暂时未解决问题:

1.  [fs+0F24h]中存储着什么东西。

  答案:其存放着被调试程序的DbgObject句柄。_NtCreateDebugObject(ntoskrnl.exe)函数逆向分析

该函数作用:

  创建调试对象,将被调试对象加入到句柄,并将被调试对象放在fs:F24h。

该函数只是简单构造了一个 OBJECT_ATTRIBUTES, 然后调用内核的 CreateDebugObject() 来创建被调试对象。

函数开始时简单判断了一下调试器 [fs:F24h] 是否存在值(跟调试相关),如果为零则尝试构建内核对象。

最后调用内核中的NtCreateDbgObject函数,得出调用时其参数的值:

  

最新文章

  1. 76. Minimum Window Substring
  2. SQL 2008 R2 启动失败 提示 请求失败或服务未及时响应
  3. BZOJ 3929 Circle of digits 解题报告
  4. C#中多线程 委托的使用
  5. Android学习笔记(十七)——使用意图调用内置应用程序
  6. <Win32_12>程序员求爱的创意程序——升级版^_^
  7. HDU 2601 An easy problem
  8. Android 纵向跑马灯滚动效果
  9. Android服务器——TomCat服务器的搭建
  10. Docker 核心技术之仓库
  11. linux(fedora) 第二课
  12. hdu-1043 bfs+康拓展开hash
  13. python中匿名函数lambda
  14. Study 2 —— 格式化输出
  15. 类(字符串型;日期时间型;Math)
  16. 解决windows和ubuntu之间粘贴复制失效
  17. libgdx学习记录16——资源加载器AssetManager
  18. Duplicate entry '' for key 'username'
  19. 玩转OpenStack
  20. xpath中遇到[<Element a at 0x39a9a80>](转)

热门文章

  1. 【西北师大-2108Java】第十次作业成绩汇总
  2. ajax配置项中的type与method
  3. 用dotnet core搭建web服务器(二)路由表与封装
  4. CH-0304 IncDec Sequence
  5. Selenium(十四):自动化测试模型介绍、模块化驱动测试案例、数据驱动测试案例
  6. golang-结构体与指针
  7. iOS常用算法之两个有序数组合并, 要求时间复杂度为0(n)
  8. mysql主从配置实现一主一从读写分离
  9. 流程控制之if,while,for
  10. Undo 相关的等待事件和已知问题 (Doc ID 1575701.1)