对于问题1： 一种解决方法是使用/i参数来重新加载缺少符号的程序文件。为了便于发现问题，最好先开启符号加载的“吵杂”模式。 0:000> !sym noisy noisy mode - symbol prompts on 0:000> .reload /i dbgee.exe SYMSRV: d:\symbols\dbgee.pdb\75DCAE56ACE24AAE97FDFF4F915565162\dbgee.pdb not found SYMSRV: http://msdl.microsoft.com/download/symbols/dbgee.pdb/75DCAE56ACE24AAE97FDFF4F915565162/dbgee.pdb not ...

只要一个小技巧就可以绕过去了。当这个错误对话框出现时，不要关闭它。其实这时所有文件已经解压到硬盘上了（具体位置忘了，不行用FileMon一看便知），只要复制到另一个目录或者将目录改个名字就可以了。

的确不总是能看到如此完美的堆栈回溯，这也是我把它记下来的原因。以下是一些可能的原因： 1，k命令的完整语法是： [~Thread] k[b|p|P|v] [n] [f] [L] [FrameCount]  注意最后一个参数是可选的FrameCount，也就是要现实的栈帧数，缺省值为20（0x14）。因此如果你没有指定一个较大的值，那么WinDbg只显示20个，这有可能不会跨边界。 2，要在内核态调试时看到用户态的栈回溯，需具备如下条件。 WinDbg必须可找到对应的EXE文件和它的PDB文件。这需要把这些文件的路径设置到符号搜索路径中。  

所谓flat mode，就是整个进程的代码和数据都使用一个段，这个段的基地址为0。这样同一进程内的不同模块的代码相互调用时就不必担心段的差异。在16位时，同一进程内的不同的函数可能使用不同的代码段，因此函数调用时要考虑是否跨段，跨段的一定要使用所谓长调用（far call），段内的调用叫near call。平坦模式不再有这样的问题，进程内不再有段的差异（缝隙），因此叫平坦模式。 对于最后一个问题： 首先会根据段寄存器中的段选择子在GDT或LDT中找到一个描述符，取其中的基地值，加上这个偏移，等到所谓的线性地址，线性地址大于0x80000000便是一个内核的地址。其实现代操作系统主要使用页属性来标识权限。根据线性地址，找到对应的PTE，判断其权限。

先要保证符号正确。输入.reload命令让WinDbg自动下载符号，然后再用!analyze -v命令看报告。

你是在安全模式下更换的么？ 另外，建议你换一台机器试一试。

一种简单的做法就是看文件的版本号，比如我机器上的ACPI.SYS的版本好是5.1.2600.2180。另一种方法就是检查c:\windows\repair\setup.log中的ACPI.SYS文件的TimeStamp.

!amli debugger命令没有显示说明ACPI驱动程序内的调试引擎初始化好了。我通常不使用''!amli bp ...''的方式来设置断点。我的做法是在amli的Input提示符下输入命令，参见我的那篇文章中的图1。 我也遇到过''!amli bp ...''使用这样的方法出错。这种方法是!amli扩展命令在工作，而Input提示符是与调试引擎更直接的对话。        

AMLI_DBGERR: failed to get debugger flag address的含义就是WinDbg无法找到ACPI的调试引擎（实现在ACPI驱动程序内）。一定要使checked acpi.sys才包含。 你的方法1是对的，可能原因是版本不匹配，你一定要使用和你的内核相同版本的ACPI.SYS。  

微软组织了一系列深入研究Windows内部原理的讲座。感兴趣的朋友可以听听。 深入研究Windows内部原理系列之二：Windows体系结构-从操作系统的角度   讲师信息：张银奎2007年01月26日 14:00-15:30Level: ...