果然是. 我本来还打算用ida来分析虚机的dll，以此来下symbol，再复制到虚机上，现在方便多了 另外，发现windbg的6.11.1.404有bug,会出现87错误，我重新安装了6.12.2.633，就可以远程调试了。 悄悄说一句，可能我自己资质平庸，光读《软件调试》收获似乎老不大，手中有项目，用这本书来参考，反复动手，问题越来越多，收获也越来越大，呵呵。 谢谢张老师了。  

远程调试,其中被调试的是放在虚机上的，而主机和虚机，两个os版本不太一样，但是主机和虚机的windbg版本完全一样。 主机可以连互联网，虚机只能和主机tcp/ip连接，无法上外网。 现在想调试虚机上的应用程序，我想问的是： 调试符号是怎么办？ 我主机的设置是srv*c:\localcache*http://msdl.microsoft.com/download/symbols 虚机上，我把主机的c:\localcache完全复制过去，设置是srv*d:\localcache， 但是有些符号似乎还是没有办法从msdl.microsoft.com下载下来。 谢谢！

哦,谢谢了,应该是用户态空间被切换了.  

我在做一个项目，需要非本地windows2003用crash把full memory给dump下来，然后看目标进程一些信息，比如我想看有些进程的cmdline，我发现peb里面都能看到。 但是，我自己在自己xp机器上做实验的时候，发现有些问题，在自己机器上windows xp sp3用本地内核调试，却无法得到完整的peb。 比如下面，无法看到peb里面的ldr和CommandLine! 我用tlist在xp上能看到每个进程的CommandLine，里面使用的是NtQueryInformationProcess，和这个不太一样。 请教下，这个是怎么回事？ lkd> !process 0 0 这里我找到目标进程后 lkd> .process ...

我的系统是xpsp3，我用windbg本地调试，发现如下简单都有些问题 lkd> .process 894c6460Implicit process is now 894c6460lkd> !pebUnable to read selector for PCR for processor 0 google了下，据说是360的问题，但又不想卸载360，有什么好办法么？ 我不想完全都在虚机上调试。 谢谢了！

哦,谢谢 主要是差别太大，约2g左右 我非常怀疑有病毒，因为有进程奇怪名字，而且是temp目录下的 张老师说的内存那个的确有点让人迷惑。

我加的各个进程的“内存使用”总和,就是process tab里面''内存使用''那列,不是''虚拟内存大小''那列.

在windows任务管理器的进程tab页那里，我大致统计了下各个进程的“内存使用”总和，发现远远小于系统自己统计出来的“内存使用”总数，后者是“性能”那个tab页中有个总数那个数据，或者“进程”那个TAB页最下面。 比如我把任务管理器的内存使用累加起来大约有4g,而操作系统自己的总数却有6G左右， 如果是其它比如内核吃掉的，那也太多了吧。 由于我这个案例现场不能安装WINDBG，也不能重启，所以比较麻烦。 请张老师或者哪位高手给个方案。

就象调试器一样先挂住进程，然后继续执行，不过这里进程是要被杀掉重来

谢谢!