本指南旨在为 IT 管理员提供一套标准的排障流程，用于诊断和定位因飞连客户端与第三方软件（如安全软件、加解密软件、业务系统）或 Windows 系统本身发生冲突，而导致的各类异常问题（如应用闪退、系统卡顿、网络中断等）。

请先阅读其他常见问题，确认您遇到的问题是否已有对应的快速解决方案。若上述文档未能解决您的问题，请遵循本文提供的排查步骤进行深度诊断。

1. 确认是否与飞连相关（退出/卸载飞连）。
2. 定位到具体功能模块（逐一结束 corplink-uc.exe 进程）。
3. 在模块内进行深度排查（针对 DLP/防病毒/网络等模块，进一步禁用驱动或子组件）。

步骤一：确认异常是否与飞连相关 #

排查目标：通过“排除法”断定异常现象（如软件闪退、网络中断）是由飞连客户端程序逻辑、驱动或策略引起的，还是由系统环境或其他软件原生导致的。

1. 前置准备：稳定复现 #

在开始任何操作前，请确保该问题在当前环境下可以稳定复现。

• 记录现象：记录异常发生的触发路径（例如：打开某软件即闪退，还是运行一段时间后卡顿）。
• 记录环境：确认当前的操作系统版本、飞连客户端版本以及是否连接了 VPN。

2. 梯度排除验证 #

为了提高效率，建议按以下三个梯度进行验证。每一步操作后，请务必重启电脑以清除内存残留及驱动挂钩。

• 梯度 A：退出登录（验证应用层策略）
  • 操作：在飞连主界面选择“退出登录”，但保持客户端进程运行。
  • 原理：此操作会撤销大部分基于用户的安全策略（如自研应用的访问权限、动态路由等）。
• 梯度 B：彻底退出客户端进程（验证监控模块）
  • 操作：右键任务栏图标退出飞连。若开启了自保护，请参考步骤二解除自保护后，在任务管理器中结束所有 corplink 开头的进程。
  • 原理：此操作可确认飞连的后台监控模块（非驱动层）是否与第三方软件存在冲突。
• 梯度 C：卸载飞连客户端（验证驱动与底层组件）
  • 操作：通过控制面板卸载飞连，并手动确认 C:\Windows\System32\drivers 下相关驱动文件（见 4. 驱动专项排查）已移除。
  • 原理：这是最彻底的定性手段。卸载会移除文件过滤驱动、网络过滤驱动及注入 DLL，彻底消除飞连对系统底层的干预。

3. 结果判定逻辑 #

请根据复现结果进行后续路径选择：

步骤二：定位到具体功能模块 #

飞连客户端由多个功能模块（DLP、防病毒、终端防火墙等）组成，它们以后台进程 corplink-uc.exe 的形式运行。此步骤旨在通过逐一停止这些进程，来定位具体是哪个模块引发了冲突。

1. 准备工作：解除自保护
   • 如果您的终端开启了“防卸载/防篡改”功能，请先在飞连管理后台为该设备临时添加白名单。
   • 验证方法：在任务管理器中尝试结束 corplink-uc.exe 或 corplink-helper.exe 进程。如果能成功结束，说明自保护已解除。
2. 禁止进程自愈（自拉起）机制
   飞连的 corplink-uc.exe 进程存在相互守护机制。若直接杀进程，它会立即重启，导致无法观察排查结果。为防止进程被自动拉起，请先将以下两个文件重命名（例如，在末尾添加.bak）：
   • C:\Program Files\CorpLink\current\module\uc\x64\corplink-uc.exe
   • C:\Program Files\CorpLink\current\module\uc\x86\corplink-uc.exe
3. 定位问题进程
   在任务管理器中，你会看到多个同名的 corplink-uc.exe。必须通过添加“命令行”列来区分它们。
   1. 打开任务管理器，切换到“详细信息”页签，并确保已显示“命令行”列。
      
      
   2. 逐一结束进程并验证

      1. 在“命令行”列中，查看--component-names参数的值，以识别其对应的功能模块（参考下表）。

      2. 每结束一个进程后，立即尝试复现问题。

         • 如果问题消失，表明已成功定位到引发冲突的功能模块。请根据模块名称，跳转到步骤三进行深度排查。
         • 如果问题依旧，重复此过程，继续结束下一个进程，直到定位到问题模块。
         • 若所有进程结束后，问题依旧，请参考 4. 驱动专项排查。

         component-names 参数值	功能模块
         threat_intelligence	威胁情报
         ow_system_av	防病毒
         ow_system	DLP 进程
         remote_assistance	远程协助
         sc_system&ow_firewall	终端基线、防火墙
         sc_userhigh	软件推送、补丁推送

步骤三：在模块内进行深度排查 #

在定位到具体的功能模块后，您可以进一步禁用其子组件（如注入、驱动等），以更精确地定位根因。

1. 深度排查 DLP 模块 #

DLP（数据防泄漏）模块因其需要深度介入操作系统和应用行为，是兼容性问题最常见的来源之一。其冲突通常由应用注入 (Injection)、ETW 事件监控或文件驱动引起。请按以下顺序，逐一禁用并验证。

准备工作：​在执行以下任何操作前，请确保已在飞连后台为该设备解除了自保护/防篡改策略。

1.1 验证是否由应用注入导致

飞连通过向第三方应用进程加载flhhlp.dll模块，来实现外发监控。这是最常见的冲突点。

1. 禁用注入功能

   • 以管理员权限打开命令提示符（CMD）。
   • 执行以下一系列ren（重命名）命令，临时性地禁用所有注入相关的核心 DLL 文件。如果任何命令提示“拒绝访问”或失败，请尝试手动进入对应目录进行重命名。

     ren "c:\Program Files\CorpLink\current\module\uc\x86\corplink-helper.exe" "corplink-helper.exe.bak"
     ren "c:\Program Files\CorpLink\current\module\uc\x64\corplink-helper.exe" "corplink-helper.exe.bak"
     ren "C:\Windows\System32\flhhlp.dll" "flhhlp.dll.bak"
     ren "c:\windows\syswow64\flhhlp.dll" "flhhlp.dll.bak"
     ren "c:\Program Files\CorpLink\current\module\uc\x86\flhhlp.dll" "flhhlp.dll.bak"
     ren "c:\Program Files\CorpLink\current\module\uc\x64\flhhlp.dll" "flhhlp.dll.bak"
     

2. 重启 DLP 进程并验证

   1. 执行 cmd taskkill /F /IM corplink-uc.exe 命令，强制重启corplink-uc.exe进程以应用上述改动。
   2. 立即尝试复现问题。
      • 如果问题消失，则证明冲突是由“应用注入”引起的。请务必将之前重命名的文件全部改回原名，然后继续执行 1.2 空 DLL 验证。
      • 如果问题依旧，说明问题与注入无关。请务必将之前重命名的文件全部改回原名，然后继续执行 1.3 验证是否由 ETW 事件源导致。

1.2 空 DLL 验证

如果已确认是注入导致，此实验有助于判断是注入动作本身不兼容，还是飞连 DLL 的业务代码不兼容。

• 操作指引
  1. 下载空 DLL 文件
     
     

     flhhlp.7z

     未知大小

     
  2. 将解压出的 x64 版 flhhlp.dll 放入 module\uc\x64\ 目录；x86 版放入 module\uc\x86\ 目录。
  3. 重启飞连进程及受影响的应用。
• 结果判定
  • 使用空 DLL 后异常消失：说明飞连注入模块的业务逻辑与应用冲突。可临时将进程加入注入白名单以恢复业务，并采集 Dump 文件（详见如何采集 Windows 客户端崩溃/蓝屏日志）提交工单至飞连技术支持处理。
  • 使用空 DLL 后异常依然存在：说明该应用与飞连的注入机制原生不兼容（应用存在强力反注入探测）。此类应用通常无法通过修改飞连代码解决，建议长期加白。

1.3 验证是否由 ETW 事件源导致

ETW (Event Tracing for Windows) 监控用于实时获取文件系统事件，可能会与某些需要高频文件操作的应用（如编译软件、数据库）产生冲突。

1. 禁用 ETW 功能

   1. 以管理员权限打开命令提示符（CMD）。
   2. 执行以下ren（重命名）命令，临时性地禁用 ETW 相关的 DLL 文件。

      ren "C:\Program Files\CorpLink\current\module\uc\x86\event_trace.dll" "event_trace.dll.bak"
      ren "C:\Program Files\CorpLink\current\module\uc\x64\event_trace.dll" "event_trace.dll.bak"
      

2. 重启 DLP 进程并验证

   1. 执行 cmd taskkill /F /IM corplink-uc.exe 命令，强制重启corplink-uc.exe进程以应用上述改动。
   2. 立即尝试复现问题。
      • 如果问题消失，则证明冲突是由 ETW 事件监控引起的。请联系飞连技术支持。
      • 如果问题依旧，请将文件全部改回原名，然后继续下一步排查。

1.4 验证 DLP 关联驱动

DLP 模块依赖底层文件驱动对操作进行拦截。
请直接跳转至 4. 驱动专项排查，并重点关注 corplink_uni_sys 或 corplinksecbase 驱动的停止测试。

2. 深度排查防病毒模块 #

防病毒模块的兼容性问题，绝大多数表现为与其他软件（特别是需要高频读写文件的业务软件、编译工具或加解密软件）发生文件共享冲突。
排查的核心思路是，通过在飞连管理后台配置白名单，告知防病毒引擎“不要扫描”特定进程、路径或文件类型，从而解决冲突。

2.1 分析冲突类型与制定加白策略

根据冲突的具体表现和涉及的文件类型，您可以参照以下场景制定初步的加白策略：

• 场景一：冲突由“非敏感”的临时/中间文件引起
  • 现象：​编译软件在构建过程中报错，提示中间文件（如.o, .obj）被占用；或某些业务软件生成自定义格式的临时文件时卡死。
  • 排查方向：​这类文件通常不包含病毒风险。
  • 解决方案：​在飞连管理后台的防病毒策略中，添加文件后缀名白名单，将这些特定的临时文件后缀（如 .o, .obj, .tmp）排除在扫描之外。
• 场景二：冲突由 Office 文档等“敏感”文件引起
  • 现象：​用户在使用业务软件导出 Excel 报表，或通过 SMB 访问网络共享的 Word 文档时，操作失败，提示文件被占用。
  • 排查方向：​这种场景更为复杂，因为我们不能简单地将.xlsx或.docx这类高风险文件类型全部加入后缀白名单。需要进一步区分冲突的源头：
    • 情况 A：由业务软件进程直接操作文件导致。
      • 解决方案：​如果该业务软件有可靠的数字签名，可以在防病毒策略中，将其进程（例如 my_erp.exe）加入进程白名单。
    • 情况 B：由系统进程（如svchost.exe）代理操作文件导致。
      • 解决方案：​此时进程白名单无效，需要求用户将操作的目标文件，保存在一个受信任的目录中，并在防病毒策略里，将该目录路径加入路径白名单。若涉及远程访问 SMB 上的 Office 文件，系统会在本地临时目录（如 %TEMP%）生成名称随机的临时文件并引发冲突，需额外关注该类随机临时文件的占用情况。
• 场景三：与透明加解密软件冲突
  • 现象：​安装了第三方加解密软件的设备，在打开或保存 Office 文档时极其卡顿或失败。
  • 排查方向：​这通常是加解密软件在处理文件时产生的临时文件（文件名随机，但后缀名可能固定）与飞连防病毒扫描发生冲突。
  • 解决方案：
    1. 首先，在加解密软件的后台，将飞连的所有核心进程（corplink-uc.exe, corplink-helper.exe等）设为信任，避免双向冲突。
    2. 尝试识别并捕获加解密软件产生的临时文件的后缀名，并将其加入飞连防病毒策略的文件后缀名白名单。

3. 深度排查网络异常问题 #

如果冲突问题主要表现为特定应用程序无法联网、网络卡顿或连接被重置，请在完成了步骤二之后，重点执行以下网络专项排查。

3.1 检查飞连终端防火墙策略

首先，确认是否是您在飞连后台配置的防火墙策略，按预期拦截了该应用的通信。

1. 登录飞连管理后台，分别查看终端防火墙、威胁情报、DLP 文件外发邮箱通道策略。
2. 检查所有已生效的策略，确认其规则（如目标 IP/端口、响应动作）是否可能影响到出问题的应用程序。
3. 如果是符合预期的拦截，请调整策略；如果不是，请继续下一步排查。

3.2 诊断虚拟网卡冲突

飞连 VPN 等功能依赖于虚拟网卡。某些第三方应用（特别是其他网络软件）可能会错误地将流量路由到飞连的虚拟网卡，导致网络异常。

1. 临时禁用虚拟网卡
   1. 在 Windows 中，打开控制面板 ＞ 网络和 Internet ＞ 网络连接。
   2. 找到名为Feilian VPN或类似的虚拟网络适配器。
   3. 右键单击并选择禁用。
2. 验证问题
   立即尝试复现网络异常问题。
   • 如果问题消失，证明问题与虚拟网卡或路由冲突有关。请记录此现象并联系飞连技术支持。
   • 验证完毕后，请务必重新启用该虚拟网卡，以恢复飞连的正常网络功能。

3.3 诊断网络驱动冲突（适用于含网络 DLP 的版本）

飞连客户端 3.1.15 - 3.1.21 版本中引入了基于netfilter的网络驱动（corplinknetbase64），用于实现网络 DLP 等高级功能。该底层驱动可能与某些应用的网络堆栈产生冲突。请参考 4. 驱动专项排查进行排查。

4. 驱动专项排查 #

本章节包含文件驱动（DLP）及网络驱动的统一停用方法。当你已结束所有 corplink-uc.exe 进程，但异常依然存在时，通常意味着飞连驻留在内核中的驱动程序仍在运行。由于驱动层级高于应用进程，必须通过系统服务命令强制停止。

1. 前置要求
   在执行驱动停用命令前，请务必确认以下三点，否则驱动可能无法成功停止或会自动恢复：

   • 权限要求：必须以管理员身份运行命令提示符（CMD）。
   • 解除保护：确保已在管理后台为该终端解除了“防卸载/防篡改”策略。
   • 进程依赖：再次确认任务管理器中命令行含 ow_system 的 corplink-uc.exe 进程已彻底结束。

2. 飞连驱动启停命令对照表
   飞连在不同版本中使用的驱动名称存在显著差异。请根据当前安装的客户端版本，选择对应的命令进行排查：

   客户端版本范围	驱动名称	停止命令	验证状态命令	重启命令
   3.2.16 及以后	corplinksecbase	sc stop corplinksecbase	sc query corplinksecbase	sc start corplinksecbase
   3.2.12 - 3.2.15	corplinksecbase64 corplinkbase64 corplinknetbase64	sc stop corplinksecbase64 sc stop corplinkbase64 sc stop corplinknetbase64	sc query corplinksecbase64 sc query corplinkbase64 sc query corplinknetbase64	sc start corplinksecbase64 sc start corplinkbase64 sc start corplinknetbase64
   3.2.10 -3.2.11 或 3.0.17 - 3.1.14	corplink_uni_sys	sc stop corplink_uni_sys	sc query corplink_uni_sys	sc start corplink_uni_sys
   3.1.15 - 3.1.21	corplink_uni_sys corplinknetbase64	sc stop corplink_uni_sys sc stop corplinknetbase64	sc query corplink_uni_sys sc query corplinknetbase64	sc start corplink_uni_sys sc start corplinknetbase64

3. 标准操作流程

   1. 停止驱动：根据上表执行对应的 sc stop 命令。
   2. 状态查询：执行 sc query [驱动名]，观察返回结果中的 STATE 字段。只有状态显示为 STOPPED 才代表驱动已彻底停止加载。
   3. 复现验证：在确认驱动停止后，立即尝试复现之前的异常现象（如运行被冲突的应用、进行文件操作等）。
      • 若问题消失：证明冲突源于该驱动。请记录驱动名称及对应飞连版本，反馈给技术支持团队。
      • 若问题依旧：说明非驱动冲突，请尝试恢复驱动或继续 5. 深度排查 MDM 及其他底层模块。
   4. 驱动恢复：验证完毕后，无论问题是否解决，均建议执行重启命令恢复驱动运行以保障终端安全：
   • 恢复命令：将停止命令中的 stop 替换为 start 即可，例如：sc start corplinksecbase。
   • 注意：若驱动被重命名或文件损坏，可能导致启动失败，此时需重新安装客户端。

5. 深度排查 MDM 及其他底层模块 #

若完成前序步骤之后，异常现象依然存在，这通常表明问题可能不是由一个正在运行的服务或驱动引起的，而是由飞连在系统中注册的某些更底层的 MDM/EPM 组件导致的。

1. 确认环境
   • 确保所有相关的corplink-uc进程和sc stop可停止的驱动服务均已停止。
   • 确保已在后台为设备解除自保护/防篡改策略。
2. 重命名模块目录
   • 打开文件资源管理器，并导航到飞连的安装目录（通常是 C:\Program Files\CorpLink\current\module\）。
   • 将以下两个文件夹重命名（例如，在末尾添加.bak）：
     • mdm
     • epm
3. 重启并最终验证
   1. 完全重启您的 Windows 电脑。
   2. 重启后，不要登录或运行飞连客户端。
   3. 立即尝试复现问题。如果问题消失，证明冲突源于 MDM 或 EPM 模块的底层组件。请将此发现，连同您之前的所有排查步骤记录，一并提供给飞连技术支持。

如果已完成上述所有排查步骤但问题仍未解决，请准备以下信息并联系飞连技术支持团队，以便我们高效地为您定位问题。

• 如果您是飞连认证渠道工程师：请通过飞书搜索飞连 FOC，提交工单处理。
• 如果您是企业用户：请通过火山引擎官网提交工单处理。

信息收集清单 #

1. 将已经排查过的内容整理汇总；
2. 采集的客户端日志；
3. 对于文件占用问题，请参考以下步骤采集 PML 日志文件。
   1. 准备与配置 Procmon
      1. 下载并解压工具，根据您的操作系统位数（64 位或 32 位）运行对应的程序。
         
         

         ProcessMonitor.zip

         未知大小

         
      2. 打开后，按下Ctrl+L打开过滤器设置。
      3. 设置一条过滤规则，其条件为 Path - contains - [您遇到问题的文件名或路径]。
      4. 点击添加并应用。
      

确保 Procmon 只监控“文件系统活动”（点击工具栏对应的图标）。

2. 捕获日志
   1. 点击 Procmon 的捕获按钮开始监控。
      
   2. 立即复现问题（例如，执行一次导致文件占用的操作）。
   3. 问题复现后，立即再次点击捕获按钮停止监控。
3. 保存并提交日志
   
   保存日志，务必选择 All events，将生成的 .PML 文件，连同问题的详细描述，提交给飞连技术支持团队进行深度分析。