_NtCreateDebugObject(ntoskrnl.exe)函数逆向分析
该函数由 DbgUiConnectToDbg(ntdll.dll)函数 调用。
其调用时传入的参数如下:
函数作用:初始化被调试的内核对象,将被调试对象句柄放入调试对象的 [fs:f24]处。
1.现在我们了解到 [FS:F24]处存放的是被调试程序的调试对象句柄。
2.当被调试程序中断时,其会发送给调试程序指令,其就存放在 DebugObject.EventList中。
该函数由 DbgUiConnectToDbg(ntdll.dll)函数 调用。
其调用时传入的参数如下:
函数作用:初始化被调试的内核对象,将被调试对象句柄放入调试对象的 [fs:f24]处。
1.现在我们了解到 [FS:F24]处存放的是被调试程序的调试对象句柄。
2.当被调试程序中断时,其会发送给调试程序指令,其就存放在 DebugObject.EventList中。
