现在回头看这个问题,感觉 LZ 蓝屏的原因可能是中毒了:比如暗云那种 MBR Bootkit,或者就是驱动木马。
要么就是装了虚拟机软件 /杀毒软件,它们的驱动不适应 Win10。
CRITICAL_STRUCTURE_CORRUPTION 是 PatchGuard 被触发导致的。貌似比较典型的是 FSD Hook,Win7 下这种 Hook 是 PatchGuard 不管的,Win8 以后开始监视了,所以就开始蓝屏循环了。
@
exch4nge CRITICAL_STRUCTURE_CORRUPTION 这个蓝屏代码是 PatchGuard 触发的,这玩意就是 Windows 内核的防篡改措施,微软是有做反调试的。
不过,网上也能搜到前人做的逆向分析和调试案例(比如 tandasat 的博客,还有微软官方的博客、“易也技术”博客)。
这种蓝屏 dump 打开后,调用栈里一般只有一个 KeBugCheckEx ——这里的信息应该是出于反调试的原因,被清理掉了。
如果只有 minidump (几 MB )的话,大概是废了,只能看到篡改的类型,看不到具体篡改是哪里。
如果有 kernel memory dump,或者 full memory dump,那挂上 WinDbg 还有可能找到篡改的地方,然后可以根据经验和实际情况猜一下,可能是谁篡改的。