2012-11的存档

DbgkExitThread, DbgkExitProcess

线程创建和进程要做的事情稍微多一点, 但是线程退出和进程退出要做的事情就不多了. 再加上上一篇我们已经分析了几个调试辅助函数, 所以这篇有营养的内容其实不多. 有创建就有销毁, 发起销毁调用的是PspExitThread, 下面摘抄一段他的代码.  ...

DbgkCreateThread

首先我们需要替换的是 rdmsr, wrmsr替换掉系统的sysenter跳转地址. 这样整个SSDT表函数都处于被我们的监控当中. 一个新的进程创建线程的时候就会调用到DbgkCreateThread.DbgkCreateThread可以发出两种消息, 一种进程创建,和线程创建消息. 当然, ntdll.dl...

CreateDialogParam非模态对话框

恩, 非模态对话框有时候还是有些应用的. // WinTest.cpp : Defines the entry point for the application. // #include "stdafx.h" #include "resource.h" BOOL InitDialog(HWND hWnd, UINT uMsg, WPARAM wParam, LPARAM...