多谢张老师的精彩讲授，希望以后能有更多的机会跟张老师当面请教。

很丰富的内容，早点去，争取拿一本格蠹汇编收藏，不知是签名本不，呵呵。

邮件已收到，谢谢张老师

好机会，到时一定要去，终于能见到张老师真人了，呵呵。

张老师的活动一定要顶，我的照片：http://advdbg.org/photos/swbkclub/picture5803.aspx

多谢张老师的解答，这个程序和AcsVio.exe确实在软件调试一书中未提及，只是AcsVio.exe出现在了格蠹汇编中了：）。当时只是看了在网站的下载列表中的说明，没有去看程序中的说明，还是理解错误了，呵呵。

在软件调试一书的一个示例程序ProtSeg.exe,是为了证明应用程序代码不可以直接修改段寄存器。但是在我测试的时候发生了奇怪的问题。表现如下： 第一次测试时间：在win7下使用vs2012编译，执行后崩溃在了 ntdll.dll中的lock btr    dword ptr [eax],0  语句上；当时我查看了gdt表，发现对应的表项为 0018 00000000 ffffffff Code RE Ac 3 Bg Pg P  Nl 00000cfb 当时我想可能是因为程序在写代码段的数据，所以发生了段保护异常。 于是我在程序中模拟了上述语句 __asm {  mov ...

在ReactOS中关于SEH有以下部分： #define _SEH_TRY for(;;) \ { \ _SEH_INIT_CONST int _SEHTopTryLevel = (_SEHScopeKind != 0); \ _SEHPortableFrame_t * const _SEHCurPortableFrame = _SEHPortableFrame; \ _SEHPortableTryLevel_t * const _SEHPrevPortableTryLevel = _SEHPortableTryLevel; \ \ { \ ...

在看原始套接字进行sniffer的源码时发现，准备工作完成后，程序只是将数据recv到一个足够大的缓冲区，然后就以缓冲区中的起始地址作为数据包起点解析数据包结构。那这里有一个问题就是能保证一次recv的数据恰好是一个完整的IP包结构吗？如果套接字缓冲区中填满了数据，那不就有可能一次取到recv缓冲区的不是完整的结构，而是将其中一个数据包从中间断开了，造成下次的起点错误吗？那下次解析不就出错了吗？或者是一次取走了多个数据包而只是对第一个进行解析，那么不就是漏掉了数据吗？请各位老师指教一二，多谢！

另外还有一点不明白：例如u盘的磁盘栈有usbstor、disk、partmgr三种设备，那么CM_Request_Device_Eject_ExW中的设备实例到底是指向这三种设备中的哪一个呢？即弹出函数中的设备参数是哪个设备呢？