约有 306 项符合查询结果, 以下是第 27 - 31项。
费时 < 1 秒。
现在的 Legacy Device Driver 一样可以用 net start * 启动。
一般来说 DriverEntry 的调用序列如下:
_KiThreadStartup() + 0x16 [\base\ntos\ke\i386\threadbg.asm]
call eax ; SystemRoutine(StartRoutine, StartContext)
PspSystemThreadStartup() + 0x34 [\ntos\ps\create.c]
(StartRoutine)(StartContext)
ExpWorkerThread() + 0x100 ...
Posted in Windows内核调试
by
王宇
on 2008-08-26
表象倒是不难,又是一寻址问题..
楼主改的KiQuantumEnd()做调度实验?
楼主把什么参数传给DbgPrint了?要小心呀,这时的IRQL非常高的。
Posted in Windows内核调试
by
王宇
on 2008-08-26
如果你是今天做的测试,那么文件名肯定不会是081208,而且你也不应该在Minidump文件夹下找Complete Memory dump呀,“控制面板下设置转储方式为完全内存转储”的下面就是文件名和路径的设置,所以你应该找类似于“%SystemRoot%\MEMORY.DMP”的文件。
Mini Dump的大小在32位系统下是64KB,64位系统下是128KB,所以这正常。
Posted in Windows内核调试
by
王宇
on 2008-08-18
0xa 号蓝的参数 4 是 Address which referenced memory ,这里即 804f9913。
804f9913 的代码为:
804f9913 8b10 mov edx,dword ptr [eax]
应该是取了某指针里的值
而 READ_ADDRESS: 00000000,显然必挂机。
建议楼主检查相关指针。
Posted in Windows内核调试
by
王宇
on 2008-08-18
嗯! ^_^
其实思考一下 Intel 设计 TSS SS0/ESP0 ~ SS2/ESP2 的原因也就能明白了。
Posted in Windows内核调试
by
王宇
on 2008-08-18
也真“难为”微软了,一直试图把内核程序员们往正道上引... ;)
Posted in Windows内核调试
by
王宇
on 2008-08-13
第30章的内容,准确的说是P989页。
其实仔细看看 Debugger Documentation.chm 你也能找到相关的说明的:
Here is an example of dt in kernel mode. The following command produces results similar to !process 0 0:
kd> dt nt!_EPROCESS -l ActiveProcessLinks.Flink -y Ima -yoi Uni 814856f0
ActiveProcessLinks.Flink at ...
Posted in 《软件调试》的示例程序
by
王宇
on 2008-08-01
WOW...
forgot 是 No.8 Man 等的那位吗?
Posted in 《软件调试》的示例程序
by
王宇
on 2008-07-31
.....
“站在后排的是杨小勤”
Posted in 《软件调试》书友
by
王宇
on 2008-07-30
我觉得比较有趣的蓝屏触发代码是:
__asm lock nop
或者 lock sti 等等。
关于它的原理十分值得讨论,这牵涉到同步、地址交换操作、多核安全等诸多问题,说白了就是 Intel 手册第七章。
另 WinOBJ 蓝什么原因?传个 dump 我看看?
Posted in 老专家如何破解新问题
by
王宇
on 2008-07-30