下载Mark写的Handle工具（http://technet.microsoft.com/en-us/sysinternals/bb896655） 管理员窗口执行handle -a Serial C:\toolbox\viewer\Handle>handle -a Serial Handle v3.46Copyright (C) 1997-2011 Mark RussinovichSysinternals - www.sysinternals.com PGPtray.exe        pid: 5588   type: ...

.cxr

IRP的处理原则是一旦有驱动报告完成此IRP，那么便不再继续向下传递了。具体一个IRP的处理过程首先和这个IRP的种类有关系，当然也与每个驱动的内部代码的动态逻辑相关，要具体对待了 建议用内核调试实际看一下，!drvobj xxx 7 列出驱动的回调函数，然后对感兴趣的设置断点...

一种可能是调试器编译成32位，而目标是64位，或者反之。 尝试用32位的WinDBG附加到64位的记事本进程，会得到同样的错误码： 0:001> !error 0xc00000bbError code: (NTSTATUS) 0xc00000bb (3221225659) - The request is not supported.  

多年前的事了，有点不记得了，找个注册表监视工具，然后插个U盘到系统...这就说来话长了，要慢慢积累经验 不必客气

~* k    

附加到哪个进程？GetLastError()...

记得改一下注册表表键就可以了，防止出现在托盘区的一种常用做法也就是删除注册表中的表键

托盘处的动作是弹出(Eject)，与卸载驱动（Uninstall）有根本不同。选择Eject动作后，通常后启动一个rundll32进程，执行hotplug.dll中的函数... 000007fe`fa8c5f20 hotplug!HotPlugEjectDevice = <no type information>000007fe`fa8c1270 hotplug!_imp_CM_Request_Device_Eject_ExW = <no type information>000007fe`fa8c40ac hotplug!HotPlugWarmEjectVetoedW = <no type information>000007fe`fa8c5f30 ...

多谢揭开谜底，不然没法猜啊 :-)