====== win蓝屏问题排查 ======

  * 2017年4月微软爆出了ms17-010漏洞，并给出了补丁，此漏洞被蠕虫病毒木马广泛使用（比如永恒之蓝）；校园网在未安装ms17-010补丁的情况下，很容易受到同网域内的利用此漏洞的攻击，从而造成蓝屏等后果。

==== 措施 ====

  * 在所有windows电脑上安装 ms17-010补丁
  * 已有蓝屏的电脑，需要视情况进行重装系统打补丁，或深度杀毒后打补丁
  * 有条件的话，也可以禁用该电脑的445端口(smb协议）来规避攻击

==== ms17-010补丁 ====
  * 查看并安装对应系统版本的补丁：https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010
  * 检查是否安装补丁的方法：https://support.microsoft.com/zh-cn/help/4023262/how-to-verify-that-ms17-010-is-installed
  * 其它如果有缺的，在上面那个检查页面里查到相应 kb 号后，可以在 http://www.catalog.update.microsoft.com/Home.aspx  这里搜索下载对应补丁文件
  * XP sp2 没有直接的补丁，最好升级为 sp3 再打补丁，如果不行，可以尝试强行打补丁方式（后果未知）：
     - 注册表  在  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows 这里修改  CSDVersion = 0x00000200， 改为 CSDVersion = 0x00000300； 然后重启，这会让系统认为自己是sp3
     - 打 xp sp3 的ms17-010补丁；
     - 把注册表改为原值，即 CSDVersion = 0x00000200， 然后重启

==== 蓝屏排查方法 ====

  - 获取蓝屏minidump文件，一般在 ''c:\windows\minidump''文件夹. 
  - 如果目标机子没有蓝屏 dump 文件， 或者只有 C:\windows\MEMORY.DMP  一个dump文件， 可以这样设置来启用蓝屏后 minidump 文件的保存，以方便多次蓝屏追踪：键盘 「win+R」后输入 「sysdm.cpl」来打开系统属性窗口（也可以在桌面「我的电脑」的右键菜单里选择「属性」来打开）， 选择 「高级」页，进入  「启动与故障恢复」设置，在「写入调试信息」那里选择「小内存转储」，然后「确定」保存设置。
  - 使用 ''WinDbg Preview'' 软件（可在win10应用商店里安装）来查看 dump 文件， 如果可信的栈信息里出现 ''smb''或 ''syv.sys''等模块，则有大概率是ms17-010漏洞攻击。