Re: KernelCallbackTable
C/C++本地代码调试
KernelCallbackTable
ytfsse
2010-11-28, 12:10 下午
想问一下PEB->KernelCallbackTable 会在何时初始化,在user32中的哪个函数中初始化,各位大牛可否指点一下如何跟踪它的初始化呢
Re: KernelCallbackTable
格蠹老雷
2010-11-28, 22:31 下午
在UserClientDllInitialize函数中初始化的,其实就是赋值为全局变量apfnDispatch:
user32!_UserClientDllInitialize+0x22e:
769fabdd 64a118000000 mov eax,dword ptr fs:[00000018h]
769fabe3 8b4030 mov eax,dword ptr [eax+30h]
769fabe6 c7402cf0ac9f76 mov dword ptr [eax+2Ch],offset user32!apfnDispatch (769facf0)
打开一个GUI程序,在初始断点时对user32!_UserClientDllInitialize设置断点,命中后就可以跟踪...