摘要: Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 调试事件的派发 一、异常事件采集派发 查看这个案例 》一个简单的创建被调试进程的案例《,其中异常事件一共七种,调试器与被调试程序之间的通信就是根据内核的 DEBUG_ 阅读全文
posted @ 2019-11-19 23:43 OneTrainee 阅读(497) 评论(0) 推荐(0) 编辑
摘要: Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 调试对象的构建 一、从感性角度来理解调试器与被调试程序建立的连接 1)调试程序与被调试程序通过什么来建立连接的呢? 答:DEBUG_OBJECT。 2)这 DEBUG 阅读全文
posted @ 2019-11-19 19:06 OneTrainee 阅读(654) 评论(0) 推荐(0) 编辑
摘要: 有这么一段反汇编代码: 根据参数识别信息,这里是进程句柄。 但是其使用 lea传入参数,ObReferenceObjectByHandle 是根据句柄来获取内核对象。 因此,当执行完成之后,该地址已经不再是进程句柄,而是转换成内核对象了。 在之后的代码分析过程中一定要注意这一点。 阅读全文
posted @ 2019-11-19 16:51 OneTrainee 阅读(247) 评论(0) 推荐(0) 编辑