摘要：晚上在试图解决某个问题的时候，尝试在PROCESS CALLBACK下获取命令行参数，但是在WINDBG下调试的时候1、先切换到目标进程kd> .process /p 0x825da8d8 Implicit process is now 825da8d82、再输出PEB结构体信息kd> dt _pe... 阅读全文

摘要：这是个老生常谈的问题，对于XP没有什么好办法，对于Server 2003开始的系统，可以使用!irql 命令: kd> !irql 1 Debugger saved IRQL for processor 0x1 -- 0 (LOW_LEVEL) 有一个名为 KiOldIrql 的全局变量，在 K... 阅读全文

摘要：快捷键：SHIFT + F7 呼出创建段 把一个立即数当作某段的偏移： ALT+R（选择段） CTRL+O（当前段） O 切换偏移和立即数 CTRL+R暂时还没研究 T 按指定结构体偏移 创建一个段（我们这里只说说明X86环境，以下示例转载自IDA PRO手册）： Create segment - ... 阅读全文

摘要：在DOS下调试保护模式程序不能用DEBUG或者TURBO DEBUGGER等调试器，而BOCHS则可以。因为我们不知道程序加载的时候其物理地址是多少，所以没办法在程序的指定物理地址下断点，但是我们可以把断点下到一个系统固定的地址，这个地址的数据应该是非关键的，然后我们把这个地址里的内容PATCH成R... 阅读全文