常见做手脚地点如: SrvExitWindowsEx -> _ExitWindowsEx -> NtUserSetInformationThread(UserThreadInitiateShutdown) -> xxxSetInformationThread IoShutdownSystem 从 IopNotifyShutdownQueueHead 队列摘出节点后的 IoCallDriver 可以双击调试采用排除法，一个点一个点去掉找到问题原因。

http://advdbg.org/photos/swbkclub/picture3739.aspx 北京会场的举办过了，不知道上海会场的怎么样了，呵呵。

NDIS!NdisFreeMemory: b9e095ce 8bff mov edi,edi b9e095d0 55 push ebp b9e095d1 8bec mov ebp,esp b9e095d3 837d1000 cmp dword ptr [ebp+10h],0 b9e095d7 0f8563150000 jne NDIS!NdisFreeMemory+0x18 (b9e0ab40) b9e095dd 6a00 push 0 b9e095df ff7508 push dword ptr ...

楼主的 ID 让我想起了 Rhett 感慨一下... 请问蓝在哪里？ 再感慨一下...

唯一的资本就是年轻，怕什么都不怕没时间。

已经移植了好几个小玩意到x64平台了，还是挺好玩的，呵呵，现在就等公司把驱动签名买回来了。

对了，上次见你在 Debugman 上说第四题你的搜索更方便，我一直没回，今天正好看见你了，你的 Hook + 参数分析只解决了 nt!MmSystemWsLock 的定位，还有一些细节要处理，例如 nt!MmSystemLockOwner 等。

粗看了一眼确实是好文章，最近正好要移植一个驱动到x64 平台，晚上再仔细阅读一下！

盟主同学流窜来了！鼓掌 纯山寨 Windbg 没太大意思的，怎么也得比滴水强才行呀 呵呵~

这个注册表键值是这里读取的：netcfgx!HrCiSelectComponent()该函数内部有一个 HrLoadNetworkConfigurationFromRegistry()，伪代码片段如下：v4 = HrLoadNetworkConfigurationFromRegistry(0x20019u, &Data);------------------------------------------------------------------------------__stdcall HrLoadNetworkConfigurationFromRegistry(int a1, LPVOID lpData){    int v2;  ...