ŹV -
2013-03-24 03:18:53 UTC
我確定你們中的許多人都熟悉通過調用 ZwSetInformationThread 並將 ThreadInformationClass 設置為0x11來完成的經典反調試技巧。儘管存在許多OllyDbg模塊是為了揭示此方法隱藏的線程的存在,但我無法找到有關在OllyDbg中取消隱藏這些線程的規範技術的任何信息。
該函數是否通常掛在用戶模式下(例如 SetWindowsHookEx ),或者修補直接調用NTDLL函數或間接調用NTDLL函數的指令的實用性?