断在被XX进去的线程起点处

2009-11-27 Nie.Meining Debug

需要监控指定进程中每个ring3线程的创建,包括被别的进程CreateRemoteThread进去的。并且不能注册线程创建的回调函数
WinDbg了一阵,解决方案如下:
断在nt!PspUserThread处,然后读[fs:[0x124]+0x228],即ETHREAD->Win32StartAddress

阅读全文>>

评论(0) 浏览(23280)

shutdown命令

2009-11-18 Nie.Meining Debug

做个笔记,如图:

 点击查看原图

shutdown -a 由 AbortSystemShutdownW 实现;

shutdown -xxx -t 0 由 ExitWindowsEx 实现;

shutdown -xxx -t xx 由 InitiateSystemShutdownExW 实现。

阅读全文>>

评论(0) 浏览(2463)

Powered by emlog