发现这篇文章解决了我的问题：http://advdbg.org/blogs/advdbg_system/articles/1492.aspx

“……使用WinDBG的内核调试会话捕捉到的记事本进程发起系统调用进入到内核、内核函数又执行逆向调用的全过程。”（P183） 我就是不知道：怎样使用建立内核调试会话的WinDBG去捕捉记事本进程，即怎样才能捕捉到？ 这个过程信息很丰富，也综合了好多知识。我很想体验这个过程。 望大家不吝指教，感激！

Raymond老师的热情让人感动至极！ 8.3.3我已经全部实验过了，就这一小节就学到不少知识。 我相信来该站的人会越来越多。

//但是在lkd>中输入时： lkd> u ntdll!NtReadFile Couldn't resolve error at 'ntdll!NtReadFile' //或kd>中输入时： kd> u ntdll!NtReadFile Couldn't resolve error at 'ntdll!NtReadFile' //既然SharedUserData内存区域会映射到每个Win32进程空间中，就用notepad.exe进程看看，如下就成功了。 0:003> u ntdll!NtReadFile ntdll!ZwReadFile: 7c92e27c b8b7000000 mov ...

lkd> rdmsr 174 msr[174] = 00000000`00000008 lkd> rdmsr 175 msr[175] = 00000000`f78b3000 lkd> rdmsr 176 msr[176] = 00000000`80541770 lkd> x nt!KiFastCallEntry 80541770 nt!KiFastCallEntry = lkd> u nt!NtReadFile nt!NtReadFile: 8057c28e 6a58 push 58h //这里地址却过了80000000？？？书上却没有 8057c290 68a0a44d80 ...

是啊 ！我现在正在 “kd> u nt!NtReadFile L40” 中一头雾水。 不过 Raymond老师不用说抱歉，书这么厚，出点错也是难免的。

谢谢王宇老师。 本人还是在校新手。对Windbg的熟悉只好通过书本实践来摸索了，这样才能熟悉它。都怪本人问的太快，在P181页就有相似的命令却没有察觉！ 好了，不管怎样还是解决了。

kd> u ntdll... Couldn't resolve error at 'ntdll...' dump文件用的是书中自带的！ 大家帮帮忙。

谢谢张老师的回答！ 我解释以下： 这些异常给我的感觉似乎是100%的命中，却一口否定了我的“可能” 这句话不是说书中否定其它情况的可能，而想说的是Windows对这些异常的总是能很正常地处理，好像我提到的“可能”却变成了不可能。 有这样的想法是因为我怀疑Windows对这种“指令错位后的组合”有一种特殊的处理，毕竟这种“概率”也包含了安全隐患。 造成您的误解，请谅解。

张老师：我在阅读《软件调试》P82页汇编指令错位遇到疑问： 书中说“由于EIP指向错位了，所以当前的指令变成了一个ADD命令，它引用的地址是fff48b9d，这是指向内核空间的一个地址，是不允许用户代码直接访问的，这正是继续执行会产生访问违例的原因。” 通过您说的“访问违例的原因”是访问内核空间。 我知道fff48b9d这个地址是eax-0b7470h而得到的。那有没有这样的可能：''eax-0b7470h''得到的是用户空间的地址？ 还有既然是错位有没有错位成其他汇编指令的可能？而这种“错位”有没有汇编组合成访问用户空间的指令的可能？ 这些异常给我们的感觉似乎是100%的命中，却一口否定了我的“可能” 期待回答！