如题，哪位知道哈

先写内核态吧，保持您一贯的高端风格，坚持您的品味 用户态的东西好像市面上也不是太缺

如果高效率工作八个小时就不错了，积累需要过程 经常高负荷加班啊，我觉得有几个原因 1 公司资源配置项目估算不合理，或者公司有意为之 2 程序员能力不够 3程序员为了高收入高回报，包括加班费和自身提高。 公司制定的计划和策略制定，都是保证公司的利益忽略个人的，即使给你3倍的加班费，威逼利诱程序员加班，完全是把我们当成人力资源用的。 生命有限，器官的使用也有上限，像哺乳动物的心跳据说大概是8亿次，蜂鸟心跳500次以上，大概只能活几年。 所以想大量时间投入工作又大量时间用于生活，而且保证休息8小时，基本是不可能的， 剩下问题就简单了，就是根据自己所处的环境和自身的情况：选择和放弃 1维持现在的状态，放弃部分生活时间 2 ...

to skyworth 多谢，有帮助 to MJ0011 恩 360 也有用

to 王宇 >>我一会查下源码。 请问您的源代码 是什么版本的啊 windows Server 2003？ 要是不违反相关规定或授权或者你自己收藏的， 能传到论坛上一份 那真是造福人民的好事啊

感谢各位关注，今天用张老师说的《软件调试》上的方法，重启以后 进程里都没有发现那个病毒进程和windbg；我手动运行正常的ie时，windbg启动了，正常的。 另外发现有得dll 删除不掉，我怎么调试知道哪些进程在引用它呢？ （好几个病毒 都带个beep.sys,把系统的给替换掉， 这个sys后门 很流行，？）

感谢楼上回复， poc？啥东西 啊？ 您贴的hardcode是开发小proc 相关字段相对应EProcess的偏移吧？ 令外 \ntos\ps\create.c 是ddk里面的东东吧？

最近有客户机器上发现病毒，所以拿来分析下， 在虚拟机上发现病毒执行后进程项会多出一个IEXPLORE.EXE，无界面，用ProcessExplorer，观察该进程明显没有父进程，（就是在进程树的根部，其他两个是根 syste idle 和 explorer） 其他ie都是explorer启动的， 请问我怎么能确定 这个IEXPLORE.EXE父进程，或启动方式， ，怎么用windbg调试下呢?

How much of human life is lost in waiting .It 's coming, eventually 好啊

随便吃顿 肯德基 都要几十块 ， 《软件调试》这本书的 价值 要远远大于 几个炸鸡腿，还是很划算的！ 写这么厚的书不容易， 有心人早就直奔主题看书去了。