初探WinDbg，dump蓝屏代码初步分析

在电脑出现蓝屏情况之后，少数电脑会在C:\WINDOWS\System32\Srt文件夹下面创建一个SrtTrail的TXT文件，里面保存着启动修复程序找到的问题。

这个就是SRTTrail文件的内容，上面详细的列出了启动时间，启动检查项，启动目录等等信息，我们所需要找的就是它找到的根本原因。

本次文件中显示的是“启动修复已经尝试多次，但仍无法确定问题的原因。”所以这个文件就这次来说对我们是没有任何帮助的，但多数情况会直接显示出来具体原因。

所以我们直接找到Windows蓝屏产生的dmp文件即可，通常会在C:\WINDOWS目录下产生MEMORY.dmp文件，或是在WINDOWS目录下有Minidump文件夹里面产生.dmp文件，找到修改日期和上次蓝屏最近的一次时间（蓝屏时一般会提示收集信息，不要关闭电脑，进行的过程中就会产生最新的dmp文件）

分析.dmp文件需要专业的工具，通常用的是WinDbg工具，是微软发布的专业工具，不只是可以分析蓝屏原因，还可以在写驱动程序的时候找到驱动程序的bug，功能很强大，但一般蓝屏分析所用的命令很少。而且对于新手来说，有几个命令是会建议你进行的，会以蓝色字体加下划线的形式提醒你，这个可以直接点击而不用在用键盘输入命令。

本次文件中选中的两行，第一行显示了蓝屏时间，是2018年11月3号21:44:25.603，周日出现的蓝屏，第二行显示的是系统运行了多长时间后挂掉的，这次很不幸，4秒不到就挂了。

之后运行图片最下面那行!analyze -v来进一步分析。

在进一步分析中主要有几点是我们所需要的，其中上图选中的BUGCHECK_STR项显示的是代码信息，上图显示的0x5A，你可以在微软支持，CSDN，MSDN，百度等平台直接搜索或是搜索0x000005A（这两个实际上是一个意思，不过因为某些原因，通常代码会显示成后者），但这只能找到初步原因。

在这两行显示了导致蓝屏的原因以及导致蓝屏的服务所属用户，此次是System用户，也就是系统文件出了问题。

这是堆栈里面的信息。在学汇编之前是用不上的。

这是初步分析得到的具体导致蓝屏的程序，上面那行是这个程序隶属的组件。此次导致蓝屏的是一个名为ntkrnlmp的exe文件，它属于Windows NT组件，这是Windows系统的重要组件，此处可以基本确定是系统文件受损导致的

之后点击那个蓝色的nt，会运行lmvm命令来进一步分析。

此时就可以确定是ntkrnlmp文件导致的了，直接搜索文件名可以了解具体信息。