Es gäbe zwei Möglichkeiten, im Allgemeinen sein:
- post-mortem-Debugging. Dies ist normalerweise der Fall, wenn Sie keine lokale Maschine zur Verfügung haben, um den Absturz zu reproduzieren. In diesem Fall untersuchen Sie die crashdump-Datei (Voll- oder Mini-Dump).
- Live-Debugging. Wenn Sie in diesem Fall wissen, dass das System abstürzen wird, bereiten Sie eine Maschine vor, um diese Maschine mit WinDbg zu steuern und über ein serielles oder FireWire-Kabel zu verbinden. Letzteres ist viel schneller.
Allerdings stimme ich zu, dass Sie zu wenig Details geben. Sie "Haken"? Nun wie? SSDT-Haken? Oder verwenden Sie die richtige Schreibweise eines Filtertreibers? Wenn ein Filtertreiber, welches Modell? Mini-Filter oder Legacy-Filter?
Ich bemerkte gerade Ihren Kommentar, dass Sie "NtOpenProcess und NtQueryDirectoryFile" haken, so dass es wie SSDT-Hooking klingt. Was genau tun Sie in Ihrer Implementierung? Ich kenne viele Treiber, die unsachgemäße SSDT-Hooks machen. Es beginnt mit der Methode, die verwendet wird, um den Hook an Ort und Stelle zu bringen, und endet normalerweise nicht mit einer gewagten Implementierung.
Bitte beachten Sie, dass WinDbg für das Live-Debugging einige nützliche Funktionen bietet, um Ihre neueste Treiberversion beim Booten zu übertragen und zu laden. So können Sie Ihre neueste Version ohne zusätzliche Vorbereitung debuggen. Der Kernel-Debugger auf dem Remote-Ende und WinDbg auf Ihrem Computer werden sich darum kümmern.
Auch möchten Sie vielleicht Ihre Frage zu den Listen bei OSR (nämlich NTDEV).
Es ist fast wie wenn man sagt: "Doktor, mir geht es heute nicht gut, können Sie mir helfen?" – Mehrdad
Doktor, mein Arm tut weh, wenn ich das tue. Dann tu das nicht. – leppie
Ich muss externe Festplatte an das System anschließen –