比较棘手的问题...  我抛砖引玉感觉是没有定时“喂狗”（跑飞了?）导致蓝屏了，当时要是连着调试器的话会中断到调试器，问题和 ATI 的显卡驱动相关。输入 dd watchdog!g_WdBugCheckData L5 可以看到蓝屏参数：kd> dd watchdog!g_WdBugCheckData L5b4be03a4  000000ea 85528248 86b01778 856d62c8b4be03b4  00000001也就是：Arg1: 85528248, Pointer to a stuck thread object.  Do .thread then kb on it to find the hung ...

http://hi.baidu.com/mj0011/blog/item/e59c2b87c7bf7f22c75cc303.html

强悍... 不知道在 Vista 下 win32k.sys 是否重构过？

STACK_TEXT:  WARNING: Frame IP not in any known module. Following frames may be wrong.b6ba9cf0 e40d2858 e5e42ee8 00000004 04e3fea0 0x784000b6ba9d54 8053e648 04a0187d 04e3fc28 04e3fc10 0xe40d2858b6ba9d54 7c92e4f4 04a0187d 04e3fc28 04e3fc10 nt!KiFastCallEntry+0xf804e3fc10 00000000 00000000 00000000 00000000 0x7c92e4f4SSDT Hook 一例，钩子里的 ...

下个断点一看便知.. 源码 + 解释如下：;; The arguments are passed on the stack. Therefore they always need to get; copied since additional space has been allocated on the stack for the; machine state frame.  Note that we don't check for the zero argument case -; copy is always done regardless of the number of arguments because the; zero argument case is ...

check build 的 windows 和 check build 的补丁包是两个概念哦，所以会出现不能在 free build 的 OS 上装 check build 的补丁的提示。 记得原来在驴子上可以搜到 checked build 的 Win-XP 安装版，但是找不到注册码。不过在源码普及的今天，通过 check build version 来学习系统似乎显得价值不大了...

或者是指令序列扫描，类似于 IDA 那样的生成程序逻辑图。

兄台不要被假象所蒙蔽 我就是一菜鸟... 和 MJ 等差十万八千里 闭关修炼去了...

显然没有错误...

记得有一年 usenix ?? 的 best student paper award 就是奖给了几个家伙，他们在 ipod 里剪裁了一个小 Linux，在强制系统重启后，利用内存振荡还没结束的间隙，强制抓取内存 dump，我觉得这也是一种思路...