Quote：     '' If a Kernel component calls the ZwXxx version of a native API, all is well. The previous mode is set to Kernel and the credentials of the Kernel are used.'' ntoskrnl.exe的ZwOpenProcess函数如下： nt!ZwOpenProcess:80826dc8 b87a000000      mov     eax,7Ah80826dcd ...

问题依然存在，我再想一想... kd> .pagein bf934ffePagein operations are only supported for user mode addresses due to limitations in the memory managerkd> .pagein /f bf934ffeYou need to continue execution (press 'g' <enter>) for the pagein to be brought in.  When the debugger breaks in again, the page will be present.kd> gBreak instruction ...

Host OS:winxp sp2 Guest OS:winxp sp2 (VMware) 我是在内核调试时，发现这个问题的,今天又重新试了一下，发现问题依然存在：x win32k!*时有很多输出结果。但uf一些函数可以正常输出，但是一些函数不能够反汇编(例如：win32k!NtGdiAbortDoc )，提示错误：No code found, aborting 我看到你的回复：  ''那么可能要读的内容不在物理内存中，也可能是页表已经混乱 '' 请问能否将具体的解决方法说明一下，谢谢！

通过命令kd>  x win32k!*，可以看到如下一行：   bf934ffe win32k!NtGdiAbortDoc = <no type information> 但是，如果通过如下指令查看，却得到如下错误提示：  kd> uf bf934ffe   No code found, abortingkd> u bf934ffewin32k!NtGdiAbortDoc:bf934ffe ??              ...

---------------------------------------- BOOLEAN NTAPI CmpFindNameInList( IN PHHIVE Hive,  IN PCHILD_LIST ChildList,  IN PUNICODE_STRING Name,  IN PULONG ChildIndex,  IN PHCELL_INDEX CellIndex ); ---------------------------------------- ？？

MJ0011前辈，你的回复对于我来说太简略了。 能否详细说明一下？

看到一个介绍注册表的文章，提到如下内容：Quote:------------------------------------------------------------------------------------------------lkd> dt _cm_key_node e1032124nt!_CM_KEY_NODE   nt!_CM_KEY_NODE   +0x000 Signature        : 0x6b6e   +0x002 ...

使用 !object 命令查看对象时，在ObjectHeader一行结尾处，有时会显示(old version)eg. kd> !object e1011490Object: e1011490  Type: (865b08a0) Key    ObjectHeader: e1011478 (old version) Q:请问(old version)代表什么含义？ 谢谢！

确实是一个地址值，但是我希望由这个地址(比如:c7018c0c )确定是union中那种类型， 例如：如果是CM_KEY_NODE，则我可以用如下命令查看： kd> dt nt!_CM_KEY_NODE c7018c0c 所以想确定函数HvpGetCellMapped返回值的'具体'类型。 谢谢！

调用函数HvpGetCellMapped得到一个返回值c7018c0c，但是函数HvpGetCellMapped的返回类型是union(_CELL_DATA),如下： typedef struct _CELL_DATA {    union _u {        CM_KEY_NODE      KeyNode;        CM_KEY_VALUE     ...