谢谢老师的提醒,也谢谢老师热心

kd> db 0x8CEC76248cec7624  53 00 61 00 66 00 65 00-53 00 79 00 73 00 74 00  S.a.f.e.S.y.s.t.8cec7634  65 00 6d 00 2e 00 73 00-79 00 73 00 00 00 fc 8e  e.m...s.y.s.....8cec7644  00 40 3f 90 11 00 12 04-4d 6d 43 61 e0 bb 40 b3  .@?.....MmCa..@.8cec7654  e4 bb ec 8c 64 5c 12 8f-00 00 00 00 04 00 00 00 ...

张老师,一下就是用驱动验证过后的显示，希望您多给给点拨Init Kernel Function Info Success驱动成功被卸载*** Fatal System Error: 0x000000c4                       (0x00000062,0x8CEC7624,0x8CE17D00,0x00000011)Break instruction exception - code 80000003 (first chance)Connected to Windows 7 7600 x86 compatible target at (Thu May ...

上次堆栈溢出解决后,又出现一问题，就是卸载时要蓝屏。通过dump，文件如下。我调试也发现这个蓝屏不是在DriverLoad卸载例程里,看dump文件也没看出在哪里有问题。现在请老师指点一下********************************************************************************                                                   ...

问题已解决,不过还是要感谢张老师的好书格蠹汇编，在书中的案例给了启示，希望张老师多出这样的好书。NTSTATUS  KernelOpenFile(wchar_t *FileFullName,  PHANDLE FileHandle,  ACCESS_MASK DesiredAccess,  ULONG FileAttributes,  ULONG ShareAccess,  ULONG CreateDisposition,  ULONG CreateOptions){ WCHAR ...

我加载一个驱动没好久就BSOD了,后来通过dump文件知道是堆栈溢出所造成的蓝屏。知道是在哪行执行后就蓝屏,但关键是不知道怎么样查找造成堆栈溢出的代码。请老师能够给个思路，点拨一下，谢谢。以下是dump文件的分析kd> !analyze -v********************************************************************************                                         ...

张老师您好，我在研究一个对SSDT表进行了HOOK的驱动dhth.sys，它对表里的NtOpenProcess进行了HOOK，我想知道这个驱动时否加了校验，特别下了一个硬件访问断点ba r2 nt!kiservicetable+0xbe*4 结果中断了下来，但并没有中断在dhth.sys代码段里，而是中断在了快速调用代码段里根据地址判断应该是中断在内核文件ntkrnlpa.exe里，我也是内核初学者，就是不明白明明是dhth.sys对SSDT表HOOK了，校验代码也应该是在dhth.sys里，怎么会中断在内核文件里。

我在调试一个程序，有一个已知的指针变量常常被别的代码修改，我不知道该设怎样的断点才能知道是哪段代码对已知的指针变量进行了修改，请老师解惑。

在附录B 设置内核调试环境  我照书上说的执行完第3步 重起机器，进入windbg，选内核调试-》本地调试后，就出现神马不支持，需要管理员权限怎么等提示，我的win7在界面也有正常的调试选项，没设置前是没有的，按照书上说的设置成功，界面就有了选项，但就是进不了本地内核调试。

张老师，我是您的忠实读者，也买了一本格蠹汇编，这本书也写的挺好的，以叙事的情节来描述枯糙无味的调试过程让人看了欲罢不能，我按照您书中所说的操作环节设置本地内核调试环境，但始终不行。进入命令行设置，总是达不到那种情况，能否请老师用屏幕录像机录制一个设置视频，谢谢。                                                             ...