呵呵，关键是我的机器上一直就没有Windows XP的，看上去只有写驱动这一个办法了，网上下的东西，呵呵，如果不是确信安全，一般不敢运行，更何况是内核级别的东西。只好自己写一个试试看吧。以前写过很简单linux下的驱动的，Windows下的应该不是太难。只是希望别偏太远，最后弄成了驱动开发学习就不好了^_^.

貌似这个API在Windows Server 2003 SP2之后就不可用了，ft

检查了一下ZwSystemDebugControl的返回值，为-1073741822，返回负值，应该是调用失败了。

一开始执行的是自己编译的程序，发现无法按分支单步执行，而是老老实实的按高级语言的单步执行。以为是编译器的原因，检查生成的汇编代码，没发现什么可以的地方。后下载了随书附带的示例程序，调试的过程中，发现依然有问题。检查EFLAGS寄存器的值，发现TF位已经置1。查阅Intel手册，发现处理器的DEBUGCTRL_MSR为0x1D9，与例子相同。我的处理器为PE2160。这下就彻底糊涂了。

本节提到有两种方式来观察调试器写入的断点指令。我尝试了书上的方法，确实可行。也试着在Visual Studio中用反汇编窗口查看，不过貌似VS已经在反汇编窗口中恢复了相应的指令。也想过用其他调试器用非入侵方式查看，可是，这个实际上与书上介绍的方法一致，不知道第二种方式是什么呢？？

呵呵，我是其中一个哦，书写得很不错。

呵呵，的确，如果干其他事情能赚更多钱，而且更轻松，为什么要吃力不讨好呢？？

每个进程都对应着一个或者多个线程，每个线程都有自己的上下文，同时，在执行的时候，每个函数调用都有自己的上下文，所以，你要观察，就必须把相应的上下文都切换对了。

呵呵，其实最好的资料还是Intel手册，只是过于枯燥了点。

呵呵，搞定。