windbg实验2

沙老师的实验2
1.配置双机调试
2.系统断下，命令g执行开机
3.打开记事本，停止，进入notepad.exe进程空间
4..process xxx仅切换了KPROCESS结构，并没有切换进程上下文，因此页目录表与预期不同，这时需要用入侵式切换：.process /i /p xxx
5..reload重载符号表
6. 给kernel32!CreatFileW下断点，u反汇编查看下
7. ！！！沙老师ppt给的教程是win7下的教程（感谢下阳神，搞了半天没找到kernelbase，后来阳神发现这老师的ppt有问题。。。这个文件是win7下的）
8. 所以后面看ppt是错的，重写下xp下的步骤
9. 对kernel32!CreatFileW函数不是kernelbase!CreatFileW反汇编100句！！！注意后面的是l100不是1100
10. xp下也是sysenter，函数调用顺序是kernel32!CreatFileW -> kernel32!NtCreatFile -> KiFastSystemCall() ->SYSENTER
11.！！！xp下并没有先把 NtCreatFile的地址赋值给esi寄存器而是直接调用NtCreatFile
12. sysenter下面就是int 2e了