今天使用Process Explorer的时候无意中发现竟然运行着一个windbg，仔细一看是运行在session 0的环境中，所以当前的桌面上看不见。可能是session 0的启动过程中某个过程出错导致windbg运行，我用的是win7 系统，想请教下怎么才能够切换到那个session 0的windbg中进一步调试？

这个dump文件是使用/ma选项生成的，理论上应该包含了所有的信息。 问题是我可以通过函数的参数看到句柄的数值，比如说SendMessage，但是不知道怎么才能够从这个句柄中得到窗口的进一步的信息，如窗口样式，窗口过程等等。

使用Windbg生成了一个用户态进程的mini dump，在这个Dump文件中能够查看查看一个HWND的相关信息嘛？如窗口style，窗口类的信息等等。还是说这些信息在内核态，mini dump中没有包含？

最近重读了软件调试的18章，想的问题多了点，请教张老师。 想像一条普通的int 3， 虽然是陷阱类异常，但因为KiTrap03会将Eip-1，使得异常处理程序或者调试器中看到的eip指向int 3指令， 如果这个int 3是在调试器中设置的断点，调试器会将指令处的指令替换成int 3，调试器收到异常并且恢复执行后，会将这个int 3恢复成原来的指令并且从这个指令处开始执行。 如果这个int 3本身是程序里面的，调试器捕捉到这个异常后，恢复执行就会直接跳过这条指令？不知道这样的理解对不对？ 也就是说KiTrap03的异常分发逻辑里会区分这个int ...

原先一直以为IDT表中几种门都有，一时心血来潮看了下，大部分竟然是中断门，让我吃了一惊。我以前一直认为什么#DE，#DB，#BP啊，都是异常类的，为什么OS中把它们设置成中断门

本来以为理解了这个问题，想多后却胡涂了。我的系统是Win7 SP1 KiTrap03中的dec ebx，并没有直接修改TrapFrame，修改的是传递给CommonDispatchException的参数，这样，在KiDispatchException中看到的2个参数（ExceptionRecord和TrapFrame对于int 3来说，EIP的值是不一样的，差了一个1）， 而到了KiDispatchException中，有了dec     ...

又想到了一点，一般的HTC只是在用户数据的后面加8个字节的AB，只能保证不向高位置溢出。 _DPH_BLOCK_INFORMATION结构由于头尾有签名的存在，还可以保证不会向低位置溢出。

找到一个帖子，希望有帮助。 http://user.qzone.qq.com/31731705/blog/1309358011 在单CPU系统中，能够在单条指令中完成的操作都是''原子操作''，因为中断只能发生于指令之间。 但是，在多CPU结构中就不同了，由于系统中有多个CPU在独立地运行，即使能在单条指令中完成的操作也有可能受到干扰。我们以decl (递减指令)为例，这是一个典型的''读－改－写''过程，涉及两次内存访问。设想在不同CPU运行的两个进程都在递减某个内存单元的数值2，可能发生的情况是： 　　1． CPU A从内存单元把当前数值2装载进它的寄存器中； 　　2． CPU B从内存单元把当前数值2装载进它的寄存器中。 　　3． CPU ...

这个问题是比较热门的问题。 一般的理解是不是的。 多处理器，多核情况下，多个线程可能读写同一个变量，要加锁。 该加volatile的，加 volatile。 该用InterLocked，就用InterLocked。

你可以贴出代码包括汇编来看看。 你还可以再仔细看看我给的链接，关于全局变量， 1. C和C++的初始化过程是不同的。 2. void f();和__declspec(dllimport) void f();也是不一样的。