1.我想在开机系统启动CSRSS程序时就将它断下来。要怎么做。试了在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\csrss.exe中设置了Debugger为E:\Debuggers\ntsd.exe -d -G -o -pd。但是没有断下来也没有启动ntsd.
2.在第48页与49页中说搜索名为“TermSrvReadyEvent”,老师是用什么工具搜索的,我试了一个Process Explorer可以但输出结果略有不同。
3.看了老师写的34章很有感触,于是想到了内核的内存池结构_POOL_HEADER等。在内核程序中经常会遇到一个内存溢出的问题,很多时候可能是别的模块写溢出了,但发生蓝屏的位置已经不是出错误的位置了。如何能有效的追踪到发生内存操作溢出的源呢?我想了想,可以按照内存池结构向上回溯,找到离它最近两个内存块。根据其TAG可找到些许线索。其范围还是太大。有没有更好的方法来缩小范围。有时调用着在申请内存时并不设置TAG我的方法就失灵了。
期待老师再出新作。
您忠实的读者