强烈支持Raymond写用户态调试和内核调试的书，看到两本英文的，还不错。 1. ‘Memory Dump Analysis Anthology, Volume 1’: http://www.amazon.com/Memory-Dump-Analysis-Anthology-1/dp/0955832802/ref=sr_1_1?ie=UTF8&s=books&qid=1213477973&sr=1-1 2. ‘Windows Debugging: Practical Foundations’: ...

我也碰到类似的问题,一个process突然消失，我将Windbg设置为Postmortem debugger。但是Windbg在process消失的时候并没有被invoke. 怀疑可能是类似taskmgr调用TerminateProcess（）杀掉process,或者在程序中某个位置调用TerminateProcess（）,但是很难找到原因. 期待可以找到解决方案或者原因

给个链接啊,我也Download试读章节看看。

Thanks a lot.

对于整形变量可以如下使用(nIndex为一个整形的局部变量)：.if (poi(nIndex)%3==0) {.echo nIndex%3==0} .elsif (poi(nIndex)%3==1) {.echo nIndex%3==1} .else {.echo nIndex%3==2}但是对于浮点数应该如何使用呢(比如dArg为一个double类型的局部变量):我是着用这个命令 .if (@@c++(dArg)>2.0) {.echo dArg>2.0} .else {.echo dArg<=2.0}，但是由执行错误如下：0:000> .if (@@c++(dArg)>2.0) {.echo dArg>2.0} .else {.echo ...

版上有人关注Windows Research Kernel么?在MS网页上找到个连接http://www.microsoft.com/resources/sharedsource/windowsacademic/default.mspx但是Download不到啊。哪位共享一个？

可不可以用WinDbg设置断点在bp ntdll!NtTerminateProcess，或者在自己的程序种Hook这个函数来实现Dump功能啊？ 另外ADPLUS是不是一开始就Attach到process啊？

关于为什么会突然消失的问题,我怀疑是一些什么library handle到这个异常，之后凋用函数TerminateProcess来杀掉这个进程。 这个怀疑有没有道理么？ 如果是这样的话，怎么样来抓minidump呢？ 请指教！

再问关于设置WinDbg为PostMortem Debugger的问题 公司的一个比较大型的软件，用C++写的，有时候在客户的电脑上跑的时候会Crash，所以在客户的电脑上安装WinDbg，并且设置为PostMortem Debugger。这样一般情况下，当程序有问题要Crash的时候，就会自动调用Windbg并Attach到这个进程，之后我们可以用WinDbg来dump一个minidump，以供我们做更多地分析。 然而前几天发现这个方法并不是每次都有效。有一些时候程序的Crash是直接突然消失，没有任何的痕迹留下来。这样Windbg也就没有任何的机会来抓一个minidump。 我也作了一些试验，有意的在程序里加入访问空指针(Access ...

公司的一个比较大型的软件，用C++写的，有时候在客户的电脑上跑的时候会Crash，所以在客户的电脑上安装WinDbg，并且设置为PostMortem Debugger。这样一般情况下，当程序有问题要Crash的时候，就会自动调用Windbg并Attach到这个进程，之后我们可以用WinDbg来dump一个minidump，以供我们做更多地分析。 然而前几天发现这个方法并不是每次都有效。有一些时候程序的Crash是直接突然消失，没有任何的痕迹留下来。这样Windbg也就没有任何的机会来抓一个minidump。 我也作了一些试验，有意的在程序里加入访问空指针(Access violent)的操作。按道理应该每次执行这个指令的话，程序都会crahing并Invoke ...