Windows异常蓝屏重启多半是安全问题！

背景

云服务器从8月30日开始频繁蓝屏死机，经过另位工程师多天的排查，分别封闭了入侵途径、恶意软件，查杀了病毒，重新部署系统后又发生蓝屏，怀疑以下场景可能间接引发服务器蓝屏问题：
虚拟化层与机器系统驱动兼容性冲突（如Hyper-V嵌套虚拟化）；
云管理接口漏洞被利用，攻击者注入恶意指令；
平台推送的驱动/更新存在缺陷。
需要排查服务器蓝屏原因

检查

在2025‎年‎9‎月‎20‎日‏‎5:44左右机器有异常，生成的minidump无法打开，文件已损坏，Windows 目录下没有生成MEMORY.DMP 文件，系统日志也未保留，无法分析
os内设置了自动覆盖dump，需要将机器的完整转储日志打开（需要重启），等待复现，生成完成的dump分析了

复现后…

用windbg分析dump，异常重启是由于一个关键的系统进程 wininit.exe 被强行终止导致的
终止它的不是病毒或系统错误，看起来是 taskkill.exe 程序，在服务器上运行了类似 taskkill /f /pid <wininit的PID> 的命令，强制杀死了Windows初始进程，系统为了保护自身而主动触发了蓝屏重启

无法看到对应时间 2025‎年‎9‎月‎20‎日‏‎16:49左右的系统日志，怀疑是是人为操作，自动化脚本或安全软件的 “清理”或“强制结束”功能影响，如果配置不当或出现bug，可能会错误地终止系统进程导致蓝屏重启。
不能排除是木马进程进行的taskkill，之前机器有被入侵的历史，也不能排除是业务漏洞或者木马文件伪装正常系统程序恶意执行的

思考

想想怎么设置能解决服务器蓝屏？有没有什么办法可以保证守护系统关键进程不被taskkill？

思考了下，暂时没有办法将守关键进程不被taskkill，wininit是系统关键进程，无法阻止，Windows启动流程：

解决

建议是先备份数据，然后使用安全软件全盘扫描机器，定时备份数据，看下安全软件是否可阻拦风险进程执行，例如火绒安全，可以安装观察。

也不能排除是业务漏洞，木马文件伪装正常系统程序，最好方案是备份数据，数据进行安全查杀，重装系统保持干净的环境，重新部署业务，后机器进行好安全防护，定时备份数据。