这个例子是 用户态--》内核--》Call 用户态过程-->CreateFileW-->再次进入内核-->Check and Exit ... 这样看来， 是不是内核API不可重入？

''我看了sxe cpr, 功能很类似,只是它是适用在kernel debugger session. '' 我看帮助文件是这样写的。 Environment Modes User mode, kernel mode Targets Live debugging only Platforms All 应该是kernel和User mode都可以用的吧。

你前面不是问过这个问题了。而且有人给出答案了。

这个问题比较复杂。分解来看， 1. 全局变量初始化的问题，你可以参考 http://user.qzone.qq.com/31731705/blog/1302767807 2. 导入函数的问题，f的值不是编译时确定的，是在link时，最终的值应该是PE在load时，你可以参考 http://user.qzone.qq.com/31731705/blog/1306146001

明白了，虽然不能实时发现问题，但在HEAP_ENTRY结构之后，多了DPH_BLOCK_INFORMATION结构。

开启了HTC，堆管理器会在分配堆块时就会附加8字节的CheckHeapFillPattern，再开启HFC和HPC，就可以保证在下次释放和分配时发现错误。 准页堆工作机理类似，而且只能在下一次释放动作发生时检测，与上面相比，准页堆看不出什么额外的功能，它有什么特殊的作用嘛？

最后一个例子，在驱动中调用了winmain，相当于把整个win32程序放在kernel中去了。

楼上想的好多啊。

以前碰到过类似的蓝屏，正好学习了

一开始的想法是使用数据断点，不管是VS替换_CRT_DEBUGGER_HOOK，还是加载器替换import table中值，理论上都可以中断。 问题是找不到合适的时机，调试器上去的时候，上述动作已经完成了。