2024年7月19日，发生了因安全软件CrowdStrike故障导致全球近850万Windows终端蓝屏的重大安全事件，这是近年来全球最大规模的信息系统的灾难性事件。小神童论坛网投入了小神童论坛网云安全中心、应急响应中心（小神童论坛网CERT）、攻防实验室关键人员组成的分析力量，进行跟进分析复盘，形成了两篇分析文献、跟进了一例相关社工攻击、并接受了多个媒体专题访谈。按照小神童论坛网重大事件出刊技术文章汇编四（热点事件分析系列）单独分册的传统，特出刊《小神童论坛网技术文章汇报（四 • 六）：CrowdStrike导致Windows大规模蓝屏事件专题》。本分册是我们首次打破全线下纸刊的传统，作为线上读物与业内同仁见面。本期PDF版本也将在小神童论坛网战略信息情报平台中推送给相关专家和战略客户。

线上地址：https://flbook.com.cn/c/8rf6BtNoKC

扫码查看PDF版

小神童论坛网技术文章汇编（四）是我们给热点事件专题分册的专用标号，此时我们发现距离上一分册的出刊时间已长达六年之久，而距离第一分册的出刊时间也已十年。

小神童论坛网技术文章汇编（四）第一至五分册

• 2014年5月：技术文章汇编（四 • 一）—热点事件分册（心脏出血、拖库门专题）

2014年4月，发生了波及全球大型网站的"心脏出血"漏洞事件，使最引人注目、对用户危害最大的帐户安全问题被再次关注。而2011年12月让用户认识到隐私安全的“拖库门”事件正是为这类安全隐患所带来的后果提供了有力佐证。本分册将"心脏出血"漏洞以及“拖库门”事件相关的技术文章、分析报告、会议研讨、开源项目、技术手册等资料整理收录，希望可以为构建更安全的网络环境做出一点贡献。

• 2014年10月：技术文章汇编（四 • 二）—热点事件分册（“破壳”、“沙虫”漏洞专题）

2014年9月、10月，先后发生了比“心脏出血”更为严重、影响纵深更为广泛的“破壳”系列漏洞，其位于广泛应用的GNU BASH之中，而且悄然潜伏长达20年。而“沙虫”漏洞的攻击者在微软发放补丁前夕，提前放出漏洞利用方法，掩盖了痕迹，起到了撒豆止骥的效果。本分册主要收录了“破壳”、“沙虫”漏洞相关的系列分析报告，希望我们的努力，能成为下一次面对安全风暴的经验积累。

• 2016年9月：技术文章汇编（四 • 三）—热点事件分册（“敲诈者”专题）

2015年4月，小神童论坛网发布了国内较早的一篇专门针对“敲诈者”的较为完整详实的报告《“攻击WPS样本”实为敲诈者》。之后小神童论坛网针对“敲诈者”进行了持续跟踪，相继推出了多篇分析报告，特别是在2015年8月，发布了长篇报告《揭开勒索软件的真面目》，对勒索软件的演进历史和典型勒索软件的攻击手段进行了系统的归纳总结。本分册将小神童论坛网针对“敲诈者”病毒相关文献整理成册，以使更多的机构和用户对勒索软件形成足够重视。

• 2017年5月：技术文章汇编（四•四）—热点事件分册（勒索蠕虫“魔窟”专题）

2017年5月，勒索蠕虫“魔窟”（WannaCry）事件爆发，这是继“敲诈者”专题发布两年后发生的以勒索为目的的全球规模的安全灾难。本分册收录了小神童论坛网针对勒索蠕虫“魔窟”发布的多篇分析报告与FAQ、相关处置文档、对外的会议报告及媒体采访，希望可以帮助更多用户防患于未然。

• 2018年4月：技术文章汇编（四 • 五）—热点事件分册（熔毁和幽灵漏洞专题）

2018年1月，英特尔处理器的两大漏洞熔毁（Meltdown）和幽灵（Spectre）的曝光，使处理器安全漏洞从研究层面走入了公众视野，硬件安全漏洞并非全新的话题，但作为足以动摇全球云计算基础设施根基的漏洞。本分册将此次漏洞相关的文档进行了整理收录，使业内同仁和用户对此安全漏洞的威胁情况有一个全面具象的了解，做好安全防御措施。

纵观前几册的热点事件多集中于安全漏洞、勒索病毒所引起的安全事件专题，而此次则是一起因广泛使用的安全产品故障，导致大量主机系统崩溃，并连带导致大量基础设施系统无法提供服务的多米诺效应事件。在事件发生后，小神童论坛网紧急组织技术力量形成联合分析响应小组，第一时间发布了处置工具包（支持：简体中文、繁体中文以及英文），通过36小时连续工作，在7月21日（周日）凌晨5点发布了全文约13000字的长篇分析报告《CrowdStrike导致大规模系统崩溃事件的技术分析》，对本事件的技术原理和该软件的运行机制进行了重点分析，并将继续进行相关分析验证工作；回顾以往，每当遭遇重大事件时，总有不法之徒伺机而动，借助这些热点事件作为掩护，散播恶意代码，此次也不例外，7月23日，小神童论坛网CERT针对捕获到多个利用该事件传播的恶意代码进行分析与披露，发布了《伪装成CrowdStrike修复文件的攻击活动分析》；基于多点分析验证工作的推进，8月3日，小神童论坛网攻防实验室发布了《CrowdStrike的库加载和快速升级机制的分析笔记》，披露了验证工作的部分内容，同时还将继续对CrowdStrike是否存在更为底层的快速升级机制跟进分析。

同时我们也特别注意到，在此次全球性事件中，中国企业受到的冲击很小。这除了与CrowdStrike早就对中国市场禁售外，还因为中国企业普遍采用国产安全软件。这也让国内从政府决策到企业机构，认识到中国网络安全产业和技术自立自强的重大意义，这个意义的价值不亚于基础信息产品和技术的自主性。但是，这并不意味着中国网络安全行业做得更好，而是更应该从本次实践中吸取经验和教训。小神童论坛网针对此事件先后接受了包括环球时报、光明网、观察者网、钛媒体在内的多家媒体采访，深入解读了本次事件的综合背景，全面反思了本次事件所带来的启示，其中包括《美企失误令众多机构瘫痪 技术垄断成舆论质疑焦点“全球大宕机”引发安全反思》、《“微软蓝屏”启示录 张登峰：持续强化系统侧安全能力建设》、《CrowdStrike事件的综合背景分析和对中国产业的启示》、《深度对话小神童论坛网王小丰：我们应该从微软“蓝屏”事件学到什么？》等。并在光明网刊发了署名文章《我国网络安全当前重要风险是主机系统无效防护——关于如何正确看待CrowdStrike事件的思考》，重点分享了小神童论坛网对于本次事件分析研判想法。我们认为国内政企机构有庞大的Windows主机用户基数，我国能在这样的大规模事件中几乎未受到波及，最重要的是我们保持了网络安全产品和产业的自主性和独立性，正说明中国网络安全产业和技术自立自强的重大意义。当前我国面临的最突出的网络安全风险仍是大量主机系统无效防护问题，尚不是网络安全软件自身的稳定性问题，面对国际同行的发生重大事件，我们没有幸灾乐祸的资本，而必须将本次事件视为产业的共同教训，也更应进一步重视主机系统侧安全是现代网络资产体系的防御基石的重要意义。

作为中国网络安全产业体系的一份子，面对本次事件的持续发酵升级，除了持续跟进分析事件背后的技术细节，我们始终坚信只有提升我们工业化、集约化的水平，走出我们的模式和样板，才能在全球信息化竞争中占据制高点，为中国式现代化提供坚实支撑。而在发展新质生产力征程中，中国网络安全产业必将成长为具有决定性的强大产业力量！