-
-
[讨论]dump文件分析
-
发表于:
2015-11-3 09:53
3567
-
偶尔看到这个帖子,http://bbs.pediy.com/showthread.php?t=81121
这个帖子最后都没有一个准确的答复就被关闭了,没办法,还是确认下吧,学习嘛。
帖子不长,大家还是看看原帖吧,我就不说重复的了。
最后我的分析和最后的一位分析的差不多,疑问也和他一样。
并且还有如下的疑问:
1. !process 0 0 不能查看进程,并且报错
2. PspCatchCriticalBreak的一个参数是EPROCESS的结构,也就是ObReferenceObjectByHandle返回的结构,这个是csrss的eprocess结构。但是ObReferenceObjectByHandle的第一个参数handle却是11.exe的句柄,按道理应该获取的是11.exe的EPROCESS结构?有没有对这几个函数比较了解的??
3. 进程退出调用的NtTerminateProcess第一个参数应该是-1,就是正常情况下是当前进程,为什么这里的不是-1??11.exe手动调用的NtTerminateProcess??有没有什么方式获得答案??
4. csrss.exe是谁结束的?为什么结束?
有么有大神分析下的,相当于教学了
谢谢!
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
