123456

摘要： 存在着GDI对象表，可以通过未有文档的函数GdiQueryTable查询到：此函数存在于GDI32中，在GDI对象表中，每个Cell应该是一个16字节的结构体：struct { void *pKernel; USHORT nProcess; USHORT nCount; USHORT nUpper; USHORT nType; void *pUser;}GdiTableCell;pKernel指向的是内核地址（页面池)，每个GDI对象都有GDI对象表指向的内核数据结构nProcess是进程标识符，说明GDI对象是进程相关的nCount一般为0，但是对于DDB来说，当它被选入一个... 阅读全文