找到dmp文件

蓝屏后，转储文件在 %SystemRoot%\Minidump.
win 10 在：%systemroot%\LiveKernelReports

下面有几个目录，表示不同的组件的实时dump

• NDIS
• PDCRevocation
• PoW32kWatchdog
• USBHUB3
• WATCHDOG

打开dmp文件

使用WinDBG打开一个dmp文件， 它会联网下载相关的symbols ，此时在状态列中可以看到 Debugee not connected。
现在我们还不能开始处理dump文件。
等待出现 Followup: MachineOwner。

WinDBG (Windows DeBuGger) 是用于分析和调试windows故障转储文件的工具。
我们可以用它来分析BSOD 蓝屏的原因。

下载地址： https ://developer.microsoft.com/zh-cn/windows/downloads/sdk-archive/
（它在Windows Software Developer Kit （SDK）中）

分析dmp文件

查看错误代码

Bugcheck 后面显示相关的错误代码。比如：

STOP: 0x0000000A
0x0000000A
0xA
A

分析当前异常

直接点蓝色的 !analyze-v或者 在kd>后面输入 !analyze-v

显示有关指定实时转储代码的信息。

我们知道了 bug check code 和参数， 还可以执行

!analyze -show <code>

例如：
0: kd> !analyze -show 0x144 0x3003
BUGCODE_USB3_DRIVER (144)
This bugcheck usually happens when the USB3 core stack detects an invalid
operation being performed by a USB client. This bugcheck may also occur
due to hardware failure on a USB Boot Device.

此错误检查通常发生在USB3核心堆栈检测到USB客户端执行的无效操作时。
此错误检查也可能由于USB引导设备上的硬件故障而发生。

Arguments:
Arg1: 0000000000003003, USB3_WER_BUGCODE_USBHUB3_DEVICE_ENUMERATION_FAILURE
	A USB device failed enumeration.
Arg2: 0000000000000000, USBHUB3_LIVEDUMP_CONTEXT
Arg3: 0000000000000000, 0
Arg4: 0000000000000000, 0

有了 Arg4 （被阻止的 irp）和 FAILURE_BUCKET_ID和BUCKET_ID的值，可以使用 irp命令

!irp  Arg4的值

示例

kd> !irp fffffa800ff17ca0

>[ 16, 2]   0  0 fffffa800d879050 00000000 00000000-00000000    
          Unable to load image \SystemRoot\system32\DRIVERS\athrx.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for athrx.sys
*** ERROR: Module load completed but symbols could not be loaded for athrx.sys
 \Driver\athr

查看崩溃的进程

在最下面的 kd>后面输入 !thread, 显示崩溃时活动线程的信息。

找到 base 和limit 行

Base fffff80000b9b000 Limit fffff80000b95000

然后执行 dps命令

dps fffff80000b95000 fffff80000b9b000

注意查看.sys信息，（一般引起蓝屏的都是因为设备驱动程序）

在网上搜索.sys驱动相关信息。
或者使用lmvm命令查看驱动程序的文件信息。
例如：

0: kd> lmvm atikmdag
start             end                 module name
fffff880`0f055000 fffff880`102d9000   atikmdag T (no symbols)           
    Loaded symbol image file: atikmdag.sys
    Image path: \SystemRoot\system32\DRIVERS\atikmdag.sys
    Image name: atikmdag.sys
    Timestamp:        Fri Nov 21 02:30:27 2014 (546EA3C3)
    CheckSum:         0121F198
    ImageSize:        01284000
    Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4

Windows蓝屏常见错误

0x124 WHEA_UNCORRECTABLE_ERROR

0x124 是遇到的最糟糕的 STOP 代码之一，唯一的原因是转储文件通常不会透露问题的原因。

需要检查CPU 内存 硬盘 显卡等。

0x116 VIDEO_TDR_ERROR

显卡相关：

• 是否温度过高
• 是否灰尘堆积
• 电压或者连接