驱动开发：卸载Windows驱动

Question

我正在破解虚拟 HID 驱动程序，由于某种原因，我无法在设备管理器中禁用和卸载该驱动程序。

devcon.exe remove 也会引发错误。在控制面板的游戏控制器对话框中删除设备告诉我转到设备管理器来删除设备。

知道什么可能导致这种情况发生吗？什么可能导致 Windows 认为无法删除驱动程序？

---

小更新。

将计算机置于待机状态允许我删除该设备。

删除部分 HID 报告描述符（例如多点触控报告、鼠标报告和键盘报告，我都没有使用过）也解决了该问题。

但是，我想了解到底出了什么问题。是什么锁定了驱动程序使其无法卸载？

Answer 1

任何可能正在使用该驱动程序的进程都可能将其保持打开状态。查看此信息的一种方法是使用 Sysinternals 的 Process Explorer 并使用“Find “Handles”菜单下的“命令搜索与驱动程序相关的任何 DLL 的名称。

因此，对于许多驱动程序来说，关闭相关进程很容易，但对于与文件系统相关的进程来说可能更具挑战性。例如，即使您关闭虚拟设备上的所有映射或安装，任何 Windows 资源管理器进程（包括登录 shell）也可能已加载驱动程序。同样，PROCEXP 对于解决其中的一些问题很有帮助......

Answer 2

它是一个内核模式驱动程序，因此您不能“仅仅”禁用它。为了成功卸载驱动程序，I/O 管理器必须在没有其他句柄等待处理或关闭时发送清理请求。

如果是 PnP 驱动程序，PnP 管理器必须向 I/O 管理器发送 IRP_MJ_SHUTDOWN 请求，以便 I/O 管理器可以启动卸载回调例程。

强制禁用它的一种方法是，您可以调试机器的内核。通过这样做，您可以看到哪些进程正在向该驱动程序发送请求，然后手动卸载该驱动程序（尽管这可能会产生严重影响，因为所有使驱动程序保持打开状态的打开句柄必须由 I/O 管理器关闭）