抱歉各位，最近实在有点忙 内核断点的信息是保存在每个CPU的处理器控制区的，具体来说是_KPRCB结构的ProcessorState字段的SpecialRegisters字段： +0x2cc SpecialRegisters : _KSPECIAL_REGISTERS +0x000 Cr0 : Uint4B +0x004 Cr2 : Uint4B +0x008 Cr3 : Uint4B +0x00c Cr4 : Uint4B +0x010 KernelDr0 : Uint4B ...

应该是002e002e，也就是图24-6中地址0x12FD88处的内容，覆盖前是401b70，多谢反馈

具体实现是与调试器相关的，以WinDBG为例，用户态时，是针对所有线程的，没错。 内核代码可以直接访问DR寄存器，因此是可以直接用mov指令设置断点，不知道你的疑问在哪里？

可以尝试返回编红色栈帧附近的代码 u 0xf76eb9e9 ub 0xf76eb9e9 （可能失败） 如果不能双机交互式调试，那么可以尝试产生系统完整转储（Complete dump）

大致看了一下，死锁主要涉及以下三个线程： A：QQPYWizard.exe进程的881fd020线程： 拥有CmpRegistryLock，等待系统卷VCB的EResource（8987a514） B：360rp.exe进程的88655798线程： 拥有系统卷VCB的EResource（8987a514），等待文件系统的另一个EResource（887138c8） C：系统进程的898f38b8线程： 拥有360rp在等待的887138c8，等待360rp拥有的VCB EResource（8987a514） B和C之间死锁了，拥有对方所等待的，等待对方所拥有的...

典型的死锁，如果需要帮忙，压缩dump后传上来或者发到哪个share drive...

去年北京IDF时，无意间遇到了本站的网友，很开心。很快又到今年的IDF了，如果哪位会去，那么到时可以见面聊聊，我会在Poster Session展示去年做的一个项目，也欢迎去捧场 ...

原因是模拟的那一点“攻击”代码使用的MessageBox函数的地址是hard code的，有些局限，建议在XP SP3之前的版本上试一下，或者需要改一下那一点写在全局变量的机器码...

Heap taggging既可以针对某个可执行程序启用，也可以对整个系统启用，如果是前者，那么只要重新执行这个程序就行

当然是重用KiDispatchException之前的代码啊，KiTrap2d在做些预处理后便跳转到KiTrap03中了，之后由KiDispatchException统一分发... 这样的异常不会分发给用户代码，当有调试器时会分发给调试器，没有调试器的时候，会分发给KdpStub，KdpStub中会调整Eip...