我不是的 ^_^

应该也听过的吧，Cardmagic，嘿嘿~

VMWare Workstation 6.0 和 GDB 已经可以很好的结合了。而且貌似只要加一句配置语句（VMWare的人不厚道呀不厚道）就可以内核源代码级Debug，请参看这里： http://linux.chinaunix.net/bbs/viewthread.php?tid=896214 另外，听说Linus终于要松口了？要加调试器进内核？！

楼上的认识pjf或card不？ 哈哈，看来小本毕业两年的人真多呢，me too~ ^_^

demon0 是06年本科毕业吗？

OSR有一篇《A Catalog of Windows NT Synchronization Mechanisms》 其实也是泛泛而谈.. 我原来想拿这篇文章做“经典阅读”版块的第三则学习文章的。（“经典阅读”还没开张呢.. 看来我是太懒了... :( ）

呵呵，前段时间刚好看过一些，一起讨论讨论。 我觉得最好的资料是Win源代码和Intel手册3A第七章。 问楼主一些问题，如果您能回答就说明你理论上OK寮~ ^_^ 例如，钩子的实质是什么、32位MOV指令是单核安全的吗、32位MOV指令是多核安全的吗、计数用i++、i--代码安全吗？INC、DEC呢？关中断是安全的吗、提升IRQL呢、什么是lock指令前缀、xchg多核安全吗？lock sti会怎样？缓存一致性协议..............

你是在KiQuantumEnd() Release the thread lock 之后加的打印信息吧。 ;) 这时候的IRQL还没有降到DISPATCH level，不知道用DbgPrint()某些参数会不会有问题，我还没实验过。另外，你输出的格式有宽字符吗？用(%wc and %ws)宽字符会蓝的。 我觉得还是要从你出问题的地方下手，这是一寻址问题呀，你看看是什么指针访问了地址00000002。另外是每次都蓝还是偶尔蓝？

对于有志者来说，不同的OS架构都只是研究的组成部分而已。无论从哪条路开始最终它们都应该殊途同归，若非要排个先后，那从你最感兴趣的入手好了。 开源社区的杀手锏是“RTFSC”； M$领地的杀手锏是反汇编。这个领域玩的就是Undocumented，好奇是驱使人们挖掘二进制的动力。 底层开发是个大概念，一般来说写驱动和调试内核是最好的切入点，只是不要被某IO模型禁锢住思想就好。

我只是提醒一下楼主这个例程的IRQL会很高，而蓝的主要问题还是寻址，和 http://advdbg.org/forums/991/ShowPost.aspx 的问题类似。 8087dccc 803800 cmp byte ptr [eax],0 在取指针里的值比较的时候，访问的地址是 READ_ADDRESS: 00000002，所以我问楼主把什么参数传给了DbgPrint，下个断点跟踪一下应该就能找到问题的。 呵呵，线程优先级实验好呀...