如果你看的是local里面的传入参数的话,可能是由于amd64默认使用register来传递参数有关,DbgPrint输出的应该是对的. 在amd64下面,函数的前4个参数分别存在rcx, rdx, r8, r9里面,如果是在方法入口可以看这几个register.

是整个PE image关联一个section object还是PE image里面一个section 关联一个section object?

我试了一下notepad.exe,在运行起来的时候,使用'.writemem',把notepad module写到一个temp.exe,直接运行不可以,然后把file alignment和virtual memory alignment改成一样,还是不能运行.这里的temp.exe和原始文件差别在哪些地方?怎么改才能让其可运行呢?

是的,local kernel debug 下也可以,但是在user-mode下,这个信息能拿到吗?

我用!handle查询的时候,用flag 0xf,但是看到最后一行如下,这是什么原因,有什么办法能看到这个handle关联的Object吗?比如我的handle type是file,我想看到这个file object或者这个file 的路径. No Object Specific Information available

谢谢王宇. 我是在Server 03 R2上面, 你是在Driver里面用的DbgPrintEx,我当时是断在了ntdll!DbgPrintEx里面了,我跟了一下,发现,这个里面确实有一个filter的,就是后面这个,ntdll!NtQueryDebugFilterState,后者是一个SysCall,根据DbgPrintEx的参数ComponentId来做Mask, 貌似设置nt!Kd_WIN2000_Mask成0xffffffff后,所有的component都不会被mask,也就会被show出来了.

我用WinDbg在debuggee里面的ntdll!DbgPrintEx上设置了断点,并且在上面停了下来,不过,step over过后,windbg里面看不到输出,在断点上看ntdll!DbgPrintEx的参数是有内容的, 如何能在user mode debug的情况下拿到输出呢? 我用dbgview同样也没等到输出,DbgPrintEx里面有还filter吗?

我双击一个.exe程序,弹出message box说这个程序不是valid的win32程序,我用dumpbin和peview都看过,和其它exe基本没差别(不过可能会看漏掉),怎么能得到具体的出错信息,比如是某些bit不对. 另外,有没有可以分析出来exe是不是valid的,最好和系统的validation是一样的过程.

我想装一个checked build的windows,在msdn上下载了一个sp2的checked sp2的exe,直接下载运行,出错,说是不能在free sp2上再安装checked sp2,怎么样才能安装完成呢? 如果这样装完了,是所有的windows component都是checked version的吗?有一个安装镜像,安装完成就是checked build的?

想在一个内核断点里面加一个条件,以使其在特定进程停下来,如何设置这个条件比较好呢.