什么错误? 这样写需要有调试符号, 而且i的作用域要在断点作用域内 以下写法是可以的, 供参考 bp USER32!NtUserGetMessage ''.if (poi(@rsp+8)=2){ .echo get it; ba w4 a }.else {.echo not the case;gc}''

只能在栈上找了，KiInterruptDispatch在改变IRQL之前，会以局部变量的形式保存旧的IRQL

的确如此，Win7重写了计算器、画笔、挖地雷这样的小程序，本来基本是C写的，现在都用C++和新的技术了，比如挖地雷使用了DirectX... 如果想做《软件调试》上的试验，可以把XP的calc.exe复制过来。或者使用搜索命令搜索输入的字符： s -u 1000 8000000 ''8765'' 因为新的程序使用C++对象的成员来保存这个字符串，不再使用全局变量

64GB是指物理地址，这是由CPU的地址线所决定的，36位物理地址，索引64GB物理地址。对于32位线性地址的情况（32位模式），实际上是将64位的物理地址映射到32位的线性地址空间。

参数指定的条件有点太苛刻了...

内存使用不当，开启verifier看能否拦截到不当现场

上面一个（6.9）做的比较好，准确的找到了堵塞的线程，即4号线程

''comport:com1'' 一般写为/debugport=com1

内存访问不当有很多种，对应于多个异常。访问不存在的内存，比如空指针，对应的是Page Fault，向量号为xE；对于写只读的内存，低特权代码访问高特权内存，这样的不当访问，对应的是General Protection Fault, 向量号为0xD 详细情况可以参考IA32手册，或者《软件调试补编》 http://advdbg.org/books/download/rjts_sup.pdf

_KPCR结构中是有一份记录的： kd> dt 82b7bc00 _KPCR -y IDT* ntdll!_KPCR +0x038 IDT : 0x80b95400 _KIDTENTRY kd> r idtr idtr=80b95400 如果HOOK程序没有改这里，那么是可能找到的，其实就是fs:0x38的位置： kd> dd fs:38 l1 0030:00000038 80b95400