To Thomson, 为了统计人数，需要大家先报名，报名的方法这两天（本周）就会发布出来。

Vista开始会严格检查ACPI的版本号，要与内核版本一致，因此RTM 6000的是不可以用在SP1上的，反之亦然...

关于我们的网友聚会（http://advdbg.com/forums/3570/ShowPost.aspx），结合大家的意见，现在做一下更新。 1）为了避免长途旅行，决定按城市分多次聚:-)，最先在北京，然后是上海，其他城市能否聚起来看大家的积极性了。 2）为了节约费用（:-)），时间改为半天，会场方面，欢迎有公司赞助，如果没有赞助，那么会按AA原则分担。也可能选择茶馆，那么每个人只要自己支付自己的茶钱就可以了 :-) 3）北京的聚会初步定在3月20日（星期六）下午，1：30~5：30 大家觉得怎么样？欢迎大家拍砖 :-)  

可以使用这样的命令： 0:000> dds poi(00405798+2) l10051b710  7e42974e user32!GetCursorPos 命令的原理是这样的。以下面这条指令为例： call    WINCMD32+0x1a908 (0041a908) CALL指令调用的地址0041a908处通常是一条跳转指令: 00405798 ff2510b75100    jmp     dword ptr [WINCMD32+0x11b710 (0051b710)] ds:0023:0051b710={user32!GetCursorPos ...

王宇，假日也还这么勤奋啊 :-) 是的，王宇说的很对! ESI所代表指针明显没有指向有效的内核空间；用.formats命令看一下： lkd> .formats 6e664d46 Evaluate expression: Hex: 6e664d46 Decimal: 1852198214 Octal: 15631446506 Binary: 01101110 01100110 01001101 01000110 Chars: nfMF Time: Sun Sep 10 19:30:14 2028 Float: low 1.78187e+028 high 0 Double: 9.15108e-315 ...

从上面的栈回溯来看，调试器没有找到Fastfat模块的符号，建议先解决这个符号问题...

顶一下，欢迎更多网友发表意见。 顺便预祝大家过个快乐的春节:-)

首先，WRK的代码是有协议保护的，建议只在协议许可的方式和范围内使用。 KiDispatchException是系统中分发异常的枢纽，是非常繁忙而且重要的一个函数。使用WinDBG调试时，甚至不可以对这个函数设置断点，一旦设置，便会导致目标立刻重启...... 从贴出的信息来看，是访问当前CPU的处理器控制块（KPRCB）时导致异常了。 对于单处理系统，CPU的KPCR结构的位置是固定的FFDFF000，因此KeGetCurrentPrcb()通常被编译为： mov     eax,dword ptr ...

你要切换到要观察的进程，先用!process 0 0命令列出所有进程，然后再用.process命令切换进程。 系统进程是没有用户态空间的，所以如果当前在系统进程，那么是无法观察用户态空间的...

发生蓝屏时自动触发的系统转储实际分为mini、kernel和complete三种，选择最后一种时就包含每个用户态进程的信息。