请问windbg提示： 1.WARNING: Frame IP not in any known module. Following frames may be wrong. 或者 2.WARNING: Stack unwind information not available. Following frames may be wrong. 是不是表示符号设置一定有问题？ 我几次发现在使用kb命令trace系统API函数时时，如果有反病毒软件的.sys出现就会出现上面的提示。但反病毒软件厂商自然不会提供符号的，所以一直不确定kb看到的是否正确。

Quote 1: kd> !pte 80503734PDE at 00000000C0602010 PTE at 00000000C0402818contains 00000000004009E3 contains 0000000000000000 Quote 2:00000000004009E3 看这个的bit1 我认为应该看PTE中contains的数据，而不是PDE的contains。原因如下:  9E3中的‘3’---0011，第一位为1，应可写，然而SSDT的页面为只读，所以不应该看这个数据。因为系统使用了PAE,所以和以前显示数据方式不同，故有此问题。

Quote: 整一驱动，直接操作那些地址，蓝了，就对了 :P Sure! It works, but it's my last choice. :P ----------------------------------------------------------------------- Quote： 使用!pte命令来观察PTE，里面的位1为1表示可以读写，0代表只读 ----------------------------------------------------------------------- kd> r idtr idtr=8003f400 kd> !pte 8003f400 ...

  MDL（memory descriptor list）是不是将某处的虚拟地址，所对应的物理地址再次映射到另一个虚拟地址空间？ windbg能查看到到MDL吗？   谢谢！

Hi!Raymond老师， Quote: r igtr? IGTR是什么寄存器，查了一下IA-32 Vol.3A手册没有找到。谢谢！

看到有资料写到:      SSDT和IDT都在操作系统管理的只读页面。Q:请问如何用windbg验证SSDT和IDT存储在只读页面?

     呵呵！看来那天晚上我做实验状态有问题.    因为你前面的回复已经很清楚：win2000不支持Fast System Call(sysenter等指令)，所以不应该说''在win2000上，MSR 176指向nt!KiFastCallEntry''.     另外，你所说的''封装''(eg.:nt!KiSystemService 是 nt!KiFastCallEntry 的封装)是指：               ...

看到王宇的回复后，做实验加以验证。从我做实验的结果来看，确实看到是从nt!KiSystemService无条件转移(jmp)到nt!KiFastCallEntry 中继续执行，这让我更迷惑了。 MSR 176 指向nt!KiFastCallEntry ： 1) 在win2000时，nt!KiFastCallEntry执行完再执行nt!KiSystemService，进行系统服务分发(Service Dispatcher)。 2) 然而在winxp时，nt!KiFastCallEntry函数不跳转到nt!KiSystemService，反而是nt!KiSystemService跳转到nt!KiFastCallEntry。 ...

请问 王宇 你用的中断计数工具是什么名字？

按照kernel_debugging_tutorial.doc文档介绍，使用!lmi nt应看到 ：Load Report: public symbols                  X:\路径\ntoskrnl.pdb但是，在我PC上却看到:Load Report: public symbols , not source indexed ...