tiaoshi
2016-03-29 20:43:52 0 举报111
作者其他创作
大纲/内容
初始化一个对象结构
其中保存着调试对象的句柄
DbgUiConnectToDbg
ZwCreateDebugObject
句柄不存在时
获得TEB的0xf20的DbgSsReserved[1]是调试对象句柄
传入目标进程句柄和调试对象句柄
在目标进程中创建线程,线程函数为DbgUiRemoteBreakin
获取当前线程的TEB 0xf20偏移处的DbgSsReserved的值并返回
DebugActiveProcess
ZwDebugActiveProcess
GetTargProcessHandle
进入内核
GetThreadDbgSsReserved
用进程id获取进程句柄并返回
DbgUiDebugActiveProcess
ntdll函数,创建一个调试对象
ZwOpenProcess
DbgUiIssueRemoteBreakin
RtlCreateUserThread
Initializeobjectattributes
0 条评论
下一页
为你推荐
查看更多
抱歉,暂无相关内容