环境 win764
以TP为例 ring3保护 它会在windbg断下
这个时候我们需要拿到当前线程对象 应该到
当前使用的CPU的地址 _KPRCB-> CurrentThread 就是当前线程值
我们知道了当前线程。我们就可以拿到线程的Tid
我们也可以根绝_EThread->TrapFrame 对应的 _KTRAP_FRAME
根据 _KTRAP_FRAME 我们可以查看当前线程的上线文。比如 断点寄存器 dr0 dr1 dr2 等等
根据我的下断 改变线程上下文的内核函数是 nt!KxContextToKframes
相关文章: