我有一个驱动可以直接避开BSoD，将WindowsVista的屏幕变成黑色，并带有一些彩色的点和条纹。之后我在系统上发现了一个内存转储，DbgView向我展示了一个堆栈跟踪(说明这可能是一个乱码堆栈，某些部分可能不正确)。遗憾的是，在堆栈中找到的命令在明显破坏整个事情的代码部分无处可寻。(我可以离开我们的整个例程，但不能离开它的一部分。)有人知道一种方法可以将调试消息放入内存转储或从串行端口中取出，以便在外部调试器中读取它们吗？(如果连接了调试器，我的测试系统就会停止，但这可能是我对远程连接内核调试的方式和原因了解不够。)我想知道我的代码失败的地方，因为浏览代码对我来说似乎很好但有点徒

我正在尝试阅读notepad.exe的PEB目前我正在尝试通过注册一个ProcessCreation回调然后等待notepad.exe创建来访问PEB。创建记事本后，我使用它的PID打开进程并使用ZwQuerryProcess(PROCESS_BASIC_INFORMATION)找到PEB。但是当我尝试阅读INFORMATION->PEB以外的内容时，会引发异常(我认为这是因为我无法访问内存)当我第一次发现这个时，我记得有人提到了KeStackAttachProcess，它对应于访问另一个进程上下文中的地址。问题是我不知道如何检查上下文更改是否成功。一旦我应该在另一个上下文中，我仍然无

在内核编程中字符串有两种格式ANSI_STRING与UNICODE_STRING，这两种格式是微软推出的安全版本的字符串结构体，也是微软推荐使用的格式，通常情况下ANSI_STRING代表的类型是char*也就是ANSI多字节模式的字符串，而UNICODE_STRING则代表的是wchar*也就是UNCODE类型的字符，如下文章将介绍这两种字符格式在内核中是如何转换的。在内核开发模式下初始化字符串也需要调用专用的初始化函数，如下分别初始化ANSI和UNCODE字符串，我们来看看代码是如何实现的。#include#includeVOIDUnDriver(PDRIVER_OBJECTdriver)

在内核编程中字符串有两种格式ANSI_STRING与UNICODE_STRING，这两种格式是微软推出的安全版本的字符串结构体，也是微软推荐使用的格式，通常情况下ANSI_STRING代表的类型是char*也就是ANSI多字节模式的字符串，而UNICODE_STRING则代表的是wchar*也就是UNCODE类型的字符，如下文章将介绍这两种字符格式在内核中是如何转换的。在内核开发模式下初始化字符串也需要调用专用的初始化函数，如下分别初始化ANSI和UNCODE字符串，我们来看看代码是如何实现的。#include#includeVOIDUnDriver(PDRIVER_OBJECTdriver)