如何在 Windows 中暂时停用内核模式筛选器驱动程序
本文介绍如何在不删除相应软件的情况下停用内核模式筛选器驱动程序。
适用于:Windows Server 2012 R2、Windows 10 - 所有版本
原始 KB 编号: 816071
重要
本文包含的信息介绍如何帮助降低安全设置或关闭计算机上的安全功能。 可以进行这些更改来解决特定问题。 在进行这些更改之前,建议评估与在特定环境中实现此解决方法相关的风险。 如果实现此解决方法,请执行任何适当的附加步骤来帮助保护系统。
摘要
排查以下问题时,可能需要停用筛选器驱动程序:
文件复制或备份问题。
从网络驱动器打开文件或将文件保存到网络驱动器时发生的程序错误。 有关这些程序错误的详细信息,请参阅 打开位于远程网络计算机上的共享文件夹中的文件时网络性能缓慢。
系统日志中发生的事件 ID 2022 错误消息,例如:
禁用筛选器驱动程序
在排查上述任一问题时,经常需要执行更多操作,而不仅仅是停止或禁用与软件关联的服务。 即使禁用软件组件,重启计算机时仍会加载筛选器驱动程序。 你可能被迫删除软件组件以查找问题的原因。 作为删除软件组件的替代方法,可以停止相关服务并在注册表中禁用相应的筛选器驱动程序。 例如,如果阻止防病毒软件扫描或筛选计算机上的文件,则还必须禁用相应的筛选器驱动程序。
若要禁用筛选器驱动程序,必须首先标识第三方服务及其相应的筛选器驱动程序。 执行此操作后,请按照以下步骤操作。
警告
此解决方法可能会让计算机或网络更容易受到恶意用户或恶意软件(如病毒)的攻击。 我们不建议使用此解决方法,但会提供此信息,以便你可以自行决定实现此解决方法。 如果使用此解决方法,需自行承担风险。
重要
防病毒程序旨在帮助保护计算机免受病毒的侵害。 禁用防病毒程序时,不得从不信任的源下载或打开文件、访问不信任的网站或打开电子邮件附件。
有关计算机病毒的详细信息,请参阅 如何防止和删除病毒和其他恶意软件。
停止属于软件包的所有服务。
将“启动”类型设置为“已禁用”。 为此,请按照下列步骤操作:
- 单击“开始”,单击“控制面板”,双击“管理工具”,然后双击“服务”。
- 在 “详细信息 ”窗格中,右键单击要配置的服务,然后单击“ 属性”。
- 在“常规”选项卡上,单击“启动类型”框中的“已禁用”。
将相应筛选器驱动程序的 “启动 ”注册表项设置为 0x4。 值为 0x4 将禁用筛选器驱动程序。 为此,请按照下列步骤操作。
重要
此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,请务必严格按照这些步骤操作。 为了加强保护,应先备份注册表,再进行修改。 如果出现问题,可以还原注册表。 有关如何备份和还原注册表的详细信息,请参阅如何备份和还原 Windows 中的注册表。
- 启动注册表编辑器。
- 创建 HKEY_LOCAL_MACHINE\System 注册表配置单元的备份。
- 找到,然后单击注册表子项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services。 - 单击要禁用的筛选器驱动程序的条目。
- 双击“ 开始 注册表”设置,然后将其设置为 值 0x4。
注意
此注册表项的值通常为 0x3。
重启计算机。
大多数防病毒软件使用与服务协同工作的筛选器驱动程序来扫描病毒。 停用服务后,仍会加载这些筛选器驱动程序。 在硬盘上打开和关闭文件时,这些筛选器驱动程序会扫描这些文件。 出于故障排除目的,请暂时删除防病毒软件或与软件制造商联系,以确定是否有较新的版本可用。
筛选器驱动程序示例
本部分按产品介绍一些典型的筛选器驱动程序名称:
防病毒
- Inoculan:INO_FLPY和INO_FLTR
- 诺顿:SYMEVENT、NAVAP、NAVEN 和 NAVEX
- McAfee (NAI) :NaiFiltr 和 NaiFsRec
- 趋势科技:Tmfilter.sys 和 Vsapint.sys
备份代理
用于打开文件的备份代理:Ofant.sys
从 Veritas BackupExec 打开事务管理器:Otman.sys (Otman4.sys 或 Otman5.sys)
注意
如果使用本文中所述的方法禁用这些筛选器驱动程序,请谨慎。 如果执行此操作,可能会收到 停止0x7b 错误消息。
当硬盘 上不存在 Otman5.sys 驱动程序或 驱动程序设置为禁用时,如果存在以下注册表项并包含对 Otman5 驱动程序的引用,则可能会出现停止0x7b Inaccessible_Boot_Device错误消息。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325 -11CE-BFC1-08002BE10318}\UpperFiltersHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A -11D0-BEC7-08002BE2092F}\UpperFilters如果遇到停止0x7b错误消息,则应备份这些注册表项并删除 Otman5 引用。
驱动程序注册表设置
下表列出了驱动程序的 “开始 ”和 “类型 ”注册表设置的有效设置及其说明:
| 值名称 | 值设置 | 值设置说明 |
|---|---|---|
| 开始 | 0 = SERVICE_BOOT_START | Ntldr 或 Osloader 预加载驱动程序,以便在计算机启动时它在内存中。 这些驱动程序在SERVICE_SYSTEM_START驱动程序之前初始化。 |
| 开始 | 1 = SERVICE_SYSTEM_START | 驱动程序在初始化SERVICE_BOOT_START驱动程序后加载并初始化。 |
| 开始 | 2 = SERVICE_AUTO_START | 服务控制管理器 (SCM) 启动驱动程序或服务。 |
| 开始 | 3 = SERVICE_DEMAND_START | SCM 必须按需启动驱动程序或服务。 |
| 开始 | 4 = SERVICE_DISABLED | 驱动程序或服务不会加载或初始化。 |
| 类型 | 1 = SERVICE_KERNEL_DRIVER | 设备驱动程序。 |
| 类型 | 2 = SERVICE_FILE_SYSTEM_DRIVER | 内核模式文件系统驱动程序。 |
| 类型 | 8 = SERVICE_RECOGNIZER_DRIVER | 文件系统识别器驱动程序。 |
第三方信息免责声明
本文中提到的第三方产品由 Microsoft 以外的其他公司提供。 Microsoft 不对这些产品的性能或可靠性提供任何明示或暗示性担保。
数据收集
如果需要 Microsoft 支持方面的帮助,建议按照使用 TSS 针对与部署相关的问题收集信息中所述的步骤收集信息。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈