这是关于Windows内核驱动程序和内存管理的。我真的很好奇是否有一个函数(或者任何不方便的方法)来获取(或迭代)特定池标签的所有内存分配？这些是使用ExAllocatePoolWithTag(type,size,tag)...有使用特定池标签的内核函数，现在我需要找到使用该标签进行的所有分配？我比较确定这是不可能的(出于安全原因)，但仍需要对此进行确认。干杯，将更新:(关于下面的WinDbg评论)kd>!poolfindObFlScanninglargepoolallocationtableforTag:ObFl(fffffa8002290000:fffffa8002350000)S

宿主:VisualStudio2012、Windows8宿主、WDK8目标:VirtualBox-Windows7当我尝试在VisualStudio中添加目标计算机(驱动程序->测试->配置计算机)时(如http://msdn.microsoft.com/en-us/library/windows/hardware/hh439359%28v=vs.85%29.aspx):我选择“配置计算机并选择调试器设置”我选择使用串行连接但结果总是“找不到VM名称的主机条目”如果我尝试通过网络连接，VS会给出相同的响应(我知道不支持通过网络从Win8主机到Win7目标的内核调试)。我看不到连接有问题

我最近开始尝试为Windows开发文件系统驱动程序，并开始研究VisualStudio2013中提供的内核调试器。内核开发器是一款了不起的软件——它能够调试实时内核(断点、堆栈跟踪、内存访问和所有内容)通过RS232连接连接的远程机器。我不明白的一件事是——如何通过RS232端口进行这种调试？我对内核的理解是，它是直接针对硬件组件的软件，是系统中最底层的软件之一。某些东西怎么能在内核“之上”运行，从而允许远程调试内核本身？内核如何可以纯粹在软件中进行调试？不干扰响应机器本身调试请求的软件(可能在内核下运行)？ 最佳答案 内核调试器既

我需要从注册表(最好)或文件中读取设置。该驱动程序是一个内核驱动程序，设置为启动类型设置为SYSTEM，因此所有服务和WinAPI不一定都可用。我正在尝试使用RtlQueryRegistryValues函数以便从注册表中读取单个String值，但无论我做什么，我似乎都得到相同的0xC0000034转换为STATUS_OBJECT_NAME_NOT_FOUND的错误代码.根据MSDN上提供的文档STATUS_OBJECT_NAME_NOT_FOUND从RtlQueryRegistryValues返回当路径参数与有效键不匹配时，或者设置了特定标志并且不满足特定于该标志的条件时。据我所知，注

我目前正在上大学操作系统类(class)，我们正在为我们的项目研究Windows内核，更准确地说是WRK，即Windows研究内核。WRK基于win2k3服务器。然而，我真的很难挖掘资源来帮助学习操作系统开发、Windows内核开发的基础知识以及一般地绕过WindowsAPI。我们正在使用Russinovich的MicrosoftInternals一书，但我想知道你们中是否有任何人可以向我推荐一些很棒的资源，无论是书籍、在线指南还是一些旧的类笔记。谢谢! 最佳答案 您具体在寻找什么？在线资源？为此，OSROnline是更好的网站之一

我一直在研究Windows内部结构，最近才了解系统调用，我想知道是否可以像函数一样使用这些系统调用？我知道它们并不是真的要从外部访问。例如:NtUserEmptyClipboard是Win32k.sys中的一个系统调用，它的地址是0x117f如果我想像函数一样使用这个调用，我该怎么做呢？ 最佳答案 你想做什么在很大程度上取决于你感兴趣的架构，但要知道的是，ntdll.dll是每个系统调用的用户模式蹦床-即唯一的一个在一天结束时实际进行系统调用的是ntdll。因此，让我们通过打开任何旧的exe(我选择记事本)在WinDbg中反汇编这些

我之前也问过同样的问题，但是我的帖子不知为何被删除了。无论如何，我正在尝试使用C++并编写一个允许我直接访问内存并向其中写入内容的程序。我听说我需要对内核做一些事情，因为它是连接操作系统和应用程序的“桥梁”(我认为)。无论如何，我可以为内核下载一些sdk吗？我在我之前的帖子(一段时间后被删除)中说过，这样做的原因是因为我想按照我大学教授的要求尝试让Windows7崩溃。(所以请不要问我诸如“你为什么要让windows崩溃？”之类的问题……)任何帮助将不胜感激。 最佳答案 如果您对使用内核感兴趣，您可能正在寻找Windows驱动程序工

我怎样才能在内核模式下有一个计时器，以便在WindowsXP及更高版本上大约每秒调用我的驱动程序中的指定函数？我应该能够使用函数中的所有函数(特别是ZwQuerySystemInformation)。我不需要高分辨率计时器或毫秒精度或类似的东西，我只需要一种方法来安排一个函数在内核模式下每秒运行一次，并且它必须在所有32位系统windowsxp和更高版本上工作。 最佳答案 通过KeInitializeTimer创建内核定时器.使用KeSetTimerEx设置定时器并使用1s的周期。在您的驱动程序中创建一个线程。在线程中，调用KeWa

由于我的主要语言是C++，并且因其强大的硬件功能而广受赞誉，因此我决定进一步学习计算机体系结构。在浏览某些东西时，我偶然发现了设备驱动程序。因此，自然而然地，我决定查找它。据我了解，设备驱动程序是处理特定硬件组件的计算机程序。我也知道内核是一个计算机程序，可以充当软件到硬件的桥梁。由于某种原因，我的头脑无法区分两者。在Windows平台上，有人可以向我解释差异并解释他们所扮演的不同角色。提前致谢。 最佳答案 这些术语的定义不是很好。但这是关于这个话题的一些杂谈...请注意，当您安装Windows(或Linux，MacOS或其他操作系

有时，我会遇到Windows在启动时等待内核调试器被附加的情况。您会看到“Windows正在启动”文本，但尚未看到Logo。如果我现在附加调试器，就会播放Windows7的Logo动画。随后Logo开始闪烁。在此阶段，引导过程不再进行。CPU使用率降至最低。我通常会等待几分钟，但什么也没有发生。这不会一直发生。但是，如果发生这种情况，VM重置将无济于事。我需要使用启动修复来解决这个问题。不幸的是，这需要永远。除了运行启动修复，我还能做什么？提前致谢! 最佳答案 要解决您遇到的问题，您只需在启动过程中按F10。并删除/debug和相关