如果上传，需要你自己找个FTP服务器。也可以尝试使用GMAIL，使用密码压缩，对于Kernel Dump可以压缩到10-20MB。我用GMAIL成功接收过20MB左右的DMP文件。在MiniDump目录里，总是还有一个小型的转储。你至少可以把那个小型转储用邮件来发送。我的EMAIL地址是：

根据下面的汇编，MmCleanProcessAddressSpace和MmCleanProcessAddressSpace的第一个参数都是PEPROCESS: 8050f9d9 8b7508          mov     esi,dword ptr [ebp+8] ;MmCleanProcessAddressSpace入口把第一个参数放入ESI8050fb59 56              ...

有两种方法： 方法一：手工使用一次后，保存工作空间（File> Save workspace），或者退出时当WinDBG询问是否保存选择Yes 方法二：执行.setdll命令，然后保存工作空间。 但是以上方法也只是将这个信息保存在当前的工作空间中，对于其它工作空间，也不会自动加载。其实只要在第一次执行时使用扩展命令的完整语法，WinDBG就会自动加载扩展模块，也就是： !.

这样的问题就make much more sense 对于问题1，是希望得到下面这样的信息吧？ Window 00400e7a Name HeapMfc Class #32770 WndProc 00000000 Style WS_SYSMENU WS_DLGFRAME WS_BORDER WS_CLIPSIBLINGS WS_VISIBLE WS_POPUP ExStyle WS_EX_DLGMODALFRAME WS_EX_WINDOWEDGE WS_EX_LEFT WS_EX_LTRREADING WS_EX_RIGHTSCROLLBAR WS_EX_CONTROLPARENT WS_EX_APPWINDOW ...

这个问题是应该是因为WinDBG的工作空间（《软件调试》30.1，P905～908）导致的。 WinDBG总是尝试自动建立和管理工作空间，但是有时也会询问用户要不要保持工作空间。工作空间里包含着要自动加载哪些扩展模块。

HWND就是一个整型，dd就可以显示它的值了。 窗口过程有很多，看你想调试哪个？ 如果是系统默认的窗口类，其窗口函数是USER32!DefWindowProcA 如果是对话框，其窗口函数是USER32!DefDlgProcA 对于MFC程序，MFC的默认窗口过程是MFC42D!CWnd::WindowProc 如果是程序员自己注册的窗口类，那么窗口函数是注册时登记的 如果你只是跟踪MFC程序中对某个消息事件的处理方法，那么就对OnXXX设置断点。 BTW，如果希望得到答案更快速和精确，那么最好把问题描述的详细些，比如你是想解决什么样的问题呢？不会是想考考高网的水平吧？^_^

首先，解释一下楼主关于SYSCALL的疑问。SYSCALL是用来“进入”内核态的，你反汇编的内核中的ZwWaitForSingleObject函数，已经在内核态，所以不会有SYSCALL了。注意P180是反汇编用户态的NTDLL模块中的代码。 删除地址空间的动作是不会发生在要销毁进程中的。简单理解就是“同一把刀削不了它的刀柄”。《软件调试》P269对进程的退出和清理有一个很简单的描述。通常清理地址空间的动作应该是发生在系统进程和服务进程的。 建议使用kv命令观察一下MmDeleteProcessAddressSpace的第一个参数，这个参数应该是企图删除的地址空间所属的进程。所以，可以用!process ...

从上面的输出信息来看，调试器和调试引擎已经顺利交流信息，所以通信设置没有问题。 提示信息讲的很清楚，符号路径没有设置好。

点了一下那个链接，原来是有人把我的文章传播过去了，篇末注明了出处，还是挺厚道的： http://advdbg.org/blogs/advdbg_system/articles/784.aspx 既然显示symbol path invalid，那么不妨就从符号设置着手: 先用.sympath看一下符号路径设置的是什么。 如果路径中包含非法的路径，那么可以用这个命令修正。 或者使用.symfix c:\symbols这样的命令重置一下。 如果还没解决问题，那么麻烦多贴一下屏幕输出过来，或者描述的详细一些。  

王宇把“其所以然”讲的很到位，白话解释一下（不知道是否多余:-)），意思是虽然Process Explorer显示没有父进程，但是这不说明什么，病毒随便改改就可以做到这一点。 我想楼主是想知道父进程是谁？或者说是这个奇怪的IE是谁怎么创建的。 建议试一试使用《软件调试》10.3.4节介绍的“自动启动调试器”方法（P238）。也就是修改注册表，以便下一次启动IE时就启动调试器。然后在调试器里执行!peb命令，观察这个进程命令行参数、父进程等信息。