这个建议非常好，其实我也一直希望加这个功能，争取尽快加

这是因为这两个进程有父子关系，在这种情况下，调试器进程实际上是作为崩溃进程的子进程启动的，而且在启动时指定了继承父进程的句柄。也就是在调用CreateProcess时把bInheritHandles参数（第五个参数）设置为TRUE，参见《软件调试》P325页的伪代码清单第232行。

很抱歉，这个周末就会传上去，本来想增加一些功能，但是一直没有找到时间，周末会把目前的版本传上来。

前两天刚讨论你遇到的错误呀： http://advdbg.org/forums/1203/ShowPost.aspx

!drvobj ntfs Driver object (8ac8b9f8) is for: \FileSystem\Ntfs Driver Extension List: (id , addr) Device Object list: 8a977770 8ac87770 8acafb50 dt _DEVICE_OBJECT 8a977770 nt!_DEVICE_OBJECT +0x000 Type : 3 +0x002 Size : 0x860 +0x004 ReferenceCount : 0 +0x008 DriverObject : 0x8ac8b9f8 ...

 vincent wrote:在一开始的时候就把程序所有的硬盘空间当虚拟地址的页面文件了，不知道这时候算不算在平时说的page files，可是张老师上面却说了，不是！ 这种情况使用的是文件映射，不是专用的页交换文件（.e.g. c:\pagefile.sys）。也正是因为这个原因，像Windows这样的操作系统是不可以完全关闭页机制（Paging）的，即使是禁止了专用的页交换文件（在计算机属性>性能>高级>虚拟内存对话框中可以设置）以后。 前面Thomson说的很对，每个进程有一个VAD树，它是把虚拟内存和磁盘上的映射文件关联起来的关键纽带。  

大学毕业，憧憬着美好的未来，希望这个世界如设想的那般完美，一切东西都应该给我准备好呀，我要工作了...... “什么东西都没准备好，我怎么做事情呀?” 我真的遇到过这样的RCG，连对他/她使用help这个词，他/她都不能接受：“为什么说帮助我吗，大家都是做工作么？”——多么有道理呀 楼主不要过于介意，随感而已。^_^ 对于你关于进程的问题，CPU是故意这样设计的，不是“INTER记录的信息太少”。CPU要支持各种操作系统，晶体管也不适合实现这样的逻辑。因此，这是故意留给软件做的事，软件可以在进程切换时，动态开关记录机制，来记录合适的进程。 《软件调试》和CpuWhere的目标也都不是产品级的工具，只是演示基本原理而已，抱歉了。 至于你把《软件调试》看作是对“windo ...

对你说的话很感兴趣，你能介绍一下你么，比如做什么开发？工作多久了？可以不包含真实姓名

这个问题的全部细节不为微软以外的人所知，也会因PDB版本的不同而有所不同。简单理解，根据属性不同，符号被分为30多个类（《软件调试》表25-9 P776），每一类符号放在一个“数据表”中，就好像数据库一样。而每个数据表是以数据流的方式存储的。每个数据流的长度是可以动态调整的，因为PDB的头部有根数据流——流目录，可以动态为数据流增加数据页。

数据流是存储层次的概念，PDB使用了复合文件的思想，可以把每个数据流看作是复合文件这个小文件系统中的一个“文件”。 符号表是顶层的概念，借用了数据库的思想。