我windbg在注册表里面的workspace给删了,重启windbg,那个base的workspace就没有了,打开一个workspace文件,也不能save成base, 我想用base是因为这样,每次启动windbg就可以打开theme,而不用每次去open workspace了.

我是server03的系统,内核是WRK的, 用x能解析到nt!kiexecutedpc

谢谢楼上两位了, 不过我先在System里找start routine是nt!kiexecuteDpc的线程,没有找到,后来在virtual machine里面在nt!kiexecuteDpc上设置 breakpoint,然后启动virtual machine,也没有break到外面的windbg, 我觉得比较奇怪,如果是从这个方法对调用DPC routine的话,应该经常会break才对啊?

在设备的ISR里面可以扣队一个DPC,让中断时间不至于太长,当IRQL降到DPC level就可以执行.那么IRQL降低应该只是set KPCR里面的一个变量,是什么机制保证了这个IRQL降低了后,DPC就被执行到呢?

谢谢, 嗯,DriverEntry确实是在System process的context下执行的,而scm启动driver service和其它service是不一样的,它应该是直接通过了系统调用nt!NtLoadDriver,而不是去新启动进程,然后和其通信,nt!NtLoadDriver里面会判断本身在不在System process的context下,如果不在的话,就queue一个workiterm到系统线程,然后等待加载完成事件,等到再做返回...

1. 以前的NT驱动可以以service的方式启动,比如使用''net start *'',那这个相应的驱动程序的driverentry是运行在哪个context里面的呢? 是Services.exe吗? 关于启动driver的service协议是谁来实现的? 驱动本身肯定是没有实现的. 2.在用户态下,即使是single step int指令,也是跟不进去,这在硬件上是怎么做到的呢?(是不是int执行完不检查是不是处理single step模式?)

在validate后一直使用用户栈上的参数的话,有什么问题吗?

process monitor是合并了filemon和regmon的功能吧,启动它后可以capture到很多的系统event,比如下面的是一个,这个程序如果连续运行的话非常占内存,虽然有filter可以去掉很多event,但是我怀疑是不是所有的event都cache,所以占内存. 我想知道一下程序怎么实现在,看了一下import的方法里面,好像没有ETW的相关的方法. 97377 6:55:10.8373073 PM LoadLibrary.exe 5300 Load Image D:\Project\LoadLibrary\Debug\LibraryDll.dll SUCCESS Image Base: 0x10000000, Image Size: ...

Process monitor可以拿到不少event,这些event是怎么得到的呢? 是每个这样的event都有process monitor列出来的那些信息栏吗?比如Process Name,Operation,Path,Result,etc.

嗯,是的. .NET的PDB里面源文件是有CRC check sum这一项的,应该就是用这项来判断源文件在编译后有没有修改过的吧.