如何调试 Windows 中的内核驱动程序崩溃？

Question

我编写了一个内核驱动程序，它挂接到一个进程并隐藏一个文件夹。这个驱动程序运行得很好，直到我连接了外部硬盘。

此时，我的操作系统（Windows XP 或 Server 2003）崩溃并出现蓝屏死机 (BSOD)。

导致此崩溃的原因是什么？如何修改驱动程序来解决该问题？

Answer 1

一般来说有两种方法：

1. 事后调试。当您没有可用的本地计算机来重现崩溃时，通常会执行此操作。在这种情况下，您将检查故障转储文件（完整转储或小型转储）。
2. 现场调试。在这种情况下，如果您知道系统将崩溃，您可以准备一台机器来使用 WinDbg 控制该机器并通过串行或火线电缆连接。后者要快得多。

不过，我同意你透露的细节太少了。你“上钩”吗？嗯，怎么样？ SSDT挂钩？或者您是否使用编写过滤器驱动程序的正确方法？如果有过滤驱动程序，哪个型号？迷你过滤器还是传统过滤器？

我刚刚注意到您的评论，您挂钩“NtOpenProcess 和 NtQueryDirectoryFile”，所以听起来像是 SSDT 挂钩。 您在实施过程中具体做了什么？我知道很多驱动程序都进行了不正确的 SSDT 挂钩。它从用于将钩子安装到位的方法开始，通常不会以大胆的实现结束。

请注意，对于实时调试，WinDbg 提供了一些优秀的功能来在启动时传输和加载最新的驱动程序版本。因此您无需额外准备即可调试最新版本。远程端的内核调试器和您计算机上的 WinDbg 将处理它。

另外，您可能想将您的问题发布到 OSR（即 NTDEV）的列表中。

Answer 2

开发内核驱动程序时，通常您希望使用内核调试器连接（主机是调试器，VM 是被调试器）在虚拟机中测试它们。一些虚拟机环境提供对调试的直接支持。

当然，之后您需要在各种物理和虚拟硬件上进行调试。

Answer 3

您几乎没有发布 BSOD 的技术细节，或者您的代码如何工作，因此不可能提供具体的答案。作为一般起点，我建议您分析小型转储以获取触发 BSOD 错误的一些具体信息。这是一个很好的入门指南。

http://forums.majorgeeks.com/showthread.php?p=1418737