哎 只是用KV命令时可以显示堆栈了 还是不行啊 kv ChildEBP RetAddr Args to Child WARNING: Stack unwind information not available. Following frames may be wrong. 00060e44 0041b328 004306c9 ffffffff 00000000 osloader+0x1b44c 00060e60 004185f9 00433210 0003f000 00426f10 osloader+0x1b328 00060e84 0040480c 00437600 00400000 00431048 ...

我先进XP下了一下symbols 然后又重启就好了 真奇怪啊 在用ntldr_dbg替换ntldr之前明明有.reload了的 不过不管了 只要能用就好了

完整的信息如下： Microsoft (R) Windows Debugger Version 6.9.0003.113 X86 Copyright (c) Microsoft Corporation. All rights reserved. Waiting for pipe \\.\pipe\xp Waiting to reconnect... Connected to Windows Boot Debugger 2600 x86 compatible target, ptr64 FALSE Kernel Debugger connection established. Symbol search path is: *** Invalid ...

kd> .reload Connected to Windows Boot Debugger 2600 x86 compatible target, ptr64 FALSE Module List address is NULL - debugger not initialized properly. WARNING: .reload failed, module list may be incomplete KdDebuggerData.KernBase < SystemRangeStart Loading Kernel Symbols Module List address is NULL - debugger not initialized ...

测试的时候发现调用一个函数的时候 后面出现的不是函数名字了 都是内存中的地址 不像在测试bootmgr等vista中的东西的时候 那些函数都是名字 这样，我想要了解ntldr的运行情况就要困难很多了 虽然基本的汇编的代码我看得懂 但是要弄清那些代码究竟是什么意思还是很难 请问有什么好一点的方法吗？

谢谢MJ0011 确实是版本的问题 我的那个是windows server2003的 我在你给的那个网站上下了XP的 果然好了

我下午又装了一个windows 2003 server版的ddk 终于找到ntldr_dbg了 我把xp的boot.ini中添加了调试选项 /debug comport:com1 /bautrate=15200/debugstop 然后又用ntldr_dbg替换了ntldr，结果启动的时候显示''NTLDR is corrupt. The system can not boot.''

我刚才在网上查了下 说是在debug目录下 我又在xp中装了下ddk 还是没找到ntldr_dbg 难道是ddk版本的问题？我用的是windows driver kit 6001.18001

刚找了一下 没发现 能告诉我一般是在哪个目录下么 我的系统是vista的 是不是可能没有那个东西啊

谢谢MJ0011 我一会去试试 我也是做信息安全的 不过是学生啦 最近刚也有看看你关于tophet的东西呢 很佩服你