你确认这个地址可读？edi+3B0h

看了张老师的<<在调试器中看阿里的软件兵团>>时，找了个Hard Faults比较高的程序，有点疑惑，C:\$Extend\$UsnJrnl:$J和C:\$Mft是啥呀?谷歌也搜不到，还有有的列的字是红颜色的，这些颜色代表的意思在哪查呀，初学这个，还望大神们指点

ring3层看不到，可以再开一个windbg用kd调试的 local能看到

应该不像是我代码的bug，代码段是不能直接改写的。也不知道这种问题怎么查~~

张老师，最近用户机收集的dump文件windbg自动分析会出现CHKIMG_EXTENSION: !chkimg -lo 50 -d !Music    5afc004e-5afc0070  35 bytes - Music!OpenFile+21e [ 18 ff ff ff ff 15 d4 d2:00 00 00 00 00 00 00 00 ]    5afc0073-5afc0092  32 bytes - Music!OpenFile+243 (+0x25) [ 50 8d 8d 18 ff ff ff ff:00 00 00 00 00 00 00 00 ]    ...

好 谢谢 我下次遇见了试试

不知道 .effmach x86和 .load wow64exts能不能帮到你

个人理解：逻辑地址,线性地址windows下是一样的，因为各段基地址在windows下都是一样的(所谓内存平坦模式)，逻辑地址,线性地址应该是在虚拟内存上。虚拟内存是在硬盘上，物理地址是内存条。不知这样理解对不

谢谢，又学到东西了

最近在看dump文件时，偶尔会遇到过这种问题，所有线程调用堆栈都是完整并且没有KiUserExceptionDispatcher之类的异常函数， FOLLOWUP_IP字段如下，而且ERROR_CODE: (NTSTATUS) 0x80000003 ，居然是断点。。。FOLLOWUP_IP: QtCore4!QEventDispatcherWin32::processEvents+e4 [d:\qt\4.7.1\src\corelib\kernel\qeventdispatcher_win.cpp @ 742]672134a3 ??             ...