1、蓝屏的本质是什么?

蓝屏是在系统崩溃,或遇到致命错误导致崩溃时, 是 Windows系列操作系统在无法从一个系统错误中恢复过来时,且保护电脑数据文件不被破坏而强制显示的屏幕图形。并在崩溃时,记录下当时内存中的数据,将其存储成为dump文件,并用一串蓝屏代码向用户做出提示。

2、蓝屏产生的原因有以下几种:

  1. 错误更新显卡驱动
  2. 电脑超频过度
  3. 内存条接触不良或内存损坏
  4. 硬盘出现故障
  5. 安装的软件存在不兼容
  6. 电脑中毒
  7. 电脑温度过高
  8. 其他原因

附上:蓝屏显示查询代码
https://www.cnblogs.com/someone9/p/9723651.html

3、常用的工具

bluescreenView Windbg

4、如何获得蓝屏的DUMP文件

小内存转储,只是保存内存前64K的基本内存空间的数据
核心内存转储,保存操作系统和相关系统级别服务的数据。
完全内存转储,就是将内存中的数据全部保存,包括系统数据和用户数据。
image.png

当产生蓝屏时则会出现DUMP文件

5、使用Bluescreen进行DUMP文件的简单分析

案例一:

image.png

案例二:
例如这个报错代码为为0x050,一般为虚拟内存出现故障,这个情况一般是内存条出现了问题

image.png

案例三:
例如这个代码为0xc5,经查询可能为BIOS未开启intel虚拟化技术,导致程序未正常结束或崩溃

image.png

6、使用WinDbg进行DUMP文件的简单分析

  1. ctrl+s导入字符表后,<br />    SRV*C:\Symbols*http://msdl.microsoft.com/download/symbols

image.png

  1. ctrl+d拖入dmp文件<br />    打开文件后 输入 !analyze -v  开始分析

image.png

在打开DUMP文件时,可能会出现报错提示,我们可能需要在MSCONFIG下进行一些配置 image.png

需要注意的几个点:
1)system uptime:出现蓝屏的时间在系统开机后的多久以后
例如图中显示的时间就是在开机后的2分13秒后蓝屏

image.png

2)使用 !analyze后 此字段代表蓝屏崩溃的原因
Probably Caused by 为问题导致
查阅资料,图中qutmdrv.sys文件是属于360卫士的,出现蓝屏的原因可能是360和其他杀毒软件或电脑管里软件出现冲突引起的。

image.png

3) 蓝色部分为蓝屏代码0x0c5
两者之间的内容为系统给出的修复建议
红色部分为蓝屏参数:

参数一:引发蓝屏的参数引用位置 参数二:操纵码(读/写) 参数三:指令地址 参数四:保留地址

image.png

4)再往下看如果出现以下字段,需要注意exe的位置,很有可能就是造成蓝屏的原因
例如以下的reserver3.exe就是一个病毒文件

image.png

  1. **5)使用!process进行再次分析**<br />        **分析出的确是此文件出现了问题**

image.png

6)使用windbg进行分析的时候,要注意一些关键字,例如IMAGE_NAME等带有NAME字段的信息,因为这些字段的信息大多可以直接给我们提供系统为何出现蓝屏的原因。

7、内网出现蓝屏的原因有很多,根据经验总结,其最常见的原因有两种:

1)软件的不兼容
除了一些补丁可能会导致蓝屏意外,一些安全厂商的杀毒软件的兼容性也可能出现内网大规模蓝屏。其最佳的解决方式就是进入系统的——安全模式(安全模式不会蓝屏)进行软件的卸载。
例如图中就是360某软件出现兼容性问题

  1. 某工控安全卫士出现的兼容性问题

image.png

2)勒索病毒的攻击失败
勒索病毒大多利用的是MS17-010漏洞,Wannacry是最常见的勒索病毒,由于它的恶意利用广泛,因此出现了许多病毒的变体。某些内网感染了变体后的Wannacry后,可能由于其中的勒索程序打包错误导致勒索程序利用失败,我们都知道它是通过445端口向目标机器SMB服务器发送漏洞攻击包,对srv.sy驱动进行堆溢出,一旦利用失败便会导致驱动崩溃,造成蓝屏。
image.png

8、总结

  1. 出现大规模的蓝屏情况需要冷静,因为它很常见。分析时要提取多个蓝屏文件,判断成因是否具有相同点。注意是否更新了补丁导致不兼容或者近期更新或安装了某些程序导致的蓝屏。最后查看系统是否开启了445SMB等端口,通过态势感知设备检测内网中是否出现大量病毒告警。

蓝屏查询代码

蓝屏显示查询代码.txt