Ошибка ntvdm exe на windows 7

СОВЕТ ОТ СПЕЦИАЛИСТА: Мы должны подчеркнуть, что переустановка Windows является достаточно длительной и сложной задачей для решения проблем, связанных с ntvdm.exe. Во избежание потери данных следует убедиться, что перед началом процесса вы создали резервные копии всех важных документов, изображений, установщиков программного обеспечения и других персональных данных. Если вы в настоящее время не создаете резервных копий своих данных, вам необходимо сделать это немедленно.

ВНИМАНИЕ! Мы настоятельно не рекомендуем загружать и копировать ntvdm.exe в соответствующий системный каталог Windows. Microsoft, как правило, не выпускает файлы Windows EXE для загрузки, поскольку они входят в состав установщика программного обеспечения. Задача установщика заключается в том, чтобы обеспечить выполнение всех надлежащих проверок перед установкой и размещением ntvdm.exe и всех других файлов EXE для Windows. Неправильно установленный файл EXE может нарушить стабильность работы системы и привести к тому, что программа или операционная система полностью перестанут работать. Действовать с осторожностью.

Обратная совместимость — вещь хорошая, но использовать ее надо в разумных пределах. Ведь до сих пор в ядре Windows можно найти код, разработанный еще в прошлом веке. Говорить о его высокой безопасности было бы глупо. И мы докажем это на примере трех privilage escalation уязвимостей, прижившихся в подсистеме виртуальной машины DOS

В 1978 году компания Intel выпустила первый процессор семейства х86, модели 8086, который предоставлял довольно ограниченную среду для исполнения 16-битного кода, известную под названием «режим реального времени» (Real mode). Вскоре после этого началась активная разработка программных решений для новой аппаратной платформы, причем как операционных систем, так и работающих в них обычных программ. Система Disk Operating System (DOS) от Microsoft быстро утвердилась в качестве ведущей рабочей среды для десктопных ПК, а приложения под эту ОС создавались и выходили на рынок в течение более десяти лет. В качестве самых известных примеров можно привести Norton Commander, ChiWriter или Quattro Pro. При разработке в 1992 году архитектуры NT для операционной системы Windows, которая использовала преимущества уже более мощного и безопасного защищенного режима (Protected Mode), одним из ключевых решений стало сохранение обратной совместимости с DOS, то есть обеспечение возможности безопасного запуска старых программ в новом графическом окружении.

WARNING

Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

NTVDM

Созданный в Windows специальный режим совместимости получился очень функциональным. Из-за того, что он был довольно сложным компонентом как с технической стороны, так и со стороны логики работы, его появление открыло локальным пользователям много новых возможностей проведения атак, направленных на повышение своих прав в операционной системе. В NTVDM уже не раз находили и исправляли проблемы безопасности, но до сих пор в ядре остается много интересных и неисследованных возможностей. В следующем разделе мы детально рассмотрим одну из них — специфичную обработку исключений, возникающих в хост-процессе NTVDM.EXE. Тут, правда, стоит отметить, что любой потенциальный баг, который может обнаружиться в подсистеме совместимости DOS, затронет только 32-битные платформы Windows, так как 64-битные версии системы не поддерживают VDM из-за особенностей реализации режима Long Mode, в котором исполняется 64-битный код на процессорах Intel. В новых операционных системах Windows 8 и 8.1 воздействие потенциальных уязвимостей ядра нивелируется за счет того, что там эта подсистема отключена по умолчанию, а для ее запуска необходимы административные права. Тем не менее эти уязвимости можно успешно задействовать без участия пользователя на системах от Windows XP до Windows 7 32-бит (а на данный момент такие системы предположительно составляют около 50% парка всех десктопных ОС).

Режим реального времени

Поддерживать обратную совместимость с 16-битными приложениями для современного 32-битного окружения очень сложно с технической точки зрения из-за фундаментальных различий в функционировании между реальным и защищенным режимом. Сюда входят и режимы работы процессора, и ширина слов и адресов, и кодирование инструкций, и много других моментов. Иначе говоря, стандартными средствами современных операционных систем запустить устаревшие программы из 80-х не получится. С другой стороны, переключение процессора в реальный режим каждый раз при запуске 16-битной программы тоже не выход, поскольку это лишает смысла базовые установки защищенного режима, такие как разделение прав. Передача управления потенциально недоверенному коду, который работает в практически неограниченной среде исполнения и имеет прямой доступ ко всей периферии компьютера, не только создает потенциальную угрозу безопасности системы, но и лишает операционную систему контроля над компьютером, так как решение о возврате в предыдущий рабочий контекст будет приниматься именно этим старым приложением.

Режим Virtual 8086

Инженеры Intel, которые прекрасно понимали эти и многие другие связанные с обратной совместимостью проблемы, разработали еще один совершенно новый режим исполнения, назвав его Virtual 8086 (V8086), который стал важной составляющей защищенного режима. Основная особенность режима V8086 состоит в том, что для работающего в нем кода он совершенно неотличим от реального режима, но при этом полностью управляется основной операционной системой. Это позволяет запускать старые приложения в 32-битном окружении с сохранением безопасности и без негативных побочных эффектов. Эту технологию можно рассматривать в качестве механизма виртуализации для ПО DOS, в котором операционная система выполняет роль монитора виртуальной машины (Virtual Machine Monitor — VMM). VMM отвечает за создание рабочей среды и обработку критичных и привилегированных инструкций, которые использует гостевое приложение, при этом 16-битный код выполняется в специальном режиме и с нативной скоростью. Типичный, разработанный Intel порядок исполнения для операционной системы, использующей V8086, показан на рис. 1.

Рис. 1. Передача управления операционной системой при выполнении устаревших 16-битных приложений

В случае Microsoft Windows сущность «операционная система» далее распадается на два компонента: ядро и процесс NTVDM.EXE, работающий на уровне пользователя. Поддержка описанной подсистемы имеется на обоих уровнях — некоторые события, происходящие внутри устаревшего ПО, обрабатываются напрямую ядром, в то время как другим требуется некоторая помощь на уровне ring 3 (см. рис. 2). Благодаря тому что исполнение кода старого ПО изолировано в специальный процесс, ядро может легко определить, нуждается ли конкретное событие процессора в отдельной обработке, в зависимости от того, исходит оно от VDM-хоста или нет. В результате большинство процедур уровня ring 0 предоставляют дополнительные функциональные возможности при вызове их из особых процессов; в качестве одного из ярких примеров можно отметить обработчики системных прерываний (trap handlers) для x86 (такие как nt!KiTrap0c, nt!KiTrap0d, nt!KiTrap0e), системные вызовы NT (например, nt!NtVdmControl) и системные вызовы win32k.sys (например,nt!NtUserInitTask). Важно отметить, что, хотя процесс NTVDM.EXE и обрабатывается системой особым образом, он все равно наследует токен безопасности локального пользователя; это, в свою очередь, позволяет атакующему исполнять произвольный код в рамках процесса, используя всего лишь две документированные функции API — OpenProcess и CreateRemoteThread — для того, чтобы воспользоваться гипотетической уязвимостью в тех частях ядра, которые отвечают за поддержку VDM.

Рис. 2. Пример управления выполнением время исполнения устаревших 16-битных приложений в Microsoft Windows

DPMI

Наконец, нельзя забывать, что NTVDM поддерживает основную часть спецификаций интерфейса защищенного режима DOS (DOS Protected Mode Interface — DPMI), то есть в дополнение к реализации режима Virtual 8086, он также может предоставлять среду исполнения (например, создавать сегменты памяти) и выполнять код защищенного режима. Следовательно, вполне может появиться код с поддержкой обработки 32-битных инструкций в ядре в дополнение к простой 16-битной эмуляции.

CVE-2013-3196 (write-what-where в nt!PushInt)

General Protection Fault

Одной из самых важных особенностей режима Virtual 8086, а также рабочей среды, созданной NTVDM.EXE для исполнения устаревшего 32-битного кода с поддержкой DPMI, состоит в том, что любая попытка выполнить критичную или требующую повышенных прав инструкцию (такую как INT, OUT или STI) сразу же приведет к исключению General Protection Fault в ядре. Как уже отмечалось выше, после этого операционная система должна безопасно эмулировать работу инструкции и вернуться к исполнению прерванного гостевого кода, обеспечивая продолжение исполнения. Как выяснилось, код эмулирования инструкций для 16- и 32-битных режимов эмуляции находится полностью в пространстве ядра, что открывает перед нами интересные возможности для атаки: программным путем воспроизвести поведение особых инструкций х86. Для того чтобы попасть в эмулятор, нужно выполнение следующих условий:

1. Исключение #GP происходит внутри режима Virtual 8086 (флаг EFlags.VM установлен) ИЛИ Исключение #GP происходит в режиме пользователя (ring 3) и
2. Селектор cs: segment не равен KGDT_R3_CODE (0x1b) в момент исключения и
3. Исключение #GP происходит в хост-процессе VDM.

Рис. 3. Таблица диспетчеризации инструкций режима Virtual 8086, используемая обработчиком #GP

Если любой из вариантов полностью выполнен, то обработчик #GP передает управление внутренней процедуре nt!VdmDispatchOpcode_try, которая производит базовое декодирование вызвавшей сбой инструкции и вызывает одну или несколько функций-обработчиков, применимых к этой инструкции. Списки обработчиков для режимов эмуляции 16 и 32 бит показаны на рис. 3 и 4; как можно увидеть, ядро выдает очень длинный список инструкций и их префиксов. По нашему мнению, до этого года эта часть кода, скорее всего, никогда ранее не подвергалась проверке на наличие уязвимостей, что делало ее серьезной мишенью для исследования. После этого «открытия» мы решили провести реверс-инжиниринг всех обработчиков в поисках потенциальных недоработок и получили первые результаты уже в течение следующих нескольких часов. Первая уязвимость находилась в слое эмуляции инструкции INT для защищенного режима.

Рис. 4. Таблица диспетчеризации инструкций защищенного режима, используемая обработчиком #GP

Где собака зарыта

Базовая роль функции обработчика nt!OpcodeINTnn состоит в том, что она извлекает операнд imm8 инструкции, вызвавшей сбой, а дальше вызывает другую внутреннюю процедуру nt!PushInt. Ее основная задача заключается в том, чтобы получить базовый адрес пользовательского ss: сегмента и положить адрес обработчика системных прерываний в стек (в адресном пространстве пользователя), используя полный адрес указателя стека ss:esp. Полученный путем обратного инжиниринга С-код, ответственный за помещение в стек трех 16- или 32-битных слов (в зависимости от гостевого режима исполнения), приведен ниже.

if (reginfo->ViFlags & VDM_INT_32) { 
 *(DWORD *)(reginfo->RiSsBase + NewVdmEsp + 0) = reginfo->RiEip; 
 *(DWORD *)(reginfo->RiSsBase + NewVdmEsp + 4) = trap_frame->SegCs; 
 *(DWORD *)(reginfo->RiSsBase + NewVdmEsp + 8) = GetVirtualBits(reginfo->RiEFlags); 
} else { 
 *(WORD *)(reginfo->RiSsBase + NewVdmEsp + 0) = reginfo->RiEip; 
 *(WORD *)(reginfo->RiSsBase + NewVdmEsp + 2) = trap_frame->SegCs; 
 *(WORD *)(reginfo->RiSsBase + NewVdmEsp + 4) = GetVirtualBits(reginfo->RiEFlags); 
}

Проблема в реализации состояла в том, что указатель на стек пользовательского пространства (ring 3) никак не проверяется на корректность, вероятно из-за предположения, что он всегда будет указывать на адресное пространство процесса NTVDM.EXE. А это, разумеется, не всегда так, поскольку эксплойт может устанавливать регистр esp на любой произвольный указатель, например на адрес, относящийся к ядру. Таким образом, для задействования уязвимости было достаточно выполнить всего лишь две простые инструкции в контексте виртуальной машины DOS: mov esp, 0xdeadbeef и затем int 0. Единственные ограничения состояли в том, что и cs:, и ss: должны выбирать сегменты кода и данных в рамках локальной таблицы дескрипторов (LDT — Local Descriptor Table), а аргумент инструкции int должен быть прерыванием уровня ядра (любое значение в диапазоне между 0–255, за исключением последовательности 0x2a–0x2e). Результат запуска двух описанных инструкций на непропатченной Windows 7 SP1 приведен ниже:

TRAP_FRAME: a2ea4c24 -- (.trap 0xffffffffa2ea4c24)
ErrCode = 00000002 
eax=024ef568 ebx=00000000 ecx=00000000 edx=6710140f esi=a2ea4cb8 edi=deadbee3 
eip=82ab21a7 esp=a2ea4c98 ebp=a2ea4d34 iopl=0 nv up ei pl nz na po nc 
cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010202 
nt!PushInt+0xa5: 
82ab21a7 89143b mov dword ptr [ebx+edi],edx ds:0023:deadbee3=???????? 
Resetting default scope

Благодаря тому факту, что одна из 32-битных переменных хранится ядром в произвольно выбранном исключении eip, ситуация превращается в простое write-what-where условие с незначительными ограничениями, которыми можно пренебречь (например, что непосредственное значение не может иметь установленным старший бит). Имея в своем распоряжении такую удобную базовую возможность, становится возможным «угнать» управление выполнением (control flow) ядра, переписав один из указателей функций, например широко известный указатель nt!HalDispatchTable+4, вызываемый из пространства пользователя через системный вызов nt!NtQueryIntervalProfile.

Рис. 5. Успешная реализация write-what-where в nt!PushInt

Устранение данной уязвимости реализовано довольно просто и состоит из трех дополнительных инструкций, добавленных в nt!PushInt. Они проверяют, чтобы адресss:esp, который должен быть из пространства пользователя, действительно указывал на нижние части адресного пространства (см. рис. 6).

Рис 6. Бинарные различия между первоначальной реализацией nt!PushInt и после патча

CVE-2013-3197 (write-what-where в nt!PushException)

Если внимательно посмотреть на обработчики системных прерываний Windows (помимоnt!KiTrap0d), то становится очевидным, что специфическую функциональность для VDM обеспечивает не только обработчик #GP, а большинство из них. В этом плане особенность General Protection Fault состоит в том, что она имеет выделенные подпрограммы для обработки конкретных типов исключений (таких как критичные или привилегированные инструкции); другие обработчики не используют такую сложную функциональность, а вместо этого просто вызывают функцию nt!Ki386VdmReflectException в случае, если встречаются с исключением VDM. Этим они пытаются эмулировать событие в виртуальной среде, примерно по той же схеме, что и эмуляция инструкций в nt!VdmDispatchOpcode_try. Граф передачи управления иллюстрирует, что большинство обработчиков зависят от этой функции (cм. рис. 7).

Рис. 7. Граф функции nt!Ki386VdmReflectException

Причина головной боли

При типичных обстоятельствах (то есть для любого обычного процесса) исполнение, как правило, завершается в одном из вариантов nt!CommonDispatchException, который отправляет событие к обработчику исключений пространства пользователя. В случае VDM ядро сначала пытается с помощью nt!PushException создать фрейм-ловушку в стеке пространства пользователя и перенаправить управление по адресу cs:eip, который берется из полей VfCsSelector и VfEip структуры NtCurrentTeb()->Vdm->VdmIntDescriptor[trap_no] (см. рис. 8); и только если эта процедура не срабатывает, исключение обрабатывается обычным способом. И, подобно предыдущему случаю, при создании эмулированного фрейма-ловушки ядро не проверяет, что указатель стека находится действительно в рамках адресного пространства пользователя. Это опять приводит к возможности использовать write-what-where условие, только размером 16 или 32 байта вместо 6 или 12. Задействовать уязвимость так же просто, для этого достаточно установить esp на произвольный адрес в пространстве ядра и вызвать исключение (например, #DE через инструкцию div edx) с нормальными реквизитами полностью инициализированной среды VDM и пользовательскими сегментами cs: и ss: в момент возникновения ошибки.

TRAP_FRAME: 8dd97c28 -- (.trap 0xffffffff8dd97c28)
ErrCode = 00000002 
eax=000007f7 ebx=00000000 ecx=00000000 edx=deadbebf esi=8dd97ce4 edi=00000634 
eip=82a874b5 esp=8dd97c9c ebp=8dd97d1c iopl=0 nv up ei ng nz na po nc 
cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010282 
nt!PushException+0x150: 
82a874b5 6689441a0e mov word ptr [edx+ebx+0Eh],ax ds:0023:deadbecd=???? 
Resetting default scope

Рис. 8. Внутренние структуры пространства пользователя, которые задействуются для возобновления исполнения NTVDM, прерванного исключением

И в этот раз благодаря тому, что одно из записанных в контролируемый адрес значений — это eip ошибки, та же методика использования указателя функции (function pointer exploitation technique) может использоваться для получения полного контроля над компьютером. Правда, из-за ограничений на значение LDT воспользоваться этой уязвимостью можно только на системах начиная с Windows Vista. В обновлении безопасности Microsoft просто вставили два простых блока, которые отвечают за проверку указателя в стеке пространства пользователя для ветвей создания фрейма ловушки и для 16, и для 32 бит.

CVE-2013-3198 (write-what-where в nt!VdmCallStringIoHandlerPushException)

В дополнение к обработке привилегированных инструкций VDM ядро также эмулирует выполнение критичных инструкций, то есть таких инструкций, которые могут выполняться, только если CPL <= IOPL, что обеспечивает контроль за прерываниями и коммуникациями по портам ввода/вывода. В конце концов все инструкции для ввода/вывода строк (INSB, INSW,OUTSB, OUTSW в режиме Virtual 8086 и защищенном режиме) выполняются внутренней функцией nt!Ki386VdmDispatchStringIo, которая выступает точкой входа в большой и сложный механизм, называемый «эмуляция портов» (port emulation). Хотя его точная функциональность вряд ли известна кому-то за пределами группы разработчиков, этот механизм был разобран путем реверс-инжиниринга и детально описан французским исследователем Ivanlef0u в 2009 году. Кратко говоря, любой драйвер устройства, работающий в ядре Windows, может регистрировать любые обработчики эмуляции I/O для конкретных процессов, диапазонов портов и типов доступа к портам с помощью недокументированной функции ZwSetInformationProcess(ProcessIoPortHandlers). Таким образом, компоненты пространства ядра могут в теории эмулировать физические устройства для программ, работающих в рамках VDM. Однако тут есть более важный вопрос — а не зарегистрированы ли какие-либо обработчики по умолчанию сразу после установки Windows?
Насколько мы знаем, в настоящее время есть только один случай эмуляции порта в Windows — когда устаревшая программа работает в полноэкранном режиме, дефолтный графический драйвер VIDEOPRT.SYS регистрирует обработчики для VGA-диапазона (0x3b0–0x3df); трассировка стека для этой регистрации представлена ниже:

ChildEBP RetAddr Args to Child 
807b1738 82a55023 85886680 00000001 b06b1bf3 nt!Psp386InstallIoHandler 
807b1994 828588a6 00000088 0000000d 807b1a40 nt!NtSetInformationProcess+0x7ad 
807b1994 82857815 00000088 0000000d 807b1a40 nt!KiSystemServicePostCall 
807b1a1c 91619f84 00000088 0000000d 807b1a40 nt!ZwSetInformationProcess+0x11 
807b1a60 91616467 86a357f0 00000001 8597ae80 VIDEOPRT!pVideoPortEnableVDM+0x82 
807b1ab4 82851c1e 86a357f0 86f32278 86f32278 VIDEOPRT!pVideoPortDispatch+0x360 
807b1acc 9a5c45a2 fe915c48 fffffffe 00000000 nt!IofCallDriver+0x63 
807b1af8 9a733564 86a35738 00230000 fe915c48 win32k!GreDeviceIoControlEx+0x97 
807b1d18 828588a6 00000000 0130f294 00000004 win32k!NtGdiFullscreenControl+0x1100 
807b1d18 77c77094 00000000 0130f294 00000004 nt!KiSystemServicePostCall 
0130f25c 77ab6951 00670577 00000000 0130f294 ntdll!KiFastSystemCallRet 
0130f260 00670577 00000000 0130f294 00000004 GDI32!NtGdiFullscreenControl+0xc 
0130f28c 00672c78 00000088 0000003a 003bd0b0 conhost!ConnectToEmulator+0x6c 
0130f3c0 0065f24d 00000001 003bd0b0 0130f4d4 conhost!DisplayModeTransition+0x40e 
0130f458 7635c4e7 000e001c 0000003a 00000001 conhost!ConsoleWindowProc+0x419

Другими словами, эта техника работает только в том случае, если в системе не установлены альтернативные драйверы на видеокарту, а используется стандартный Microsoft’овский. Переключения между полноэкранным и оконным режимом можно легко добиться, используя документированные вызовы API SetConsoleDisplayMode(CONSOLE_FULLSCREEN_MODE) и SetConsoleDisplayMode(CONSOLE_WINDOWED_MODE).

Источник бед

Итак, возвращаясь к эмулированию инструкций — функция nt!Ki386VdmDispatchStringIo определяет обработчик для эмулируемой операции, используя nt!Ps386GetVdmIoHandler, считывает данные пользователя из памяти по адресу ds:si, если это операция «чтения», и вызывает обработчик I/O и записывает данные в es:di, если это операция «записи». Как ты, наверное, уже догадался, ни один из двух указателей (которые вроде бы берутся из пространства пользователя) не проходит валидацию перед использованием. Не самая лучшая идея, особенно учитывая, что в защищенном режиме сегменты могут иметь 32-битные базовые адреса, так что, как следствие, эта уязвимость позволит нам читать и записывать произвольно выбранные адреса в памяти ядра.
Подводя итог: для успешного использования уязвимости нам надо заставить драйвер VIDEOPRT.SYS зарегистрировать обработчики VGA I/O, переключив консоль VDM в полноэкранный режим, создать и загрузить пользовательские сегменты в cs: и es: (причем базовый адрес последнего сегмента указывает на память ядра для перезаписи), инициализировать регистр di значением 0x0 и dx значением 0x3b0, а потом вызвать инструкцию insb; разумеется, все операции необходимо проводить внутри процесса NTVDM.EXE. Если мы установим базу сегмента es: в 0xaaaaaaaa и запустим эксплойт на непропатченной системе, то должно произойти следующее:

TRAP_FRAME: 963889fc -- (.trap 0xffffffff963889fc)
ErrCode = 00000002 
eax=aaaaaa00 ebx=00000001 ecx=fffffffd edx=00000003 esi=8297d260 edi=aaaaaaaa 
eip=82854fc6 esp=96388a70 ebp=96388a78 iopl=0 vif nv up ei ng nz ac po cy 
cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00090293 
nt!memcpy+0x166: 
82854fc6 8807 mov byte ptr [edi],al ds:0023:aaaaaaaa=?? 
Resetting default scope

По умолчанию порт 0x3b0 записывает в память единственный байт — 0x00, так что данная уязвимость может быть использована для обнуления любого указателя на функцию пространства ядра; сделав это, мы можем перенаправить выполнение кода ring 0 на страницу NULL, которая уже расположена в адресном пространстве NTVDM. Таким образом, мы и в этом случае можем повысить токен безопасности локального процесса или скомпрометировать безопасность системы любым другим удобным нам путем.
Для устранения этой проблемы Microsoft ввела inline-вызов ProbeForRead перед считыванием данных из пространства пользователя по адресу ds:si, а также общий вызов ProbeForWrite перед записью данных обратно по адресу es:di.

Мысли вслух

Все три уязвимости для повышения привилегий, о которых шла речь в этой статье, были возможны благодаря условию write-what-where, которое возникает в силу того, что предоставляемые пользователем данные не проходят никакой валидации. В других ситуациях уязвимости этого типа для базового образа ядра NT (ntoskrnl.exe) встречаются крайне редко. И хотя Microsoft за последние годы смогла внутренними силами отследить и устранить большинство таких проблем, они каким-то образом упустили код эмуляции ввода/вывода, исключений и инструкций в VDM; скорее всего, из-за того, что инструменты статического анализа, очень эффективные для высокоуровневого кода С и С++, в настоящее время не поддерживают ассемблер или плохо взаимодействуют с ним. Стоит отметить, что возможность использовать эти уязвимости появилась только после небольшого несвязанного изменения в коде входного контроля LDT, которое впервые появилось в Windows Vista. Из-за этого изменения внутренняя функция nt!PspIsDescriptorValid оказалась лишена проверок, связанных с базой и ограничениями ввода. Впрочем, это не более чем удачное совпадение. Реальной причиной, которая лежит в основе этой уязвимости, стали не различия в контроле сегментов, а тот факт, что код эмуляции использовал полные адреса ss:esp, ds:si и es:di в операциях памяти, хотя и одна из ключевых особенностей безопасности для ядра Windows гласит: привилегированный код никогда не должен доверять любым сегментам памяти со стороны пользователя.

Резюмируя

На примере этих трех открытий мы еще раз ясно видим, что многие уязвимости ядра обусловлены существованием кода, написанного чуть ли не в начале 90-х годов. Тогда безопасность не рассматривалась в качестве важного приоритета (в отличие от нашего времени), что приводило к созданию плохого кода, и никто его не пересматривал с точки зрения обеспечения безопасности с тех пор, как он был написан двадцать лет назад. При этом большие участки кода используются и в самых последних версиях Windows, включая новейшие Windows 8.1 и Server 2012. Современный исходный код ядра, который пишется в 2013 году, должен соответствовать руководствам по безопасной разработке и тщательно тестироваться перед выпуском. Поэтому мы считаем, что вместо того, чтобы копаться в новых функциональных элементах, которые были внедрены в последних версиях системы, гораздо эффективнее искать ошибки в тех ключевых компонентах, которые были созданы давным-давно.
Ну и последнее, что стоит отметить, — отключение по умолчанию обратной совместимости с приложениями DOS в Windows 8 было отличным решением Microsoft. Благодаря ему большинство еще не обнаруженных ошибок либо невозможно использовать, либо нет смысла искать, потому что атакующий не получит от их использования достаточных дивидендов. К тому же это решение позволило полностью отключить любые страницы NULL (раньше их наличия требовал хост-процесс VDM), а благодаря этому полностью исчезают либо значительно сокращаются ошибки типа NULL pointer dereference, которые часто встречаются и в ядре, и в драйверах устройств. По общему влиянию на будущие защитные свойства это одно из самых серьезных улучшений со стороны Microsoft за все время. Ну а сейчас вперед — найди свой собственный баг в ядре!

Автор: Mateusz «j00ru» Jurczyk.

Впервые опубликовано в журнале «Хакер» от 01/2014.

Подпишись на «Хакер»

• Бумажный вариант
• «Хакер» на iOS/iPad
• «Хакер» на Android

• Разбираемся
• Почему ntvdm.exe грузит процессор?
• На самом деле все сложнее, чем я думал
• Что делать?
• Принудительное отключение процесса
• Вывод

Приветствую друзья! Вы знаете, я иногда пишу о неизвестных процессах. И часто у меня получается узнать что к чему.. Но вот сегодня столкнулся с процессом ntvdm.exe, о котором люди писали в интернете как год назад, так и десять.. Причины, почему он грузит проц — также много, нет одной единственной, поэтому ситуация сложная…((

Разбираемся

ntvdm.exe — процесс виртуальной дос-машины NT Virtual DOS Machine. Он запускается тогда, когда используются дос-программы. Что самое интересное, процесс может остаться висеть в памяти, даже если уже не работает дос-программа на тот случай, если виртуальная дос-машина снова потребуется.

На вики написано что компонент содержится только в 32-битных версиях виндовса:

Также из информации выше мы видим что.. один процесс ntvdm.exe отвечает за выполнение одной дос-программы.

В общем все понятно — ntvdm.exe это процесс/компонент, который нужен чтобы запустить старую дос-программу, другими словами эмулятор.

Почему ntvdm.exe грузит процессор? Прерывание INT 16H

Старые досовские программы постоянно обрабатывают прерывание INT 16H, которое ожидает нажатие клавиш даже если пользователь ничего не делает. Это как одна из причин, почему ntvdm.exe грузит ПК.

Но тут проблема в другом.. некоторые пользователи жалуются — у них без причины стал появляться ntvdm.exe, иногда после включения компа, при этом грузит процессор нереально. Если процесс завершить — то тормоза исчезают.

Часто нахожу упоминание ntvdm.exe на антивирусных форумах, поэтому можно сделать вывод.. что иногда под процессом скрывается вирус. Другими словами — маскируется, чтобы вы подумали что это виртуальная машина для досовских прог..

Единственное что мне еще пришло в голову — может написана специальная вирусная прога в формате досовской и она запускается в виртуальной машине. Смысл в том, что таким образом антивирус может не понять что это вирус..

В общем ребят, я понял одно — четкого ответа как решить проблему с загрузкой в интернете нет. Кроме как завершить процесс. Это может быть как вирус, так и системный глюк.

У одного чела процесс начал грузить после того как он в проге Frigate запускал консоль — она тупо потом падала, а процесс ntvdm.exe грузил ПК на 99%.

На самом деле все сложнее, чем я думал

Все дело в том, что:

1. Проблема встречается как на Windows XP, так и на семерке, а может даже и на десятке.
2. Причины — оч разные. У одних проблема при использовании досовских приложений, то есть юзеры сами запускают такие приложения, в следствии чего — процесс грузит. В таком случае сори ребята — но я не шарю вообще в досе, поэтому тут советов не дам((
3. Другие просто жалуются что начал грузить ntvdm.exe процессор оч сильно. Причиной может быть какая-то прога, которая использует досовский компонент. Но вообще причин — оч много, поэтому единственного рецепта, как взять и решить проблему — нет.
4. Да и вообще — это может быть вирус, сколько только упоминаний ntvdm.exe на антивирусных форумах..
5. Проблема с ntvdm.exe встречалась у юзеров как год назад так и десять, а то и больше, поэтому повторюсь — причины могут быть ну оч разные.

РЕКЛАМА

И что же делать?

Я напишу то, чтобы сделал я в таком случае:

1. Проверка ПК антивирусными утилитами — как против опасных вирусов, так и против рекламных. Есть шанс что исправит ситуацию.
2. Переустановка Windows. Вариант крайний, неприятный и малоинтересен — нужно все заново настраивать, короче попадос.
3. Отключить ntvdm.exe в корне. Сделать так, чтобы он вообще не смог запуститься. При возникновении проблем — обратно включить его. Перед отключением — сделать точку восстановления.

Какими утилитами я советую проверить ПК (название утилиты это ссылка на офф сайт):

1. Dr.Web CureIt!. Лучшая утилита против опасных вирусов, троянов, червей и прочей ерунды. Скачивается уже с антивирусными базами, поэтому размер может быть немного больше сто мегов. Оч советую проверить, если найдет, то удалит, но для этого может потребоваться перезагрузка.
2. AdwCleaner и HitmanPro. Две утилиты, также лучшие в своем роде против рекламных вирусов. Проверяют ярлыки, планировщик задач, службы, профили браузеров, автозагрузку.. в общем все места, где могут быть рекламные вирусы. Чистит реально качественно, оч советую использовать обе, эффект будет лучше. Дело в том, что иногда то.. что не находит одна утилита — находит другая.

Хм, интересную картинку нашел:

Переустановка Windows. Тут особо нечего говорить — дело нудное, собственно не так переустановка, как потом устанавливать повторно все проги, настраивать их.. Дам только такой совет — по возможности ставьте проги, скачанные с офф сайтов либо из безопасных источников. И после установки винды поставьте сразу антивирус хороший, не реклама, но лично я советую Каспера, тем более что есть полностью бесплатная версия его. Или на крайняк Аваст.

Принудительное отключение процесса

Отключение ntvdm.exe в корне. Да, можно отключить в корне этот процесс. Нужно просто его переименовать. Но так, как он системный — у вас это сделать не получится. Нужна спец прога — Unlocker, она бесплатная, ходовая версия — 1.9.2, в интернете есть на каждом углу, но советую качать с проверенного софт-портала. Теоритически способ подойдет и для Windows XP, ибо утилита поддерживает эту операционку.

Очень важно создать точку восстановления. Да, небольшой риск есть что начнутся глюки несовместимые с комфортной работой за ПК)) Поэтому создаем точку — зажимаем Win + R, пишем команду:

sysdm.cpl

Нажали ОК. Далее появится окошко — активируете вкладку Защита системы и выбираете системный диск:

Теперь нажимаем кнопку Создать:

И пишем название точки. Советую писать на понятном языке, например:

До отключения ntvdm.exe через Unlocker

Нажали Создать и точка быстренько создалась:

Вернемся к нашему делу. Устанавливая Unlocker будьте внимательны — лично у меня еще хотел установиться какой-то Дельта тулбар:

Утилита установится за секунду. Теперь самое главное — будем успокаивать процесс ntvdm.exe. Но у меня этого процесса нет. Поэтому для примера я возьму.. процесс SearchIndexer.exe:

Итак, утилита у нас установлена. Процесс в диспетчере — нашли. Теперь нажимаем по нему правой кнопкой и выбираем пункт Открыть место хранения файла:

Откроется папка, в ней будет выделен файл:

Нажимаем правой кнопкой по файлу и выбираем пункт Unlocker:

Теперь выбираем Переименовать:

Далее нужно указать имя. Советую указывать так, чтобы сохранилось оригинальное, назовите например так:

ntvdm.exe_off

В моем случае это будет:

SearchIndexer.exe_off

Нажали ОК. Потом еще раз нажали ОК. Результат:

Внимание! У вас файл может быть не ntvdm.exe, а просто ntvdm — означает что скрыт показ расширений файлов. Тогда просто переименуйте в ntvdm_off и все.

У вас при переименовании может потребоваться перезагрузка. Это нормальное явление.

Таким образом вы можете полностью отключить ntvdm.exe, но.. могут ли быть проблемы? В принципе да:

1. Некоторые проги могут использовать модули в виде досовских программ. Или компоненты, но.. таких программ немного. Соответственно без ntvdm.exe могут быть траблы в этих прогах.
2. Теоритически.. возможно могут быть проблемы когда вы захотите запустить прогу в режиме совместимости, но это только теоритически.

А так в принципе проблемы могут отсутствовать. Но увы, это все зависит от установленного софта на вашем ПК. Именно поэтому сделать точку восстановления — просто обязательно!!!

Вывод

Выяснили:

1. ntvdm.exe — виртуальная машина, которая запускает досовские проги, чтобы они могли работать на современном виндовсе.
2. ntvdm.exe — вирус, который маскируется под виртуальную машину. Сложность еще в том, что и вирус и виртуальная машина — грузит процессор. Поэтому.. проверить на вирусы я бы все таки рекомендовал в любом случае.

Надеюсь информация помогла. Удачи и добра!

990x.top

Простой компьютерный блог для души)

ntvdm.exe что это такое и почему грузит процессор? (NT Virtual DOS Machine)

Приветствую друзья! Вы знаете, я иногда пишу о неизвестных процессах. И часто у меня получается узнать что к чему.. Но вот сегодня столкнулся с процессом ntvdm.exe, о котором люди писали в интернете как год назад, так и десять.. Причины, почему он грузит проц — также много, нет одной единственной, поэтому ситуация сложная…((

Разбираемся

ntvdm.exe — процесс виртуальной дос-машины NT Virtual DOS Machine. Он запускается тогда, когда используются дос-программы. Что самое интересное, процесс может остаться висеть в памяти, даже если уже не работает дос-программа на тот случай, если виртуальная дос-машина снова потребуется.

На вики написано что компонент содержится только в 32-битных версиях виндовса:

Также из информации выше мы видим что.. один процесс ntvdm.exe отвечает за выполнение одной дос-программы.

В общем все понятно — ntvdm.exe это процесс/компонент, который нужен чтобы запустить старую дос-программу, другими словами эмулятор.

Почему ntvdm.exe грузит процессор? Прерывание INT 16H

Старые досовские программы постоянно обрабатывают прерывание INT 16H, которое ожидает нажатие клавиш даже если пользователь ничего не делает. Это как одна из причин, почему ntvdm.exe грузит ПК.

Но тут проблема в другом.. некоторые пользователи жалуются — у них без причины стал появляться ntvdm.exe, иногда после включения компа, при этом грузит процессор нереально. Если процесс завершить — то тормоза исчезают.

Вот примерно такая картина может наблюдаться. Оч важно понимать — если при этом вы завершаете процесс и после этого нет проблем, то.. я для вас написал способ внизу как отключить процесс навсегда))

Часто нахожу упоминание ntvdm.exe на антивирусных форумах, поэтому можно сделать вывод.. что иногда под процессом скрывается вирус. Другими словами — маскируется, чтобы вы подумали что это виртуальная машина для досовских прог..

Единственное что мне еще пришло в голову — может написана специальная вирусная прога в формате досовской и она запускается в виртуальной машине. Смысл в том, что таким образом антивирус может не понять что это вирус..

В общем ребят, я понял одно — четкого ответа как решить проблему с загрузкой в интернете нет. Кроме как завершить процесс. Это может быть как вирус, так и системный глюк.

У одного чела процесс начал грузить после того как он в проге Frigate запускал консоль — она тупо потом падала, а процесс ntvdm.exe грузил ПК на 99%.

На самом деле все сложнее, чем я думал

Все дело в том, что:

И что же делать?

Я напишу то, чтобы сделал я в таком случае:

Какими утилитами я советую проверить ПК (название утилиты это ссылка на офф сайт):

Хм, интересную картинку нашел:

Возможно компонент NTVDM можно вполне легально отключить в компонентах. Чтобы открыть: зажимаете Win + R, пишите команду appwiz.cpl, нажимаете ОК > откроется окно, там будет кнопка Включение или отключение компонентов Windows > попробуйте там поискать NTVDM.

Переустановка Windows. Тут особо нечего говорить — дело нудное, собственно не так переустановка, как потом устанавливать повторно все проги, настраивать их.. Дам только такой совет — по возможности ставьте проги, скачанные с офф сайтов либо из безопасных источников. И после установки винды поставьте сразу антивирус хороший, не реклама, но лично я советую Каспера, тем более что есть полностью бесплатная версия его. Или на крайняк Аваст.

Принудительное отключение процесса

Отключение ntvdm.exe в корне. Да, можно отключить в корне этот процесс. Нужно просто его переименовать. Но так, как он системный — у вас это сделать не получится. Нужна спец прога — Unlocker, она бесплатная, ходовая версия — 1.9.2, в интернете есть на каждом углу, но советую качать с проверенного софт-портала. Теоритически способ подойдет и для Windows XP, ибо утилита поддерживает эту операционку.

Очень важно создать точку восстановления. Да, небольшой риск есть что начнутся глюки несовместимые с комфортной работой за ПК)) Поэтому создаем точку — зажимаем Win + R, пишем команду:

Нажали ОК. Далее появится окошко — активируете вкладку Защита системы и выбираете системный диск:

Если в колонке Защита у вас будет отключено — нажмите настроить и включите защиту.

Теперь нажимаем кнопку Создать:

И пишем название точки. Советую писать на понятном языке, например:

До отключения ntvdm.exe через Unlocker

На самом деле точка восстановления — оч полезный инструмент, которые многие почему-то игнорируют..((

Нажали Создать и точка быстренько создалась:

Вернемся к нашему делу. Устанавливая Unlocker будьте внимательны — лично у меня еще хотел установиться какой-то Дельта тулбар:

Поэтому снимаем галочки чтобы эта ерундовина не ставилась))

Утилита установится за секунду. Теперь самое главное — будем успокаивать процесс ntvdm.exe. Но у меня этого процесса нет. Поэтому для примера я возьму.. процесс SearchIndexer.exe:

Процесс относится к индексированию, запущен от имени система, вам лично не советую его отключать. Это только в целях эксперимента))

Итак, утилита у нас установлена. Процесс в диспетчере — нашли. Теперь нажимаем по нему правой кнопкой и выбираем пункт Открыть место хранения файла:

Откроется папка, в ней будет выделен файл:

Если у вас вдруг проблема с ntvdm.exe будет на Windows 10 — то действия аналогичны.

Нажимаем правой кнопкой по файлу и выбираем пункт Unlocker:

Теперь выбираем Переименовать:

Далее нужно указать имя. Советую указывать так, чтобы сохранилось оригинальное, назовите например так:

В моем случае это будет:

Нажали ОК. Потом еще раз нажали ОК. Результат:

Файл переименован. Теперь он никак не сможет запуститься. Вообще. Тоже самое вам нужно сделать с ntvdm.exe.

Внимание! У вас файл может быть не ntvdm.exe, а просто ntvdm — означает что скрыт показ расширений файлов. Тогда просто переименуйте в ntvdm_off и все.

У вас при переименовании может потребоваться перезагрузка. Это нормальное явление.

Таким образом вы можете полностью отключить ntvdm.exe, но.. могут ли быть проблемы? В принципе да:

А так в принципе проблемы могут отсутствовать. Но увы, это все зависит от установленного софта на вашем ПК. Именно поэтому сделать точку восстановления — просто обязательно.

Вывод

Надеюсь информация помогла. Удачи и добра!

ntvdm.exe что это такое и почему грузит процессор? (NT Virtual DOS Machine) : 5 комментариев

Рад что помог.
Удалить можно. Но вдруг она вам еще пригодится.

Спасибо за быстрый отзыв уважаемый 990х. Нет, саму утилиту я уже поместил в папку «проверенные программы» и оставил как важную «на века». Я имел в виду лишь деинсталяцию. В диспетчере она тоже отображается как непрерывно работающая. ПК не грузит, просто актуальна ли она без конкретной цели (ежедневно)?

1. Я точно не помню, но Unlocker не должен висеть в диспетчере. После использования — утилита не должна висеть в диспетчере.

2. Переименованные файлы либо удаленные при помощи Unlocker останутся такими же и после удаления Unlocker.

«просто актуальна ли она без конкретной цели» — неактуальна.

Источник

ntvdm.exe грузит процессор на 100%

ntvdm.exe грузит процессор на 100%. Я для того чтобы этот процесс не хавал процессор отключил полностью 16-тибитные приложения, чтобы хоть как то можно было работать

Также комп пытается скачать что то с http: winhost.xyzupdate, но антивирус блокирует (показывает что обращается lsass.exe)

Помогите пожалуйста. Логи прикрепляю

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Для этого проделайте следующее:

Источник

Подмена EXPLORER, NTVDM.EXE грузит процессор

Помощь в написании контрольных, курсовых и дипломных работ здесь.

Вложения

Explorer.exe грузит процессор
Когда играю в кс 1.6 стим в игре начинает проседать fps когда переключаюсь в process explorer вижу.

Explorer.exe грузит процессор на 100%
Доброго времени суток. Относительно недавно процесс explorer.exe начал сильно грузить процессор до.

Процесс explorer.exe грузит процессор на 25%
После запуска оперы explorer начинает грузить процессор на 25, а то и на 50%. После закрытия оперы.

Explorer.exe грузит процессор и память
Здравствуйте. Периодически explorer.exe начинает загружать процессор на 25% и память по.

логи RSIT сделайте и выложите, а вот карантины выкладывать не нужно

Добавлено через 4 минуты

Вложения

rsit.rar (16.8 Кб, 64 просмотров)

1.скачайте и установите все последние обновления для безопасности windows

В целях безопасности скачайте и установите Internet Explorer 8

после перезагрузки выполнить второй скрипт:

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

Источник

Ntvdm exe грузит процессор windows 7 что делать

ntvdm грузит 100% процессора
ilkman Автор

Сообщений: 2

Re: ntvdm грузит 100% процессора
samson_inv

Сообщений: 5915
Откуда: Ростов-на-Дону

Re: ntvdm грузит 100% процессора
Sergey_L

Сообщений: 59
Откуда: г.Пермь

————————————————————
При запуске в Windows 2000 старого DOS-приложения (FOX Pro) процессор
(вполне современный) оказывается загружен на все 100%. Можно ли что-нибудь
с этим сделать?

Лучше всего использовать специальную утилиту, исправляющую этот сбой при
работе старых программ в среде многозадачных OS, называется она
RESFREE.COM v3.0, а найти ее можно в интернете, например, здесь:
suvorov.chat.ru.

Распакуйте архив в папку Winnt/System32 и вставьте в файл
С:WinntSystem32autoexec.nt строку «lh %SystemRoot%system32ResFree 10».
Утилита будет запускаться автоматически при загрузке DOS-программ.

Параметр «10» можно изменять в диапазоне от 0 до 65535
— поэкспериментируйте сами, изучив инструкцию к программе, которую найдете
по адресу suvorov.chat.ru.

1. Перенести Resfree.com в папку %windir%SYSTEM32
3. Внести необходимые изменения в файл autoexec.nt

пару раз мне это помогло (на на 2000).

Исправлено: Sergey_L, 28.05.09 14:20

Re: ntvdm грузит 100% процессора
of63

Сообщений: 21739
Откуда: Н.Новгород

Что-то не получилось с ResFree.Com, ни с параметром 10, ни 100. Пробовал в Vista, запускал FPD26.

А получилось в настроке лабельки, которая запускает этот FPD, там в закладке «разное», оказывается есть движок «Приоритет при ожидании». Передвигаю его на пониже, и загрузка процессора падает почти до нуля (а было 50 проц.).

Re: ntvdm грузит 100% процессора
Crispy

Сообщений: 18571

Источник

3 простых шага по исправлению ошибок NTVDM.EXE

Файл ntvdm.exe из Microsoft Corporation является частью Microsoft Windows Operating System. ntvdm.exe, расположенный в c: WINDOWS system32 с размером файла 420864.00 байт, версия файла 5.1.2600.5512, подпись 681B807E53BDADA337735C28C0E48A1B.

В вашей системе запущено много процессов, которые потребляют ресурсы процессора и памяти. Некоторые из этих процессов, кажется, являются вредоносными файлами, атакующими ваш компьютер.
Чтобы исправить критические ошибки ntvdm.exe,скачайте программу Asmwsoft PC Optimizer и установите ее на своем компьютере

1- Очистите мусорные файлы, чтобы исправить ntvdm.exe, которое перестало работать из-за ошибки.

2- Очистите реестр, чтобы исправить ntvdm.exe, которое перестало работать из-за ошибки.

3- Настройка Windows для исправления критических ошибок ntvdm.exe:

Всего голосов ( 182 ), 115 говорят, что не будут удалять, а 67 говорят, что удалят его с компьютера.

Как вы поступите с файлом ntvdm.exe?

Некоторые сообщения об ошибках, которые вы можете получить в связи с ntvdm.exe файлом

(ntvdm.exe) столкнулся с проблемой и должен быть закрыт. Просим прощения за неудобство.

(ntvdm.exe) перестал работать.

ntvdm.exe. Эта программа не отвечает.

(ntvdm.exe) — Ошибка приложения: the instruction at 0xXXXXXX referenced memory error, the memory could not be read. Нажмитие OK, чтобы завершить программу.

(ntvdm.exe) не является ошибкой действительного windows-приложения.

(ntvdm.exe) отсутствует или не обнаружен.

NTVDM.EXE

Проверьте процессы, запущенные на вашем ПК, используя базу данных онлайн-безопасности. Можно использовать любой тип сканирования для проверки вашего ПК на вирусы, трояны, шпионские и другие вредоносные программы.

процессов:

Cookies help us deliver our services. By using our services, you agree to our use of cookies.

Источник

Чтобы устранить эту проблему, запустите проверку системных файлов (SFC) на вашем компьютере. Кроме того, убедитесь, что на вашем компьютере установлены все последние обновления. Посетите раздел поддержки на веб-сайте производителя вашего компьютера и проверьте наличие всех обновлений. Также загляните в эту ветку.

Как переустановить Ntvdm exe?

Как переустановить NTVDM.exe

1. Вставьте установочный компакт-диск Windows в соответствующий дисковод.
2. Откройте функцию поиска, нажав «Пуск»> «Поиск».
3. Укажите каталог для поиска, выбрав дисковод компакт-дисков, который по умолчанию — «D:». …
4. Скопируйте три файла на свой жесткий диск. …
5. Наберите «expand ntvdm.

Как мне избавиться от Ntvdm?

Удалите Ntvdm.exe с вашего ПК.

Windows 7: Нажмите Пуск — Панель управления — Удалить программу.. Вы увидите список программ и программного обеспечения, установленного на вашем компьютере. Щелкните правой кнопкой мыши «Ntvdm.exe» и нажмите «Удалить».

Что такое Ntvdm exe win7?

Ntvdm.exe — это законный файл. Он также известен как Виртуальная машина Windows NT Dos который принадлежит операционным системам Microsoft Windows. Он используется для обеспечения среды для 16-битного процесса, выполняемого на 32-битной платформе. Обычно он хранится в C: WindowsSystem32.

Почему вылетает NTVDM exe?

Процессор NTVDM имеет обнаружил недопустимую инструкцию. Это произойдет при сбое работающего приложения на базе DOS. Это также может произойти при попытке запустить 32-битное приложение через MS DOS. … Примечание. Другой распространенной причиной ошибок, связанных с Ntvdm.exe, является установка определенного обновления безопасности (KB2707511).

Как включить NTVDM?

NTVDM предоставляется как функция по запросу, которую сначала необходимо установить с помощью команды DISM. Запустите Windows PowerShell ISE от имени администратора и используйте следующую команду: Чтобы включить NTVDM: DISM / онлайн / включить функцию / all / featurename: NTVDM. Чтобы отключить NTVDM: DISM / online / disable-feature / featurename: NTVDM.

Как включить NTVDM в Windows 7?

Откройте «Программы и компоненты», а затем нажмите «Включение или отключение компонентов Windows» слева. 5. Разверните устаревшие компоненты, проверьте опцию NTVDM и нажмите «ОК».

Как запустить 16-разрядные программы в 10-разрядной версии Windows 64?

Настройте поддержку 16-битных приложений в Windows 10. Для поддержки 16-битных приложений потребуется включить функцию NTVDM. Для этого нажмите клавишу Windows + R, затем введите: optionalfeatures.exe и нажмите Enter.. Разверните «Устаревшие компоненты», затем отметьте NTVDM и нажмите «ОК».

Как установить ОТВДМ?

Установите программу щелкнув правой кнопкой мыши по установке. inf файл в скачанный архив и выбрав «Установить». В качестве альтернативы вы можете загрузить установщик Inno Setup, который я создал для последней версии otvdm и который я собираюсь регулярно обновлять по мере появления новых выпусков.

Что такое WineVDM?

WineVDM — это уровень совместимости с открытым исходным кодом который имитирует вызовы ядра / пользователя / GDI с другими аспектами, такими как передача окон в ОС хоста. Это форк Wine, использующий ядро ​​процессора MAME 80386 и MS-DOS Player.

Как загрузить NTVDM в Windows 10?

Выполните следующие действия, чтобы загрузить и правильно заменить файл:

1. Найдите версию операционной системы Windows в нижеприведенном списке «Загрузить файлы ntvdm.exe».
2. Нажмите соответствующую кнопку «Загрузить сейчас» и загрузите свою версию файла Windows.
3. Скопируйте файл в каталог, соответствующий вашей версии Windows:

Может ли Windows XP запускать 16-разрядные приложения?

Windows XP — это 32-разрядная операционная система, которая запускает 16-разрядные программы через небольшую систему, известную как поддержка Windows NT Virtual DOS Machine (NTVDM). … Тем не мение, 16-битные программы Windows вообще не работают когда мы переходим на 64-битную Windows (а 32-битные программы запускаются с использованием WOW), пора начинать их замену.

Иногда система Windows отображает сообщения об ошибках поврежденных или отсутствующих файлов ntvdm.exe. Подобные ситуации могут возникнуть, например, во время процесса установки программного обеспечения. Каждая программа требует определенных ресурсов, библиотек и исходных данных для правильной работы. Поэтому поврежденный или несуществующий файл ntvdm.exe может повлиять на неудачное выполнение запущенного процесса.

Файл был разработан Microsoft для использования с программным обеспечением Windows. Здесь вы найдете подробную информацию о файле и инструкции, как действовать в случае ошибок, связанных с ntvdm.exe на вашем устройстве. Вы также можете скачать файл ntvdm.exe, совместимый с устройствами Windows 10, Windows 8, Windows XP, Windows 8.1, которые (скорее всего) позволят решить проблему.

Совместим с: Windows 10, Windows 8, Windows XP, Windows 8.1

Популярность пользователя

Исправьте ошибки ntvdm.exe

• 1 Информация о файле ntvdm.exe
• 2 Ошибки, связанные с файлом ntvdm.exe
• 3 Как исправить ошибки, связанные с ntvdm.exe?
• 3.1 Сканирование на наличие вредоносных программ
• 3.2 Обновление системы и драйверов
• 3.3 Инструмент проверки системных файлов
• 3.4 Восстановление системы
• 4 Скачать ntvdm.exe
• 4.1 Список версий файла ntvdm.exe

Информация о файле

Основная информация
Имя файла	ntvdm.exe
Расширение файла	EXE
Тип	Executable Application
Описание	Windows Executable

Программного обеспечения
программа	Windows 10
Программного обеспечения	Windows
автор	Microsoft
Версия программного обеспечения	10

подробности
Размер файла	8960
Самый старый файл	2008-04-14
MIME тип	application/octet-stream

Наиболее распространенные проблемы с файлом ntvdm.exe

Существует несколько типов ошибок, связанных с файлом ntvdm.exe. Файл ntvdm.exe может находиться в неправильном каталоге файлов на вашем устройстве, может отсутствовать в системе или может быть заражен вредоносным программным обеспечением и, следовательно, работать неправильно. Ниже приведен список наиболее распространенных сообщений об ошибках, связанных с файлом ntvdm.exe. Если вы найдете один из перечисленных ниже (или похожих), рассмотрите следующие предложения.

• ntvdm.exe поврежден
• ntvdm.exe не может быть расположен
• Ошибка выполнения — ntvdm.exe
• Ошибка файла ntvdm.exe
• Файл ntvdm.exe не может быть загружен. Модуль не найден
• невозможно зарегистрировать файл ntvdm.exe
• Файл ntvdm.exe не может быть загружен
• Файл ntvdm.exe не существует

ntvdm.exe

Не удалось запустить приложение, так как отсутствует файл ntvdm.exe. Переустановите приложение, чтобы решить проблему.

OK

Проблемы, связанные с ntvdm.exe, могут решаться различными способами. Некоторые методы предназначены только для опытных пользователей. Если вы не уверены в своих силах, мы советуем обратиться к специалисту. К исправлению ошибок в файле ntvdm.exe следует подходить с особой осторожностью, поскольку любые ошибки могут привести к нестабильной или некорректно работающей системе. Если у вас есть необходимые навыки, пожалуйста, продолжайте.

Как исправить ошибки ntvdm.exe всего за несколько шагов?

Ошибки файла ntvdm.exe могут быть вызваны различными причинами, поэтому полезно попытаться исправить их различными способами.

Шаг 1.. Сканирование компьютера на наличие вредоносных программ.

Файлы Windows обычно подвергаются атаке со стороны вредоносного программного обеспечения, которое не позволяет им работать должным образом. Первым шагом в решении проблем с файлом ntvdm.exe или любыми другими системными файлами Windows должно быть сканирование системы на наличие вредоносных программ с использованием антивирусного инструмента.

Если по какой-либо причине в вашей системе еще не установлено антивирусное программное обеспечение, вы должны сделать это немедленно. Незащищенная система не только является источником ошибок в файлах, но, что более важно, делает вашу систему уязвимой для многих опасностей. Если вы не знаете, какой антивирусный инструмент выбрать, обратитесь к этой статье Википедии — сравнение антивирусного программного обеспечения.

Шаг 2.. Обновите систему и драйверы.

Установка соответствующих исправлений и обновлений Microsoft Windows может решить ваши проблемы, связанные с файлом ntvdm.exe. Используйте специальный инструмент Windows для выполнения обновления.

1. Откройте меню «Пуск» в Windows.
2. Введите «Центр обновления Windows» в поле поиска.
3. Выберите подходящую программу (название может отличаться в зависимости от версии вашей системы)
4. Проверьте, обновлена ​​ли ваша система. Если в списке есть непримененные обновления, немедленно установите их.
5. После завершения обновления перезагрузите компьютер, чтобы завершить процесс.

Помимо обновления системы рекомендуется установить последние версии драйверов устройств, так как драйверы могут влиять на правильную работу ntvdm.exe или других системных файлов. Для этого перейдите на веб-сайт производителя вашего компьютера или устройства, где вы найдете информацию о последних обновлениях драйверов.

Шаг 3.. Используйте средство проверки системных файлов (SFC).

Проверка системных файлов — это инструмент Microsoft Windows. Как следует из названия, инструмент используется для идентификации и адресации ошибок, связанных с системным файлом, в том числе связанных с файлом ntvdm.exe. После обнаружения ошибки, связанной с файлом %fileextension%, программа пытается автоматически заменить файл ntvdm.exe на исправно работающую версию. Чтобы использовать инструмент:

1. Откройте меню «Пуск» в Windows.
2. Введите «cmd» в поле поиска
3. Найдите результат «Командная строка» — пока не запускайте его:
4. Нажмите правую кнопку мыши и выберите «Запуск от имени администратора»
5. Введите «sfc / scannow» в командной строке, чтобы запустить программу, и следуйте инструкциям.

Шаг 4. Восстановление системы Windows.

Другой подход заключается в восстановлении системы до предыдущего состояния до того, как произошла ошибка файла ntvdm.exe. Чтобы восстановить вашу систему, следуйте инструкциям ниже

1. Откройте меню «Пуск» в Windows.
2. Введите «Восстановление системы» в поле поиска.
3. Запустите средство восстановления системы — его имя может отличаться в зависимости от версии системы.
4. Приложение проведет вас через весь процесс — внимательно прочитайте сообщения
5. После завершения процесса перезагрузите компьютер.

Если все вышеупомянутые методы завершились неудачно и проблема с файлом ntvdm.exe не была решена, перейдите к следующему шагу. Помните, что следующие шаги предназначены только для опытных пользователей

Загрузите и замените файл ntvdm.exe

Последнее решение — вручную загрузить и заменить файл ntvdm.exe в соответствующей папке на диске. Выберите версию файла, совместимую с вашей операционной системой, и нажмите кнопку «Скачать». Затем перейдите в папку «Загруженные» вашего веб-браузера и скопируйте загруженный файл ntvdm.exe.

Перейдите в папку, в которой должен находиться файл, и вставьте загруженный файл. Ниже приведен список путей к каталогу файлов ntvdm.exe.

• Windows 10: C:WindowsSystem32
• Windows 8: 1: C:WindowsSystem32
• Windows XP: C:WINDOWSsystem32dllcache
• Windows 8.1: —

Если действия не помогли решить проблему с файлом ntvdm.exe, обратитесь к профессионалу. Существует вероятность того, что ошибка (и) может быть связана с устройством и, следовательно, должна быть устранена на аппаратном уровне. Может потребоваться новая установка операционной системы — неправильный процесс установки системы может привести к потере данных.

Список версий файлов

Имя файла
ntvdm.exe

система
Windows 10

Размер файла
8960 bytes

Дата
2013-08-22

Подробности файла
	MD5	9a355b75137e8a5f3c384c999cc6dbbc
SHA1	2be21636f3c2899f1217c289351b106118a5e197
SHA256	126a00e34a6516c0d382a221071ab4084031c2a89ccb6144cab960ce1f86ee2c
CRC32	2b4e36e7
Пример расположения файла	C:WindowsSystem32

Имя файла
ntvdm.exe

система
Windows 8

Размер файла
533504 bytes

Дата
2012-07-26

Подробности файла
	MD5	96d0ab1d458d5eb1919ad2aa39aa4ff5
SHA1	8ff91cf597b22104f88265a733e652f75021f737
SHA256	daa80a84a45985b6b981eb71624392f41861f79c2c2a207818a42fd25bdc06a3
CRC32	1224797d
Пример расположения файла	1: C:WindowsSystem32

Имя файла
ntvdm.exe

система
Windows XP

Размер файла
420864 bytes

Дата
2008-04-14

Подробности файла
	MD5	681b807e53bdada337735c28c0e48a1b
SHA1	df36cf59f700fc0b3b60c009b8b877d6233fdd72
SHA256	a0be52e7d076ed8e33a4b5ab309cd23ad0272570c7e87fe6e3444712ad467d62
CRC32	dd26b7ba
Пример расположения файла	C:WINDOWSsystem32dllcache

Имя файла
ntvdm.exe

система
Windows 8.1

Размер файла
8960 bytes

Дата
2013-08-22

Подробности файла
	MD5	9a355b75137e8a5f3c384c999cc6dbbc
SHA1	2be21636f3c2899f1217c289351b106118a5e197
SHA256	126a00e34a6516c0d382a221071ab4084031c2a89ccb6144cab960ce1f86ee2c
CRC32	2b4e36e7
Пример расположения файла	—