我上次只跟踪到 setupapi!SetupDiSetDeviceInstallParams、setupapi!SetupDiBuildDriverInfoList 等就没往后跟了，我当时是从 netcfgx!CImplINetCfg::SelectWithFilterAndInstall 开始的。解决问题的一个捷径是开个 Procmon，看安装流程 ( 直到出现黄色惊叹号 ) 的栈回溯信息等。

LZ 自己写个呗，几句话的事情。 例如我这里 http://advdbg.org/blogs/advdbg_system/articles/1217.aspx 想再准确一点的话可以挂钩堆分配相关函数，以定位某些内存块。

多谢张老师！确认了一下 Kernel Debug 确实会影响 IRQL ^_^

page ,132 subttl ''Get current irql'' ;++ ; ; KIRQL ; KeGetCurrentIrql (VOID) ; ; Routine Description: ; ; This routine returns to current IRQL. ; ; Arguments: ; ; None. ; ; Return Value: ; ; The current IRQL. ; ;-- cPublicProc _KeGetCurrentIrql ,0 cPublicFpo 0, 0 movzx eax, byte ptr ...

张老师辛苦！

支持！

学习！

BOOLEAN ExAcquireResourceSharedLite( IN PERESOURCE Resource, IN BOOLEAN Wait ); ExAcquireResourceSharedLite 应该不是 FastCall 所以两个参数在栈上分别是： pResource : 6e664d46 Wait : 00000001 蓝屏时 cmp word ptr [esi+0Ch], bx 的 esi=6e664d46，所以资源的指针有问题。

仿照 Process Explorer 实现一份也不复杂的。枚举、搜索句柄表再 ObQueryNameString() 找名字就 OK。如图：我的:

张老师过奖了... 您列出的那些议题都不是一朝一夕就能有''心得''的，我至多算是个''半桶水''，先听听大家都有什么建议！