OBJECT_ATTRIBUTES结构是所谓的不透明结构（opaque structure），因此是不可以像你代码里那样直接将一个结构赋给另一个结构的。

 哈哈，岁月无情呀。 对的，!drvobj刚好满足你的需要，我也很喜欢用这个命令。 对于不太熟悉这个命令的朋友，我再罗嗦几句。 这个命令可以跟两个参数，即 !drvobj DriverObject [Flags] 第一个参数可以是_DRIVER_OBJECT结构的地址，也可以是驱动程序的名称。 当不知道驱动对象的地址时，使用名称是很方便的，比如下面的命令就可以得到NTFS驱动程序的对象地址，和它的设备实例： lkd> !drvobj ntfsDriver object (8a834f38) is for: \FileSystem\NtfsDriver Extension List: (id , addr) Device Object ...

这个问题不是很具体。不知道你是感觉哪里有困难，是windbg+vm这种跟踪方式，还是使用这种方式跟踪NtDeleteFile时有困难？我使用WinDBG+VirtualPC跟踪了一下XP SP3，大致结果如下： 1）对NtDeleteFile设置断点后，在资源管理器（Shift+Delete）和命令行（del）执行删除文件操作，断点都没有命中。 2）观察NtDeleteFile的汇编代码（uf NtDeleteFile），可以看到，其中的主要调用是nt!ObOpenObjectByName，也就是通过这个调用向文件系统发出请求的。 3）Win32 ...

很多驱动程序（包括微软自己的）使用ETW（Event Trace for Windows）来代替Log机制辅助调试，可以将信息以二进制形式输出给系统中的ETW消耗器。这种方法比上面说的两种Log都强大。但是因为它与传统意义的log有所不同，所以《软件调试》没有将其放入Log中讨论，前面回帖时也没有提。 顺便欢迎MJ0011光临本站。

Vista之前的多个版本的Check build都是可以自由下载的，下面的网页中有OSR网站收集的链接： http://www.osronline.com/article.cfm?id=259 但是Vista版本和Vista SP1版本的，都需要从MSDN订阅中下载。很多人有MSDN订阅的。

看了一下手头收集的几个，还真有一个和你要的版本是绝配:-) 属性对话框里的File Version是： 6.0.6001.18000 (longhorn_rtm.080118-1840) 留个邮件地址，或者给我发封EMAIL，我寄给你吧，be professional, it's not re-deployable

很好的主题，愿意一起讨论。不过这是什么群？QQ么？这里的很多人不大用QQ吧。如果愿意，可以到这里来讨论。

很好的问题，这个函数的执行过程还是有些复杂的。尤其是XP开始引入了过滤机制（Vista更加增强），以便能够动态开启输出信息，并能指定过滤条件。 如果过滤条件不满足，那么便直接返回了，这时，消极影响是很小的。 如果满足过滤条件，应该输出信息，那么接下来要做的是调用所谓的调试服务（Debug Service）。也就是触发一个软件异常，INT ...

首先，帮助文档对每个扩展命令都描述了输出这个命令的DLL。比如!sym命令的帮助中有如下表格： Windows NT 4.0 Dbghelp.dll Windows 2000 Dbghelp.dll Windows XP and later Dbghelp.dll 第二，可以通过观察DLL的输出函数，来判断它输出了哪些命令，比如使用depends就可以看到dbghelp.dll中输出了sym函数。 第三，可以使用完全的扩展命令语法，来确认，比如!dbghelp.sym 另外，可以使用.chain命令列出当前加载的所有扩展DLL。

我上传了一张《Windows高级调试》（AWD）的照片。书的纸张质量绝对好，重量不轻，但不算太厚。 http://advdbg.com/photos/swbkclub/picture1160.aspx Channel9上最近有一次对作者访谈，感兴趣的可以看看： http://channel9.msdn.com/posts/Charles/Advanced-Windows-Debugging-An-Introduction/