ZwQueryInformationProcess ->ProcessBasicInformation->InheritedFromUniqueProcessId

既然配置高，用PAE就可以了~

creatfilew，原来还有这么好玩的API

/i 根本就不是专门来切换cr3的。。。 一般.process / p就可以成功看到进程。。。 不行的话用.context ...

不是所有的事件都是通过异常来通知debugger的（当然主动调用int 0x2d中断自陷，也可以视为异常~），例如模块加载通知，实际就是通过MmLoadSystemImage试图去加载Image Symbols的时候，通过int 0x2d来主动通知WINDBG的，而DBGPRINT也是类似的机制

对~WINDBG里异常只是事件的一种，还有例如模块加载，进程启动等等其他事件

任务管理器不就能看到报错的进程是哪个PID了，楼上太懒了，衣来伸手饭来张口

tasklist /svc

local kernel debugging吗,是不是读取PCR的给安全软件拦截了~

比较常见的是内核栈溢出 Double Fault, indicates that an exception occurs during a call to the handler for a prior exception. Typically, the two exceptions are handled serially. However, there are several exceptions that cannot be handled serially, and in this situation the processor signals a double fault. There are two common causes of a double fault: A ...