INF卸载驱动时提示“文件正在使用”如何解决？

一、问题背景与现象解析

在Windows操作系统中，使用INF文件卸载驱动程序时，系统提示“文件正在使用，无法删除”是典型的资源占用冲突。该错误通常出现在以下场景：

• 显卡驱动更新失败后尝试手动卸载
• 虚拟网卡或VPN驱动残留导致无法重装
• 第三方安全软件锁定驱动文件句柄
• 设备管理器中已禁用设备但仍无法删除驱动

根本原因在于：Windows内核或用户态进程仍持有对目标.sys、.dll或.inf文件的打开句柄，导致I/O操作被阻塞。

二、诊断流程：定位文件占用源

要解决此问题，首先需明确是哪个进程锁定了文件。以下是标准排查步骤：

1. 使用Sysinternals Handle工具扫描占用进程
2. 执行命令：handle.exe "C:\Windows\System32\drivers\yourdriver.sys"
3. 记录返回的PID（进程ID）和访问模式（如File Read/Write）
4. 结合Task Manager或Process Explorer确认进程属性
5. 检查是否为关键系统服务（如Plug and Play、Remote Procedure Call）
6. 判断是否由第三方驱动管理工具（如Driver Booster）引发
7. 查看事件日志（Event Viewer → System Log）中是否有相关错误代码

三、解决方案矩阵对比

四、实战案例：强制解除句柄并卸载INF驱动

以NVIDIA显卡驱动文件nvlddmkm.sys被占用为例：

# 步骤1：查找占用进程
handle.exe nvlddmkm.sys

# 输出示例：
System            pid: 4      type: File           828: \Device\HarddiskVolume2\Windows\System32\drivers\nvlddmkm.sys

# 步骤2：分析PID 4（即System进程），说明已被内核映射
# 使用PsExec提升至SYSTEM权限进行操作
psexec -s -i cmd.exe

# 步骤3：尝试通过PNPUtil移除驱动包
pnputil /delete-driver oemXX.inf /uninstall

# 若失败，则进入设备栈清理阶段
regedit → HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvlddmkm
修改Start值为4（DISABLED），然后重启服务宿主

五、高级技术路径：利用WMI与CIM会话动态解绑

现代Windows系统支持通过PowerShell CIM接口直接干预设备状态：

六、自动化流程图：非重启式驱动卸载逻辑

七、底层机制剖析：Windows驱动加载模型与句柄生命周期

Windows采用分层驱动架构，驱动文件映射至内存后由IO Manager维护引用计数。即使设备停用，若存在以下情况仍会导致句柄不释放：

• 上层过滤驱动未调用IoDetachDevice
• WMI提供者未注销通知回调
• 电源管理子系统保持唤醒参考（Wake Reference）
• ETW（Event Tracing for Windows）会话仍在监听

可通过PoolMon监控NonPagedPool对象泄漏，辅助判断内核资源滞留。