断在被XX进去的线程起点处
2009-11-27 Nie.Meining Debug
需要监控指定进程中每个ring3线程的创建,包括被别的进程CreateRemoteThread进去的。并且不能注册线程创建的回调函数
WinDbg了一阵,解决方案如下:
断在nt!PspUserThread处,然后读[fs:[0x124]+0x228],即ETHREAD->Win32StartAddress
shutdown命令
2009-11-18 Nie.Meining Debug
做个笔记,如图:
shutdown -a 由 AbortSystemShutdownW 实现;
shutdown -xxx -t 0 由 ExitWindowsEx 实现;
shutdown -xxx -t xx 由 InitiateSystemShutdownExW 实现。
-
个人档案
Nie.Meining meiningnie@gmail.com
tech_support@tca.iscas.ac.cn
编程、内核、调试、逆向、搬砖 -
日历
-
搜索
链接
分类
最新日志
最新评论
- knoca
776c40 best age take... - knoca
776c40 is wirkung wi... - Aarontic
http://zithromax0l1.... - knoca
776c40 we recommend ... - Aarontic
http://metformin0l1.... - Aarontic
http://cialis0z.com ... - Aarontic
http://lisinopril0l1... - knoca
is safe online order... - knoca
best gnc is ... - Aarontic
http://tadalafild9z....
存档
- 2017年5月(1)
- 2017年4月(1)
- 2017年3月(1)
- 2015年3月(1)
- 2014年11月(2)
- 2014年10月(2)
- 2014年8月(1)
- 2014年2月(2)
- 2014年1月(6)
- 2013年12月(15)
- 2012年11月(2)
- 2012年6月(1)
- 2012年3月(1)
- 2012年2月(3)
- 2011年12月(1)
- 2011年11月(1)
- 2011年5月(5)
- 2010年12月(1)
- 2010年11月(3)
- 2010年9月(3)
- 2010年8月(2)
- 2010年4月(1)
- 2010年3月(2)
- 2010年1月(1)
- 2009年12月(8)
- 2009年11月(2)
- 2009年10月(1)
- 2009年9月(1)
- 2009年8月(9)
- 2009年3月(3)
- 2008年7月(2)
- 2008年6月(1)
- 2008年5月(1)
- 2008年4月(5)
- 2008年2月(1)
- 2007年12月(2)
- 2007年11月(1)
- 2007年8月(1)
- 2007年7月(1)
