模块是程序加载时被动态装载的,模块在装载后其存在于内存中同样存在一个内存基址,当我们需要操作这个模块时,通常第一步就是要得到该模块的内存基址,模块分为用户模块和内核模块,这里的用户模块指的是应用层进程运行后加载的模块,内核模块指的是内核中特定模块地址,本篇文章将实现一个获取
win32k.sys虽然为驱动文件但不处理I/O请求,主要为应用层提供大量服务。功能上主要实现窗口管理(收集、分发消息,控制窗口显示)和图形设备接口(各种图形绘制、文本输出)。win32.sys向内核注册一组调用函数,介入到内核的线程、进程,每个线程一旦调用win32.sys的服务就成了GUI线程。win32k.sy
告诫:官方描述:如果没有编程和内部Windows机制的经验,故障转储的高级故障排除可能非常具有挑战性。 我们已尝试在此处简要了解使用的一些技术,包括一些示例。 但是,若要真正有效地排查故障转储问题,应花时间熟悉高级调试技术。 对于视频概述, 调试内核模式会崩溃并挂起。 另请参阅下面列
