这个问题很简单，看看源码 / 跟一下就知道了 http://advdbg.org/forums/2018/ShowPost.aspx 首先 MmAccessFault 内部会判断： PreviousIrql = KeGetCurrentIrql (); ...... if ( #if (_MI_PAGING_LEVELS >= 4) (PointerPxe->u.Hard.Valid == 0) || #endif #if (_MI_PAGING_LEVELS >= 3) (PointerPpe->u.Hard.Valid == 0) ...

\mm\mi.h extern PMM_SESSION_SPACE MmSessionSpace; 0: kd> dt nt!_MM_SESSION_SPACE +0x000 ReferenceCount : Uint4B +0x004 u : __unnamed +0x008 SessionId : Uint4B +0x00c SessionPageDirectoryIndex : Uint4B +0x010 GlobalVirtualAddress : Ptr32 _MM_SESSION_SPACE +0x014 ProcessList : ...

楼主的ID是不是MJ放血的意思? :P

K.7 Anti-Debug的诡计 K.8 跟踪整个IRP的生命周期 (devstack) K.9 更早的调试机会与工具 (类似于''雨过天晴''的实模式代码跟踪等) K.10 Intel Root模式下的调试

Signature : 0x1268 没必要往下看了~

昨天 sudami 同学还遇到一例的说..

海关放行了 没有“限制技术出口” 嘿嘿...

mj 同学已经到手了 ^_^

可以。进程创建回调的参数里有父ID，很容易建立起关系的。当时我输出的格式有：创建/释放 | 当前结点地址 | 下一结点地址 | 当前EPROCESS | 当前ID | 父EPROCESS | 父ID | 全路径 | 命令行参数做个界面，动态显示一下就行。http://advdbg.org/photos/articlefigures/images/2629/original.aspxhttp://advdbg.org/photos/articlefigures/images/2630/original.aspx

思路谈不上，一个进程创建监控就可以实现，网上现成代码很多的，改改就行~