WinDbg -杀死洪KMDF司机？

Question

我的驱动程序在目标pc上坠毁，错误如下：

Access violation - code c0000005 (!!! second chance !!!)
aebae9d9 8911            mov     dword ptr [ecx],edx

因为我在内核模式下调试，所以我的目标现在被冻结了。如果我在主机上重新启动WinDbg，那么最终目标还是会被冻结。

如何在目标机器中强制(从WinDbg)杀死挂起的驱动程序。我知道.crash的事，但是不用重启电脑就好了，zzz.

Answer 1

您可以使用.reboot强制从windbg重新启动--这是内核调试器“杀死”挂起驱动程序的唯一方法。

驱动程序被加载到内核地址空间，并在系统的上下文中运行。它们不是一个单独的“进程”，在崩溃时不能独立于内核关闭。

Answer 2

“杀”司机是不可能的。取决于您使用的驱动程序类型，如果没有使用命令fltmc从运行中的机器卸载FILTER_NAME，则可以卸载它(即微型文件驱动程序)。据我所知，没有办法通过风车做这件事。听起来您的驱动程序已经“崩溃”了，这意味着内核现在处于糟糕的状态，可能会导致数据损坏。这是不可恢复的，这就是为什么内核驱动程序应该非常小心地处理它所做的一切。基本上，如果你在内核中，你犯了一个错误，你唯一真正的选择就是BSOD这个盒子。