123456

摘要： 以下所有例子都以CALC程序为示例----hgy413 notes.1 dd*命令显示给定范围内存的内容。d, da, db, dc, dd, dD, df, dp, dq, du, dw, dW, dyb, dyd (Display Memory)如果省略掉Range ，命令将会从上一条内存查看命令结束的位置开始。这使得可以连续的进行内存查看。d这种显示的格式和最近一次d*命令的格式相同。如果之前没有使用过d*命令，d 和db 的效果相同。注意d重复前一个以d开头的命令。包括dda、ddp、ddu、dpa、dpp、dpu、dqa、dqp、dqu、dds、dps、dqs、ds、dS、dg、dl 阅读全文

摘要： 以下的所有示例都是加载calc程序1 lmflmf可以列出当前进程中加载的所有DLL文件和对应的路径给个例子:0:001> lmfstart end module name01000000 0101f000 calc C:\WINDOWS\system32\calc.exe10000000 100b0000 safemon C:\Program Files\360\360Safe\safemon\safemon.dll58fb0000 5917a000 AcGenral C:\WINDOWS\AppPatch\AcGenral.DLL5adc0000 ... 阅读全文

摘要： 字号：大中 小 让我们来看看CreateThread都干了些什么。 上图显示了系统在创建线程和对线程进行初始化时必须做些什么工作。调用CreateThread可使系统创建一个线程内核对象。该对象的初始使用计数是2（在线程停止运行和从CreateThread返回的句柄关闭之前，线程内核对象不会被撤消）。线程的内核对象的其他属性也被初始化，暂停计数被设置为1，退出代码始终为STILL_ACTIVE（0 x 1 0 3），该对象设置为未通知状态。 一旦内核对象创建完成，系统就分配用于线程的堆栈的内存。该内存是从进程的地址空间分配而来的，因为线程并不拥有它自己的地址空间。然后系统将两个值写入新线程的堆 阅读全文