我的需求就是希望子进程被创建的时候，有些句柄被正常继承，而有些句柄，如socket这些就不要被继承了，免得端口冲突   我还想不出太好的办法来实现，难道又只能hook

Ok，果然如此，我没有看对，我重新弄了下，的确如此，谢谢

我看本站首页那个资源部分第一个文章--Nt vs. Zw - Clearing Confusion... 有些疑问 就是我本机xp sp2,我执行u ntdll!NtReadFile是和文章介绍一样，但执行u SharedUserData!SystemCallStub 这个就不对了，没有看到sysenter 0f34？？？ 0:000> u ntdll!NtReadFilentdll!ZwReadFile:7c92e27c b8b7000000      mov     eax,0B7h7c92e281 ...

谢谢！ 是不是这个时候还没有换页过来？--当然这个可能性太小。 bsod发生不仅在oracle的相关进程，其他进程也很容易导致，共同点就是都需要大量内存。 所以我曾经有点怀疑是换页出的问题。 但我自己写了一个测试程序，要求分配500M物理内存，对其间地址内容都赋值，保证物理内存真正提交使用 （光VirtualAlloc+MEM_COMMIT还不行），连续运行4个实例，超过真正物理内存2G，结果没有发生什么事情。 它的文件系统都是FAT32，应该也没有什么问题吧，虽然不是很爽......

请两位收邮件，我已经发送了 可惜ftp不好弄

另外，再请问下如何在dump文件中找隐藏驱动，我怀疑有驱动隐藏了 我用lm看到的似乎都是不坏的driver

分析得很好啊，我当时就没有懂！ 版本是3.7.300.503 我明天尝试给你们一个ftp地址。

rkunhooker导致BSOD --------------------------------- ---------------------------------- Loading Dump File [F:\work\crash\nanjing\MEMORY02051650.DMP] Kernel Summary Dump File: Only kernel address space is available Symbol search path is: srv*c:\symbols*http://msdl.microsoft.com/download/symbols Executable search path is: Windows Server 2003 ...

另外有两次bsod,全部内存转储，都是由于oracle的一个进程出现问题，但是macfee杀毒软件的一个驱动mfehidk.sys造成的，而这两次能看到!apc，两次大致类似，我贴一份参考; 还有一次只有bsod只有核心内存转储，是rkhdrv40.sys的，应该是我当时运行RkUnhooker时bsod的 oracle+macfee造成bsod -------------------------------------- ---------------------------------------- Loading Dump File [F:\work\crash\nanjing\MEMORY02042247.DMP] Kernel Complete Dump File: ...

两位，谢谢，我怎么上传给你们， 这个容易重现，但出问题的机器在外地，我无法双机调试。 我正在做一个试验，看是否是发生页面交换的时候就可能会出现问题。 按张老师的说法，我!apc看了下dump，或者按!vm尝试了下，感觉很奇怪， 1: kd> !apc *** Enumerating APCs in all processes Ignored in-page I/O error Ignored in-page I/O error 1: kd> !vm *** Virtual Memory Usage *** Ignored in-page I/O error Ignored in-page I/O error Ignored in-page I/O ...