嗯嗯 好办法。我试试。:)

在 IRP_MJ_Set_Information 里读要删除的文件时会发现无法复制该文件. The process cannot access the file because it is being used by another process. 想看看是谁锁住了这个文件。不知道有没有相关的命令。谢谢

谢谢张老师的分析。不知有没有什么修改的建议。由于加了vmp，没办法双机调。所以也就不能对pte所在的地址下断点。 不知道有没有其他的办法。或者说我修改的方式本身有问题？ 地址 400000 我做的修改只是置 copy-on-write 位，然后修改内存。 修改前 PTE 的标志是 read-only Usermode WSLE 中为 400201 修改后 PTE 的标志是 write Usermode accessed dirty 11bit 为1 WSLE中为400209 后来有一发现。即 修改后 将 pte的标志 改为和修改前一样。到目前为止还没出现蓝屏。

我已经发你邮箱了。yinkui.zhang@gmail.com 谢谢 张老师

出问题的进程是 虚拟光驱 软件 daemon tool lite ，关机的时候会出现。我的driver 会修改PE头， 我做的操作是 先改PTE 设 Copy-on-write . 然后写，写完后设为只读. 如果写完后不还原，也会出现相同问题。已经处理了pae 和 pse的情况。并且开了verifier 不开 verifier 也不会有问题。verifier 只验证自己的driver. Special pool: Enabled Force IRQL checking: Enabled Low resources simulation: Disabled Pool tracking: Enabled I/O verification: ...

目前发现出现问题的机器都是开了 PAE的机器。 1: kd> dd nt!MmPfnDatabase 805610c8 81000000 fffffffe 00000006 0000003f 805610d8 0003489f 000672d2 03c54a88 0004b9fb 805610e8 01cd39e4 00000000 01890f74 00394216 805610f8 0013d281 00000000 00000000 000c17b0 80561108 0000c17b 0002180e 00002eef 0000001e 80561118 000000fa 0004c17e 0007d3fe 0007d3fe 80561128 ...

我把相关信息列在这，由于这个程序 加了vmp， 所以没办法双机调。希望高人指点思路。 1: kd> !analyze -v ******************************************************************************* * * * Bugcheck Analysis * * ...