Invisible Things Labs has completed development on Qubes after three years of work on the application-isolation-by-virtualisation Linux- and Xen-based operating system and released version 1.0. Joanna Rutkowska, CEO of Invisible Things Lab, said that creating the OS was a ''a great challenge, especially for such a small team as ours, but ...

dump 只是出错点的记录，不是破坏的第一现场。能看出的大致信息是，问题出在 WRK \ntos\ex\pool.c 的 2391 行。2391 :        Block = PrivateRemoveHeadList (ListHead);宏 PrivateRemoveHeadList 会去取、操作 ListHead，而：0: kd> dd 8b5ad9388b5ad938  00000000 e4ff63b0 8b5ad940 8b5ad9408b5ad948  8b5ad948 8b5ad948 8b5ad950 8b5ad9508b5ad958  8b5ad958 8b5ad958 8b5ad960 ...

00 b9b7ea14 b89c7a43 00000001 00000000 54505744 nt!ExAllocatePoolWithTag+0x83f (FPO: [3,12,4])01 b9b7ea5c b89d5bd7 e3855e90 b9b7ea6c 00000000 dwprot+0xaa43未必真的是零。0x83f 已经执行的比较深了，往往是被优化“复用”了栈上的空间。可以看一下 dwprot+0xaa43 call ExAllocatePoolWithTag 之前的代码，确定一下 Arg2。

楼主看来没学过通信原理等，倒是很了解葫芦兄弟呢...

刚才正要回你的蓝屏问题就被叫去吃饭了，回来看到你的 dump，和我想的一样。你的蓝屏是必然的。 qqUnload 置完事件就 Unload 了整个驱动，此时线程 f 还未得到执行。等线程再被调度，地址已不可用： STACK_TEXT: b1f11da4 00000000 b1f11ddc 805c5a28 00000000 [Unloaded_qq.sys]+0x5d9 /*论坛会转义尖括号*/ 注意这个 Unloaded_ PS : Debugman 太水了，楼主可以不用去了~

稍等

而是用int 0x2e和iret那么就不会人为设置previous mode，而是进入KiSystemService通过cs的值得到kernel mode，并通过堆栈返回cs为0x8，那么这一切是不是就不会出错了，而能够正常执行了？ << 是的，这一点很有趣。设置 thread 的 previous mode 在这里（NtCreateFile 成功）不那么重要，重要的是 trap frame 里 +0x06c SegCs，如果是 int 0x2e 则栈上的 CS 域会被压成 0x8，这个 selctor 表明了 kernel mode，进而通过校验。 无论是 Windows 2000 平台还是将： mov eax,25h mov ...

光读代码有时会忽略一些细节。所以我会借助调试去理解（但我往往也因此被 PJF 同学“鄙视”，呵呵，P神同学崇尚大脑即调试器的最高境界，极力阻止我用 Windbg） 就这个问题而言，你显然没有真正去调试吧？ 如果去跟踪，你就会知道，你列出的代码走不到 call ebx： 805417b0 f6456c01 test byte ptr [ebp+6Ch],1 805417b4 0f844efeffff je nt!KiFastCallEntry+0xf8 (80541608) [br=0] << 注意看这里 805417ba b8050000c0 mov eax,0C0000005h 805417bf ...

我觉得调试就是一个很好的方法，比如你的这个问题其实只要一直单步下去就能找到答案。

看你如此认真我就回你一帖。:P (1) 你的这种想法 ( 设计 ) 不值得推荐，虽然大部分情况下执行不会出错。 (2) “书上都说驱动无论是显式还是隐式都不能调用 Ring 3下的 API” —— 如果这个不能的原因是“不推荐这么使用”，我赞同；如果书上是想表达“这种方法不可行”，那显然是错的。 (3) 论实现，CreateFileW 比什么 MessageBox 复杂的多。当然，我指的是内核部分 Lookup 对象管理器，循环解析路径，IopParseDevice 发 IRP 等。 (4) “是系统代码中的哪些关键部分导致了 API 执行失败” —— cmp esi,dword ptr ...