啊~其实只是想偷懒用一下.kdfiles替换磁盘过滤驱动啦，因为BOOT型驱动只能在bootdebug模式下才能自动替换嘛，但是虚拟机的虚拟串口调试起来实在太慢拉~

如题……因为WIN8.1不是支持网络内核调试了嘛，然后2012R2约等于WIN8.1，我在ESXI上建了一个虚拟机，然后装上2012R2之后，开启了网络内核调试，成功连上了windbg，但是由于开发的是磁盘过滤驱动……想要使用kdfiles替换驱动的话，就必须打开bootdebug选项，我打开之后，还是没有办法断到WINLOAD中，也没办法替换驱动，谷歌了一下，有人说只有uefi引导的bootmgr才支持net调试，我又装了一个UEFI的……但是还是没有断下来……有木有有这方面的研究？因为用串口实在太慢了……而且bootdebug开启的时候，没办法用virtualkd……速度太慢了…… 

我也不清楚，前些天看到的，虽然没具体看过，但是一看描述和标题一个字都没改，就觉得百分之90是在盗版，还卖钱……打着国内第一安全培训视频网站的旗号……这么明显的盗版居然都能放上去么……

http://www.ichunqiu.com/course/303这里，感觉就是您之前的博客，而且通篇没有提到您的名字，还是用于商业用途的，这是张老师授权的？

如果有两个类A和B，B是父类，A是子类，A继承B的话，在代码中是A a;B b = a;那windbg中的locals窗口，展开变量b会显示一个__vtcast_A 的成员，后面会出现一个class A但是在命令窗口中无论是用DT还是用别的比如??好像都没办法显示出这个子类，有什么办法吗？ 

如题，在登陆界面之后，就只有鼠标没有别的界面，使用任务管理器可以打开包括IE等程序。explorer运行正常没有报错……而且桌面的壁纸也没有显示，好像壁纸不是explorer绘制的吧，而且explorer的父进程ID不在进程列表中。安全模式下也没有办法进入桌面，不知道张老师有没有什么好的思路，或者说大致有可能有问题的范围…… 补充：昨晚也黑了一次，使用sfc扫描一次系统之后恢复了，今天开机还是黑屏而且再使用SFC没有效果。。。使用windbg运行explorer也没有错误发生，但是就是看不到桌面跟壁纸。全是黑的，没有头绪，壁纸是由userinit绘制的还是explorer绘制的呢……

唉……千辛万苦终于弄到DMP了，但是X64的分析好艰难……前四个参数找的人都傻了……还是找不到……难呀难呀……

http://www.syschat.com/windows-7-missing-crash-dump-files-6132.html参考这个， If your system isn't on a domain, and has less than 25GB free space, then Windows 7 will no longer keep a crash dump file. If you'd like to change that, launch REGEDIT, browse to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\CrashControl, ...

嗯嗯~好的，等张老师有空的时候看两眼就好~毕竟堆栈应该还是挺清晰的，指点一下方向~

最近朋友的电脑出了问题，就如标题所言的点击都会导致explorer崩溃~The stored exception information can be accessed via .ecxr.(a10.1a00): Access violation - code c0000005 (first/second chance not available)eax=00000000 ebx=00000000 ecx=09c0d478 edx=00000000 esi=09b958e8 edi=00000000eip=75de8436 esp=09eff074 ebp=09eff088 iopl=0         nv up ei pl zr na pe ...