如何在 Windows 中暫時停用內核模式篩選驅動程式

  • 發行項

本文說明如何停用內核模式篩選驅動程式,而不移除對應的軟體。

適用於:Windows Server 2012 R2、Windows 10 - 所有版本
原始 KB 編號: 816071

重要事項

本文包含的信息說明如何協助降低安全性設定,或如何關閉計算機上的安全性功能。 您可以進行這些變更來解決特定問題。 進行這些變更之前,建議您評估與在特定環境中實作此因應措施相關聯的風險。 如果您實作此因應措施,請採取任何適當的額外步驟來協助保護您的系統。

摘要

當您針對下列問題進行疑難解答時,可能會想要停用篩選驅動程式:

停用篩選驅動程式

當您經常針對上述任一問題進行疑難解答時,您必須執行的動作不只是停止或停用與軟體相關聯的服務。 即使您停用軟體元件,當您重新啟動計算機時,仍會載入篩選驅動程式。 系統可能會強制您移除軟體元件,以找出問題的原因。 除了移除軟體元件,您可以停止相關的服務,並停用登錄中對應的篩選驅動程式。 例如,如果您防止防病毒軟體掃描或篩選電腦上的檔案,您也必須停用對應的篩選驅動程式。

若要停用篩選驅動程式,您必須先識別第三方服務及其對應的篩選驅動程式。 執行此動作之後,請遵循下列步驟。

警告

此因應措施可能會使您的電腦或網路更易於遭受惡意使用者或惡意軟體 (例如病毒) 的攻擊。 我們不建議使用此因應措施,但會提供這項資訊,以便您自行自行實作此因應措施。 採用此因應措施需自行承擔風險。

重要事項

防病毒程序的設計目的是要協助保護您的電腦免於病毒。 您不得從不信任的來源下載或開啟檔案、流覽您不信任的網站,或在停用防病毒軟體程式時開啟電子郵件附件。

如需計算機病毒的詳細資訊,請 參閱如何預防和移除病毒和其他惡意代碼

  1. 停止屬於軟體套件的所有服務。

  2. 將 [啟動類型] 設為 [停用]。 如果要執行這項操作,請依照下列步驟執行:

    1. 按兩下 [開始],按兩下 [控制台],按兩下 [系統管理工具],然後按兩下 [服務]
    2. 在 [ 詳細數據 ] 窗格中,以滑鼠右鍵按下您要設定的服務,然後按兩下 [ 屬性]
    3. 在 [ 一般] 索引標籤上 ,按兩下 [ 啟動類型 ] 方塊中的 [停用]。

  3. 將對應篩選驅動程式的 Start 登錄機碼設定 為 0x40x4值會停用篩選驅動程式。 若要執行這項操作,請依照下列步驟執行。

    重要事項

    這個章節、方法或工作包含修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必謹慎地依照這些步驟執行。 為了有多一層保護,請先備份登錄再進行修改。 如此一來,您就可以在發生問題時還原登錄。 如需進一步了解如何備份及還原登錄的相關資訊,請參閱如何在 Windows 中備份及還原登錄

    1. 啟動 [登錄編輯程式]。
    2. 建立 HKEY_LOCAL_MACHINE\System 登錄區備份。
    3. 找出 ,然後按下登入子機碼 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    4. 按下您要停用之篩選驅動程式的專案。
    5. 按兩下 [ 開始 ] 登錄設定,然後將它設定為 [0x4] 的值。

    注意事項

    此登錄專案通常具有 0x3 值。

  4. 重新啟動電腦。

大部分的防病毒軟體都會使用與服務搭配運作的篩選驅動程式來掃描病毒。 這些篩選驅動程式仍會在服務停用之後載入。 這些篩選驅動程式會在硬碟上開啟和關閉檔案時掃描檔案。 若要進行疑難解答,請暫時移除防病毒軟體,或連絡軟體製造商以判斷是否有較新的版本可供使用。

篩選驅動程式範例

本節依產品描述一些典型的篩選驅動程式名稱:

防毒軟體

  • Inoculan:INO_FLPY和INO_FLTR
  • Norton:SYMEVENT、NAVAP、NAVEN 和 NAVEX
  • McAfee (NAI) :NaiFiltr 和 NaiFsRec
  • Trend Micro:Tmfilter.sys 和 Vsapint.sys

備份代理程式

  • 開啟檔案的備份代理程式:Ofant.sys

  • 從 Veritas BackupExec 開啟交易管理員:Otman.sys (Otman4.sys 或 Otman5.sys)

    注意事項

    如果您使用本文所述的方法停用這些篩選驅動程式,請小心。 如果您這樣做,您可能會收到 停止0x7b 錯誤訊息。

    如果下列登錄機碼存在,且當 Otman5.sys 驅動程式不存在於硬碟上,或如果驅動程式設定為停用時包含 Otman5 驅動程式的參考,可能會發生 停止 0x7b Inaccessible_Boot_Device錯誤訊息。

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325 -11CE-BFC1-08002BE10318}\UpperFilters

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A -11D0-BEC7-08002BE2092F}\UpperFilters

      如果您遇到停止0x7b錯誤訊息,您應該備份這些登錄機碼並刪除 Otman5 參考。

驅動程式登錄設定

下表列出驅動程式的 [開始 ] 和 [ 類型 ] 登入設定的有效設定及其描述:

值名稱 值設定 值設定的描述
Start 0 = SERVICE_BOOT_START Ntldr 或 Osloader 會預先載入驅動程式,使其在電腦啟動時位於記憶體中。

這些驅動程式會在SERVICE_SYSTEM_START驅動程式之前進行初始化。
Start 1 = SERVICE_SYSTEM_START 驅動程式會在SERVICE_BOOT_START驅動程式初始化之後載入並初始化。
Start 2 = SERVICE_AUTO_START 服務控制管理員 (SCM) 啟動驅動程式或服務。
Start 3 = SERVICE_DEMAND_START SCM 必須視需要啟動驅動程式或服務。
Start 4 = SERVICE_DISABLED 驅動程式或服務不會載入或初始化。
類型 1 = SERVICE_KERNEL_DRIVER 設備驅動器。
類型 2 = SERVICE_FILE_SYSTEM_DRIVER 內核模式檔系統驅動程式。
類型 8 = SERVICE_RECOGNIZER_DRIVER 檔系統辨識器驅動程式。

協力廠商資訊免責聲明

本文提及的協力廠商產品是由與 Microsoft 無關的獨立廠商所製造。 Microsoft 不以默示或其他方式,提供與這些產品的效能或可靠性有關的擔保。

資料收集

若您需要 Microsoft 支援,建議您按照使用 TSS 收集部署相關問題的資訊所述步驟來收集資訊。