是sp1的,我已经把所有xp的符号都下载了,其它大部分符号都已经识别,就是nt不行,http://msdl.microsoft.com/download/symbols我也添加过,之前一直是不能建立连接,今天晚上好像又好了,感谢~

公司有一台设备出问题了,用的是Windows XP Embedded,总是在一段时间后卡死在svchost.exe里,我不知道是哪个服务引起的问题,所以手动引发了一个蓝屏,获得了一个full dmp,但是我一直找不到nt的符号,这样的情况下怎么才能查看内存和进程的状态呢?

希望可以快点见到张老师的新作。 实例集锦的话，希望可以先一点看见内核态的，因为现在用户态调试的资料不少，但内核态的资料却非常少见。 楼上的兄弟，如果你想学用户态逆向的话，可以去看雪看一下，那里会有你想要的东西，不过用户态用windbg的人好像不多。

在学习视窗报文时遇到了一个问题，书上描述_W32THREAD结构第一个域MessageQueue是指向线程的报文队列。但是我用Windbg看的时候_W32THREAD却完全不一样。 kd> dt nt!_KTHREAD win32thread 81d2a5b0 +0x130 Win32Thread : 0xe164d6a8 kd> dt win32k!_W32THREAD 0xe164d6a8 +0x000 pEThread : 0x81d2a5b0 _ETHREAD +0x004 RefCount : 1 +0x008 ptlW32 : (null) ...

多谢老师鼓励,我会继续努力的.

不好意思,这里是我看错了,这几章看到头有点昏了,特别是CRT那里. 另外有两个地方也有点问题. 719页的62行 Disposition 好像少了个n 722页的倒数第二行 ExecutePPHandler 好像多了两个P

672页倒数第五行溢出后的数据应该是 2b2a2928

可以使用的,楼主你改错了。 原记事本的区段如下 按 [Esc] 键关闭该窗口! No | 名称 | VSize | VOffset | RSize | ROffset | Charact. | 01 | .text | 00007748 | 00001000 | 00007800 | 00000400 | 60000020 | 02 | .data | 00001BA8 | 00009000 | 00000800 | 00007C00 | C0000040 | 03 | .rsrc | 00007F30 | ...

明白了,没有想到被子进程继承了。

楼主你考过去的文件未必能用。 参考http://advdbg.com/forums/2139/ShowPost.aspx 建议你用虚拟机，这样的话就可以在其它机子上用了。