⚡ 站長快讀:核心重點
- 文章屬性:Windows 底層除錯 / 驅動程式驗證
- 適用系統:Windows 11 24H2(build 26100.x 及以上)、Windows 11 23H2、Windows 10 22H2,WinDbg Preview 1.2402 以上版本
- 難易度 / 耗時:⭐⭐⭐ / 約 20 分鐘設定 + 數小時至數天觀察
- 核心結論:Driver Verifier(verifier.exe)是微軟內建的驅動程式「刑求工具」,對可疑驅動施加壓力測試並主動觸發 BSOD 指出兇手;正確用法是只勾選第三方驅動、選 Standard Settings、配合小記憶體傾印分析,絕對不可啟用後放著不管超過七天。
- 適用對象:Windows 隨機當機查不到兇手、更新顯卡/音效/VPN 驅動後系統不穩、ODM / IT 除錯工程師、DIY 玩家
- 更新日期:2026-04-14
📌 快速答案
一句話答案:Driver Verifier 是 Windows 內建的 verifier.exe 工具,會對指定的驅動程式施加 Special Pool、IRQL 檢查、DMA 驗證等壓力測試,逼出存在記憶體違規或 race condition 的驅動並觸發 BSOD 指名兇手,使用前必須先建立還原點,只勾選第三方驅動,並準備好 Safe Mode 救援流程。
🔍 為什麼你需要這個?
隨機當機是 Windows 疑難排除裡最難處理的一類。你重灌過、跑過 memtest、換過電源、溫度也正常,但系統就是偶爾會藍底白字一下,而且每次的 Stop Code 都不太一樣——有時候 IRQL_NOT_LESS_OR_EQUAL、有時候 SYSTEM_SERVICE_EXCEPTION、有時候 PAGE_FAULT_IN_NONPAGED_AREA。你拿 dump 去 WinDbg 跑 !analyze -v,結果 FAILURE_BUCKET_ID 指向的永遠是 ntoskrnl.exe 或 nt!KeBugCheckEx——那不是兇手,那是 Windows 在最後一刻被逼到按下緊急停止鈕的那隻手。
真正的兇手往往是某個第三方驅動在背景偷偷寫壞了核心記憶體,但因為 Windows 核心的 pool allocator 會把相鄰的配置塞在一起,這個壞字節要隔幾分鐘、幾小時、甚至幾天才會被其他元件讀到才觸發當機。等爆炸的時候,犯案驅動早就收手走人,stack 上完全看不到它的影子。
這就是 Driver Verifier 存在的理由。它不等犯人自己現形,而是對每一個你指定的驅動「貼身監控」:記憶體寫越界就立刻 BSOD、IRQL 用錯就立刻 BSOD、DMA buffer 沒對齊就立刻 BSOD。等於把一樁跨月謀殺案壓縮成現行犯被當場抓到,WinDbg 的 !analyze -v 就會直接在 MODULE_NAME 欄位寫出那個作亂的 .sys 檔名。
站長我在 ODM 的 WHQL 驗證流程裡,Driver Verifier 是每一批客戶驅動進入實驗室的第一關。外部玩家遇到查不到兇手的隨機當機,也該學會這一招——這是微軟免費給的逼供工具,不用自己寫。
🛠️ 實戰步驟
⚠️ 站長警告:本操作會主動觸發系統 BSOD,且可能導致電腦進入無法開機的迴圈。 動手前請務必完成:
- 建立系統還原點(Windows 搜尋「建立還原點」)或完整系統映像備份
- 備份重要資料至外接硬碟或雲端
- 筆電請確保電源充足並接上變壓器,禁止在低電量下執行
- 確認你知道如何進入 Windows 修復環境(WinRE)與 Safe Mode——這是唯一的逃生路線
- 絕對不要在正在跑重要工作的生產機上啟用,請找備機或離線環境執行
步驟一:開啟 Driver Verifier Manager
按下 Win + R 開啟執行視窗,輸入 verifier 後按 Enter。系統會跳出 UAC 提示要求系統管理員權限——Driver Verifier 要改動核心層的驗證旗標,沒有系統管理員權限連開都開不起來。
開啟後你會看到五個選項:
- 建立標準設定(Create standard settings)
- 建立自訂設定(Create custom settings for code developers)
- 刪除現存設定(Delete existing settings)
- 顯示現存設定(Display existing settings)
- 顯示目前被驗證驅動程式的資訊(Display information about the currently verified drivers)
第一次用,選「建立標準設定」。這會一次啟用微軟官方認定的一組必備檢查項目,涵蓋了 90% 以上的驅動違規情境。
步驟二:選擇要監控的驅動程式(這是最關鍵的一步)
下一頁問你要驗證哪些驅動。選項有四個,站長我只推薦其中一個:
| 選項 | 用途 | 站長建議 |
|---|---|---|
| 自動選取未簽署的驅動 | 抓未簽署驅動 | 現代 Windows 幾乎沒有未簽署驅動,跳過 |
| 自動選取為較舊版本 Windows 設計的驅動 | 抓舊驅動 | 跳過,誤判率高 |
| 自動選取此電腦上安裝的所有驅動 | 全選 | 絕對不要選,會讓系統慢到懷疑人生 |
| 從清單中選取驅動程式名稱 | 手動選 | 站長唯一推薦的選項 |
為什麼不能全選?因為 Driver Verifier 的 Special Pool 與 IRQL 檢查會對每一個被驗證的驅動產生顯著的效能負擔。站長我在一台 i7-13700H 的筆電上實測過全選的狀況——開機時間從 15 秒拉到 2 分鐘,日常操作延遲翻三倍,更慘的是連微軟自己的 ntoskrnl.exe、win32k.sys 都會被丟進驗證清單裡,隨便一個邊界情境就 BSOD,根本無從判斷兇手。
選「從清單中選取驅動程式名稱」後,系統會列出所有已載入的驅動。只勾選第三方驅動——也就是 Provider 欄位不是 Microsoft Corporation 的那些。最常見的嫌疑犯包括顯示卡驅動(nvlddmkm.sys / amdkmdag.sys / igdkmd64.sys)、音效驅動(realtek / nahimic / waves)、VPN / 防毒的 filter driver、以及 RGB 燈效控制軟體的 kernel driver。
💡 為什麼要這樣做? Driver Verifier 的設計哲學是「已知 Windows 本身的驅動都通過嚴格的內部測試,你要找的犯人幾乎必然在第三方層」。把微軟自家的
.sys全丟進去,不但慢,還會把真正的問題訊號埋在一堆無關的雜訊裡。實驗室的老手會只勾 2–5 個最可疑的驅動,這才是專業作法。
步驟三:按完成、重新開機、進入壓力觀察期
按下「完成」,系統會提示你必須重新開機才能生效。重開機後,你的電腦看起來完全一樣,但核心裡已經在對你勾選的那些驅動做貼身監控。
接下來就是日常使用——開你平常會開的軟體、玩你平常會玩的遊戲、做你平常會做的事。Driver Verifier 的哲學是「在你原本的使用情境下誘發問題」,所以刻意去跑壓力測試反而常常抓不到真兇。如果原本的當機情境是瀏覽器開多分頁,那就繼續開多分頁;如果是遊戲中才爆,那就繼續玩那款遊戲。
預期行為有兩種:
- 幾分鐘內就 BSOD——恭喜,兇手現形了。通常 Stop Code 會是
DRIVER_VERIFIER_DETECTED_VIOLATION (0xC4)、DRIVER_CORRUPTED_EXPOOL (0xC5)、DRIVER_VERIFIER_IOMANAGER_VIOLATION (0xC9)其中之一,代表 Driver Verifier 的某一道檢查被觸發。進入步驟四。 - 跑了 24–72 小時都沒事——代表你勾的那批驅動都是清白的,或是真兇在你沒勾的清單裡。回到步驟二換一批嫌疑犯重試。
千萬不要啟用超過 7 天就放著不管。 Driver Verifier 會持續對核心記憶體做 Special Pool 配置,長時間執行可能導致 nonpaged pool 異常增長,最後搞出一個跟原本無關的新問題。
步驟四:用 WinDbg 解 dump 揪出兇手
BSOD 後,系統會在 C:\Windows\Minidump\ 寫入一個 .dmp 檔。開啟 WinDbg Preview(可從 Microsoft Store 免費下載),File → Open Dump File 選那個 dmp,等符號檔載入完畢後輸入:
powershell
!analyze -vDriver Verifier 觸發的 BSOD 在 !analyze -v 輸出裡會有非常明顯的特徵,通常長這樣:
DRIVER_VERIFIER_DETECTED_VIOLATION (c4)
A device driver attempting to corrupt the system has been caught.
This is because the driver was specified in the registry as
"verify" (see !verifier).
MODULE_NAME: ThirdPartyDriver
IMAGE_NAME: ThirdPartyDriver.sys
FAILURE_BUCKET_ID: 0xC4_a0_ThirdPartyDriver_IMAGE_ThirdPartyDriver.sysMODULE_NAME 就是犯人。接著輸入:
powershell
!verifier可以看到 Driver Verifier 目前的設定與抓到的詳細違規類型——例如 pool leak、IRQL violation、use after free。這就是你要回報給驅動廠商或 IT 廠商的決定性證據。
步驟五:關閉 Driver Verifier(很重要,很多人忘記)
找到兇手後一定要立刻關閉 Driver Verifier,不然系統會一直帶著驗證負擔跑下去。開啟系統管理員權限的 CMD 或 PowerShell,輸入:
powershell
verifier /reset重新開機,Driver Verifier 就完全停用。也可以再次開啟 verifier 圖形介面選「刪除現存設定」,效果相同。
🔬 底層機制:Driver Verifier 到底在系統哪一層動手?
Driver Verifier 不是一個獨立的 .exe 常駐程式,它是內建在 Windows 核心(ntoskrnl.exe)裡的一組驗證邏輯,透過登錄檔旗標 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\VerifyDrivers 啟用。verifier.exe 只是設定這個旗標的 GUI 前端,真正的工作發生在核心。
Standard Settings 啟用後,核心對被驗證的驅動會做的事情至少包括:
- Special Pool:這是最有殺傷力的一招。正常情況下,驅動透過
ExAllocatePool配置到的記憶體在 nonpaged pool 裡緊密相鄰;Special Pool 改成每一筆配置都給它獨立的 page,前後用 guard page 包夾,釋放後立刻解除映射。寫越界一個 byte 就立刻 page fault——不用等幾小時、幾天後才被別人讀到。 - Force IRQL Checking:主動把 paged memory 踢出 working set,讓驅動在高 IRQL(DISPATCH_LEVEL 以上)存取到不該存取的分頁記憶體時立刻觸發
IRQL_NOT_LESS_OR_EQUAL。 - Pool Tracking:記錄每一筆配置的 caller,驅動卸載時若還有未釋放的 pool 就直接 BSOD 指名洩漏者。
- I/O Verification:檢查 IRP(I/O Request Packet)的 completion routine 是否正確處理、IRP stack 是否越界。
- DMA Verification:抓 DMA buffer 對齊、長度、map register 用法的違規。
- Deadlock Detection:用圖論偵測 spin lock 與 resource 的鎖序,提前發現 lock ordering 問題。
換句話說,當你啟用 Driver Verifier 時,核心並不是多載入了什麼東西,而是把平常為了效能而關閉的「嚴苛模式」對指定驅動打開。這也是為什麼微軟強調「Driver Verifier 不應該在正常生產環境長期開啟」——這組嚴苛模式會吃掉大約 15–40% 的核心路徑效能,視啟用的旗標組合而定。
如果你對每一個旗標的完整定義感興趣,可以直接查 Microsoft Learn 的 Driver Verifier 官方文件,那裡有每一個 flag 的 bit 值與觸發的 bug check code 對照表。
🆘 如果 Driver Verifier 導致電腦無法開機(必讀)
這是 Driver Verifier 最容易嚇到人的地方:你啟用後重開機,結果還沒進入桌面就先 BSOD,然後一直 reboot loop。不要慌,有兩條乾淨的救援路徑。
路徑一:Safe Mode 關閉 Driver Verifier
Driver Verifier 在 Safe Mode 下預設不會啟動(因為大部分被驗證的第三方驅動在 Safe Mode 都不會載入)。連續強制關機三次強迫 Windows 進入自動修復環境(WinRE),選「疑難排解 → 進階選項 → 啟動設定 → 重新啟動 → 按 4 進入安全模式」。進去後開系統管理員 CMD 執行 verifier /reset,再重開機就解脫。
路徑二:WinRE 命令提示字元直接改登錄檔
如果 Safe Mode 也進不去(少見,通常是你勾了微軟自己的顯示驅動才會這樣),在 WinRE 選「命令提示字元」,執行:
powershell
reg delete "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v VerifyDrivers /f
reg delete "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v VerifyDriverLevel /f這會把 Driver Verifier 的啟用旗標整個清掉。重新開機即可正常進入 Windows。
這就是為什麼站長在警告區一再強調:動手前務必確認你知道怎麼進 WinRE 與 Safe Mode。
💡 總結:站長實戰心法與踩坑筆記
站長我在 ODM 實驗室跑 WHQL 驗證的這幾年,Driver Verifier 抓過的奇葩案例數不清。印象最深的一次是 2025 年中拿到某家網通大廠的 Wi-Fi 6E 晶片參考驅動,在 Windows 11 24H2 build 26100.2314 上實測時系統會在連續使用 45 分鐘後隨機 BSOD,stack 上永遠是 ntoskrnl.exe,看不出兇手。
啟用 Driver Verifier 只勾那顆 Wi-Fi 驅動,五分鐘內就 BSOD,!analyze -v 直接寫出 DRIVER_VERIFIER_IOMANAGER_VIOLATION,!verifier 的輸出指向該驅動在 completion routine 裡對一個已經釋放的 IRP 做了 IoCompleteRequest——典型的 use-after-free。回報給原廠後他們承認是某段在 45 分鐘 power management 回呼裡才會走到的 race condition,修正後一次過關。
這種案子沒有 Driver Verifier 你可能要花兩週才找到兇手,用對工具只要一個下午。
給一般讀者的實戰心法五條:
- 先做減法再做加法——先用「從清單中選取」+ 只勾最近安裝或更新過的第三方驅動,不要一開始就勾一堆。
- 絕對不要全選——除非你想把電腦變磚。
- 啟用後的觀察期上限 7 天,時間到就
verifier /reset重來或換下一批嫌疑犯。 - 小記憶體傾印一定要開——在「控制台 → 系統 → 進階系統設定 → 啟動及修復」裡把「寫入偵錯資訊」設為「小記憶體傾印」,不然 BSOD 後沒 dump 可讀。
- 把 Safe Mode 進入方式記在手機備忘錄——這是你唯一的保險繩。
Driver Verifier 是微軟給普通用戶的核武級除錯工具,但用錯了會傷到自己。站長的原則是:能用 Event Viewer 找到的問題就不用 Driver Verifier,能用 Reliability Monitor 找到的問題就不用 WinDbg。當這些輕量級工具都無解,Driver Verifier 才上場。
❓ 常見問題
Q:我啟用 Driver Verifier 後電腦變超慢,但都沒 BSOD,這是正常的嗎?
是正常的。Special Pool 會讓每一筆驅動記憶體配置從「共用 page」變成「獨佔 page」,pool 用量會爆增,pool allocator 的演算法也變慢。如果勾 5 個驅動就能明顯變慢,全勾更不用說。跑個 24 小時沒 BSOD 就先 verifier /reset 恢復,然後換下一批嫌疑犯再試。
Q:我可以在 Safe Mode 執行 Driver Verifier 嗎?
不行,或者說「技術上可以但沒意義」。Safe Mode 只載入最基本的核心驅動,大部分第三方驅動根本不會被載入,壓力測試的對象都不在場,跑了等於白跑。Safe Mode 是 Driver Verifier 害你開不了機時的救援環境,不是執行環境。
Q:!analyze -v 還是指向 ntoskrnl.exe,Driver Verifier 也沒抓到任何違規,這到底是什麼問題?
三種可能。第一種:真兇是硬體問題(記憶體、CPU、電源、PCIe 訊號),不是驅動層,這時候該跑 memtest86 與檢查 Event Viewer 的 WHEA-Logger。第二種:真兇在你沒勾到的驅動裡,回去步驟二把勾選範圍改寬一點。第三種:問題是由 Windows 核心自己的 bug 引發,這在 24H2 初期 build 是有案例的,試試 Windows Update 裝最新累積更新。
Q:我是遊戲玩家,可以啟用 Driver Verifier 來抓遊戲的 anti-cheat 驅動嗎?
技術上可以,但站長不建議。一堆現代遊戲的 anti-cheat(例如 Vanguard、Easy Anti-Cheat、BattlEye)會主動偵測 Driver Verifier 啟用狀態,有的會拒絕啟動遊戲,有的會直接把你的帳號標記為可疑。要抓遊戲相關驅動的問題,更建議先用 Event Viewer 配合 Reliability Monitor 找線索。
📎 參考資料來源
- 📖 Microsoft Learn — Driver Verifier 官方文件(查詢日期:2026-04-14)
- 📖 Microsoft Learn — Use Driver Verifier to identify issues (Windows Server)(查詢日期:2026-04-14)
- 📖 Microsoft Learn — Bug Check 0xC4: DRIVER_VERIFIER_DETECTED_VIOLATION(查詢日期:2026-04-14)
- 📖 Microsoft Learn — Debugging Tools for Windows (WinDbg)(查詢日期:2026-04-14)