kd> !analyze -v
ERROR: FindPlugIns 80070015
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high.  This is usually
caused by drivers using improper addresses.
If kernel debugger is available get stack backtrace.
Arguments:
Arg1: 000000000259afca, memory referenced
Arg2: 0000000000000002, IRQL
Arg3: 0000000000000000, value 0 = read operation, 1 = write operation
Arg4: fffff88004cbde7d, address which referenced memory

Debugging Details:
------------------

READ_ADDRESS: GetPointerFromAddress: unable to read from fffff800040cf0e8
000000000259afca

CURRENT_IRQL:  2

FAULTING_IP:
passthru!AnalysisPacket+4cd [f:\work_ndis\sys\analysispacket.c @ 335]
fffff880`04cbde7d 440fb74002      movzx   r8d,word ptr [rax+2]

CUSTOMER_CRASH_COUNT:  1

DEFAULT_BUCKET_ID:  VISTA_DRIVER_FAULT

BUGCHECK_STR:  0xD1

PROCESS_NAME:  svchost.exe

LAST_CONTROL_TRANSFER:  from 0000000000000000 to 0000000000000000

STACK_TEXT:  
00000000`00000000 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x0

STACK_COMMAND:  .bugcheck ; kb

FOLLOWUP_IP:
passthru!AnalysisPacket+4cd [f:\work_ndis\sys\analysispacket.c @ 335]
fffff880`04cbde7d 440fb74002      movzx   r8d,word ptr [rax+2]

FAULTING_SOURCE_CODE:  
   331:                         pBiosBuffer = (void*)VirtualAddress;
   332:                         }
   333:                         }*/
   334:
>  335:                         DbgPrint(" ### SourcePort=%u  DestinationPort=%u" ,pTcpHeader->SourcePort ,pTcpHeader->DestinationPort);
   336:
   338:

32位下访问没有问题，64位下崩溃，有没有搞过NDIS 64 的高手呀，帮忙指定一下，谢了！

zhouws 真厉害～

pTcpHeader = (PTCP_HEADER)((DWORD)pIPHeader + HeaderLength);
貌似是强制转成DWORD后，把高位地址丢掉了。。

谢谢各位回复，

zhouws 说的对！

改成：
  pTcpHeader = (PTCP_HEADER)((char*)pIPHeader + HeaderLength);

可以了！

(DWORD)pIPHeader + HeaderLength, 在x86下，取的地址也是错的. 为什么不崩溃？

先搞清楚基本原理好不……32位下指针长度本来就是DWORD长度，所以以DWORD方式加减当然没问题，64位下，指针是QWORD长度，人家实际是8字节，你非得只处理4字节，为什么不出问题？