摘要:
当读者需要获取到特定进程内的寄存器信息时,则需要在上述代码中进行完善,首先需要编写`CREATE_PROCESS_DEBUG_EVENT`事件,程序被首次加载进入内存时会被触发此事件,在该事件内首先我们通过`lpStartAddress`属性获取到当前程序的入口地址,并通过`SuspendThread`暂停程序的运行,当被暂停后则我没就可以通过`ReadProcessMemory`读取当前位置的一个字节机器码,目的是保存以便于后期的恢复,接着通过`WriteProcessMemory`向对端`(void*)dwAddr`地址写出一个`0xCC`断点,该断点则是`int3`停机指令,最后`ResumeThread`恢复这个线程的运行,此时程序中因存在断点,则会触发一个`EXCEPTION_DEBUG_EVENT`异常事件。 阅读全文