首先，楼主是什么平台？我看了从 2000 到 Vista 平台，CcGetLsnForFileObject 函数的实现大致都是相同的。都是获取 BCB 链的自旋锁，分析脏页，释放锁。出错的指令是 F2 66 AF repne scas word ptr es:[edi]。这句是较为经典的字符串长度计算优化代码，一般用法如下：xor     eax, eaxrepne   scas byte ptr es:[edi]作用就是在 es:[edi] 字符串里查找 AL (AL此时为0)，即寻找字符串的结束符，以计算长度。这个功能和 CcGetLsnForFileObject 函数的实现基本无关 ...

tiamo

嗯 死机用主动蓝屏抓个Dump看看

PAGE_FAULT_IN_NONPAGED_AREA 信息不够多 1. 看看 f896d004 是什么模块？ 2. 看看 804e09a6 能访问吗？ 3. IRQL 是多少？ 或者发 dump 文件

奶粉.. 那是因为 w32k.sys 是 GDI 相关的，而 System 进程没有自己的用户态空间。类似的还有 Idel 进程。不信你切换过去试试~今天我郁闷啊我... NND

-___- 别叫我老师... 补充一下：SysEnter 就是一条指令（它和 MOV 等指令没有本质区别，跟踪它的实现估计只有 Intel 有工具），它会去调用 MSR 176 寄存器里面的 Handler 执行，即内核入口nt!KiFastCallEntry。 我知道你为什么会出现这种情况了： kd> dd w32pServiceTable bf997600 ???????? ???????? ???????? ???????? bf997610 ???????? ???????? ???????? ???????? bf997620 ???????? ???????? ???????? ???????? bf997630 ???????? ???????? ???????? ...

1:kd> rdmsr 176msr[176] = 00000000`80541510kd> ln 00000000`80541510(80541510)   nt!KiFastCallEntry   |  (8054161e)   nt!KiServiceExitExact matches:    nt!KiFastCallEntry = <no type information>kd> u nt!KiFastCallEntrynt!KiFastCallEntry:80541510 ...

0x360... 嘿嘿嘿 受你的影响我现在也觉得 SoftICE 好用了

类似的开源驱动很多的(sgdt sidt 等)，楼主其实可以今天先写一个再对照一下，呵呵。 PS 吴岩峰前辈的 SDbgMsg.sys : .text:00010A02 push offset dword_1247C   ; Old_KiDebugService_Address .text:00010A07 push offset sub_10F96     ; ProxyKiDebugService .text:00010A0C push 2Dh .text:00010A0E call sub_10572 .text:00010A13 push offset dword_12478   ; ...

还真复杂...我昨晚从 0x0E 开始简单地跟了一下 从 ENTER_TRAP、VERIFY_BASE_TRAP_FRAME（MODIFY_BASE_TRAP_FRAME）建立、校验 trap frame 开始，到 call  _MmAccessFault@16 再到 MiDispatchFault 里的4种区分 —— MiResolveProtoPteFault、MiResolveTransitionFault、MiResolveDemandZeroFault 以及 MiResolvePageFileFault（这就是所谓的 Page resides in paging file）。Build 完 MDL 和其他数据结构之后就要开始 IoPageRead ...