[求助]手动将虚拟地址转换成物理地址
也会获得eprocess结构

[求助]手动将虚拟地址转换成物理地址
按照你的提示，我测试，并且恶补知识，现在问题解决，如下：
你说的很对，机器打开PAE了，虽然我知道PAE，但是自以为PAE默认是关闭的，于是没有考虑是否开启，没想到开机启动选项是/noexecute=optin，以前都不知道这个选项是干嘛的，现在才知道这个是开启数据执行保护 (DEP) 和物理地址扩展 (PAE)。
（DEP和PAE介绍e92K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4c8W2j5$3S2F1k6i4c8Q4x3X3g2E0K9h3y4J5L8%4y4G2k6Y4c8Q4x3X3g2U0L8$3#2Q4x3V1k6*7K9q4)9J5k6r3y4F1i4K6u0r3k6X3j5#2y4o6t1J5y4K6g2Q4c8e0N6Q4z5e0g2Q4z5e0W2Q4c8e0c8Q4b7V1c8Q4z5f1y4Q4c8e0c8Q4b7V1u0Q4b7e0g2Q4c8e0g2Q4z5e0m8Q4z5p5g2Q4c8e0g2Q4z5p5k6Q4z5o6u0Q4c8e0S2Q4z5o6m8Q4z5o6y4Q4c8f1k6Q4b7V1y4Q4z5o6V1`.
所有问题源于此，顺便说一下，不需要进入进程空间，因为我是通过!process来获得DirBase，这就是页目录的物理地址。为了准确性我也测试了的，本人太菜，只能事实说话。。。
非常感谢你，也感谢那些帮助的人。

[原创]现学现用之windbg的高级玩法外篇二：干掉QQProtect.sys
楼主，我刚开始学习windbg，我按照你说的步骤来分析，前面的都很顺利，可是到了使用!chkimg指令检查了nt模块的所有被修改的数据的时候只是显示如下：
kd>  !chkimg -d nt
    80597fee-80597ff1  4 bytes - nt!KeUserModeCallback+8
        [ 1e 0f fa ff:94 a2 9b 31 ]
    805a9291-805a9297  7 bytes - nt!MmUnmapViewOfSection+17 (+0x112a3)
        [ cc cc cc cc cc 8b ff:e9 3a 19 9a 31 eb f9 ]
11 errors : nt (80597fee-805a9297)
只有后面两个，但是SSDT确实有14处被修改，我的系统是xp sp3 vol，只装了windbg，也很干净，看不到以前被修改的值，怎么恢复SSDT呢？？？

[求助]关于C++静态数组初始值的问题。
不行吧，仔细看看，发现这样少“,”，并且这样构造宏麻烦，比如1234，更大的更不好搞了

[求助]怎么阅读源代码？？？
不是用什么工具的问题。。。是代码太大，该怎么条理的看

[求助]想学习文件压缩
你都是看什么资料？？？我在网上找电子书都好老的。。。

[求助]VS2010配置WDK开发环境
知道问题所在了，还是配置问题，哎，自问自答了。。。

[求助]字符串的一点问题
已经懂了，是八进制，都忘了。。。

[原创]一个非明码比较,无错误提示的crackME-小鸟学注册(2)
帖子老了，也不知道适不适合再回帖，但是本人刚开始学习，也就本着对自己负责的态度说说这其中的问题，好像也没人提出来。
就是
for(i=0;i<name_len;i++)
  {
    temp=(((((name[i]^table[i*3-1])+((total*i-total)^0xffffffff)+0x14d+(i+3)*name_len*name[i])%10+0x30)^0xadac)*(i+2))%10+0x30;
    midserial[i+1]=(char)temp;
  }
这段代码中table[i*3-1]的小问题，i从0开始，也就说此时是table[-1]，但是此处的思想是对的，因为反汇编的确是这样操作的，我想是编写程序的人的一个失误，我想编写原程序的人应该想的是i从1开始，因为这样i才有可能等于9，这时才能访问"Z"，不然"XYZ"就没意义。。。
并且反汇编的这个下标为-1的值总是为0x00;楼主反汇编后也是，但是自己写的注册机是0xCC，估计是此处的0x00是之前有变量赋值在此，于是只好判断i==0的时候让它等于0x00。。。