我的电脑上的 DriverView 中显示以下条目:
- C:\Windows\System32\驱动程序\dump_dumpata.sys
- C:\Windows\System32\驱动程序\dump_dumpfve.sys
- C:\Windows\System32\驱动程序\dump_msahci.sys
这些文件不存在或被隐藏。
我在网上没有找到关于这些文件的任何具体信息。有人知道它们是否合法吗?
操作系统是Windows 7专业版。
谢谢。
答案1
不,你没有 rootkit。新安装的 Win 7 SP1 对我来说是这样的:
- dump_dumpfve.sys 是 Win 7 的一部分
- dump_iaStor.sys 是我安装的驱动程序的一部分。Intel Storage 之类的东西
对于你的情况另外:
- dump_msahci.sys 与 AHCI 驱动程序有关。
- dump_dumpata.sys 与 PATA 有关,也称为并行ATA,我大胆猜测 dumpata 中 pata 之前的 dum 代表 dummy,但我不知道。
简而言之,不,你没有rootkit。
答案2
C:\Windows\System32\Drivers\dump_dumpata.sys
C:\Windows\System32\Drivers\dump_dumpfve.sys
C:\Windows\System32\Drivers\dump_msahci.sys
我正在寻找有关 nirsoft DriverView 中显示的这些相同驱动程序的答案
根据 John Carrona 网站上的驱动程序参考表,Microsoft MVP http://www.carrona.org/dvrref.php
转储文件
%SysDir%\Drivers\DUMP_DUMPATA.SYS is related to Microsoft Windows Vista.
DUMP_DUMPATA.SYS is a system driver for managing ATA devices.
转储文件
%SysDir%\Drivers\DUMP_DUMPFVE.SYS is related to Microsoft Windows Vista.
DUMP_DUMPFVE.SYS is a Full Volume Encryption Crashdump Hibernate Filter Driver.
DUMPFVE.SYS is a part of Microsoft® Windows® Vista Operating System.
转储_msahci
DUMP_MSAHCI.SYS is related to MS AHCI 1.0 Standard Driver.
DUMP_MSAHCI.SYS is a part of Microsoft® Windows® Operating System.
Manufacturer: Microsoft Corp.
似乎它们都与转储文件和合法文件有关,但我自己也不确定,这可能对其他人有帮助
Windows 7 SP1
答案3
根据MS 解释
这些是用于创建崩溃转储的虚拟驱动程序。¹
创建崩溃转储有点儿像一个两难问题:崩溃发生时,系统处于未知状态,这意味着您不能信任任何东西,甚至文件系统或块设备驱动程序也不行。毕竟,崩溃可能就发生在其中一个驱动程序中!
系统启动时,它会预先分配硬盘上的空间,以备不时之需,记录崩溃转储信息。它还会克隆写入磁盘所需的驱动程序。如果发生崩溃,内核将不再信任运行该程序的驱动程序。相反,它会要求这些克隆驱动程序介入并写入崩溃数据。这里的理论是,这些克隆驱动程序在初始化后立即处于假死状态,以尽量减少它们进入损坏状态而无法正常工作的可能性。²
这些虚拟驱动程序在 Process Explorer 中显示时没有描述或其他元数据,因为 Process Explorer 会采用报告的路径并从该路径中提取元数据。但这些驱动程序不是从文件中加载的,因此没有任何内容可显示。