暂时未解决问题:
1. [fs+0F24h]中存储着什么东西。
答案:其存放着被调试程序的DbgObject句柄。_NtCreateDebugObject(ntoskrnl.exe)函数逆向分析
该函数作用:
创建调试对象,将被调试对象加入到句柄,并将被调试对象放在fs:F24h。
该函数只是简单构造了一个 OBJECT_ATTRIBUTES, 然后调用内核的 CreateDebugObject() 来创建被调试对象。
函数开始时简单判断了一下调试器 [fs:F24h] 是否存在值(跟调试相关),如果为零则尝试构建内核对象。
最后调用内核中的NtCreateDbgObject函数,得出调用时其参数的值: