如果是32位，可以试一下这个小工具 http://www.codeproject.com/Articles/4664/Interrupt-Hooking-and-retrieving-device-informatio 或者使用内核调试，设置断点

初步计划要增加的内容有： Linux（一章） GDB（一章） 64位调试（WoW 1节，调用协议1节） .Net调试（SoS 1节） Java调试（2节） 远程调试（3节） 针对Windows 7、8和8.1的更新 至于“进程空间地址随机化”这样的问题，适合写篇博客，或许可以放在《格蠹汇编》的下一集中...

分析的非常好！ 对于这样的问题，因为调用栈中涉及的两个主要模块mshtml和kscript都是脚本引擎的身份，因此问题可以处在它们本身，也可能出在HTML或者JavaScript脚本。这时，先从脚本层看一下就会更容易些，如果你用的是IE9或IE10，那么按F12，可以调出一个非常强大的集成调试工具，借助它可以看HTML也可以跟踪JavaScript。

第二本书和Heisenberg效应是吧:-) 如果是应用程序崩溃，那么可以用第4章介绍的JIT调试方法，崩溃时再自动附加调试器

多谢关注，正在做第二版的计划，希望年底或者明年初可以出来

很支持你的想法和努力方向。 接下来需要的是知行合一，就是努力去做，非一日之功了...

先列出所有线程的ID和CPU运行时间 ~*e .echo ****;? @$tid;.ttime 找到时间最长的，切换过去 ~~[tid]s    

从调试器进程中可以调用ReadProcessMemory API来访问被调试进程的数据 http://msdn.microsoft.com/en-us/library/windows/desktop/ms680553(v=vs.85).aspx 如果希望访问.Net进程的结构化数据，那么可以使用Debug Access接口，参考MSDN的文档或者SSCLI源码中的daccess子项目  

如果你想开发WinDBG扩展命令： 原理 http://advdbg.org/blogs/advdbg_system/articles/1268.aspx 使用VC编译和开发 http://advdbg.org/blogs/advdbg_system/articles/5595.aspx 大家的讨论： http://advdbg.org/forums/1784/ShowPost.aspx 如果你想调试.Net，推荐先试一试现成的SOS插件

启动WinDBG，附加到你的进程，bp ntdll!ZwFsControlFile 然后g，执行你的程序，断点命中时，k观察，比如：   0:000> kChildEBP RetAddr  0018d908 7630cf59 ntdll!ZwFsControlFile0018d998 7630ce5b SHELL32!IsSMBv1+0x6a0018dbd0 762e606b SHELL32!CEnumFiles::_InitEnumeration+0xaa0018de00 762e5e27 SHELL32!CEnumFiles::FindSingleFile+0x5e0018e2e0 762e5f8b ...