谢谢！ DIRQL的具体值有参考吗？ 似乎这只是一个设备中断的统称，该把这个值作为多少呢？ DDK的头文件中也没有该值的定义。

总是偶然出现的蓝屏，能力有限，无法判断该如何处理，来求教各位前辈高手！   CurIRQL = KeGetCurrentIrql();Crach Dump的指示似乎总是这一句的问题，但是这句如何导致空地址访问的呢？ 而且IROL又是一个CLOCK2_LEVEL的代码。 IRQL_NOT_LESS_OR_EQUAL (a)An attempt was made to access a pageable (or completely invalid) address at aninterrupt request level (IRQL) that is too high.  This is usuallycaused by drivers using ...

谢谢两位的热心指导，目前写驱动的经验不足，经过这次调试，对于解读Dump Crash文件有了不少的收获，而且连续解决了3个隐藏的问题，十分的感谢！

经过一段时间的测试，在Log的写入代码中添加对IRQL的判断之后确实没有因为Log的问题再出现蓝屏。 看来如果需要全面的Log，仍需要采用Raymond的方法写日志或者ETW。

写了一个遍历内核EPROCESS 链表取得PEB并读取进程路径的驱动 使用了KeAttachProcess这样的切换进程函数，偶然的情况下驱动会蓝屏，出现 IRQL_NOT_LESS_OR_EQUAL (a)CURRENT_IRQL:  1c 这个IRQL的中断看资料是时间硬件中断，不解，代码是如何进入这个中断级别的，该如何防止。暂时在KeAttachProcess与KeDetachProcess代码之间增加了对当前IRQL的判断以避免，但是这个蓝屏出现几率不是很高，也不知道这样是否能解决问题。 请教高手也来参详一下，多谢了！ 以下附上详细的Crach Dump: IRQL_NOT_LESS_OR_EQUAL (a)An attempt was made to ...

谢谢Raymond的提示！ 《软件调试》确实博大精深,目前还没有读到日志这个部分。 刚刚大致浏览了关键的几页，感觉我更需要的可能是ETW的部分，因为我的目的在于调试输出，和服务器程序的日志的事件记录不同。 不知道我的理解是否正确，再次感谢Raymond！ to Coding: 你说的情况有可能，不过如果能够确定是IROL级别影响的话，可以在WriteLog的部分增加对当前IRQL的判断来局部处理Log的代码，我还没有试过，回头也试下看。

最近调试驱动程序，以前写服务程序经常写一些Log的，在驱动中为了实现Log，着实让我头大了一回，不知道各位有什么经验可以分享。 设计了几个LogFile的操作函数，普通的驱动代码使用上没有什么问题，但是当驱动中使用了KeAttachProcess这样的进程上下文切换之后驱动会经常的兰屏，调试了几天才发现Log的影响，目前只能在使用KeAttachProcess前禁止Log，调用KeDetachProcess之后再次打开Log。 Log的写操作代码如下: #define MAX_STRBUF_LENGTH 1024BOOLEAN _cdecl WriteLine(HANDLE hLogFile, LPSTR lpszLine, ...

呵呵，电子书也有电子书的好处，学习过程通常用印刷的书，但是复查资料还是电子书好，最少可以搜索曾经有印象的关键词，来查找有用的部分。 印刷的书就算读过，有时也经常想不起那个有用的部分在哪个位置。 《软件调试》中我前几天看到过的一个WinDBG命令可以直接列出当前系统EPROCESS链表的例子，现在就想不起在哪里看到的，要是有电子书，直接搜索就是了，可是印刷书，因为看的时候经常会随机翻阅，已经没印象是哪一段了。

都是年轻有为，让我这老男人汗颜了...

另外在下帖中有些疑问，有时间的朋友可否指教一二。 本人对于汇编和CPU了解相对较少，有感于汇编没有花时间好好融会贯通，最近正打算恶补一下。 http://advdbg.org/forums/855/ShowPost.aspx