Příspěvek

Windows - Crowdstrike BSOD

Zveřejněno
Crowdstrike
Crowdstrike
Od Aleš
zhlednutí 2 minut čtení
Windows - Crowdstrike BSOD

Problém

V minulý týden, asi z noci na pátek vydala firma Crowdstrike update jejich definic pro jejich EDR Falcon senzor, tento update upravoval detekci hrozeb v named pipes (proces sloužící ke komunikaci mezi jednotlivými procesy v systému). Aktualizace konfigurace ale vyvolala logickou chybu, která vedla k pádu operačního systému. Konkrétně v kernel driveru csagent.sys.

Workaround

Rychlým řešením je odstranit Channel File *.sys, který odsahuje špatnou definici.

  1. Přímo ze systému (netestoval jsem) nebo přes nouzový režim
  2. Přejít do složky C:\Windows\System32\drivers\CrowdStrike
  3. Najít knihovnu jejíž název začíná C-00000291*.sys a smazat (nebo jej přejmenovat)
  4. Pak už jen restart.

Pomocí terminálu:

1

del "C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys"

Pomocí scriptu:

Zde je script, který automaticky projde všechny vaše disky a soubor smaže:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51

@echo off
cls
echo "Started CrowdStrike Fix Batch"

:: Check if BitLocker is enabled and locked
for /f "delims=" %%a in ('manage-bde -status') do (
    echo %%a | find /i "Lock Status:          Locked" >nul && goto BitLockerOn
)
goto BitLockerOff

:BitLockerOn
:: Find the drive letter
for /f "delims=" %%a in ('manage-bde -status') do (
    echo %%a | find /i "Volume " >nul && for /f "tokens=2" %%i in ("%%a") do set "drive=%%i"
)
echo BitLocker detected.
echo Using drive %drive%
echo If your device is BitLocker encrypted, use your phone to log on to https://aka.ms/aadrecoverykey.
echo Log on with your Email ID and domain account password to find the BitLocker recovery key associated with your device.
echo.
manage-bde -protectors %drive% -get -type RecoveryPassword
echo.
set /p reckey="Enter recovery key for this drive if required: "
if not "%reckey%"=="" (
    echo Unlocking drive %drive%
    manage-bde -unlock %drive% -recoverypassword %reckey%
)
goto DeleteLogic

:BitLockerOff
:: Find the drive with the specific CrowdStrike file
echo BitLocker Off logic triggered.
for %%D in (A B C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (
    if exist "%%D:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys" (
        set "drive=%%D:"
        echo Using drive %drive%
        echo.
        goto DeleteLogic
    )
)
goto endFN

:DeleteLogic
del %drive%\Windows\System32\drivers\CrowdStrike\C-00000291*.sys
goto end

:endFN
echo File not found or it may have already been deleted.

:end
echo Done performing cleanup operation.

Odinstalace

  • Odinstalaci lze provést klasicky např. pomocí Ovládacích Panelů.
  • Nebo pravým tlačítkem klikněte na nabídku Start systému Windows a vyberte možnost Aplikace a funkce.

folcon_uninstall je třeba znát token

Windows
Widnows-11 Widnows-10
Tento příspěvek je licencován pod CC BY 4.0 autorem.