如下图，显示都是ntoskrnl.exe的，代码基本上都是1E的，这样是看不出什么的，我们的这个分析工具的准确率还是不高，以后会改进的。
手动用windbg分析
分析下来都是11位的随即名的驱动导致的，如下图
那么就在客户机上去找这个驱动，用工具PCHunter64打开-点击驱动模块-在点文件厂商排列一下，里面就有11位的随机名的驱动在的，可是文件是已经删除的了，没办法找到这个文件看数字签名是谁的了！！！那么只可以用排除法来查了。
首先用干净的还原点开机看，客户机上只装了网维大师的还原点，开机后还是用这个工具看，没有，如下图

然后装了万象也是没有，后来用户说是用了去广告的软件，然后装了去广告的软件就有了~~~
另外这个只是一个方面的，其他人遇到代码是1E的还是需要分析DUMP看情况的。