潜心学习

在看第一章，做了几个实验，书上的东西我就不copy了实验1 查看进程树用tlist工具(在Windows调试工具箱中)在命令行下打开tlist工具E:\Program Files\Debugging Tools for Windows (x86)>tlist /tSystem Process (0)System (4)  smss.exe (716)

第2章很长，随便做点记录windows是微内核系统吗在微内核系统里面，内存管理器，进程管理器，I/O管理器运行在各自独立的进程里就是说内核里面只剩下线程调读，消息传递，虚拟内存，和设备驱动等程序简单来说, windows不是微内核系统. FYI, 微内核系统会由于太多的内核态与用户态的切换，会导致系统运行效率低下windows总体结构其中wind

Ring3调试器的附加使用的是DebugActiveProcess函数，在附加相关进程时，会首先执行到ntdll.dll下的ZwContinue函数，最后停留在ntdll.dll的DbgBreakPoint处(摘自加密与解密第三版)这时候按ShiftF9就能把程序运行起来了，深一层的道理还得学习下调试器的原理吧

以前觉得加技术的QQ群作用只有一个：闲聊，浪费时间现在想找5,6个长期有时间学习逆向的朋友，在一个小群里面，有问题互相讨论(只讨论技术上的问题)为了保持群的活跃，有要求如下群成员要求1 懂C语言 汇编,基础windows知识2 懂得最基本的脱壳 破解知识3 乐于助人4 群成员之间互相认识，了解各自水平有兴趣 加我的QQ 315,1028,21(逗号是为了避免

菜鸟笔记昨天晚上又拿起CrackMe 2007的一个CrackMe来玩(aalloverred做的znycuk's cracKme#3)，发现那个PE根本无法用OD加载，一加载就说这个PE的格式错误了破文上解释说是因为LoaderFlags和RvaAndSizes(数据目录项)被修改成了一个很大的数值。其实LoaderFlags并不影响OD的调试，只是RvaAndSizes影响而已。以