• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      SPECT/CT 采集工作站藍屏重啟故障的分析及修復

      2023-02-24 07:38:28周地福李三青何超健
      醫(yī)療裝備 2023年2期
      關鍵詞:藍屏網(wǎng)線工作站

      周地福,李三青,何超健

      廣州醫(yī)科大學附屬第二醫(yī)院 1 醫(yī)療設備科,2 信息科 (廣東 廣州 510260)

      單光子發(fā)射計算機斷層成像(single-photon emission computed tomography,SPECT)作為一種大型核醫(yī)學影像設備,在臨床醫(yī)學診斷領域具有較高的應用價值,廣泛用于骨骼、甲狀腺、心臟等器官病變的臨床檢查[1-4],在使用過程中將放射性核素標記的藥物注射到患者體內,由于放射性核素的不穩(wěn)定性,藥物進入組織及器官后逐漸衰變,同時釋放伽瑪射線,SPECT 晶體探測器(伽瑪射線探頭)多個角度實時采集組織及器官中釋放的伽瑪射線,通過重建后形成圖像[5-6]。由于放射性核素的衰變特性,其標記的藥物具有時效性,且較為昂貴,注射后需要在規(guī)定時間內完成采集工作[6-7]。因此,在整個采集工作中,對設備的穩(wěn)定性要求較高,一旦故障,需要盡可能快速修復。本研究通過對SPECT/CT 采集工作站藍屏重啟故障的分析及修復,為設備生產(chǎn)廠家、設備使用部門、設備管理部門、信息部門以及維修工程師提供借鑒,從而減少相關損失。

      1 SPECT/CT 基本結構與配置

      本研究SPECT/CT 為2018年安裝的西門子Symbia Intevo 6型,設備基本結構如圖1所示。專用重建計算機(dedicated reconstruction system,DRS)工作站用于分子圖形重建,采用惠普Z420型計算機,未配置獨立顯示輸出,通過網(wǎng)線連接于整機系統(tǒng)控制計算機(image control system,ICS)采集工作站。ICS 采集工作站主要用于整機設備的日常操作、圖像采集、故障診斷等,采用富士通ETNA-S-D3128型計算機,安裝Windows 7旗艦版X32/X64操作系統(tǒng),配置顯示輸出及3個網(wǎng)絡端口,通過局域網(wǎng)與DRS 工作站和圖像重建計算機(image reconstruction system,IRS)工作站進行通信,剩余的1個網(wǎng)絡端口則連接至醫(yī)院內網(wǎng)。IRS 工作站用于CT 圖像的重建,采用富士通ETNA-S-D3128型計算機,未配置獨立顯示輸出,通過網(wǎng)線連接于ICS 采集工作站。syngo 后處理工作站對ICS 采集工作站采集的圖像進行后處理操作,采用惠普Z840型計算機,通過網(wǎng)線連接至醫(yī)院內網(wǎng),通過醫(yī)院內網(wǎng)局域網(wǎng)和ICS 采集工作站進行通信。

      圖1 西門子Symbia Intevo 6型SPECT/CT 基本結構

      2 故障現(xiàn)象、分析、修復及病毒檢測

      2.1 故障現(xiàn)象

      SPECT/CT ICS 采集工作站不定時藍屏重啟,且提示信息隨機,提示信息包括“srv.sys”代碼為0X00000050、“BUGCODE_USB_DRIVER”代 碼 為0X000000F、“BAD_POOL_HEADR”代碼為0X00000019,如圖2所示。

      圖2 SPECT/CT ICS 采集工作站不定時藍屏提示信息

      2.2 故障分析

      通過查詢計算機藍屏相關報道[8-10]可知:0X00000050代碼提示內存故障、不兼容的軟件、損壞的NTFS 卷以及硬件故障等;0X000000FE 代碼提示指定的延伸屬性名稱無效;0X00000019代碼提示磁盤驅動器在磁盤找不到特定的扇區(qū)或磁道。綜上,無法得到明確的故障指向,于是查閱類似型號SPECT/CT 故障維修案例[11-15],但并未發(fā)現(xiàn)相關報道,因此,只能逐步排查??紤]ICS 采集工作站為SPECT/CT 專用計算機,廠家對Windows 系統(tǒng)進行封裝處理,即ICS 采集工作站開機后跳過Windows 系統(tǒng)直接進入應用軟件,以及沒有該型號SPECT/CT專業(yè)維修手冊,整個故障排查較為困難,尤其是反復藍屏重啟過程中沒有機會進入軟件排查故障原因,導致從軟件系統(tǒng)方面入手較為困難,于是優(yōu)先進行硬件排查。

      計算機藍屏故障原因可能為內存損失或接觸不良,虛擬內存過度,中央處理器(central processing unit,CPU)超頻,硬盤故障,中病毒/網(wǎng)絡病毒攻擊,溫度過高,電源不穩(wěn)定,機箱內部灰塵過多等[16-18]。

      根據(jù)藍屏原因以及設備特殊性,大致確定故障排查方案及順序如下:(1)硬件排查,考慮硬件容易著手,且引發(fā)藍屏的可能性較大;(2)軟件排查,考慮應用軟件系統(tǒng)已被封裝,不易操作;(3)工作站外圍附件排查;(4)重裝系統(tǒng)和應用軟件,考慮SPECT/CT 軟件較為復雜,且安裝時間較長,以及重裝后可能難以恢復原始的最優(yōu)配置,則不輕易重裝系統(tǒng)和應用軟件。

      硬件排查:(1)清潔環(huán)境,由于灰塵容易產(chǎn)生靜電引起干擾導致藍屏重啟現(xiàn)象,所以首先清潔機箱內部每個部件,清潔后藍屏重啟依然存在;(2)內存條測試,主板上有兩條4 GB 內存條,依次采用單條內存測試,測試后藍屏重啟現(xiàn)象依舊存在,暫時排除內存原因;(3)硬盤測試,ICS 采集工作站共有4塊機械硬盤,由此組成磁盤陣列,依次檢測每塊硬盤,并未發(fā)現(xiàn)損壞跡象,且ICS 采集工作站開機瞬間顯示4塊硬盤自檢均通過的信息,暫時排除硬盤原因;(4)查看CPU,拆開CPU 散熱器,硅脂已干燥和硬化,重新涂上硅脂,開機后依舊存在藍屏重啟現(xiàn)象。

      軟件排查:將SPECT/CT 進入維修模式,查看錯誤日志,日志僅提示工作站問題,并沒有明確指向,由于ICS 采集工作站W(wǎng)indows 系統(tǒng)已被封裝,難以從Windows 系統(tǒng)層面排查問題,且無法確定能否安裝殺毒軟件,所以軟件排查無從著手。

      工作站外圍附件排查:拆除ICS 采集工作站外圍所有連接線,包括3條網(wǎng)線、機架數(shù)據(jù)電纜線等連接線,而后開機觀察一段時間,并未出現(xiàn)藍屏重啟現(xiàn)象,說明故障來自于工作站外圍附件,于是依次測試外圍連接線,經(jīng)過多次接入和斷開內網(wǎng)線測試發(fā)現(xiàn),只要接入內網(wǎng)線,ICS 采集工作站便出現(xiàn)藍屏重啟現(xiàn)象,因此確定為內網(wǎng)線導致藍屏,并首先懷疑為網(wǎng)絡病毒攻擊,暫時將ICS 采集工作站內網(wǎng)線斷開,通過光盤拷貝采集數(shù)據(jù),優(yōu)先解決臨床使用問題,隨后進一步查找具體原因。

      2.3 故障修復

      由于無法從ICS 采集工作站應用軟件系統(tǒng)入手查找及清除病毒,所以只能尋找間接方法排查。初步分析網(wǎng)絡病毒可能是針對特定IP 地址進行攻擊,于是利用測試電腦模擬SPECT/CT ICS 采集工作站,并將測試電腦IP 設置為ICS 采集工作站IP,然后在測試電腦上安裝火絨殺毒軟件,并將ICS 采集工作站內網(wǎng)線連接至測試電腦,隨后火絨殺毒軟件彈窗提示“網(wǎng)絡爆破攻擊”,查看日志詳情,鎖定病毒攻擊源來自于IP 地址為150.XXX.XXX.212設備,如圖3所示,此次攻擊利用SMBv2協(xié)議通過445端口進行,經(jīng)院內信息部門協(xié)同查詢后確定中毒工作站為某品牌的圖像緩存工作站,對該工作站關機并拆除。

      圖3 火絨殺毒軟件鎖定病毒攻擊源

      清除病毒攻擊源后,為進一步分析SPECT/CT各工作站是否已中病毒,且考慮該病毒具有遠程攻擊的特點,依然利用上述測試電腦通過網(wǎng)絡訪問方式依次獨立測試DRS 工作站、ICS 采集工作站、IRS 工作站、syngo 后處理工作站,均未發(fā)現(xiàn)病毒存在,重新連接SPECT/CT 各工作站,并觀察一段時間,不再出現(xiàn)藍屏重啟現(xiàn)象,可確定故障得以徹底解決。

      2.4 病毒檢測

      為進一步分析和清除該病毒,保證網(wǎng)絡安全和設備正常運行,對中毒工作站進行單獨檢測,在中毒工作站上安裝火絨殺毒軟件,火絨殺毒軟件文件實時監(jiān)控發(fā)現(xiàn)病毒文件為Trojan/Agent.as、Worm/DTSealer.c、Trojan/Generic,如圖4所示,可見Trojan/Agent.as、Trojan/Generic 為木馬病毒文件,Worm/DTSealer.c 為蠕蟲病毒文件,進一步深度查殺后共發(fā)現(xiàn)8個病毒組件,如圖5所示,隨后使用火絨殺毒軟件對所有病毒組件進行徹底清除。

      圖4 火絨殺毒軟件發(fā)現(xiàn)病毒文件

      圖5 火絨殺毒軟件進一步發(fā)現(xiàn)病毒組件

      3 病毒機制分析

      通過上述病毒檢測結果以及查閱相關報告[19-20]可知,該病毒為近幾年流行的 “挖礦木馬病毒”,該病毒包括多個組件,典型組件為“永恒之藍”攻擊組件[21-24]。該病毒入侵目標主機后,通過運行惡意程序搶占目標主機的CPU、圖形處理器(graphics processing unit,GPU)、內存使用率以獲取算力,致使目標主機系統(tǒng)資源耗盡,通常出現(xiàn)CPU 高使用率、內存爆滿、系統(tǒng)文件出錯/丟失等,從而出現(xiàn)藍屏現(xiàn)象。

      通過分析本案例病毒組件成分及路徑,以及查閱相關技術報告[25-26],推斷上述病毒文件行為以及作用機制,病毒文件行為示意圖如圖6 所示。該病毒文件updater.exe 下載后保存在C:Windows emp 目錄下,執(zhí)行后移動主程序svhost.exe 文件到C:WindowsSysWOW64 目錄下,同時設置為隱藏屬性;主程序執(zhí)行后,復制文件svchost.exe 和釋放文件taskmgr.exe 到C:WindowsSysWOW64drivers 目錄下,通過Trojan/BAT.Pwrsvc.a 文件創(chuàng)建注冊表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesaEqi,注冊自身為自啟動服務項,通過Trojan/BAT.Pwrsch.a 創(chuàng)建計劃任務Task Scheduler\Ddrivers,通過Trojan/Generic!F2F03CD92B71E385 偽裝任務管理器的taskmgr.exe 進行,之后啟動svchost.exe 惡意程序,并利用偽裝的taskmgr.exe 進行共享內存進行“挖礦”操作;主程序執(zhí)行后,釋放文件wmiex.exe 到c:WindowsSysWOW64 目錄下,并設置隱藏屬性,通過Trojan/BAT.Pwrsch.a 創(chuàng)建計劃任務WebServers,定時執(zhí)行C:WindowsSysWOW64wmiex.exe,其中wmiex.exe 為后門組件,注冊啟動項和計劃任務,進行持久化攻擊,將收集的目標主機的名稱、標識符、系統(tǒng)信息、CPU 型號、顯卡信息、網(wǎng)卡信息、物理地址等相關信息發(fā)送至遠程服務器;其次,主程序執(zhí)行后將svchost.exe 組件釋放到 c:WindowsTemp 目錄下,病毒名稱為Worm/DTStealer.c,該病毒為Windows 系統(tǒng)“永恒之藍”漏洞攻擊組件,利用445 等端口進行內網(wǎng)橫向攻擊,釋放 “挖礦”木馬到新目標主機,從而擴散病毒感染面積,釋放“挖礦”木馬后將耗盡新目標主機CPU 和內存使用率,以及搶占系統(tǒng)進程等惡意操作;另外,主程序執(zhí)行后通過Trojan/BAT.Pwrsch.b 創(chuàng)建計劃任務task scheduler\microsoftWindowsluetooth,其中bluetooths 為powershell 無文件攻擊方式,定時執(zhí)行powershell 腳本文件連網(wǎng)實時更新木馬病毒。

      圖6 病毒文件行為示意圖

      本次故障判斷存在兩個難點,一是藍屏重啟現(xiàn)象的不確定性,二是藍屏代碼的不確定性。對于藍屏重啟現(xiàn)象的不確定性主要體現(xiàn)在兩方面,一是藍屏重啟時間間隔不確定,從該病毒工作機制可知,“永恒之藍”攻擊模塊組件svchost.exe 設置定時掃描內網(wǎng)目標主機進行攻擊;二是藍屏發(fā)生時間不確定,經(jīng)了解,中毒工作站并非一直使用,不使用時處于關機狀態(tài),攻擊源未啟動,SPECT/CT 采集工作站不會受到攻擊,所以不出現(xiàn)藍屏現(xiàn)象。

      本次案例攻擊方式是利用了445端口通過SMBv2協(xié)議進行爆破攻擊,在網(wǎng)內局域網(wǎng)下攻擊SPECT/CT ICS 采集工作站,致使其反復藍屏重啟。從“永恒之藍”攻擊模塊組件svchost.exe 行為可知,svchost.exe 攻擊成功后會將病毒組件釋放到SPECT/CT ICS 采集工作站系統(tǒng)關鍵目錄下并執(zhí)行。然而,從檢測結果可見,SPECT/CT 采集工作站實際上并未被感染,可能原因是該ICS 采集工作站作為專用設備,廠家對其設置了訪問權限,比如禁止修改系統(tǒng)盤文件,禁止外來文件進入系統(tǒng)目錄下,禁止外來軟件安裝,以及禁止修改系統(tǒng)參數(shù)等權限。因此,當病毒下載到ICS 采集工作站系統(tǒng)目錄下執(zhí)行時觸發(fā)報錯,以及網(wǎng)絡攻擊產(chǎn)生大量緩存,導致內存報錯并觸發(fā)藍屏,隨后ICS 采集工作站自動重啟,重啟后短暫性正常運行,但一旦受到病毒攻擊時,再次觸發(fā)藍屏,這與其中的藍屏提示“check to make sure any new hardware or software is properly installed”相對應。另外,本次病毒攻擊是針對內網(wǎng)同網(wǎng)段進行,所以對ICS 采集工作站進行系統(tǒng)重裝并不能解決本次藍屏重啟故障。

      本案例病毒攻擊僅限于內網(wǎng)同一網(wǎng)段內,只發(fā)現(xiàn)上述1臺工作站中毒,未發(fā)現(xiàn)內網(wǎng)外連跡象,同一網(wǎng)段下多個工作站受到中毒工作站的攻擊,但由于內網(wǎng)工作站殺毒軟件(360安全衛(wèi)士、火絨安全軟件)安裝率和普及率均較高,所以除SPECT/CT ICS 采集工作站被攻擊藍屏外,其余工作站受到的攻擊均被殺毒軟件攔截。該病毒可能來源于內網(wǎng)工作站的驅動等軟件工具,但不能確定上述中毒工作站為病毒感染的源頭。

      4 小結

      由于大型醫(yī)用設備本身比較復雜,配套工作站較多,工作站系統(tǒng)通常封裝,不易對操作系統(tǒng)維護,且考慮到醫(yī)用設備的專用性和兼容性,安裝第三方殺毒軟件可能存在干擾/阻斷內部專用軟件運行和數(shù)據(jù)傳送的風險,工作站本身較少安裝第三方殺毒軟件,同時大型醫(yī)療設備各工作站之間通常使用共享方式傳輸數(shù)據(jù),且工作站需要連接至內網(wǎng),因此工作站容易成為被攻擊和感染的對象。

      為避免再次出現(xiàn)病毒攻擊或中毒現(xiàn)象,需醫(yī)院各部門協(xié)同合作,才能維護網(wǎng)絡安全[20]。首先,使用部門在設備的日常使用中應規(guī)范操作,禁止在醫(yī)用設備工作站使用個人移動存儲設備或未經(jīng)殺毒的配套存儲設備;其次,設備管理部門需定期對醫(yī)用設備的使用開展巡檢工作,封閉設備工作站的USB接口;再次,維修工程師需對醫(yī)用設備工作站增加一些防病毒措施,對系統(tǒng)打補丁,若系統(tǒng)支持殺毒軟件,則盡量安裝,若系統(tǒng)不兼容殺毒軟件,則安裝帶防火墻的交換機;然后,信息部門應對內網(wǎng)工作站安裝殺毒軟件,定期對內網(wǎng)進行大規(guī)模殺毒,禁用USB 端口,關閉一些不必要的共享端口,定期監(jiān)控內網(wǎng)狀態(tài)。

      猜你喜歡
      藍屏網(wǎng)線工作站
      左權浙理大 共建工作站
      無懼死機 看懂藍屏背后的秘密
      電腦愛好者(2021年8期)2021-04-21 05:12:48
      戴爾Precision 5750移動工作站
      電腦報(2020年32期)2020-09-06 13:55:22
      如何鑒別正版Windows
      電腦報(2019年46期)2019-09-10 07:22:44
      關于如何降低配網(wǎng)線損的研究
      電子測試(2018年14期)2018-09-26 06:04:42
      聰明反被聰明誤
      青年文學家(2018年1期)2018-02-09 16:38:58
      加強配網(wǎng)線損管理 提高企業(yè)經(jīng)濟效益
      網(wǎng)線與網(wǎng)線頭區(qū)別以及網(wǎng)線的接法
      改進等效容量法在含風電配網(wǎng)線損計算中的應用
      電測與儀表(2014年1期)2014-04-04 12:00:30
      移動式CIP及SIP工作站(可記錄型)
      機電信息(2014年23期)2014-02-27 15:53:31
      福清市| 桐梓县| 乌拉特前旗| 平乐县| 蕉岭县| 凤翔县| 山东| 香港 | 自治县| 蕉岭县| 衡山县| 宜章县| 南和县| 历史| 克拉玛依市| 苏尼特左旗| 开化县| 慈溪市| 漳平市| 巴马| 高雄县| 伽师县| 富蕴县| 邛崃市| 永城市| 汾西县| 三都| 田东县| 磐石市| 紫阳县| 西峡县| 南木林县| 全州县| 巴里| 曲松县| 余干县| 剑阁县| 广德县| 锦屏县| 秦皇岛市| 石渠县|