第一个肯定没问题。 这就是低资源的悲剧所在，大部分人不会加异常处理，而它确实会抛异常。

;-) 不解释

顶！

如不是必须应尽量减少在64位上的汇编代码。 指令集文档请去平台厂商下载。 官方文档都有不靠谱的时候，那些教程还是尽量无视吧...

忙的要死 出来透个气.. 楼主要是没有私有符号就别想这么多了，毕竟公开的东西 dt 出来意义也不大。 0: kd> dt sockaddr_in -r nt!sockaddr_in +0x000 sin_family : Uint2B +0x002 sin_port : Uint2B +0x004 sin_addr : in_addr +0x000 S_un : /unnamed-tag/ +0x000 S_un_b : /unnamed-tag/ +0x000 S_un_w : ...

如果代码 Hook 了，可以自己 Map 内核，搜索 IDT 特征，之所以特征搜索是因为特征太明显了，可以精准对比 ExtendedOffset、Selector 等。 类似的方法可用于搜索 KiServiceTable。而不是用那什么“A more stable way to locate real KiServiceTable”。

466同学是科大的？呵呵。 类似的问题不太好猜测原因，我有时实在给单位逼急了要解决类似问题的时候，只能是跟踪，想着法子去断下来栈回溯 + IDA。当然，有时求助一下经验丰富的某同学，会事半功倍。

那就更好办了，这种百把行的代码，半小时定位足够了。 这种方法的根源就不靠谱，Joanna 的 Demo 除了限定搜索范围外，还要靠 MmIsAddressValid 保着。IceSword 为了防止此类蓝屏甚至 SetJump/LongJump 去 Hook KeBugCheckEx，想要暴力虚存这些懒是偷不得的。 另外，你别是在内核死循环了。

心碎什么，上 Syser 调试呗，定位最多一小时。 从你的描述我猜你在实验IDT相关的代码，你的虚拟机是单核，那些代码能跑，你的主机是多核的，代码就瞎了吧。

基本功。建议按照提示开驱动校验跑您的 Hook.sys，这类问题 Verifier 会轻易帮您定位到。