win蓝屏问题排查

2017年4月微软爆出了ms17-010漏洞，并给出了补丁，此漏洞被蠕虫病毒木马广泛使用（比如永恒之蓝）；校园网在未安装ms17-010补丁的情况下，很容易受到同网域内的利用此漏洞的攻击，从而造成蓝屏等后果。

查看并安装对应系统版本的补丁：https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010
检查是否安装补丁的方法：https://support.microsoft.com/zh-cn/help/4023262/how-to-verify-that-ms17-010-is-installed
其它如果有缺的，在上面那个检查页面里查到相应 kb 号后，可以在 http://www.catalog.update.microsoft.com/Home.aspx 这里搜索下载对应补丁文件
XP sp2 没有直接的补丁，最好升级为 sp3 再打补丁，如果不行，可以尝试强行打补丁方式（后果未知）：
1. 注册表在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows 这里修改 CSDVersion = 0x00000200，改为 CSDVersion = 0x00000300；然后重启，这会让系统认为自己是sp3
2. 打 xp sp3 的ms17-010补丁；
3. 把注册表改为原值，即 CSDVersion = 0x00000200，然后重启

获取蓝屏minidump文件，一般在 c:\windows\minidump文件夹.
如果目标机子没有蓝屏 dump 文件，或者只有 C:\windows\MEMORY.DMP 一个dump文件，可以这样设置来启用蓝屏后 minidump 文件的保存，以方便多次蓝屏追踪：键盘「win+R」后输入「sysdm.cpl」来打开系统属性窗口（也可以在桌面「我的电脑」的右键菜单里选择「属性」来打开），选择「高级」页，进入「启动与故障恢复」设置，在「写入调试信息」那里选择「小内存转储」，然后「确定」保存设置。
使用 WinDbg Preview 软件（可在win10应用商店里安装）来查看 dump 文件，如果可信的栈信息里出现 smb或 syv.sys等模块，则有大概率是ms17-010漏洞攻击。