好友
阅读权限10
听众
最后登录1970-1-1
|
本帖最后由 My_Code 于 2018-2-3 20:05 编辑
一次资源管理器失去响应的问题的解决
一、状况:再一次windows更新后,电脑启动之后,有时候打开右键属性菜单导致资源管理器失去响应,有时候打开属性安全选项卡里的高级安全设置导致资源管理器失去响应,如下图:
二、推测可能出现的问题:
0x0、系统问题。
0x1、硬盘可能在那段时间失去响应。
0x2、资源管理器中毒或某个外壳程序或者模块出现兼容问题。
三、问题排除:
0x0、重装系统。 ——有重要数据,略过。并且本人用系统的习惯极好但是即使如此仍然不排除系统问题,人在关键时刻是没有信心的。。
0x1、更新磁盘控制器驱动,检测磁盘设置。——S.M.A.R.T信息均正常,测试连续读写,未出现问题。
0x2、校验资源管理器md5以及sha1,正常。但是模块无法直观的查看。接下来主要分析资源管理器模块。
四、验证假设:
0x0、进入安全模式,表现正常,没有出现假死状态,说明假设很有可能正确,但仍然不能确定。
0x1、由于最新版的win10没有类似于xp时代的IceSword的工具,PC Hunter不支持win10 16299,因此没有良好的手里剑,增加了验证繁琐程度。为了便于查看,使用了procexp工具,但是由于模块众多,无法方便的排除,也不能卸载模块。
0x2、重现问题,打开任务管理器,将进程转储文件导出,使用windbg查看,有四个exception,分别是,tv_x64.dll、7-zip.dll、gvimext.dll、DragExt64.dll;有一个unknow,是isoshl64.dll。
0x3、由于不能卸载模块,便将所有的模块相关进程结束,模块文件全部增加了.bak后缀防止加载,重启资源管理器,问题果然排除,验证正确,那么接下里就需要测试究竟是哪个模块造成失去响应。
0x4、将文件名称全部改回,然后留下一个isoshl64.dll.bak,因为这个是unknow,但发现还是正常,说明不是该模块。
0x5、想着7-zip.dll、gvimext.dll、DragExt64.dll三个模块所对应的软件7-Zip、Vim、WinSCP、版本很老了,可能会出兼容问题,于是将其改名,防止加载,重启资源管理器,问题依旧。
0x6、抱着试试的心态,将tv_x64.dll(对应软件TeamViewer 13.0.6447)改名,阻止加载,重启资源管理器,TeamViewer 13.0.6447提示丢失文件,点确定,不管它,问题果然排除,于是问题确认在TeamViewer 13.0.6447的tv_x64。
0x7,将TeamViewer 13.0.6447卸载,问题排除,正常,原本进一步分析原因,但是想想又是调试,又是捕捉,麻烦的很,暂时停止。
五、得出结论: TeamViewer13.0.6447的tv_x64.dll出现exception导致资源管理器打开高级安全设置窗口后失去响应。
PS:
0x1、已经向teamviewer提出反馈。
0x2、接下里进一步分析模块之间的问题,请等待后续。
0x3、这个问题走了弯路。
转载请注明。 |
免费评分
-
| 参与人数 6 | 吾爱币 +9 |
热心值 +6 |
收起
理由
|
 qfg
| + 1 |
+ 1 |
谢谢@Thanks! |
 kuigh
| + 1 |
+ 1 |
感谢发布原创作品,吾爱破解论坛因你更精彩! |
 Ganlv
| + 2 |
+ 1 |
第一次看到有分析如何研究Explorer的插件的,厉害厉害 |
 小人国历险记
| + 3 |
+ 1 |
鼓励转贴优秀软件安全工具和文档! |
 kk1212
| |
+ 1 |
谢谢@Thanks! |
 whklhh
| + 2 |
+ 1 |
谢谢@Thanks! |
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
发表于 2018-2-3 19:38
|
发表于 2018-3-4 17:25
