DbgUiConnectToDbg(ntdll.dll)函数逆向

暂时未解决问题：

1.  [fs+0F24h]中存储着什么东西。

　　答案：其存放着被调试程序的DbgObject句柄。_NtCreateDebugObject(ntoskrnl.exe)函数逆向分析

---

 

该函数作用：

　　创建调试对象，将被调试对象加入到句柄，并将被调试对象放在fs:F24h。

该函数只是简单构造了一个 OBJECT_ATTRIBUTES, 然后调用内核的 CreateDebugObject() 来创建被调试对象。

 

函数开始时简单判断了一下调试器 [fs:F24h] 是否存在值（跟调试相关），如果为零则尝试构建内核对象。

 

最后调用内核中的NtCreateDbgObject函数，得出调用时其参数的值：