CV是Microsoft的debug format, 是不是就是指PDB的format? 最新的VS 2010是不是还用这个格式? 有没有它相关的文档?

你加的是process tab里面的哪个column?

@王宇,位置也很近 DPC一般不需要run在特定进程里面,所以,DPC出现并不需要把非Idle进程调度回来. 如果DPC queue了system work item, 结束后可能就需要System process了.

我觉得, 在xp里面,你上面的Stack里面,实际是通过ExitProcess调用_ExitProcess去结束进程的,而kernel32!TerminateProcess刚好放在了ExitProcess(Call _ExitProcess是该方法最后一条指令)后面,这样在parse stack的时候,会以为kernel32!TerminateProcess在Stack上,其实它不会被执行. 这样也能解释为什么stack上的kernel32!TerminateProcess的offset是0. ExitProcess(ULONG StatusCode) { ... __asm call _ExitProcess } BOOL ...

那可能不是通过这个API结束的吧. 像下面的stack,就没有通过kernel32!TerminateProcess ntdll!ZwTerminateProcess ntdll!RtlExitUserProcess msvcrt!doexit notepad!__mainCRTStartup kernel32!BaseThreadInitThunk ntdll!RtlUserThreadStart

直接跟在程序名后面启动debuggee吧。

感觉这个ExceptionPort能做的,DebugPort都能做,为什么要单独放一个在这里呢?

经常看到这两个,他们有什么区别呢?

!dh 应该可以。

多谢你的解释，这下清楚了不少。从解释来看，好像有可能存在这种状态。share count 为0，但是reference count 不为0。 既然都没有PTE指向这个物理页，为什么还能被reference呢？是给DMA什么用的吗？