详细地回答一下算了。 双机Windbg调试第一次获得断点的机会不足以调试Boot过程，因为相对于启动而言，OS级的调试还是太晚了。下面是调用序列，显然 nt!KiSystemStartup 是 Ntldr 完成之后 Jmp 执行的入口： kd> kv ChildEBP RetAddr Args to Child 80549c5c 80683baa 00000001 80552920 00000000 nt!RtlpBreakWithStatusInstruction (FPO: [1,0,0]) 80549de8 80690d48 00000000 80087000 8003fc00 ...

1. 直接去问 MJ 他那个猥琐的逼近法是怎么实现的 ;)2. 用 Bochs 调 + 自己写一些桩代码3. 有条件就直接玩ICE“所以必须得靠 VMWARE 和 WINDBG 来调试。” 理解是错的，关于双机调试的最早断点机会 Raymond 前辈已经回答你了。

对齐很头疼呀... 请问管理员这里可以像Blog里那样对齐吗? 而且宽度感觉稍微窄了一些

小我从今天开始在这个版贴点 Win-XP 的跟踪笔记，前辈们不反对吧。^_^省的麻烦所以C的代码就不列了，许多时候汇编比C来的清楚。 简析:ExCreateHandleTable() 和对象管理器以及句柄表的关系很紧密，它的第一次调用位于 ObInitSystem()。目的是初始化System进程的句柄表。nt!ExCreateHandleTable:80603ade 8bff            mov     ...

强悍强悍...

PDF 和 CHM 的(原版)第四版我都有。 PDF的是非扫描版(也非CHM转PDF)，非常清晰，适合打印阅读。 页数是926页。