百度空间 | 百度首页 
 
查看文章
  
DbgkLkmdRegisterCallback in win7
2009-05-17 15:44

DbgkLkmdRegisterCallback这是一个WINDOWS 7新增的无文档内核函数

用于创建一个Live kernel memory dump的回调

函数原型为:NTSTATUS DbgkLkmdRegisterCallback(PLKMD_CALLBACK CallBack , PVOID Context , ULONG CallbackType);

CallBackType有两个可能值:

#define SNAP_THREAD 1

#define SNAP_PROCESS 2

相关函数:

NTSTATUS DbgkLkmdUnregisterCallback(PLKMD_CALLBACK CallBack);

反注册callback

NTSTATUS DbgkpLkmdFireCallbacks(PLKMD_INFORMATION LkmdInfomation , ULONG CallbackType, PVOID ProcessOrThreadObject);

调用callbacks(未导出)

回调函数形如:

NTSTATUS DbgLkmdCallback(PVOID DbgkpLkmdSnapDataRoutine , PVOID DbgkpLkmdIsMemoryBlockPresentFromCallbackRoutine , PLKMD_INFORMATION LkmdInformation , PVOID Context);

若CALLBACK返回值<0,则调用DbgkpTriageDumpRestoreState,


类别:默认分类 | 添加到搜藏 | 浏览() | 评论 (5)
 
最近读者:
 
网友评论:
1
2009-05-17 15:48 | 回复
沙发.Mark
 
3
2009-05-17 16:49 | 回复
#define SNAP_THREAD 1
#define SNAP_PROCESS 1??
应该一个是1一个是2
 
8
2009-05-17 20:26 | 回复
回复wowocock:手误,已更正
 
10
2009-05-22 18:18 | 回复
路过一下
 
11
2009-05-27 00:26 | 回复
mj能在win32平台下弄出用16位应用程序在Win32平台启动来攻击或注入操作系统的东西吗?


PS:“在win32平台下弄出用16位应用程序在Win32平台启动来攻击或注入操作系统的东西”的这段话是在在某个地方见到的。
 
发表评论:
姓 名:
网址或邮箱: (选填)
内 容:
验证码: 请点击后输入四位验证码,字母不区分大小写
      

     

©2009 Baidu