从RtlAppendUnicodeToString来看，似乎KeGetCurrentIrql已经执行完了，正在处理DbgPrint里面的字符串。 在MSDN里面有一段话           DbgPrint and DbgPrintEx can be called at IRQL<=DIRQL. However, Unicode format codes can be used only at IRQL PASSIVE_LEVEL. Also, because the debugger uses interprocess interrupts (IPIs) to ...

参考http://advdbg.com/blogs/advdbg_system/articles/903.aspx中的内容，今天自己试了下。 执行windbg.exe -kx exdi:clsid={66C102B6-D4F6-4F8E-84CC-B09802D364EA} 以后， windbg被打开了，然后安装的ATP App也被打开了，并且ATP app连上了目标机器，windbg没有。 厄，怎么回事呀？Windbg的help里面也没有什么关于exdi有用的信息.  

厄，好像蛮复杂的，暂时不研究了 :( 谢谢

硬件触发一个中断，driver中的中断处理程序最终会被调用，但是如何能够知道这之间过了多久呢？ 按理说中断处理程序运行在高IRQL上，几乎是立马就会被执行，但是担心驱动中有什么地方没处理好，阻止了中断响应程序的调用。 有什么调试手段能知道这个时间差呢？如果中断响应程序被调的慢了，比较影响性能。  

我有类似的经历，DbgPrint和sprintf导致driver的stack fault。 大概的猜测是运行在过高的IRQL上，因为当我去掉在 Interrupt handle函数里面的Log语句以后，就没有问题了。

恩，解决了部分问题，的确调用了这个函数来检查，不过似乎不止于此。我的调试环境是Windbg双机kernel mode调试(因为还需要同时调试driver)，在这个情况下BeingDebugged一直都是0， 我想应该还检查了另外的什么东西，比如Kernel的调试引擎是否开启，被调试的东西就是Windows Media Player,所以我想不太会有很诡异的方法来检测调试器。

我记得有个函数调用是可以知道自己是否正在被调试，不过名字我忘记了。谁知道？ 不过我正好要做相反的事情，有个应用程序每次都会检查自己是不是正在被调试，一旦是它就退出了。 我只有这个应用程序的可执行文件，不知道有没有什么办法能够欺骗应用程序，让他无法知道。 恩，我的目的不是去破解它，只是这个程序会调用我写的一个dll,我只想去调试我自己的dll 谢谢

好像在CpuWhere的源代码和程序文件包里面没发现。还是只需要拷贝到driver目录下就可以了吗？ 不过家里的是台AMD的机器，还没法试试看效果。 还有就是提到的硬件一级的损坏，不会烧板子吧，要是只是损坏bois和EC一类的东西，倒不怕。  

电子版的好处就是好带，查阅方便，真的要看的书，我还是喜欢买书看，当然了，哪种暴贵的国外原版书除外了：）

这个世界果然很小。。。 嗯，我是ustc的土著，bbs id是 Roland