January 24 2019 03:18:44
Активаторы
         

         

          

Иерархия статей

Статьи » Мои статьи » FIX: ошибка 0xc0000005 после установки обновлений
FIX: ошибка 0xc0000005 после установки обновлений

13 августа Microsoft выпустила обновление KB2859537, и форумы запестрели мольбами о помощи – у людей перестали запускаться программы. Сериал продолжился в сентябре и октябре…
Обновление KB2859537 было призвано исправить четыре уязвимости в ядре Windows, позволяющие несанкционированное повышение прав. Первая уязвимость позволяла загрузить DLL в процесс, обходя механизм защиты ASLR, призванный снизить риск эксплуатации уязвимостей.

Три остальные уязвимости связаны с ошибками в проверке адресов ядром Windows, что приводит к повреждению памяти и позволяет запустить произвольный код в режиме ядра. После этого повышение прав уже не проблема. Технические подробности доступны в бюллетене безопасности MS13-063.
Почему возникла проблема и в чем она заключается

KB2859537 заменяет массу системных файлов, в том числе файлов ядра (полный список есть в статье базы знаний). Если оригинальное ядро было модифицировано, его замена может привести к проблемам.
Upd. 12-Sep-13. Обновление KB2872339, вышедшее в сентябре, заменяет KB2859537, т.е. содержит более новые версии файлов ядра. Его установка может привести к точно таким же проблемам.
Upd. 09-Oct-13. Обновление KB2882822, вышедшее в октябре, добавляет поддержку интерфейса ITraceRelogger. Поскольку оно заменяет файлы ядра, его установка может привести к точно таким же проблемам.

У такой модификации есть две наиболее вероятные причины.

Вредоносные программы. Это не первый случай, когда обновление ядра выявляет наличие проблем в системе – так, 3.5 года назад случайно обнаружился руткит Alureon.

Нелегальная активация. Этот момент отлично разобрал участник конференции OSZone simplix, который не понаслышке знаком со сборками Windows, а также является автором полезной программы AntiSMS для лечения вирусов и троянов.

Позволю себе процитировать его пост в форуме, выделив жирным то, в чем заключается проблема.
Проблема возникает из-за того, что во взломанных системах используется старая версия ntoskrnl.exe, которую патчер (или сборка) переименовывают в xNtKrnl.exe и прописывают в поле kernel через bcdedit. Это нужно для того, чтобы система работала с драйвером, эмулирующим SLIC-таблицу. Старая версия ядра не совместима с новыми файлами подсистемы Wow64, из-за этого в 64-битной системе 32-битные программы перестают запускаться. Вины Microsoft здесь нет, они просто не тестировали обновления на ломаных сборках. К слову, если пропатчить новую версию ядра, то система будет работать как положено — это означает, что обновление не нацелено на борьбу с пиратскими системами, просто так сложились звёзды.

Кстати, simplix ранее предупреждал читателей блога о возможных проблемах г-сборок, в которых заменяются ресурсы.

Возможны и другие причины — Microsoft в настоящее время исследует их.
Как исправить проблему
Удаление обновлений KB2882822, либо KB2859537 или KB2872339 из командной строки

В командной строке, запущенной с правами администратора, выполните:
1 wusa.exe /uninstall /kb:2882822

или1 wusa.exe /uninstall /kb:2872339

или1 wusa.exe /uninstall /kb:2859537

Рейтинг

Нет опубликованных рейтингов.

Рейтинг доступны только для пользователей.
Пожалуйста, авторизуйтесь или зарегистрируйтесь для голосования.


Авторизация
Логин

Пароль




Забыли пароль?
Запросите новый здесь.
· Новостей: 37
· Статей: 92
· Файлов: 168
· Изображений: 0
· Ссылок: 0
· Темы форума: 815
· Сообщений на форуме: 822
· Пользователей: 1527
· Комментарии: 507
Счетчик
Яндекс.Метрика
Анализ сайта
Рейтинг@Mail.ru
2,010,271 уникальных посетителей