Windbg加载驱动蓝屏分析

1.open crash dump

2.image file path 加载 驱动pdb

3.  

（1 ）在有pdb的情况下

!analyze-v之后得到的蓝屏的原因：

 

Probablycaused by

这里指明了蓝屏引起的驱动

FOLLOWUP_IP

引起蓝屏的实际代码

CONTEXT

蓝屏时候的现场环境(寄存器)

STACK_TEXT

蓝屏时候调用的函数

（2）无pdb情况下

        1.查看第一行的错误类型，例如：SYSTEM_THREAD_EXCEPTION_NOT_HANDLED（7e）,再看arugements看类型，最后

                          可上http://msdn.microsoft.com/en-us/library/windows/hardware/ff557389(v=vs.85).aspx  查询错误类型

         2.根据FAULTING_IP提示的错误代码，提取特征码（即机器指令，在该特征码周围取多条，方便查找）

         3.ida载入驱动，alt+b，输入 提取的机器指令，注意要每个字节间 要有空格，F5可以直接查找到错误的代码