感谢张老师的解答！ 我又试验了一下 发现上面的nt!KiTrap01被调用时 DR6的第14位是1 也就是单步异常 而不是硬件断点 第二次断到nt!KiTrap1就是我设置的硬件断点了

在Windbg下用 ba e1 xxxxxxxxx 去断nt!NtCreateFile 被断到的时机时而是在nt!NtCreateFile入口处，时而断在nt!NtCreateFile的第二条指令处，为啥呢？

似乎是OD的问题。。。

我在双机调试的时候 在虚拟机下用OD加载一个应用程序 然后在应用程序的一个地址下了一个硬件断点，断点地址是004028c0。然后在WINDBG下bp nt!KiTrap01 此时的上下文信息： kd> g Breakpoint 0 hit nt!KiTrap01: 8053e4e4 6a00 push 0 kd> r eax=00000000 ebx=7ffd7000 ecx=0012ffb0 edx=7c92eb94 esi=ffffffff edi=7c930738 eip=8053e4e4 esp=f54b9dcc ebp=0012fff0 iopl=0 nv up di pl zr na pe ...

感谢楼上的回答：-） 我也在wrk的论坛上找到了Dave Probert的解答 和楼上说的基本是一样的 http://social.microsoft.com/Forums/en-US/kernel/thread/0a7bdc6a-06be-4209-9795-4e8206323567

似乎WRK的符号和实际对应不太一致 调试的时候很多局部变量显示不出来 显示出来的执行逻辑和实际的逻辑并不一致 不知道为啥呢