ntkrpamp!_MMPFN ntkrpamp!_MMPFNENTRY ntkrpamp!_MMPFNLIST

当前 IRQL 大于等于 DPC 本身不是问题 P位 标识出页不在物理内存中才是问题 所以才有那些代码

IRQL >= DPC 只要你访问的页面有效 (锁定在物理内存中的分页 / 非分页) 就没有问题 但是 IRQL >= DPC 且页面无效，这就违背了 IRQL 的基本准则。 “都说在DPC级别时，不能调用导致缺页中断的函数，我猜想是不是Windows会在某个地方检查当前的IRQL，如果在DPC上就BugCheck一个IRQL_NOT_LESS_OR_EQUAL错误。” <-- 在 DPC 上本身不是错，在 DPC 上缺页才是错

大哥 你介是逼我贴代码啊  WRK 有代码引用协议的........    PreviousIrql = KeGetCurrentIrql ();    if (PreviousIrql > APC_LEVEL) {  // 条件一        if (#if (_MI_PAGING_LEVELS >= 4)            (PointerPxe->u.Hard.Valid == 0) ...

和上一个蓝屏基本一样 http://advdbg.org/forums/2447/ShowPost.aspx  这也很可能是驱动校验主动触发的一次蓝屏，位置还是在睡眠唤醒。由于我没有 Windows Server 2008 Kernel Version 6001，基本没法做实验... 爱莫能助 只能逆 XP，下了 hal!HalpAcpiPostSleep 的断点，休眠 + 唤醒，没断住...Windbg 只打印出了这些页面文件拷贝操作：HIBER: 9876 Pages written in 9876 Dumps (31 runs).HIBER: 25859 Pages processed (38 % compression)HIBER: Elapsed ...

kao~ mj tongxie biwozaoyibu ^_^

啥意思? 没看懂 为什么要给一长度赋成一地址?

若是自己的驱动代码 (支持Unload) 可以上 Driver Verifier 可以精确定位到泄露内存对应的分配地址

楼主没错~ SIDT is only useful in operating-system software; however, it can be used in application programs without causing an exception to be generated.

我以前喜欢用 NtSystemDebugControl 虽然它基本会被拦 代码参考 randnut 的 PhysicalMemory 也一样 代码参考 Mark 的 Call Gate 可供参考的更多 我还看过吴岩峰前辈放出的一段演示代码 也很强大 最后 王道还是 kernel mode memory disclose 0day 嘿嘿~~