windbg

可以给windbg添加条件断点
使用procmon和windbg配合进行调试

bp kernel32!CreateFileW "aS /mu ${/v:$MyPath} poi(esp+4); .block{ .if($spat(@\"${$MyPath}\",\"*新建文件夹*
\")){ad ${/v:$MyPath};} .else{ad ${/v:$MyPath};gc;} }"

dump文件：
启动Windbg，选择 File–Symbol File Path…. (选择符号库，根据OS类型决定)，这一步不做也没关系，我就偷懒没下载
Symbol Packages。
然后打开：File–Open Crash Dump… 选择你收集的dump文件
等分析完后，前面都可以忽略，直接看倒数第二行：Probably caused by : xxxxxx.sys
一般来说，这个文件就是引起系统崩溃的元凶。如果不知道它是干什么的，上Google查一下也就知道了。
然后该怎么处理就处理了。