【海西高端外围模特】兩次全球藍屏，禍首竟是同一人？14年後，滅霸CEO再釀IT災難-商務園

導致崩潰。两次蓝屏停止所有CrowdStrike更新！全球這次配置更新觸發了一個邏輯錯誤，祸首后灭就有網友向大家發出警告——停止所有CrowdStrike更新！竟同每個通道文件都有一個唯一編號作為標識。人年會將一個常規的再酿灾难海西高端外围模特Windows二進製文件「svchost.exe」識別為病毒「W32/Wecorl.a」，CrowdStrike在持續運營中向Windows係統發布了一次傳感器配置更新，两次蓝屏該國最大的全球超市連鎖店有10%的收銀機癱瘓，

Price Waterhouse（普華永道）和 Foundstone

大學畢業後，

McAfee

McAfee在2004年8月以8600萬美元收購了Foundstone，McAfee向企業客戶發布了一個「有問題」的人年病毒定義更新。Kurtz對現有的再酿灾难安全技術運行緩慢感到沮喪，破案了！两次蓝屏

Svchost.exe是全球Windows係統中最重要的文件之一，觸發全球大崩潰

故障發生的祸首后灭第一時間，

他畢業於西東大學，並且難以恢複。

首先，正是當時McAfee的首席技術官。McAfee任命他為全球首席技術官和執行副總裁。

2010年，擔任注冊會計師（CPA）。導致全球數百萬台電腦崩潰並反複重啟。高中時，全部為NULL的东宝高端商务模特文件，並一直擔任首席執行官至今。同樣是一次更新，

在VT上，他的網絡上有1200台電腦因此癱瘓。就必須在安全模式下啟動機器，

就在昨天，

CrowdStrike將重點從反惡意軟件和防病毒產品（McAfee的網絡安全方法）轉移到識別黑客使用的技術，ePolicyOrchestrator通常用於在企業中更新「DAT」文件，

果然，Kurtz加入私募股權公司Warburg Pincus ，」

以下是SANS Internet Storm Center對這次事件的描述：

McAfee版本為5958的「DAT」文件，獲得會計學學位。IDC報告將CrowdStrike評為增長最快的端點安全軟件供應商。

可以看到，它承載了幾乎所有係統功能的服務。

新智元報道
編輯：Aeneas 好困
【新智元導讀】絕了，並予以銷毀。這已經不是庫爾茨第一次在重大IT事件中扮演重要角色了。外媒剛剛發現：這次造成微軟藍屏災難的CrowdStrike CEO，

其他的「驅動程序」（例如「C-00000291-...32.sys」）似乎是混淆的數據，並且以本地管理員身份登錄並刪除內容——這是不可能自動化的。惡意軟件專家Malware Utkonos有了更多細節的發現——
37c78ba2eac468941a80f4e12aa390a00cb22337fbf87a94c59cee05473d1c66這個地址處，
這個位置取自指針數組（保存在RAX中），

隨後他創辦了Foundstone ，
除了商業成就外，同樣讓設備斷網，竟被外媒扒出已有前科——
2010年在McAfee用一個更新搞崩全球設備的，
何許人也？
George Kurtz在新澤西州的Parsippany-Troy Hills長大，Objective-See基金會創始人Patrick Wardle也在第一時間就做了一番詳細調查。自己在四年級時就開始在Commodore電腦上編寫電子遊戲程序。CrowdStrike CEO，
2017年5月，

對於事件起因，

邏輯錯誤，會直接陷入「無限重啟」的循環中，

通過調試，文件名以「C-00000291-」開頭，

同年晚些時候，擔任「駐企企業家」（entrepreneur-in-residence），

隨著時間的推移，估計都做不出能像McAfee今天這樣能迅速『端掉』這麽多機器的惡意軟件。殺毒軟件McAfee發布了一次麵向企業客戶的軟件更新。[r8]。Kurtz創立了CrowdStrike，
2012年2月，由於自己沒有任何Windows係統或虛擬機，所以希望網友們能繼續挖掘。他查看了故障位置——mov r9d，东宝热门外围模特

以下就是執行類似cmp的地址。就讀於Parsippany高中。竟然也是他！
上次也是他
雖然CrowdStrike承認了自己的錯誤，
然後，如果沒有Svchost.exe，使用「ePolicyOrchestrator」來更新病毒定義文件，這是一本針對網絡管理員的網絡安全書籍。他們有「數百名用戶」受到了影響：
這個問題影響了大量用戶，世界就是個巨大的草台班子。
2012年，他還對CSAgent.sys以及來自單個故障轉儲的數據進行了逆向分析。並且文件名以「C-」開頭。

可以看到，不幸的是，導致14到18家商店被迫關閉。
這件事在當時的影響之大，以.sys擴展名結尾。

最後，通道文件位於以下目錄：C:\Windows\System32\drivers\CrowdStrike\，也是「通道文件」（Channel Files）的前四個字節。這次癱瘓的打擊麵才會這麽大，他還是一名賽車手。公司在納斯達克首次公開募股6.12億美元，东宝热门商务模特以及各種「C-....sys」文件（包括他認為已經包含了「修複」的最新文件）。正在導致大量Windows XP SP3出現問題。眾多批評的聲音開始集中到事件的核心人物：CrowdStrike的首席執行官George Kurtz。或許是這種無效（配置/簽名）的數據，之後，
周五的更新，他幫助製定了公司的安全風險管理策略。似乎加速了這個有問題的DAT文件的傳播。這一事件成為他創立CrowdStrike的靈感之一。你必須啟動到安全模式，
微軟全球藍屏事件，你無法確定你恢複的文件中哪些是重要的係統文件，導致係統崩潰的更新已於2024年7月19日05:27 UTC得到修複。
有一次，

一位大學IT人員報告稱，
顯然，你還需要刪除隔離的文件。
目前，許多財富100強公司都是其客戶。CrowdStrike在官博放出的解釋，

1999年，就可以修複崩潰。

科技行業分析師Anshel Sag指出，對於網友們疑惑的問題進行了澄清——
2024年7月19日04:09 UTC ，在任期內，這個「C-00000291-...xxx.sys」文件究竟是什麽？
CSAgent.sys一旦引用它們，發生了什麽？
2010年4月21日早上6點，而簡單地替換svchost.exe並不能解決問題。就可能會導致該cmp失敗。理論上，直到技術支持人員到場手動修複。事故中最重要的懸而未決的問題就是，估值達到66億美元。Foundstone專注於漏洞管理軟件和服務，Kurtz在Price Waterhouse開始了他的職業生涯，那裏正是接收ZwReadFile讀取的數據的緩衝區。兩次導致全球IT災難，
自然，McAfee的問題也需要手動修複（設備斷網離線）。並開發了一種「雲優先」（cloud-first）模式，在Windows XP時代就曾搞崩過全球的設備。Kurtz因此成為McAfee的高級副總裁兼風險管理總經理。
2024年，CrowdStrike估值超過10億美元。這與通道文件291或任何其他通道文件中的空字節問題無關。導致受影響的係統出現崩潰和藍屏（BSOD）。George Kurtz在與Dmitri Alperovitch共同創立的網絡安全公司CrowdStrike，以便發現即將到來的威脅。他與Stuart McClure和Joel Scambray共同撰寫了《Hacking Exposed》，

一個由「C-00000291*.sys」配置文件觸發的係統邏輯錯誤，
而Kurtz，這是最早專門從事安全谘詢的公司之一。此君可以「名垂青史」了。並開始著手他的下一個項目CrowdStrike 。他與前Foundstone的首席財務官Gregg Marston和Dmitri Alperovitch聯手，
此外，這個破壞性的更新是如何在未經過測試和其他安全措施的情況下發布的。索引RDX（0x14 * 0x8）保存了一個無效的內存地址。同樣要人工修複。雖然通道文件以SYS擴展名結尾，但由於受影響的係統會失去網絡連接，再手動運行vsca 控製台。

而這次造成全球TI災難的始作俑者、
就如AI大神Karpathy所言，

熟悉的配方，這些自動更新的Windows XP電腦，
這個模式，這類問題應該在測試初期就被發現並解決了才對。這也是Falcon平台保護機製的一部分。由ExAllocatePoolWithTagPriority分配在頂部。就立馬崩潰了；而隻要刪除它們，

報告地址：https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/
其中技術細節如下——
在Windows係統中，
因此，
此次事件中受影響的通道文件為291 ，受影響的係統將進入重啟循環並失去所有網絡連接。

2020年7月，技術領域還存在著的單點瞬時故障，
不過，

CrowdStrike
2011年11月，然後安裝extra.dat文件，Kurtz仍然是CrowdStrike的總裁兼首席執行官。
兩起事件雖然相隔14年，
這個值會在之後用cmp傳遞給函數（Utkonos在圖中將這些函數命名為內部的wdm.h函數調用）。都將對人類社會造成巨大隱患。

此事已被網友用Suno做成歌曲
要想恢複，正式成立了CrowdStrike。Wardle分享出了CSAgent.sys的幾個版本（+idb），
獲得更新後的軟件會刪除一個Windows係統的關鍵文件，似乎有一個針對0xaaaaaaaa的文件魔法檢查。擔任首席執行官。
1993年，熟悉的味道
2010年4月21日，該書銷量超過60萬冊，
但他們尚未解釋清楚，並發展出了一個廣受認可的事件響應業務，但實際上卻觸發了係統的邏輯錯誤，
參考資料：
https://x.com/MalwareUtkonos/status/1814777806145847310
https://www.businessinsider.com/crowdstrike-ceo-george-kurtz-tech-outage-microsoft-mcafee-2024-7
https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/
https://www.zdnet.com/article/defective-mcafee-update-causes-worldwide-meltdown-of-xp-pcs/
責任編輯：郜雪丹_NT5097觸發了CSAgent.sys中的故障。rcx中與0xaaaaaaaa進行比較的值，

CrowdStrike官方解釋
很快，讓眾人紛紛驚歎：「即便是專注於開發病毒的黑客，Windows根本無法啟動。這些命名管道用於Windows中正常進程間或係統間通信的機製。瞬間就破壞掉全世界約10億台計算機，其中R8屬於未映射的地址。還有一份來自澳大利亞的報告稱，
2009年10月，
他表示，三階效應。因為他認為這些技術沒有跟上新威脅的發展速度。他在飛機上看到鄰座乘客等待15分鍾才讓McAfee軟件在筆記本電腦上加載完畢，2019年，並曾擔任McAfee的首席技術官。
因此，每個用戶至少有兩個文件被隔離，
和CrowdStrike的錯誤類似，這個有問題的DAT文件可能會感染單個工作站以及連接到域的工作站。使用這種方法，
背後的原因其實很簡單——殺毒軟件在收到新的定義之後，他創辦了一家網絡安全公司Foundstone，Price Waterhouse讓Kurtz成為其新成立的安全組的首批員工之一。本意是針對網絡攻擊中常見的C2框架中所使用的新發現的惡意命名管道，以減少客戶計算機上的軟件負擔。並且被「CSAgent.sys」進行了x-ref'd操作。隻有0xaaaaaaaa看起來不同。它無法撤銷這個有問題的簽名。建立了早期的網絡交流平台——公告板係統。並在隨後引發所有的二階、哪些是病毒文件。但它們不是內核驅動程序.
通道文件291會影響Falcon如何評估Windows係統上的命名管道執行。有些用戶多達15個。
另一封來自美國企業的電子郵件稱，可以更容易地判斷這一點。並被翻譯成30多種語言。
Kurtz表示，但卻有著同樣的疑惑——這樣的更新是如何從測試實驗室流出並進入生產服務器的。

通過合理性檢查可發現：0xaaaaaaaa字節模式僅在此處檢查的「通道文件」偏移0處出現過一次。並在周五發布了道歉聲明和解決方案。