硕鼠的博客站

微软Windows全世界蓝屏，这个事情以前我们也干过。大家好，欢迎收听老范讲故事的YouTube频道。今天，咱们来讲讲微软蓝屏到底是怎么回事。

到底什么叫蓝屏啊？咱们先讲一下。我们看到的各种照片，都是一个蓝色的屏幕。但是，现在这个蓝色要比以前好看啊。这个过程呢，其实叫dump。就是微软的Windows发生了不可逆的崩溃的时候，微软会把内存里边的所有数据写到硬盘上去。以便于什么呢？下一次重启的时候或者修复的时候，可以去查找原因。到底是什么原因造成的这一次崩溃啊？什么原因造成的这一次崩溃？以及呢，在下一次重启的时候，可以去恢复部分原来的运行状态啊。这是这样的一个功能。从Windows很早期，就有这样的这种淡薄功能。当然，那个时候的蓝色没有现在的好看啊。当时是一个很饱和的蓝色，现在应该是蓝、灰等各种颜色拼在一起的一个颜色。

软件崩溃，实际上这肯定软件还是有错误嘛。到底分几个层级呢？第一个层级啊，是软件可以自我修复。发现了错误，我们绕过去完事了啊。第二个层级呢，是系统可以隔离掉啊。这个软件坏了，但是我们系统可以把这个坏掉的软件隔离起来啊，不会影响其他的软件去运行。第三个层次，就是系统虽然隔离了这个故障的软件，但是呢，有部分的系统功能就无法工作了。比如说你没法联网了，或者没法去做一些打印啊，或者没法去调用某些数据了。这个也是有可能的啊，这就是更严重一些了。再然后是系统崩溃，就是我们刚才讲出蓝屏了啊。

但是，蓝屏你说还有没有比他更严重的？还有啊，这一次就是最严重的。是什么呢？就是蓝屏了以后没法恢复了。按道理说，Windows蓝屏了，我这重启一次，它是可以继续工作的。但是你如果一旦说，我蓝屏了，重启了以后依然蓝屏，那这个呢，就是属于叫最严重的，无法进行自我修复的这种崩溃了啊。再重启，接着蓝屏。这一次造成蓝屏的到底是谁？你说是不是微软，是Windows啊？不是啊。中国这么多人使Windows，这么多人使用微软的产品，全世界也有这么多人使用微软的产品，都没有蓝屏。这一次出事的主要是什么机场啊，医院啊，大的商超啊，都是这种企业单位出现，影响了他呢，才会说，造成了全世界的这种舆论的热点。你如果是普通个人家庭里头蓝屏了，蓝屏了以后恢复不了了，除非造成非常大的重量，才有可能会有舆论热点。像我们以前干过一次啊，也是Windows大量蓝屏。那一次我们影响的机器呢，肯定比这一次多，应该有上亿台电脑直接被干蓝屏，而且是恢复不了的那种。对吧，但是也没有这么大的动静，因为我们影响的都是个人电脑。这一次呢，什么医院，机场，超市啊，商店都被影响了。这一次的影响更多的是在企业端。造成这个事情的原因呢，是一个叫做CrowdStrike的公司。这是一个安全公司，像我们以前也是安全公司啊，猎豹移动，原来叫做金山网络，只要是做金山独霸的安全公司，确实有可能会造成这种叫不可修复的崩溃啊。崩溃了以后再启动还蓝屏。为什么呢？因为安全软件在系统中拥有极高的权限，一旦出现错误，就可能导致系统无法正常启动，进而造成连续的蓝屏现象。

安全公司想要解决所有的安全问题。我们要跟什么人对抗？要跟病毒，要跟黑客，要跟很多的这种非法访问啊。跟这些人去对抗，那么这些访问呢，它本身的权限是很高的，或者说，它会绕过Windows本身的各种安全机制。那么想要对抗这些系统，我们一定要取得比Windows本身的安全机制更高的权限。所以，我们以前经常干的一个活叫什么呢？叫访问Windows非公开接口。就是Windows本身有很多很多的接口，来供这些软件调用。但是呢，有很多接口是他给自己留的啊，这个是不对外开放的。甚至有很多的，根本就不是Windows留出来的接口，而是什么呢？是Windows的一些后门的漏洞。很多的安全软件会利用这些漏洞，给自己提权。

这个过程中说，我们来防范更厉害的一些非法入侵，造成这样的蓝屏的最核心的一个原因，就是啊，我们利用的某一个特定的漏洞，被Windows封掉了，或者把它的某一些未公开接口，它修改了。修改了以后呢，又没有跟大家去沟通说哎，我修改了什么东西啊，因为本来就不公开嘛。那么在这种情况下就会直接蓝屏。而且在重新启动的时候，我们这种安全系统，一定会在Windows启动的很早期，就是Windows各种的啊，什么安全系统都没有启动之前，我们要先启动，这样才能抢到最上面的c位嘛。那么在这种情况下再出现故障的话啊，Windows的各种补救措施就都无效，因为我们先来了，就会出现这种蓝屏之后。

重启依然蓝屏的现象，让人感到困扰。CrowdStrike公司，实际上是一家安全公司。它是由一群来自McAfee的高管创立的，McAfee是一家老牌的硅谷安全公司。这些高管离职后，纷纷创立了新的安全公司。在我们以前在猎豹的时候，也曾投资过McAfee的一位华人高管，他出来创办了类似的公司。

CrowdStrike具体从事哪块安全业务？他们并不是专注于杀病毒，因为在现今，病毒已不是主要威胁。现在的安全挑战是黑客攻击和各种网络非法访问。如果不小心，黑客可能会直接锁定你的数据后台，或窃取你的数据库，这是非常危险的。CrowdStrike主要应对的就是这类安全问题，他们提供的软件叫做EDR软件，即终端检测与响应软件，用于对所有客户端进行防护。

在EDR软件领域，CrowdStrike占据18%的市场份额，但并不是最大的。最大的市场份额被微软占据。主要是大企业会安装他们的软件，这个软件名为Falcon。Falcon系统能够满足许多企业特殊的安全需求，比如，企业可以通过服务器统一管理，监控哪些设备安装了软件，哪些数据被访问，哪些数据被移出网络。近期常有报道提及，中国人在美国偷取数据，将数据从系统中拷贝出来，正是这类软件会进行监控的。

当然，他们还提到，利用了AI技术来增强安全防护能力。

现在，不讲AI这个事，肯定混不过去了啊。他说，我们利用AI技术，然后把所有的网络攻击，各种的网络访问都进行了归纳总结。因为，为什么呢？就是网络会有各种各样的方式，来访问你的系统。但到底哪一个是危险访问，哪一个是非法访问，哪一个是合理的访问，这个事，你不通过AI去判断的话，是比较难以定性的啊。你不能说，搞个简单的黑名单白名单，就可以搞定这件事啊。那个，是很容易绕过的，也很容易误杀啊。这个问题，一定会有这样的困扰啊。

你说，微软自己就是最大的EDR软件的提供商，为什么大家还要在Windows上去装他们家的软件呢？很简单啊。这个软件不光是支持Windows，还支持Mac啊。在一些大的企业里头，可能有些高管说，我要用Mac。但是，你是不是可以统一的，由管理员来管理你的系统，说哎，谁家的这个网络节点，在什么地方，访问什么，有什么攻击，这个你就是需要使用它的软件了啊。还有一些其他的公司的软件啊，也是可以同时提供Windows和Mac的这种服务的。但是，微软自己的软件，就只提供Windows的版本。你说，我这个企业里头又有Windows又有Mac，这个事它就没法整了。

这件事，我们真的干过啊。这件事，是什么时候呢？是2013年啊。我们造成了大量的Windows蓝屏，而且无法重启恢复的。2013年的端午节，我们也是照例升级了，当时的金山独霸，也是调用了一些Windows的非公开接口。

但是，我们没想到是什么呢？微软这家公司，他在端午节的时候，他不放假呀。我们更新完了以后，微软在端午节的时候他又更新了一把。我们员工放假了，微软更新了，他把我们调用的一些非公开接口给关掉了。然后，系统就直接起不来了，而且再重启还是蓝屏啊，出现了这样的问题。那你说我们更新之前不测试吗？就像现在这个CrowdStrike啊，他肯定是更新之前测试。但是我们测试呢，一定是测试一些旧系统，最新的系统到底是什么样，我们是没法测试，因为微软还没更新呢，我们上哪去找新系统去？对吧。而且微软更新之前，他不会向这些安全厂商发公告的，说哎我要更新什么东西了啊，你们赶快去更新软件去先测试一下。特别是对这种非公开接口，他肯定不会公之于众，说我把哪个街口封了，我把哪个街口改了，他不干这事。那就只能是崩溃了。因为当时我们主要影响的是个人电脑，所以并没有造成这样的全球性的舆论热点啊。但是当时反正也是很多人说啊，微软蓝屏事件。但是呢啊，我们当时还有一个很强大的竞争对手，叫360。所以呢，360飞快的就把这个啊故 事给扭转了。他说这个不叫微软蓝屏事件啊，这个叫金山独霸蓝屏事件。然后呢，我给你们一个u盘啊，请你不要把这个某一个文件拷到u盘里，然后插上u盘重启，一重启我就给你修好了啊。然后重启了以后呢，他们就干了一个很简单的操作，把金山毒霸卸掉，然后把360的整套的杀毒软件装进去啊，就干了这么个事。这个事他就算修好了，那一次啊。

在这个修正后的文本中，我添加了适当的标点符号和换行，以改善文本的可读性和逻辑结构，但并没有改变原文的语言或添加额外的说明。

当时的猎豹移动还不叫猎豹移动，当时叫金山网络，差点没死啊。当时我们是有一点几亿月活的用户，然后大概是大几千万的日活。然后日活一下大概接近一半就丢了，而且这一半的用户，因为端午节期间，被360快速的洗掉了啊。导致我们最后再也没有重新把这些用户抢回来。也就是为什么后来我们不在国内继续跟360竞争，而跑去做海外的一个原因。国内被打死了，这就是当年我们干的事情啊，也是同样的问题。就是在更新的时候，后台的微软的某一些接口发生变化了，我们不知道啊，就出现了问题。那么这一次呢，CrowdStrike应该也是类似的情况。你说国内操作系统怎么就没事呢？其实也有可能出现同样的问题啊，这个是没有任何办法的。因为国内现在好多做自主替代的，这种操作系统，其实都是Linux。Linux上的这种EDR软件呢，大部分是从一个叫Open EDR的，这种开源软件上改的。

咱们比较一下这三个操作系统啊，最大的第一个是Mac，第二个Windows，第三个是Linux。先说Mac，Mac是最简单的，为什么？因为所有电脑都是苹果自己做的啊，它的型号比较少，它所有相关的驱动环境，相对来说要简单一些。Windows呢，要麻烦一些。Windows因为有各种兼容机，你是惠普的，你是联想的，它是戴尔的，那家是华硕的，非常多的这些硬件在一起。而且Windows上面的各种各样的配件也很多，你这个是英伟达的显卡。

它那是 AMD 的显卡。你这个里边还插了一些其他的，这种插接板卡。对吧，它这种的情况要比 Mac 要复杂非常非常多。然后再加上什么呢？再加上升级的问题。对吧，这个 Mac 基本上在每一次苹果公司升级的时候，大家的电脑都会自动跟着一起升级。所以呢，对于 Mac 系统的维护来说，相对要简单非常多了。大部分的用户都是最新的操作系统的版本。其他的可能就呃是比较少数的。就算是少数的话，它的版本本身也是相对来说没有那么多，没有那么分散。

Windows 呢，在这一块就会混乱很多。对吧，这个去进行更新维护的时候，你没法确定说到底有多少个 Windows 版本。然后这些版本上呢，到底哪些补丁打了，哪些补丁没打。然后到底你装了什么样的硬件，什么样的电脑。对吧，品牌，然后有什么样的配件，这事都搞不清楚。所以 Windows 本身的维护过程要比 Mac 要麻烦。

那么再讲 Linux，Linux 要比 Windows 更麻烦。为什么呢？Windows 好歹还都是微软硬件的。对吧，Linux 后头还有吴班图，有苏西，还有国内一大堆什么麒麟，华为的鸿蒙，等一大堆的 Linux 系统在里头。每家跟每家都不一样，每家使用的 kernel，就是它的 Linux 内核，再加上各种的驱动版本都不一样。所以 Linux 的这种系统维护要比 Windows 还要复杂。这个就是三个操作系统的系统维护难度之间的比较了啊。国产的这种操作系统，一旦出了事情以后啊。

它可能也不会出现这种特别大面积的情况：大家使用同样的东西，一旦一坏全坏。这种事不太容易出现。但是，它整个的维护成本是要比 Windows 加上 cloud trick 这种模式高非常多，而且出故障的几率也要大非常多。那么，国内有哪些主要的做 EDR 软件的公司呢？最大的是奇安信，这是从 360 里边分拆出来的，专门做企业安全的一个公司。然后是阿里云、亚信申信服务、腾讯、华为云，这些都是干这个行业的公司。

最终的结果会是什么样的？最终结果对于微软应该没有什么特别大的影响。大家不会说：“哎，出问题了，我们把 Windows 都换掉，换成其他公司的操作系统，比如换 Linux。”我看你那个真的是吃力不讨好。换 Mac，你整个的成本会上升很多，因为 Mac 的电脑就很贵。而且还有一个问题：就是 Mac 的电脑你没法说，“我去给你做个收音机，或者做一些这种嵌入式系统，做一些定制系统。”他做不了。苹果不给你干这事。所以你只能是用 Windows，这是唯一解。所以对于 Windows，对于微软来说应该没什么影响。

那么对于 Karl Strick 来说呢？他们肯定就是灭顶之灾了。Karl Strick 最大的竞争对手就是微软，在这个行业里头，老大就是微软。但是呢，后面可能就会有一些公司说：“我们也提供既支持 Windows 又支持苹果，可能还支持部分 Linux 版本的一点软件。啊，你们就买我的就行了。”

所以，这一块对于他来说是毁灭性的打击。现在，还有一些公司准备向 Girlstrike 进行索赔，对吧？你给我造成了这么大的损失，你得赔钱啊。在美国，有一些州是有类似于数据安全法这样的东西的，它是按照你造成的经济损失进行赔偿。而且，你想他都是由企业直接买单，签协议啊，去买 CrowdStrike 的这种服务。那么，他们的协议里头，可能也会有一定的这种责任与赔偿的约定。那么，在这种情况下的话，他可能后面还会有一些理赔的事情。

CrowdStrike 马上能够看到的结果是什么呢？就是明年续约率会下降。因为像他们这种公司啊，都是一年一年跟这些企业去续约啊，我去开展一个新用户啊，签约了然后每年续啊。到明年呢，一大堆人说我们就不续了啊，我就干脆甭费这个劲。既然我都是 Windows 啊，我想办法去用微软的算了啊，或者说我有一部分 Mac，我就干脆 Mac 这部分我虚拟的啊。我把这个呃 Windows 那部分我就只用微软的，我不跟你费劲了。对吧？因为微软自己提供这个软件，最大的好处是什么？他自己有各种非公开接口，或者有各种高级的权限，他自己知道啊。对吧？你微软自己更新的时候，一定要告诉自己的安全部门说哎，我改东西了，你自己注意一下啊，测试一下，然后再去更新。一定会出现这样的情况，对吧？所以，干脆 Windows 就别费劲了啊。

那么，还有一个影响是什么？就是未来类似这样的协议，再签约的时候啊，可能就会有一些新的格式化条款。

加进去，包括理赔啊，包括各种的责任的划分啊。所以，在未来，这个生意可能会变得越来越难做。这个生意本身也不是特别大，全世界这个生意，大概也就是100亿美金以内。所以呢，这么几家公司分一分，对于整个的Dr产业，可能都是有一定的打击。特别是微软如果把这块吃下来的话，那么大家日子都不太好过。主要操作系统还是Windows啊，其他的什么Mac啊，Linux，特别是作为桌面操作系统，或者作为这个客户端操作系统来说，比例还是很小的。

好，这就是这一次Windows蓝屏事件啊，给我们带来的一些故事吧。好，感谢大家收听，帮忙点赞，点小铃铛，参加discord讨论群。也欢迎有兴趣，有能力的朋友加入我们的付费频道。再见。