Dump指示svchost进程中的用户态代码繁忙，可能的确存在死循环的代码... 这种情况用户态的转储更有效，或者有完整转储

这个INT 3是写在源代码里的，不是调试器设置的 内核函数会保证这个动作的，建议看一下有关内核函数的汇编代码

同意王宇的说法，另外可以启用JIT调试，崩溃时自动附加调试器，正面看一下，.dump产生个转储，有兴趣看一下

Event is Waiting就代表这个Event目前处于nonsingaled状态，如果处于 Singaled状态，那么WinDBG会显示Event is Set

读的很仔细，思考的也很深入 再前进一点点就想通了啊:-) 对的，执行INT 2D后，IP会指向下一条指令，如果这时进入INT 3的逻辑就会出现你说的eip指向cd2d这个指令的中间部分。下面的INT 3指令正是为了避免这个问题而故意放在那的，有了这条指令后，KiDebugService中会把IP先加一： inc dword ptr [ebp+68h] 让IP指向这个看似无用的INT 3指令的后面，伪造出于与断点异常一样的现场，然后再复用INT 3的逻辑 这样做了之后，KiTrap03中再减一就指向INT 3指令了，而后交给调试引擎（调试器），后者处理好这个服务后，会递增EIP，跳过INT 3指令，然后再异常返回... 非常的精妙...

看来用的是XP？ 在XP的Task Manager中，内存用量（Memory Usage）实际指的是进程的工作集（Working ...

同意Tom，内存方面的很多术语容易混淆，一定要精确描述，否则会盲人摸象...

感觉应该从软件兼容的角度理解这个问题，CV是CodeView调试器当年使用的格式，用的应该一直还会用，比如EXE中用来描述PDB文件概况（GUID、原始路径等）的那一小段数据就是CV格式的（NB10）。《软件调试》的25章有些介绍

在真实系统中，如果发生双误、NMI或者MCE，那么CPU会使用硬件的任务切换机制通过TSS切换到新的线程，期间会更换CR3，然后蓝屏，这时当前进程通常还没有更新，导致当前进程的PDBR和CR3不一致。 对于使用LiveKD，LiveKD是通过抓取快照方式工作的，抓取信息的时间点可能不同，导致这两个信息不一致

赫赫，这个问题有点复杂的，要看Windows版本，还要看使用的连接方式了