test

.dump命令有个/h选项，加了这个选项后，会将句柄信息写入转储文件；但是包含的信息也比较有限，一般只有句柄取值，句柄对象的类型等。要想包含更多信息，要定制转储的过程，提供回调函数给minidumpwritedump API...

您好，多谢反馈，在下面的网页中有三级目录，也有WORD版本供下载： http://advdbg.org/books/swdbg/toc_3rd.aspx

对于前两个问号，是这样的，调试器收到断点异常后，会查询自己的断点列表，如果不在其中，会使用不同的逻辑。恢复目标执行时不需要单步走出断点，只需要通过线程上下文递增EIP。  

不客气，如何读书确实是个大学问，“朱子读书法”值得一看...

可以试一下通过dbgsrv来调试，大体过程是： 1）在虚拟机里启动dbgsrv -t tcp:2000 2）在主机上启动WinDBG, connect to stub 符号是用主机上的  

多谢！的确是因为型号的不同，LBR栈的格式和位置有变化。正在写第二版，会把这个例子好好更新一下，新版本一旦完成就会先放到网站上

多谢反馈，简单说，需要三步： 1，把WinDBG附加到VS2005 2，使用bp设置断点bp kernel32!SetThreadContext 如果想问怎么知道有SetThreadContext这个函数的，那么主要是要靠日常的积累，不然的话就是x kernel32!*Context*，列出所有与Context有关的函数，然后排查 设好断点后，g命令恢复vs2005执行 3，在VS2005中开始调试，并设置变量监视断点，以便触发断点，断点触发后，执行kn 100得到清单4-4    

印象中是KdDisableDebugger 楼主在化解反调试？？

WinDBG中附带的ADPlus脚本正是满足你所述要求的，可以以Crash模式运行ADPlus，让它监视一个或者一系列进程（比如IIS的多个进程），WinDBG的帮助里有更详细的说明