支持~

北京，我3月份正好在北京实习，有机会参加。 新年快乐！

直接看irp->thread 再看thread是哪个process的。 这是我删除一个txt时显示的： kd> !irp 81c77590 Irp is active with 8 stacks 8 is current (= 0x81c776fc) No Mdl: System buffer=82235bd8: Thread 81dd5db0: Irp stack trace. ..... kd> !thread -p 81dd5db0 0 PROCESS 81cecbf8 SessionId: 0 Cid: 01c0 Peb: 7ffdc000 ParentCid: 01a8 DirBase: 11829000 ...

看张老师的这个分析，感觉就像读教程一样~~~张老师真该出本实例分析的书了！！！

对，如果没有被调试，就不会有KiBugCheckDebugBreak

看下面这段。。。 ntkrnlpa!MmInPageKernelStack+0x158:00438ec8 8b4328          mov     eax,dword ptr [ebx+28h]00438ecb 8b48fc          mov     ecx,dword ptr [eax-4]00438ece ...

呵呵，对，就是那样。。。我读的时机是创建进程时，而载入dll是在这之后。。。呵呵，这点没搞清所以搞了好久。。

搞清楚了，读取时机不对而已。。。汗~~~

最近自己在写一个调试器，准备山寨Windbg一下，^_^。 不过现在遇到了一个问题。 在ReadProcessMemory时，如果读取被调试的程序模块之内的内存可以成功。 但是在读取被调试程序以外的模块领空，例如该程序的Dll，就不能读取，返回的错误码是12B（仅完成部分的 ReadProcessMemoty 或 WriteProcessMemory 请求。 ...

。。。 ls的是不是把张老师和old new things 的Raymond chen搞混了~~