-
最近用softice调试内核,发现如下难以理解的事情! 在softice里使用命令:u zwcreatefile,现象如下: ntoskrnl!ZwCreateFile 0008:804D1A46 MOV EAX, 00000020 0008:804D1A4B LEA...全文
◆
◆
-
wowocock:bpx ntdll!ntcreateprocess(2004-05-21 09:53)
-
noble_shi:谢谢大侠解答!这个问题迷惑了我很长时间,呵呵。如果我在softice里想设置断点或者看ntdll.dll中的NtCreateProcess等函数,应该怎么做? 默认的bpx ntcreateprocess就将断点设置到ntoskrnl中了!(2004-05-21 08:29)
-
seaquester:ntdll.dll导出的Zw*与Nt*实际指向同一函数。2000下此类函数利用Int 2E进入ring0,由KiSystemService分发服务。 ntoskrnl.exe导出的Nt*是为内核程序准备的,他们没有外包装,一开始就是函数的实现;Zw*进行了包装,它们的实质是...(2004-05-20 23:12)
