To Shamexln, 通过以下页面可以下载： http://advdbg.org/blogs/advdbg_system/articles/1815.aspx

从这个提示来看，是因为缺少符号。印象里有人问过符号有关的问题，查了一下，就是楼主^_^（http://advdbg.org/forums/1461/ShowPost.aspx）。那么这次也许是比单纯设置一下符号路径更复杂的问题，但是光靠上面给出的这些信息，也只能推测这么远了。 在内核模块（NT）和NTDLL.dll模块中都有_TEB这个结构的符号： lkd> dt _TEB nt!_TEB +0x000 NtTib : _NT_TIB +0x01c EnvironmentPointer : Ptr32 Void +0x020 ClientId : _CLIENT_ID +0x028 ...

是这个名叫luafv的模块的问题，在它的ScavengerTimerRoutine函数的入口附近（机器码表示的距离是0x13f）调用一个函数指针时这个函数指针为空。 luafv!ScavengerTimerRoutine+0x13f

有PDF，就是前面的那个链接指向的网页就有。目前的版本已经更新到了Core i7，这比打印版本的要新。 打印版本的好处是读起来方便些，适合精读。

或许可以这样推算。线性地址的最高10位是页目录表项的索引（PDE的索引），即 lkd> .formats 0x00400000 Evaluate expression: Hex: 00400000 Decimal: 4194304 Octal: 00020000000 Binary: 00000000 01000000 00000000 00000000 Chars: .@.. Time: Wed Feb 18 16:05:04 1970 Float: low 5.87747e-039 high 0 Double: ...

对于问题2，也许是巧合吧。 对于问题3，.process显示的是调试器眼里的当前进程，因为内核空间是所有进程共享的，所以当前进程是哪个都无所谓。也就是说，即使当前进程是WinDBG，也不影响观察页表、页目录这些位于内核空间的数据。

首先，我很佩服这种深究的精神。你提到的，应该是IA-32手册第一卷中下面的6.4节中的解释吧，即： • An interrupt is an asynchronous event that is typically triggered by an I/Odevice.• An exception is a synchronous event that is generated when the processordetects one or more predefined conditions while executing an instruction. TheIA-32 architecture specifies three classes of ...

《<软件调试>补编》基本好了，书友活动的评比结果也确定了，明晚会公布出来，并且把“阳光普照奖”——《<软件调试>补编》——通过电子邮件发给大家。发送时默认会使用高网用户资料中的邮件帐号，如果希望寄到其它帐号，那么请将其它帐号发给老雷或者回贴。 让大家久等了，抱歉！:-)

这个不太正常，打开的是哪些PDB文件？XP还是Vista？

多谢你的建议，请管理员新加了一个版面，叫《软件调试》勘误与意见。 问题1的确是错误，已经在勘误列表中，http://advdbg.org/books/swdbg/errata.aspx，编号3. 问题2，因为第二个WinDBG是内核调试会话，所以第一个WinDBG不需要detach。不知道你说看不准是什么意思？ 问题3，因为是在内核调试会话中，不需要attach到System进程，WinDBG中，attach命令是用来开始用户态调试会话的，也就是附加到一个应用程序进程，系统进程没有用户态部分，所以根本不能做用户态调试。我们要观察的是内核态的数据（页表、页目录等），因为内核空间是唯一的，所以当前在任何进程上下文都可以。