摘要：[前言] 在张银奎老师的《软件调试》一书中，详细地讲解了使用内存的分支记录机制——BTS机制（5.3），并且给出了示例工具CpuWhere及其源代码。但实际运行（VMware XP_SP3 单核）并没有体现应有的效果，无法读取到分支记录。查看了源代码并没有发现任何问题，与书中所讲一致。既然软件本身没 阅读全文

摘要：书中作者使用 dt _PEB xxxxxx 命令来查看当前进程的PEB结构。实际操作后PEB结构显示的成员值：作为进程链表的LDR结构居然没有值，这显然是不正常的，地址也没有输错，问题到底出在哪里呢？书中提到PEB位于用户态空间，可能有多个进程共享同一个PEB，所以在查看之前须使用 .process... 阅读全文

摘要：依书上的例子，ReadFile()函数会调用ntdll!NtReadFile()，后者将服务号放到eax之中，然后调用SharedUserData!SystemCallStub()，由此函数执行sysenter指令来切入内核。但是实际操作查看反汇编却是这个样子：指令完全是错乱的，猜测此处应该是不是指... 阅读全文