多谢老师回答。 第三个问题我的意思是通过DuplicateHandle获得真正的句柄后，并没有作任何的操作就用CloseHandle给关闭了，那么这样做有什么意义呢？ CsrIdentifyAlertableThread这个函数应该也是没有公开的吧，能不能介绍一下作用？

刚刚学到这里，参照伪代码对SP2的UnhandleExceptionFilter跟了一下，发现几个问题想请教一下。 下面的行数全部指的是伪代码。 第一：322页的35行 NtGlobalFlag & 0x1 错了，后面的描述是NtGlobalFlag & 0x100，请问一下这个0x100是什么常量来的？ 主要是想知道什么时候设置这个常量，引起调用RtlApplicationVerifierStop函数。 第二：326页的267行好像漏了一句return ...

太牛了，鼓掌~ 这个帖子学到了不少东西，另外请问一下，字体变色是怎么搞的啊？

!process 和 r指令显示的DirBase都是一样的，如果不一样，那么就是在不同的进程环境下。 至于低12位不为0，是因为软件没有把标志区分开来，使用的时候因该加个掩码去掉，标志的作用请参考书或者上面的连接，那里都有详细的说明。 这个是我机子上面看记事本的情况 kd> !process PROCESS 81f078a8 SessionId: 0 Cid: 0600 Peb: 7ffd3000 ParentCid: 01dc DirBase: 03ab01e0 ObjectTable: e1182418 HandleCount: 95. Image: notepad.exe VadRoot ...