啊哈，多谢张老师了。对比了下我编译出来的，果然一模一样，甚至窗口上的乱码都一样： Windows Debugger:5.00.2195.11 更幸运的是符号也下载到了， 这回估计很快能搞出山寨版的了

呵呵，上次时间关系处理的太粗心了， 不过真没想到还有MmSystemLockOwner 呢，多谢指点了呀。（你的超空间部分我还期待着啊） 期间忙于打杂，这几天才有空继续搞搞那个windbg，其实也是win2k代码里的。不过缺了好些头文件，反汇编引擎也没有，目前总算都搞齐了，就是还有不少bug，所以想逆下原版的，知情人士有的话提供一下哦。都搞完了我会继续开源，哈哈，希望能做的更加强大。 话说其实windbg的代码挺多要学习的，里面表达式解析就很全，还有源码调试、高亮，挺好的

张老师您好，由于兴趣，想研究win2k中那个纯C写的windbg，但网上找了一圈貌似没下载的了 ，只好到您这来问问，因为看到软件调试上有提到，您还有珍藏，另外那个win2k ddk中带的内核调试器的src也麻烦来一份，不胜感激，呵呵！ 我的邮箱 weolar@qq.com

哦！谢谢张老师。 另外，DumpBts2ETW这个函数我找遍工程也没看见在哪被引用？

请问代码中，DoTraceMessage 这个函数的实现 在哪呢？

张老师请见谅，瞧我这记性，把您的姓都给打错了…… 关于进程的问题，我想只好挂接KiSwapContext来辅助分析了。 当然《软件调试》这本书包含的内容不仅仅是windows下的，不过其中关于这些的是我最感兴趣的了，简直当成工具书来查询，呵呵。（当然其他部分也很棒） 确实有这个想法开发样本行为分析工具，而且不光可以用来分析样本，我想可以做出很多事情吧^_^。

呵呵，这篇文章只要搜索Branch Trace Stored 第一个就能看见，不过里面也没关于进程的问题。我想INTER是不是记录的信息太少了。 其实我只是大4刚签完工作的学生而已，刚从事反病毒行业，见笑了^_^

我打算好好研究研究intel x86提供的Branch Trace Store的功能，不过您的软件调试在某些地方都没说清楚。典型的问题有： 1.您的CpuWhere不能，让cpu只记录下我们需要记录的进程的Branch，这个问题有什么好的解决方案？或者说怎么在记录的数据里面剔除不需要的进程的？ 2.有没有对这个功能比较成熟的应用的程序的代码或者资料？ 谢谢陈先生的软件调试，可以说是windows的一种解读，呵呵。