手语，你的意见值得商榷^_^ 如果都是静态链接CRT的，那么它们会各自有自己的CRT 堆实例，例如： 0:000> dd FaultDll!_crtheap l1 10039838 003c0000 0:000> dd FaultApp!_crtheap l1 0042e938 003d0000 在23章的原稿中，有一节专门讨论一个因为使用不同实例而出错的案例，压缩篇幅时删掉了（:-(），过几天会作为“书友活动”的奖品把电子版本发给大家。

管脚信号主要是给硬件工具使用的。这几个管脚信号报告的是断点（DB）事件还是性能监视（PM）事件是由DbgCtrl寄存器（图5-5）的PBi位来控制的。

LiveKD是会好，因为它是基于DUMP快照的。

你是说173页吧？本地内核调试在观察用户态时具有一定局限性。原因是难以做页表切换这样的动作。建议用双机内核调试。我会在下一版本中，更新清单8-3中的lkd。

不知道你的目的是什么？如果你是想开发一个工具来监视函数（API）调用，那么已经有这样的工具，WinDBG工具包中的logger.exe就是干这个的。参见WinDBG帮助文件中关于Logger的说明。

这样就可以使用下面两种方法中的任一种来引用LowPart和HighPart： LARGE_INTEGER li li.u.LowPart 或者 li.LowPart 标准C不支持未命名的结构，所以习惯C语法的人会喜欢前一种用法；C++支持未命名结构，所以C++ FANS会觉得第一种方法累赘。上面的定义满足了两种人的编程习惯:-)

可以使用gflags.exe在命令行执行呀， 参见《软件调试》P663页表23-6上方。 对于你描述的情况，可能是你执行!gflag命令时，你后来观察的堆已经创建了。

INT3异常发生后，DbgkpSendApiMessage会调用DbgkpSuspendPorcess来挂起当前进程的其它线程，参见《软件调试》9.3.2，P201.

可以的： http://msdn.microsoft.com/en-us/library/k9a8ehy3%28VS.80%29.aspx http://msdn.microsoft.com/en-us/library/k9a8ehy3(VS.80).aspx

GUID会相同，Age值会不同，参见《软件调试》25.2.2节的清单25-1（P744），或者可以使用SymView工具来观察。