摘要： Windows内核分析索引目录：https://www.cnblogs.com/onetrainee/p/11675224.html 调试事件的派发 一、异常事件采集派发 查看这个案例 》一个简单的创建被调试进程的案例《，其中异常事件一共七种，调试器与被调试程序之间的通信就是根据内核的 DEBUG_ 阅读全文

摘要： Windows内核分析索引目录：https://www.cnblogs.com/onetrainee/p/11675224.html 调试对象的构建 一、从感性角度来理解调试器与被调试程序建立的连接 1)调试程序与被调试程序通过什么来建立连接的呢？ 答：DEBUG_OBJECT。 2）这 DEBUG 阅读全文

摘要： 有这么一段反汇编代码： 根据参数识别信息，这里是进程句柄。 但是其使用 lea传入参数，ObReferenceObjectByHandle 是根据句柄来获取内核对象。 因此，当执行完成之后，该地址已经不再是进程句柄，而是转换成内核对象了。 在之后的代码分析过程中一定要注意这一点。 阅读全文