运行如下script, 发现一个问题:0:000>.while (@eax=0xf) { .if (@edx>0x20000) {.echo  ####;r @edx;r @eip} .else {.echo !!!!;r @edx ;r @eip};p}!!!!edx=00000000eip=7c801a29!!!!edx=00000000eip=7c801a2!!!!edx=00d2a113  <=== 这时@edx已经大于0x20000, 却仍然走.else分支, 为什么?eip=7c801a31####edx=00d2a113eip=7c801a33请问这是什么原因引起, 该如何修改script以避免该问题？谢谢!

在网上查询到使用下面命令对DLL加载时产生中断：  sxe ld [模块名]  可是，一个程序用Windbg-->''open executable...''加载后，还没来得及对目标dll下断点，程序就加载完所有dll(例如:ntdll.dll)一路跑到ntdll!DbgBreakPoint。因找不到什么办法只好用命令行：windbg -c ''sxe ld XXX ;g''  程序名.exe可是感觉这样做不是很方便（在命令行和windbg窗口之间来回切换），所以想问一下是否有更简便的方法？谢谢！

在软件调试一书中(第25章)，提到了用dt Image_DOS_HEADER XXXXXXXX 等查看PE文件的一些信息。请问如何用windbg查看PE文件的节信息 (例如: .rsrc .text的起始地址、大小等)，有哪些方法？谢谢！

如下一段常见的Javascript的spray heap代码，想分析一下它的内存分配方式，     <script>     ...     function spray_heap()        {            var payload = ...

在调试IE浏览器时，希望找到IE heap header的size,但是不知从何开始？希望各位老师给予帮助，谢谢！

 MJ0011所给出的位置与文章《System Call Optimization with the SYSENTER Instruction》(http://www.codeguru.com/cpp/w-p/system/devicedriverdevelopment/article.php/c8223 )提到的位置一致。  但我个人认为Raymond、王宇所给出的位置是正确的，但我无法确认。 如有人知道，望告知！

原链接：http://advdbg.org/forums/2408/ShowPost.aspx MJ0011:{ Standard (Intel) Feature Flags } ...SEP_FLAG = $00000800; // Fast System Call   第11位 Raymond、王宇:// Kernel Feature Bits#define KF_FAST_SYSCALL   0x00001000     //第12位 MJ0011和Raymond、王宇给出的Fast System Call的位置是不一样的。Q：请问这是什么原因,那种形式是正确的？ 

 可以看出指令sysenter是由系统的KiFastSystemCall函数的调用的，ntdll!KiFastSystemCall:7c92eb8b 8bd4            mov     edx,esp7c92eb8d 0f34            sysenter Q：指令sysexit是由系统的什么函数调用的？  ps.我试着在反汇编native api函数，但没有看到这个指令被调用。

Quote:  ret是回到用户态的父函数  ret应该是回到用户态ntdll导出的函数, 对吗？ 另外，请问指令sysexit是由什么函数调用？

系统调用过函数kifastsystemcall后，在栈中会看到函数kifastsystemcallret,我原以为这个函数应包含sysexit指令，没想到却是ret指令。 lkd> u ntdll!kifastsystemcallretntdll!KiFastSystemCallRet:7c92eb94 c3              ret Q:请问这是什么原因？谢谢！