谢谢 ，非常感谢

非常感谢

如题，求助

我试试，但是我觉得可能性很小。

平时和朋友聊天，觉得讨论不够也是很常有的事。在朋友的建议下，建了个群： 258270124正如张老师说的，做技术需要有个氛围，所以非常期盼能有高手加入，这样这个圈子也会有更多有能力的人。要说年纪，好像已经过了喜欢在群里争论的年纪。要说提高水平，很多人都说群里交流不是真正能提高技术的地方。不过，我想，什么事情都一步一步来，有个讨论的地方，总归是往提高的路上走了一步。论坛本身是个很不错的地方，不过我想讨论群也有她的好处。

一个32位程序，win7 64位系统上用windbg启用调试，结果发现停在这个地方（在32位系统上没问题）：看文件名好像是校验二进制文件的校验和，但是找不到更多信息，想请指导的人提示下。ntdll!LdrVerifyImageMatchesChecksum

如题

今天调试NSIS安装文件时碰到一个问题，32位的安装程序在64位系统上跑（Win7 64 bit）安装流程中，拷贝文件，将能将文件拷贝到 c:\windows\system32\drivers下。卸载流程中，删除文件时却无法删除该目录下的特定文件，而是删除c:\windows\syswow64\drivers下的文件。初步看起来，应该是文件系统重定向的问题。调试发现，删除文件时，调用DeleteFileA API。而拷贝文件时调用的是 SHFileOperation，然后调用CreateFileA ...

谢谢回复

《格蠹汇编》中75页说道，“从上下文来看，这个线程正在执行用户态的代码”。我有个疑问，每个线程存在两个堆栈，用户态栈和内核栈，在一般情况下，我们查看某个线程的上下文时，发现eip的地址都<0x8000000，个人的理解是，这个是用户态的栈，自然都在低2G内存运行。而书中又说“大多数情况下，我们很难在调试器中看到一个线程在用户态执行，因为大多数应用程序的用户态代码都是执行一点操作后，便调用系统服务进入内核态执行。”作者肯定不像我说的，是看eip的值，来判断线程是在用户态执行，那么怎么查看某个时刻，线程是在用户态运行还是内核态？