从异常信息来看，是在lua5.dll模块内发生了非法访问，多半是空指针： 要了解更多的信息，需要转储文件（.dmp）或者做JIT调试。

猜测你使用的是XP SP3，如果是，那么可能是因为本地内核调试接口被阻止了。解决的办法是以/debug（boot.ini）选项启动，或者在双机内核调试环境下做上面的试验。

这是从内核态回到用户态的着陆点，此时已经回到了用户态，ret是回到用户态的父函数。

我不使用qq，压缩一下，寄到我的GMAIL信箱（yinkui.zhang@gmail.com）吧。

你好，William，确实是一个与LoaderLock有关的问题，随便Google一下，可以发现很多这方面的死锁： http://support.microsoft.com/kb/839343 https://blogs.msdn.com/larryosterman/archive/2006/06/15/632502.aspx http://www.issociate.de/board/post/433852/LoaderLock_problem.html 可以说这是Windows中的一个烫手山芋。因此还专门有篇文档来指导大家如何避免中招： http://www.microsoft.com/whdc/driver/kernel/DLL_bestprac.mspx 回到上面的问 ...

呵呵，MJ和王宇的回答很干脆，意思是完全行，很简单，不足道也！ 我罗嗦几句吧。虽然用的人不多，但是使用WinDBG做C/C++的源代码调试真的很简单，如果程序（EXE或SYS）是在本机（运行WinDBG的Host）编译的，那么不需要设置什么，WinDBG会自动根据程序中的符号信息找到符号文件，然后根据符号文件中的源文件信息找到和打开源文件。 就像下面这幅截图这样： (看大图) 如果程序不是在本机编译的，那么就需要设置符号文件路径（.sympath或File > Symbol File Path）和源文件路径（.srcpath或File > Source File Path）。

可以先尝试使用Mark的Process Explorer看一下，如果不行，那么就用下面的方法： 启动一个内核调试会话，要么使用本地内核调试，要么使用双机调试； 切换到有mutant句柄的进程，使用!handle命令找到mutant对象的地址； 使用!locks -v 内核对象地址。

今天顺便看了一下XP64的情况，在一个32位的EXE进程中，使用的kernel32.dll是syswow64目录下的： 1: kd> lmv m kernel32 start end module name 00000000`7d4c0000 00000000`7d5f0000 kernel32 (pdb symbols) d:\symbols\wkernel32.pdb\A45A226167C84E5C95E55E442F5375ED2\wkernel32.pdb Loaded symbol image file: kernel32.dll Image path: ...

很赞成LLX和王宇，这是王宇在2031那个帖子中的话： 那是因为 w32k.sys 是 GDI 相关的，而 System 进程没有自己的用户态空间。类似的还有 Idel 进程。不信你切换过去试试~ 很多时候内核调试中断下来时，是在IDLE进程，所以无法读取Win32K的内容，应该切换到其它进程再观察。

可以尝试执行.pagein命令，注意： After you run the .pagein command, you must use the g (Go) command to resume program execution. After a brief time, the target computer automatically breaks into the debugger again.