王宇，决定好了吗？ 我要报名了。钱可以培训当天到那里再交。 我没凑够4个人参加，算你的话才3个。 如果你也来的话，咱们一起报名如何？ 请把报名表发到我邮箱。neilhsu@126.com  

OMAP打乱了代码物理上的排列顺序 但是逻辑上是连续的 ntdll!RtlpFreeHeap+0x489是逻辑上的偏移关系 具体地址就是实际的虚拟内存地址了 细节已经记不太清楚了，还是得自己查查

因为OMAP优化打开了 OMAP优化会把使用频率高的代码放到代码段的前边 这样是为保证working set尽量小，提高内存使用效率 所以会产生这种问题 记得在Under the Hood很早一期有具体讲 需要细节就去查查

呵呵，明白。 大家都不容易。

原来failwest叫王清。他那本0Day挺不错的，浅显易懂，就是印刷质量太差... 老雷的解释让我放心很多，到时见。^_^ 王宇12月初还会在北京吗？你不会想在上海听吧。

XCON那个议程我也看了 对我来说太高深，所以没报 不过相对来讲XCON的价格还真是不贵，只是每个presentation只有1小时，不知道内容粒度怎样 先算你半个，留个手机号发到我邮箱吧 （neilhsu@126.com），方便联系。^_^ 欢迎大家踊跃报名阿

老雷，一直想去现场听你的培训。就冲你这块金字招牌。 这会终于有机会了。 想咨询两件事： 1、这次的内容和《软件调试》有多少区别。我的意思是有没有内容比书还详细的地方。当然我知道经验最值$。 2、上机环境如何，每个人几台机器？每人有单独的上机环境还是共享环境？ 盼答复。 BTW: 有北京的兄弟一起报名吗？团购可以优惠哦。 《Windows内核调试高级培训》 http://www.softcompass.com/debug/

终于见到活的二位老大了。

再提供两种检查调试器的方法，请考虑相应的应对办法。 1. 把程序的主逻辑移到 user defined unhandled exception filter 函数中，然后通过在程序的开始认为引发异常来启动主逻辑。这样如果程序由调试器启动，就不会进入逻辑代码，可能会导致程序直接结束。 2. A ring 3 debugger can be detected by calling NtQueryInformationProcess in ntdll.dll from another ring3 app with the constant ProcessDebugPort (0x07h). This function takes a pointer also as an ...

这要看被调试程序用什么方法判断是否被调试。 你要找的API是不是IsDebuggerPresent()？ 如果被调试程序用这个方法判断那就很好办了。 这个函数是通过判断PEB中的一个标志项来判断的，所以反转一下那个标志就能搞定了。 0:001> dt _PEB 7ffdb000 ntdll!_PEB +0x000 InheritedAddressSpace : 0 '' +0x001 ReadImageFileExecOptions : 0 '' +0x002 BeingDebugged : 0x1 '' <-- 就是它，1 byte +0x003 SpareBool : 0 '' +0x004 ...