动程序和检测任何最近的更改事件(如设备驱动程序更改或添加)。
发现、验证和检测驱动状态变化的过程可以使用大量的Autorun实用程序来完成,但大多数都需要手动梳理所有系统的Autorun设置,这可能是一个耗时、令人沮丧的过程。
下表中列出了一些实用工具,它们能够通过内置功能实现此过程的自动化。这些Autorun实用程序允许您获取当前Windows系统状态的快照,识别所有最近的系统更改事件,并验证非违规更改事件。这些系统更改事件确定了时间轴和驱动程序的差异,最终有助于解决蓝屏罪魁祸首。
下表并不是对所列产品的所有功能的全面比较,但突出了适用于蓝屏问题的功能。
自动运行实用软件,能够自动驱动程序变化检测
| 产品 | 时运行 | AutorunCheck | ConfigSafe | FireTower警卫 |
|---|---|---|---|---|
| 触发 | 随需应变 | 随需应变 | 随需应变 | 实时 |
| Discovery1 | 生活只 | 生活+阴影 | 生活+阴影 | 生活只 |
| Authentication2 | 2 | 2 b | 没有一个 | 2摄氏度 |
| 改变Detection3 | 手册 | 手册 | 手册 | 实时 |
- 注意:1:发现:发现实时Windows状态和卷影副本中的Windows状态的自动启动位置。
- 2:认证:通过恶意软件数据库和白名单数据库的自动运行设置中的文件图像哈希值进行认证。
- 2a:认证源:VirusTotal.com。
- 2b:认证源:自动运行设置库,和三个可调在线防恶意软件引擎。
- 2c:认证源:自动运行设置存储库,和三个可调在线防恶意软件引擎。3: Change Detection:手动比较两个Autorun快照和实时自动变化检测通知。