[すぎるがはるかに行うには、これは一般的なフレームワーク、具体的な機能について書いて、私にとってとても大きな困難の一部である場合、書き込みと逆解析プロセス]
1.デバッガは、どのようなイベントをデバッグ中のプログラムを受け取ることができますか?
A:デバッガが懸念されるため、プログラムがデバッグされていませんゴマ大きなものは、それが唯一の7イベントを受け取り、デバッガの毛を指します。
コレクトイベントやデバッガーに送信されたにデバッガを使用した機能は何ですか2。
A:Dbgkを開始関数のクラスを使用します。それはイベントのデバッグを収集するためにデバッグ状態にある場合、DEBUGPORTを決定することであって、その後、デバッガに送られた後、イベントのすべての種類のための唯一の方法で、関数呼び出しを作成します。
例えば、これはPspExitThread、出口プロセスとスレッドの終了を通過することです。
メッセージを送信する方法を実現3.DbgkpSendApiMessage?
+ 0x30からEvenList位置に、DbgkpSendApiMessageは、次にオフセット+ 0x30のリスト、リンクされたリストに挿入され、次いで動作DebugEventリストを削除、_EPROCESS DebugObject + DEBUGPORTで取られた、_DbgkpQueueMessageを呼び出します。