恩，从栈回溯来看，系统在试图改变USB设备的电源状态（usbhub!UsbhFdoPower_SetPower），向设备发送命令，但是在规定时间内，没有得到回复。

有几种让被调试进程更早中断到调试器的做法，比如启用模块加载事件或者进程创建事件（参考30.9节和图30-14）。 也就是在你当前的调试会话中，选择Debug>Event Filters...，选中Load Module，然后选中Enabled。 而后重新启动被调试程序，当WinDBG询问是否保存工作空间时，选保存。 0:000> .restart /f CommandLine: C:\dig\dbg\author\code\bin\Debug\AcsVio.exe WARNING: Inaccessible path: 'D:\new\SYMBOLS.PRI\retail' Symbol search path is: ...

Stack和Heap这两章也是我自己很满意的两章，把很多重要的概念都挖的很深入，却无盘根错节之感。第25章花的功夫更多，但是异常的具体实现有太多ugly details，而且为了限制篇幅，很多东西无法讲的特别透。这两章花的时间都不少，但写的很顺。

栈的使用是与CPU密切相关的，参数是通过栈有关的寄存器来索引的，栈指针寄存器只能指向一个栈，如果参数不复制，那么栈指针就要指向用户态的栈，于是函数返回地址等也就会被压倒这个栈中，如果栈溢出，那么便会发现意外的转移.......  

特别是对于服务器，默认不应该启用调试，主要是安全方面的考虑。内核调试对稳定性的影响可以说是很小。

Filemon和regmon都曾经开源，在Vista之前使用的是hook内核函数的方法。在Vista中，系统特意留了接口以避免不规范的hook方法。 Procmon中的进程和线程活动事件（除了Regmon、Filemon之外的第三个功能），应该是通过NKL来实现的（至少可以这么做），即《软件调试》16.7节介绍的内容，注意图16-4。

下面的栈回溯显示了Process Explorer（Process Monitor的前身）在直接调用未公开的NtQueryInformationProcess系统服务： 0:005> k ChildEBP RetAddr 02dbe0f8 00426dcb ntdll!NtQueryInformationProcess WARNING: Stack unwind information not available. Following frames may be wrong. 02dbff54 004164b1 procexp+0x26dcb 02dbff80 0043c17e procexp+0x164b1 02dbffb4 7c80b6a3 ...

Thomson, Windows内核提供了一个名为NtQueryInformationProcess的系统服务，通过这个服务可以获取进程的各种信息，包括你说的name、path之类的。这个系统服务的部分功能以API的形式公开了，但是很多没有。 你问哪一个event呢，或者你觉得哪个功能一定要用event呢？

在Windows驱动程序中可以用以下两种方法来写Log： 1）使用IoAllocateErrorLogEntry和IoWriteErrorLogEntry来写基于ELF的日志，在事件管理器中可以观察。 2）使用Vista新引入的CLFS。 如果你有《软件调试》，那么第15.3节（P412）和15.5节（P416-420）分别介绍了这两种方法。

欢迎参加书友活动。像下面这样加入链接就可以了。 <IMG src=''http://advdbg.org/photos/swbkclub/images/842/original.aspx'' width=480 height=360>