win蓝屏问题排查
- 2017年4月微软爆出了ms17-010漏洞,并给出了补丁,此漏洞被蠕虫病毒木马广泛使用(比如永恒之蓝);校园网在未安装ms17-010补丁的情况下,很容易受到同网域内的利用此漏洞的攻击,从而造成蓝屏等后果。
措施
- 在所有windows电脑上安装 ms17-010补丁
- 已有蓝屏的电脑,需要视情况进行重装系统打补丁,或深度杀毒后打补丁
- 有条件的话,也可以禁用该电脑的445端口(smb协议)来规避攻击
ms17-010补丁
- 其它如果有缺的,在上面那个检查页面里查到相应 kb 号后,可以在 http://www.catalog.update.microsoft.com/Home.aspx 这里搜索下载对应补丁文件
- XP sp2 没有直接的补丁,最好升级为 sp3 再打补丁,如果不行,可以尝试强行打补丁方式(后果未知):
- 注册表 在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows 这里修改 CSDVersion = 0x00000200, 改为 CSDVersion = 0x00000300; 然后重启,这会让系统认为自己是sp3
- 打 xp sp3 的ms17-010补丁;
- 把注册表改为原值,即 CSDVersion = 0x00000200, 然后重启
蓝屏排查方法
- 获取蓝屏minidump文件,一般在
c:\windows\minidump
文件夹. - 如果目标机子没有蓝屏 dump 文件, 或者只有 C:\windows\MEMORY.DMP 一个dump文件, 可以这样设置来启用蓝屏后 minidump 文件的保存,以方便多次蓝屏追踪:键盘 「win+R」后输入 「sysdm.cpl」来打开系统属性窗口(也可以在桌面「我的电脑」的右键菜单里选择「属性」来打开), 选择 「高级」页,进入 「启动与故障恢复」设置,在「写入调试信息」那里选择「小内存转储」,然后「确定」保存设置。
- 使用
WinDbg Preview
软件(可在win10应用商店里安装)来查看 dump 文件, 如果可信的栈信息里出现smb
或syv.sys
等模块,则有大概率是ms17-010漏洞攻击。