PC+VMware调试Host OS:  Winxp SP2Guest OS: Winxp SP2Q:KiFastCallEntry为何没有进入KiSystemService, 却直接进入KiServiceExit?(蓝色字为我输入的命令,红色字为KiServiceExit函数的第一条指令)按照《软件调试》一书所指出，KiFastCallEntry函数应调用KiSystemService函数，但按如下步骤试验时，KiFastCallEntry没有进入KiSystemService, 却直接进入KiServiceExit函数，请问一下原因，谢谢！//windbg连接到Guest OS... nt!RtlpBreakWithStatusInstruction:80526da8 ...

请问如何用IDA 生成程序逻辑图？ 因为试了一段时间， 不知如何找到相关选项。

Host OS:Winxp sp2 Ghost OS:Winxp sp2 我使用PC+vmware双机调试的方式准备对虚拟机中OS的KiFastCallEntry函数下断点,但发现在windbg连接Ghost后，不能找到KiFastCallEntry函数(如下)，但是在Host做local debug时，却有nt!KiFastCallEntry。 kd> x nt!ki* 804fe228 nt!KiDeliverApc () 804fe574 nt!KiIpiServiceRoutine () 8053d050 nt!KiAcquireSpinLock () 8053d060 nt!KiReleaseSpinLock () 8054129c ...

应该是我的symbol有问题，在我PC上使用ln bf999e80命令，没有任何显示结果。 谢谢！

OS:Winxp SP2Mem:2Glkd> dd KeServiceDescriptorTableShadow8087b340  8082a1fc 00000000 0000011c 8082a6708087b350  bf999280 00000000 0000029b bf999f908087b360  00000000 00000000 00000000 000000008087b370  00000000 00000000 00000000 00000000lkd> dd KeServiceDescriptorTable8087b380  8082a1fc 00000000 0000011c ...

     IA-32架构中的快速系统调用指令SYSENTER在Windows SP2上执行时，是否仅使用SYSENTER_CS_MSR和SYSENTER_EIP_MSR，没有使用SYSENTER_ESP_MSR？     因为我在反汇编看到系统服务号放入EAX寄存器后，esp存入edx,通过edx就找到用户传入参数，好像没有使用SYSENTER_ESP_MSR。 请问情况是这样吗?  

一开始，我用Windbg通过attach'记事本'程序，在kifastcallentry的入口地址(80865930)下断点， 想在'记事本'程序系统调用时跟踪到内核调用，结果得到如下错误提示:0:001> bp 808659300:001> bl 0 eu             0001 (0001) (kifastcallentry) 1 e 80865930     0001 (0001)  0:**** 0:001> gUnable to insert breakpoint ...

Hi!王宇  谢谢你的热心帮助！  抱歉！我是一个newbie, 看到你的回复，我实在看不出...你贴出的反汇编代码和我贴出的反汇编代码有任何关系(一点也不像呀！除了最后一行:call    ebx ; call system service)。  不过，我已经明白不应该忽视动态跟踪。  我先动态跟踪一下，有问题我再请教！ 谢谢！

Hi!Raymond 谢谢你的热心帮助！ 我是在学校图书馆看到你在《程序员》杂志发表的《windbg必读》一文，开始了解windbg的,后来又购买了你的masterpiece《软件调试》一书继续学习。 祝你工作开心！因为工作不开心，怎能有好心情！:) 希望有一天你能在我《软件调试》一书上签名留念，呵呵！ 在IA-32中，每个任务都有自已的局部描述符表LDT，它包含自已的代码段，数据段，堆栈段，也包含该任务使用的一些门描述符。随着任务的切换,LDT也跟着切换。(我觉得这里指的是任务软切换，因为windows不使用TSS段硬切换，对吗?) 从OS(WinXP)角度来看，现在LDT主要存放的是什么内容，有什么用处? 谢谢！ ...

在我的PC上反汇编KiFastCallEntry和kisystemservice的结果(见下面1）、2） )分别如下，从地址前后来看，KiFastCallEntry进入kisystemservice应该不是《软件调试》P181一书所提到的Fall Through方式，但是我从KiFastCallEntry的反汇编结果中也看不出KiFastCallEntry如何进入kisystemservice的. 我查询到《Nt vs. Zw - Clearing Confusion on the Native API》(见下面引用)一文提到KiFastCallEntry进入kisystemservice的方式是通过jmp nt!KiSystemService+0x5c ...