谢谢楼上的回复，我记得在debug时，进程好像是不使用lookaside表中的内存的。是这样吗？

还记得4年前在某公司的时候，听过奎哥去给公司其他部门的人做x64 programming prestation见过您一面。当时抱着作为一名security resercher对X64 架构必须有所了解的心态去的。在奎哥精炼的讲座中的学到的知识。仍给我的日常工作提供了不少帮助。最近在工作之余学习点东西，碰到一个问题。想请教一下各路高手。有一个heap上的内存地址01817880:008> !address 181788    00140000 : 00140000 - 00100000                    Type     ...

最近需要用windbg调试下R3的程序，以前只调试过内核态（VPC+SP2+EN），现在用我自己的机器是SP3+CN， NTDLL符号路径如下 Symbol search path is: srv*D:\Symbols\xpsp2core2*http://msdl.microsoft.com/down/symbols Expanded Symbol search path is: srv*d:\symbols\xpsp2core2*http://msdl.microsoft.com/down/symbols   现在我用windbg打开一个exe文件。加载不起NTDLL 的符号，按理说应该从微软的网站下载 ，但是下载不了。 错误信息： SYMSRV:  ...

还是学到不少 ，谢谢 两位的回复

在XP中的某个内核函数下段后,用!PCR得到的当前的IRQL,MSDN这样描述( One of the entries in this display shows the interrupt request level (IRQL). The !pcr extension shows the current IRQL, but the current IRQL is usually not of much interest. The IRQL that existed just before the bug check or debugger connection is more interesting. ),  我猜测这样得到的IRQL ...

今天看到了sx这个指令。 试用了下。在windbg中输入sxe ld .发现windbg会不时的自动中断。如下。 nt!DebugService2+0x10:8051261e cc              int     3kd> gnt!DebugService2+0x10:8051261e cc              int     ...

动态跟踪得到的代码如下 VPC 虚拟机 OS XP+SP2  英文版  CPU 单核 指列出不同的部分 804de764 0f8546feffff    jne     nt!Dr_FastCallDrSave (804de5b0)         [br=0]//804de76a 8b5d60          mov     ebx,dword ptr ...

原来是这样。我记得以前用softice就不会出现这样的问题。好像是把被调试的线程优先级提高。windbg有这样的功能吗或者相似的办法来解决这个问题呢。如果老是想这样发生问题。特别是在未知的OS中的代码，很容易迷路啊。。。   还有一个问题就是 我最后看到调用的系统服务居然是NtUserPeekMessage（本来应该是NtUserSetWindowsHookEx)用。我一直使用的F11(或者输入命令T）。这真让我疑惑。。。

最近想跟踪一下SetWindowsHooks一直到内核的执行过程。目标系统是XPSP2(vpc)， 我用的方法是用户态跟踪到sysenter时，使用bp nt!KiFastCallEntry.然后执行G,当断在KifastCallEntry后，有时候按F11，或者输入T，结果初夏如下错误 Breakpoint 2 hitnt!KiFastCallEntry:804de6f0 b923000000      mov     ecx,23hkd> tAccess violation - code c0000005 (!!! second chance !!!)822b9002 ...

多谢MJ的回复，看来要实现/i的效果，只有使用在目标进程设置断点的方式来替代/i的功能。