mov    eax,dword ptr ds:[00418020h] 应该读取的安全cookie,不应该会报异常的吧。在内存窗口里看看00418020这个地址，如果正常，估计是其他原因引起的

那是什么溢出导致eip错位呢？感觉不像是覆盖返回地址的溢出

没人遇到过吗

今天在分析一个dump时，遇到一个奇怪的问题，烦请张老师帮忙看一下。ExceptionAddress: 08ff0bff (activity!ActivityUIManager::onAnnualCeremonyZhanbaoMsg+0x000000b5)   ExceptionCode: c0000005 (Access violation)   ExceptionFlags: 00000000   NumberParameters: 2   Parameter[0]: 00000001   Parameter[1]: 46a0c575Attempt to write to address ...

貌似只能看汇编代码了

 谢谢张老师，但Is_ChosenCrashFollowupThread和PSEUDO_THREAD(伪线程)这些信息，我怎在Windbg的帮助信息搜索不到？而且PSEUDO_THREAD有时候会是0xffffffff,这怎么理解呢？嘿嘿 ，真是麻烦您了

谢谢张老师指点，仔细看了一下.effmach指令，是我用错了。还有这个空指针的错误，我也明白,因为edx是0了。但由于我初学Windbg有许多细节不是很明白,比如有时WinDbg提示ADDITIONAL_DEBUG_TEXT:  Followup set based on attribute [Is_ChosenCrashFollowupThread] from Frame:[0] on thread:[PSEUDO_THREAD]这个代表什么意思？ 虽说可以根据DEFAULT_BUCKET_ID能看出大概，但我还是想知道，我觉得，Windbg给出的信息应该都是有用的。谢谢张老师

谢谢张老师，我自己在仔细调试一下

各位高手，我的程序在64位机器崩溃，获取到dump文件。然后到我的32位机器下用32位的windbg分析，我的操作步骤如下：1 先用 .effmach amd64指令切换到64位模式0:008:x86> .effmach amd642 然后在加载符号3 然后运行!analyze -v 命令分析，但STACK_TEXT里没有我的模块信息。FAULTING_IP: FOLLOWUP_IP: 都是我的模块。我用~*kvn打印所有堆栈信息，也看不到我的函数调用栈，只能看到系统的。难道我操作错了吗？还望大神指点。例如我用命令k 打印出来的却是这样：没有我的程序的信息，都是系统的0:001> kChild-SP         ...

谢谢张老师，那我能不能通过!heap 指令找到些蛛丝马迹？还烦请张老师给个思路，指点一二~~~  学生在此谢过了 :)