能力值:
( LV2,RANK:10 )
|
-
-
2 楼
应该是调试进程和被调试进程的关系
调试器一次只能调试一个进程
而这个数据与FS什么的有关系
个人认为并不是句柄
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
BOOL
WINAPI
DebugActiveProcess(IN DWORD dwProcessId)
{
NTSTATUS Status, Status1;
HANDLE Handle;
/* Connect to the debugger */
Status = DbgUiConnectToDbg(); // 这个函数里
if (!NT_SUCCESS(Status))
{
BaseSetLastNTError(Status);
return FALSE;
}
...
}
NTSTATUS
NTAPI
DbgUiConnectToDbg(VOID)
{
OBJECT_ATTRIBUTES ObjectAttributes;
/* Don't connect twice */
if (NtCurrentTeb()->DbgSsReserved[1]) return STATUS_SUCCESS;
/* Setup the Attributes */
InitializeObjectAttributes(&ObjectAttributes, NULL, 0, NULL, 0);
/* Create the object */
return ZwCreateDebugObject(&NtCurrentTeb()->DbgSsReserved[1], // 这个
DEBUG_OBJECT_ALL_ACCESS,
&ObjectAttributes,
DBGK_KILL_PROCESS_ON_EXIT);
猜测楼主可能问的是这个,代码来源于ReactOs
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
NtDebugActiveProcess
DbgkpSetProcessDebugObject
|
|
|