这设计 让 SysEnter 等情何以堪呐...

可以。请参见 NT Insider 1996 年的文章：《Understanding and Using Execution Context in Windows NT Drivers》 http://advdbg.org/dfstore//img/Understanding%20and%20Using%20Execution%20Context%20in%20Windows%20NT%20Drivers.pdf 文章中的示例代码： (VOID)(*UserFunctToCall)((UserArg)); 这一句 Call 了一个环三地址。如果你真的打算在产品里这么做，需要慎之又慎。

基本概念。请先参看 NT Insider 1997 年的文章《Writing Kernel Mode DLLs》或《DLLs in Kernel Mode》。

很正常的想法啊，这不能算“想的好多”.. luobing 如想找答案请看 mm\mminit.c 看看 ( 跟踪 ) 函数 MiFindInitializationCode() 关于 DiscardSection = TRUE; 的处理，以及最终的 MiFreeInitializationCode() 等。

嗯！^_^ INIT:00010780 SourceString: ; DATA XREF: CreateDevice(_DRIVER_OBJECT *) INIT:00010780 unicode 0, ''\Device\MyDDKDevice'',0 INIT:000107A8 unicode 0, ''\??\HelloDDK'',0 INIT:000107C2 align 8 IDA 看一下你的 SYS 就能发现，串在 INIT 节中，所以 Break on Access 无效。

第一个问题论坛讨论过： http://advdbg.org/forums/2897/ShowPost.aspx 第二个问题要结合设备栈来分析。从内核执行层 / 对象管理器解析路径、IopParseDevice 发 IRP 到文件系统驱动，IRP 生命周期还需流经 ( 类似于 ) 卷快照(volsnap.sys)、卷管理器(ftdisk.sys)、分区管理器(partmgr.sys)、磁盘类驱动(disk.sys)、磁盘端口驱动(以IDE系统为例是 atapi.sys)、小端口驱动(以Adaptec 1540 SCSI 为例是 Ahal54x.sys) 等。 另外，描述不准 —— DISPATCH_LEVEL 不能进行文件I/O —— DISPATCH_LEVEL ...

常见问题。 看调用栈猜测是 processguard.sys 卸载时，没有取消 CreateThreadNotifyRoutine。 所以 nt!PspCreateThread+0x3e3 打算 call 一个地址的时候 bsod 了。对应代码如下： for (i = 0; i * PSP_MAX_CREATE_THREAD_NOTIFY; i++) { CallBack = ExReferenceCallBackBlock (&PspCreateThreadNotifyRoutine<img src=''/emoticons/emotion-55.gif'' alt=''Idea [I]'' />); ...

您的问题和多核 / PAE等导致的内核文件差异没有本质联系，还是应该尝试让 Windbg 下载到正确的符号。 :)

TDL3? 没用过卡巴的专杀，但看样子是它检测出 TDL 感染了 redbook。 TDL 写的挺好的，我想把它逆成代码。只是最近比较忙只写了点 SCSIOP 和感染部分的，唉。

Time Room 4月12日 14:00 展板论道站1 挺想去感受一下 IDF，可惜要上班 唉...