glacier's blog

昏天黑地的三天苦战，很有必要记入 blog 为日后留下美好的回忆。

第一日：

    10：00
    寒暄，办理入住手续。

    10：10
    进入正题。
    我：现在主要的问题是什么？
    管理员：Windows 2000 系统偶尔有死机情况，HP 915 芯片的几台机器尤其明显。
    我：嗯，还有呢？
    管理员：NT4 系统偶尔有死机和蓝屏情况，有几台机器尤其频繁。
    我：这可能要多花些时间调试。还有呢？
    管理员：偶尔有文档被损坏的情况，而且不易重现。
    我：比较麻烦，到现场看情况再说。

    10：30
    根据临行前与 wlj 讨论的方案修改驱动程序，并加入大量调试信息，本地测试无误。

    13：30
    分别向主任和部长简要介绍未来几日工作计划。

    14：30
    现场了解情况，充分听取“怨言”，详细记录。

    15：00
    由管理中心统一升级至新版本。手工修复被损坏文档。

    16：00
    将死机情况最明显的 Windows 2000 机器搬至身边，安装 SoftICE 联机调试。

    22：30
    由于一开始误把故障定位在产品的核心驱动本身存在严重 BUG，走了少许弯路。后根据分析结果禁用默认服务以外的所有第三方服务，系统恢复正常。采用“折半排除”方法确定有冲突的服务，问题解决。

第二日：

    9：30
    现场了解 NT4 系统死机及蓝屏情况。

    10：30
    根据前一天对 Windows 2000 系统的分析结果，初步定位问题所在。

    11：00
    详细了解文档被损坏情况，大部分用户态度极好，效率较高。为控制走访时间，以平和语气+诚恳态度+生僻术语获取个别不甚友好的用户之认可，以一项 Office 绝技换来最不友好的用户一声“谢谢你”。

    13：30
    手工修复被损坏文档。
   
    14：30
    由于无法确定被损坏文档是否由最新版本驱动程序所致，拟编写文档完整性批量检测工具，先排除现存的出错文档。
   
    17：00
    文档完整性批量检测工具初步测试通过。与管理员协商明日上班时统一下发并将报表提交至服务器。
   
    17：30
    确认 NT4 下问题所在，验证解决方案无误。
   
    18：00
    回顾走访记录、查看现有日志，分析驱动程序可能存在的问题。
   
    22：00
    找到文档被损坏的重现方法，本机用 SoftICE 挂源码调试。

第三日：

    6：30
    持续 22 小时不眠不休，徘徊于“分析-修改-测试”的暗狱，以“吃得苦中苦，方为人上人”自勉，历经 9 个修订号完成新版本驱动。
   
    8：30
    与管理员协商升级、测试、提交文档完整性检查报告的详细流程。
   
    9：00
    全面升级 150 台终端电脑上的旧版本程序 —— NT4 系统占 1/3，其余为 Windows 2000 系统。
   
    9：30
    挑选几台已往文档损坏相对频繁的机器接收驱动程序日志，等待工作结束后查看结果。
   
    11：30
    所有用户提交文档完整性检测结果。总结错误文档的手工修复经验，设计文档自动修复工具。
   
    13：00
    午休。
   
    15：30
    使用自制的程序行为记录工具，友情协助网管分析近日在局域网内蔓延且无法查杀的病毒，给出分析结果及手工清除方案。
   
    16：00
    详细了解新版本程序当日运行情况。
   
    18：00
    文档自动修复工具初步测试通过，完全修复率 60% 左右，其余仍需手工修复，待完善。
   
    18：30
    150 台终端正常运行一整天，无死机/蓝屏、无文档被损坏。汇总日志信息，初步确认已知问题全部解决。简要向部长汇报工作结果，并感谢管理员的鼎力支持。

    19：00
    部门聚餐，强打精神推杯换盏。

总结：
    柳州人很实在。

附录：

病毒文件名：
    美女与野兽.exe、smss.exe。

病毒特征：
    使用 VB 编译，ASPACK 加壳。

病毒行为：
    1、复制自身至 <windows> 目录，文件名为“smss.exe”；
    2、修改注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 路径下两处键值：
       Shell=explorer.exe C:\WINNT\smss.exe
       Userinit=C:\WINNT\system32\userinit.exe,C:\WINNT\smss.exe
    3、查找“可写”的共享目录及移动存储设备，复制自身至根目录，文件名为“美女与野兽.exe”；
    4、在移动存储设备根目录创建 autorun.inf 文件，内容指向“美女与野兽.exe”，尝试利用“自动播放”功能在下次插入移动设备时获得运行机会。

手工清除方法：
    1、打开注册表编辑器；
    2、使用 PS/KILL 工具强行终止 smss.exe 进程；
    3、恢复注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 路径下两处键值：
       Shell=explorer.exe
       Userinit=C:\WINNT\system32\userinit.exe
    4、删除所有共享目录、移动存储设备中的“美女与野兽.exe”及“autorun.inf”文件；
    5、删除 <windows> 目录下的“smss.exe”；
    6、重新启动计算机，再次检查注册表及 <windows> 目录确认。

注意：
    1、<windows> 目录依各人系统有所不同，windows nt/2000 下默认路径为“c:\winnt”，windows 9x/xp/2003 下默认路径为“c:\windows”；
    2、<windows>\system32 目录下的 smss.exe 为系统文件，无需处理；
    3、由于该病毒关联了注册表 shell 项，所以应先打开注册表编辑器再终止进程，以免病毒借尸还魂。