梵·烈火的专栏

正在逐章学习《调试软件》一书，看到2.7分页机制。仿照书上的例子，试着手工把虚拟地址转换到物理地址。由于书中的例子是针对未开启PAE的情况，而我的XP SP2默认开启了PAE，所以白白浪费了大半天时间。话说以前还真不知道启动参数里面/noexecute=optin也会开启PAE。后来在网上找到了作者针对开启PAE后如何转换的文章，重新实验了一下。原文地址：http://advdbg.org

第四章 调试笔记之侦查广告插件讲述内容：如何设置WinDBG为及时（JIT）调试器，调试应用程序错误异常。使用命令：WinDBG -I将WinDBG注册为系统的JIT调试器，I为大写。及时调试器的注册信息存放在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug。如果是64位系统，这个表项存放的64位的调

第一章 从堆里抢救丢失的博客讲述内容：如何在内存中搜索数据使用命令：lm列出进程使用的模块~列出该进程的所有线程!heap列出堆信息!address列出用户态空间所有区域这个命令显示内容似乎随着版本不同有所变化，我所使用的6.2.9200显示的格式就与

第3章 徒手战木马讲述内容：遇到一台进入桌面后没有启动explorer.exe的系统，在注册表中发现Winlogon的Userinit项被加入了木马程序。去除Userinit项中的木马程序，重启后，在进入桌面时被强制登出，在安全模式下情况一样。使用ERD（Emergency Repair Disk Commander）启动，再次查看注册表Userinit项，发现Userinit.exe

第二章  修复因误杀而瘫痪的系统讲述内容：通过串口连接进行Windows内核调试，定位错误，最终修复一个无法进入桌面的系统。关键点：F8“在Windows启动早期，按F8键调出高级启动选项，然后选择调试模式启动。”不知道为什么在我的Win7下按F8键无法呼出启动选项。BugCheck       C000021A

半个月前的调试记录，整个过程还是挺有意思的，发出来存档用吧。不久前，客户给工程部的同事反映最近软件出现了一些奇怪的问题。现象就是有在进行使用某个功能的时候要载入一个Dll，有一台电脑在会载入失败，而且载入失败的时候会反复弹出提示对话框，都点掉之后程序就会崩溃。同事首先尝试重新拷贝这个dll文件，现象依旧；重新拷贝整个应用软件，依然无果。事情还没完，又过了几天，到了周末的时候，客户突然打

原文地址：http://blogs.msdn.com/b/oldnewthing/archive/2006/08/21/710754.aspx大家也许经常盯着调用栈，寻找捕捉到的异常以及在哪里发生的异常。ChildEBP RetAddr Args to Child030c21d0 76df3448 00000000 030c6138 76db6b0d ntdll!DbgBreakP

CString在MFC下是一个使用非常广泛的字符串类，但是对于其内部实现大部分人却知之甚少。这里简单的描述一下CString在多线程环境下可能碰到的问题。一般而言，大部分人都认为CString对象并不是线程安全的，在多个线程中访问同一个CString对象需要使用同步手段来保证读写的一致性，而在各自的线程中访问局部的CString对象则没有什么问题。现在看一下CString的

在客户的服务器上安装WinDBG，操作系统是Windows2003 R2 32bit。安装时候先是Windows Installer版本太低，更新后完成安装。使用ADPlus进行Dump时提示还需要安装.net Framework 4.0。装好之后又提示需要Windows图像组件（WIC），装好后总算可以了，真是一番折腾。

第五章 拯救"发疯"的Windows7讲述内容：一Win7进入桌面时提示“Windows must now restart because the Power service terminated unexpectedly”，随后强制重启。利用WER机制，分析系统转储文件，定位栈缓冲区溢出错误。关键点：1、WinRE在高级启动菜单中选择Repair Your Sys