Windows内核开发笔记
目录
什么是句柄
如何使用process explorer查找驱动
DebugView不输出KdPrint日志
什么是句柄
Windows内核系统显露了多种类型的对象供用户模式进程、内核本身以及内核模式驱动程序使用。这些类型的实例是位于系统空间的数据结构,由对象管理器维护。由于这些对象位于系统空间,不能被用户模式直接访问,用户模式必须使用一种间接的访问机制,这种机制被称为句柄。句柄是指向一个表格的入口索引,该表格在进程的基础上维护,逻辑上指向驻留在系统空间的一个内核对象。
如何使用process explorer查找驱动
选System进程,选择后点“view → Lower Pane View → Dlls (Ctrl+D)”,在下方有系统所有驱动,有4列:Name、Description、Company Name、Path
DebugView不输出KdPrint日志
- 右键以管理员模式启动
- 注册表未启用内核调试输出(需要位3置位的任意值),修改后重启操作系统生效
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Debug Print Filter添加或修改 DWORD 值 DEFAULT = 0xFFFFFFFF (十六进制)
- 打开 DebugView 后,确保勾选了:Capture → Capture Kernel