求windbg调试心得

用windbg调试的时候，在某些IRP回调中设置中断，比如IRP_MJ_CREATE，但是系统也会发很多IRP_MJ_CREATE中断，调试的时候一般怎么去区别自己的操作和系统发出的IRP呢？顺便：坛子里有windbg的心得总结吗？

只说一下我的调试心得，较简单的就是，修改代码，用个条件判断语句， if(是我关心的文件) {dosomething; }  这时候在 dosomething　这里下断.
第二种，如果不是你自己的代码，比如要跟踪操作系统的代码，那么就要借助windbg的调试脚本，一般是根据esp得到参数，然后获取参数中指定的值，最后做判断。给你几个搜索关键字, poi, as,  或者搜　条件断点也可以。