RT， 有办法用windbg script 遍历二叉树？ 要kernel mode 的， .dvalloc 只能在usermode 用。    

解决了。 ChildEBP RetAddr f8ac55f0 80688d7e Pass!DriverEntry [c:\winddk\6000\src\filesys\minifilter\passthrough\passthrough.c @ 632] f8ac5630 8068ac22 nt!IopInitializeBuiltinDriver+0x260 f8ac5694 80687b48 nt!IopInitializeBootDrivers+0x2d2 f8ac583c 80685fdd nt!IoInitSystem+0x712 f8ac5dac 805c6160 nt!Phase1Initialization+0x9b5 f8ac5ddc 80541dd2 ...

如题，谢谢。

以前是可以的。就是装了一些自动更新后就发现不行了。

当用ed时，会说内存访问异常，但是用dd 却可以显示。用!pte 则显示为large page ,而且pte 的内容为0。

自己解了。RundownRef 的问题。 unload 时又增加了新的RundownRef ， 应该是有context 没有释放。

当调用FltUnregisterFilter时函数不会返回。最终发现是进到 fltmgr!FltUnregisterFilter+0xac: f722d54e e8fdf5ffff call fltmgr!FltpObjectRundownWait (f722cb50) 这个里面了。 kd> !fltkd.filter 8262dd30 FLT_FILTER: 8262dd30 ''MyDrv'' ''370030'' FLT_OBJECT: 8262dd30 [02000001] Filter DRAINING RundownRef : 0xf78eeb5d (1) draining ...

我发现如果使用File Mapping 的方式 如果显式调用FlushViewOfFile 则会产生一个 Paging I/O MJ_IRP_Write的IRP包。但是如果不显式调用，直接调 UnmapViewOfFile, 就不会有.我想知道怎么样才能截获这个更新文件的过程， 不知发送的哪种IRP， 请高人指点。

谢谢张老师。我试试看

我遇到一个很奇怪的问题，当用vs2005开发程序的时候,如果在release 情况下，按F5启动调试时，如果设置了断点，并且时console程序时，会发现程序运行结束后，无法自动退出。点右上角的关闭也没用。 这时任务管理器中已经看不到这个进程了。用windbg attach 也看不到这个进程。但是用local kernel 可以看到： lkd> !PROCESS 88bfe020 PROCESS 88bfe020 SessionId: 0 Cid: 05e4 Peb: 7ffdf000 ParentCid: 0f68 DirBase: 0ac40560 ObjectTable: 00000000 HandleCount: 0. ...