自从手语第一个支持书友活动以来，目前大约有20位朋友参加了书友活动。每个参加者的照片都很精彩，分享的故事或者心得也各有特色，无论长短，读后都有所得。 根据出版社方面的反馈，目前《软件调试》大约售出了4000册。这样看来，目前大约只有200分之一的读者参加了书友活动，大多数都没有参加。Some people sometimes need a push. 所以再呼吁一下吧，欢迎更多的朋友参加书友活动！  

刚刚上传了我以前写的一篇《CPU同步机制漫谈》，里面介绍了一些入门级的东西。 http://advdbg.org/download/storeshow.aspx?id=7808a3ed-2940-4356-9256-9f4e4d9d2c98

从供需的比例来看，感觉目前更缺少Windows驱动和底层的开发者。从通过调试来学习的角度来看，Linux的内核调试支持需要重新编译内核而且功能不够稳定和强大；Windows的内核调试支持很好用。

这个方向非常好。Jeffrey Richter的那本《Windows核心编程》从API角度讲的很不错了。但是内核态的还很需要挖掘。其实可以使用Jeffrey的方法，也就是写代码来试验、观察和验证，外加调试追踪。

你一毕业就有志于学习底层，值得鼓励!我建议你主要学习Windows，对于某些专题，可以参考和比较Linux的做法。分享一下我的经验，我主要是使用内核调试方法来学习系统内核和底层知识的。今天的操作系统内核已经与莱昂氏分析UNIX时的情况有很大不同，代码的总量非常大，完全静态分析（看代码或者文档）会很慢、也很难坚持下来。选择感兴趣的专题，进行跟踪和动态分析，常常可以事半功倍。观点可能偏颇，仅供参考，特别是Linux方面的高手，请不要怪罪:-)

王宇对第一个问题回答的很深入了，简单说，DriverEntry是在系统上下文中执行的，不论是PnP过程发起的，还是服务管理器（SCM）发起的，它们不过都是向系统线程的工作队列中插入一个任务。 第二个问题问的非常好。很遗憾，我在写《软件调试》时没有讨论到这么深。其实，只要看一下CPU的“代码”，就有答案了。与其它指令在末尾检查TF位然后产生#DB异常不同，INT nn指令在末尾会清除TF位，而且不会产生#DB。这样这条指令本身就不会产生#DB，开始执行对应的异常处理例程时TF位已经没有了，所以也不会产生#DB。

准确说是IRQL高时触发了非法访问，访问了地址2，小于4KB的线性地址都是无效的。

WinDBG是根据命令行中的exdi:clsid=来得到CLSID的呀。你是问写命令行时怎么知道这个CLSID，是么？通常ITP软件会提供这一信息，比如在英特尔的ITP软件安装好之后，ITPeXdi目录里就放了一个CMD文件，里面下好了命令行。

小卷， 多谢你对《软件调试》的厚爱。峨嵋山是我很久以前就期待去的地方，但一直还没有去。第3张照片就是著名的峨嵋金顶吧？真是美轮美奂！ 你分享的两点经验也非常好，我尤其觉得“认真”二字重要。坦率地说，我不是个聪明的人，能写成《软件调试》主要是靠毅力和一种认真负责的精神。《大学》里讲，“欲修其身者，先正其心；欲正其心者，先诚其意；欲诚其意者，先致其知。致知在格物。” 我将其精简为“正心诚意，格物致知”作为自己的座右铭，认真应该是诚意的一种表现吧。这一句的前半句就是著名的“治国齐家”，即“古之欲‘明明德’于天下者，先治其国；欲治其国者，先齐其家；欲齐其家者，先修其身”。 再次感谢你参与书友活动，并希望我们能成为好朋友。 ZYK

KeAttachProcess是个比较危险的操作，估计是这个操作导致了问题。建议你仔细跟踪你的代码或者写LOG，了解调用这个函数前后的情况。 下面链接中的介绍或许对你有帮助： http://www.windowsitlibrary.com/Content/356/04/7.html