平淡

問題分析

從上述的故障表現(xiàn)和系統(tǒng)提示基本可以知道，問題的出現(xiàn)是系統(tǒng)可用資源（如內(nèi)存、CPU資源）被后臺(tái)某些進(jìn)程耗盡所致。由于這個(gè)問題是開機(jī)使用一段時(shí)間后才會(huì)出現(xiàn)，因此筆者首先強(qiáng)制重啟出現(xiàn)問題的電腦，進(jìn)入系統(tǒng)后立刻開始全盤掃描殺毒，但是Windows Defender掃描的結(jié)果顯示并沒有發(fā)現(xiàn)病毒。因此，筆者決定手動(dòng)對(duì)后臺(tái)進(jìn)程進(jìn)行監(jiān)控。再次重啟電腦，進(jìn)入系統(tǒng)后立刻啟動(dòng)任務(wù)管理器，切換到“詳細(xì)信息”選項(xiàng)卡后，在任意列項(xiàng)目上右擊并選擇“選擇列”，然后在打開的窗口中勾選“句柄”“線程”“I/ O讀取”“I/ O寫入”“路徑名稱”和“命令行”等項(xiàng)目（圖2）。

接著返回到任務(wù)管理器窗口中等待，過(guò)了一段時(shí)間后筆者發(fā)現(xiàn)，其中“System”進(jìn)程的句柄數(shù)一直在大量地增加（有時(shí)甚至達(dá)到幾十萬(wàn)個(gè)，正常狀態(tài)一般只有幾千個(gè)），而且其“I/O讀取”、“I/O寫入”數(shù)字也在同步增加，顯然“系統(tǒng)資源不足”的問題就是該進(jìn)程不斷增加的句柄數(shù)耗盡了系統(tǒng)的可用資源而導(dǎo)致的（圖3）。

查找問題

通過(guò)上面的分析，知道問題的出現(xiàn)是“System”進(jìn)程不斷增加的句柄所導(dǎo)致。通過(guò)圖3所示的“路徑名稱”，可以知道該進(jìn)程運(yùn)行的程序是“C：＼Windows＼System32＼Ntoskrnl.exe”。但打開這個(gè)文件查看其屬性，從數(shù)字簽名、產(chǎn)品名稱均可以判斷是系統(tǒng)的正常文件（圖4）。

系統(tǒng)的正常文件怎么會(huì)導(dǎo)致上述問題的發(fā)生呢？原來(lái)，Ntoskrnl.exe是一個(gè)NT系統(tǒng)內(nèi)核程序，它的主要作用是負(fù)責(zé)操作系統(tǒng)核心的任務(wù)。除了系統(tǒng)核心組件，日常驅(qū)動(dòng)文件也是由其調(diào)用。它在任務(wù)管理器中對(duì)應(yīng)的進(jìn)程名為“System”，如果該進(jìn)程占用了過(guò)多的系統(tǒng)資源，大多是由于其調(diào)用的驅(qū)動(dòng)文件異常而導(dǎo)致的。

解決問題

分析出導(dǎo)致問題的原因后，解決方法就是找出其調(diào)用的驅(qū)動(dòng)，將其停止并刪除即可。一種方法是使用之前的文章中介紹的Process Explorer軟件來(lái)查看其調(diào)用的線程，找出異常的文件并刪除對(duì)應(yīng)的服務(wù)。如果電腦中沒有Process Explorer軟件，也可以使用系統(tǒng)自帶的組件來(lái)查找。

1使用“資源監(jiān)視器”篩選進(jìn)程

在任務(wù)欄的搜索框中輸入“資源監(jiān)視器”，啟動(dòng)該組件后在進(jìn)程列表中勾選“System”進(jìn)行篩選（圖5）。接著再切換到“CPU”選項(xiàng)，展開下方的“關(guān)聯(lián)的模塊”，便會(huì)列出“System”進(jìn)程加載的所有模塊。對(duì)于是否為可疑模塊，可以借助版本號(hào)來(lái)排查。點(diǎn)擊“版本”，按照版本號(hào)進(jìn)行排序。一般來(lái)說(shuō)系統(tǒng)文件的版本號(hào)都是一致的，可疑程序的版本號(hào)則大多和系統(tǒng)版本不同。通過(guò)仔細(xì)排查，其中名為“f hdisbfasu.sys”的模塊極為可疑（圖6）。

2使用“系統(tǒng)信息”查看模塊描述

在任務(wù)欄的搜索框中輸入“msinfo32.exe”啟動(dòng)系統(tǒng)信息組件，在左側(cè)的窗格中依次展開“軟件環(huán)境→系統(tǒng)驅(qū)動(dòng)程序”（也可以直接在下方的搜索框中輸入“fhdisbfasu.sys”查找），可以看到這個(gè)驅(qū)動(dòng)的描述是“LoadVir tual Disk”，疑似為一個(gè)虛擬磁盤軟件的驅(qū)動(dòng)文件（圖7）。

3查看文件屬性鑒別文件

按照?qǐng)D7顯示的路徑提示，打開資源管理器并找到“C：＼Windows＼System32＼Drivers＼fhdisbfasu.sys”文件，查看其文件屬性，既沒有微軟數(shù)字簽名，也沒有版權(quán)等說(shuō)明，因此基本上可以判斷，這是一個(gè)第三方軟件帶來(lái)的驅(qū)動(dòng)（圖8）。

最終經(jīng)過(guò)詢問該員工，原來(lái)是在某非正規(guī)網(wǎng)站下載的一個(gè)虛擬光驅(qū)軟件，安裝后導(dǎo)致上述問題的出現(xiàn)。筆者判斷應(yīng)該是該安裝包內(nèi)置了驅(qū)動(dòng)木馬，或者其驅(qū)動(dòng)和系統(tǒng)兼容性有問題導(dǎo)致的故障。找到導(dǎo)致問題的具體文件后，最后在注冊(cè)表中找到其加載的鍵值并刪除，重啟后再進(jìn)入資源管理器刪除上述的驅(qū)動(dòng)文件，自此順利地解決問題。