在运行一些程序的时候,如build.exe,会调用很多tool,都是很快就会退出的.怎么样能够让这个被create的程序的信息保留下来吗?比如在process explorer里面,退出以后会变成红色,但是不让它消失.如果选择不update的话,新create的进程的process就看不到了.

启用了PAE吧,最前面的Page directory pointer table比较小,不是4K对齐的. http://advdbg.org/blogs/advdbg_system/articles/627.aspx

是直接从trap frame里面取出来吗?

在amd64 cpu上执行32位的指令和64位的指令的时候,需不需要切换,比如,32位指令和64位指令能混合放在一起吗? 如果需要切换,怎么来做这个切换?

ntdll!kifastsystemcallret只是一个ntdll里面的一个symbol,这个symbol指向了ntdll!kifastsystemcall这个function的最后一条指令(ret)吧.它和ntdll!kifastsystemcall+offset是等价的. sysexit是在kernel里面退出system call的时候调用,相当于原来的iret.

你把0x7c8897a0这里这个critical section的内容dump出来看看吧.

User mode下面,一个全局的mutant没有被释放,后面的wait会持续在上面wait,能不能找到是哪个process,哪个thread持有这个mutant?

嗯,是的,谢谢张老师. 我自己也看了一下,发现问题原来是在于,dumpbin.exe调用了link.exe,后者只是一个32位的process,所以正常情况下,应该是读取不了system32目录下面的文件的. 但是link.exe已经考虑了会run在64位的情况,它在读取文件前,会前把Wow64 file system redirection disable掉,再读取完后会恢复回去...这个redirection flag好像是存在TEB里面的一个值... 但是还有一个问题是,这个disable对link.exe的当前目录以子目录是无效的(使用相对路径的时候),所以出现了我前面观察到的结果,有的可以,有的不可以. ...

我开始也认为64位版本的程序都放在system32目录下面,可以我用dumpbin来查看文件头,发现是PE32的,而不是PE32+,说明在system32下面也是32位的文件... 另外,对于64位程序,比如system32目录下面的notepad.exe,运行起来后,在windbg里面可以看到,kernel32.dll的路径指向了''c:\windows\system32\kernel32.dll'', 但是用''!dh''命令可以看到文件头指示是PE32+类型的...这个观察结果上上面是矛盾的....怎么解释呢?

我在64位windows下面的%systemroot%system32\下面,使用' dumpbin.exe /headers kernel32.dll | find ''PE'' ',命令,发现输出竟然是'' 10B magic # (PE32)'',说明这个文件是32位的,可以在同目录下面launch notepad.exe,用process explorer来查看该进程load的dll列表,确显示''Image: 64-bit'', 并且load address也是32位的,这是为什么呢??? 我在%systemroot%下面search了kernel32.dll,发现有很多存在于WinSxS目录下,并且是PE32+格式的,怎么会与这个有关系呢?