...

在开启PAE的情况下，转虚拟地址80871f24到物理地址。

kd> .formats 80871f24
Evaluate expression:
  Hex:     80871f24
  Decimal: -2138628316
  Octal:   20041617444
  Binary:  10000000 10000111 00011111 00100100

来看到执行到KiTrap01时的栈数据，首先下一个硬件断点ba e1 NtCreateThread，使KiTrap01函数能执行到，然后在KiTrap01下一个bp断点，千万不要下硬件断点，不然重入。

当执行到KiTrap01时，看栈内存，如下：

kd> dds esp
b9a4cd34  8094ad3a nt!NtCreateThread
b9a4cd38  00000008 cs段寄存器
b9a4cd3c  00000283 EFLags

在ring0中 fs:[0]指向KPCR，等于地址ffdff000，KPCR 叫CPU控制区（Processor Control Region），在线程调试时需要用到

在ring3中 fs:[0]指向TEB：

kd> dt _teb
nt!_TEB
   +0x000 NtTib            : _NT_TIB
   +0x01c EnvironmentPointer : Ptr32 Void
   +0x020 ClientId         : _CLIENT_ID
   +0x028 ActiveRpcHandle  : Ptr32 Void
   +0x02c ThreadLocalStoragePointer : Ptr32 Void
   +0x030 ProcessEnvironmentBlock : Ptr32 _PEB

...

分别在ntdll!KiFastSystemCall和nt!KiFastCallEntry以及nt!KiFastCallEntry中call SSDT的地方下线程条件断点，观察栈变化。

前两天有个用户来反馈这个功能一直误报，根据我们的经验一般是木马或外挂引起的，但是我们仔仔细细检查了他的系统，一切正常。后来不得不建议他重装系统，没想到的是重装系统后不装任何软件问题依旧。

于是我们专门为他做了一个特制的版本，这个版本会把异常时的内存数据完整dump到文件里，后来我们比较了异常前后的dump文件，发现就一个字节的差异，准确的说是一个数据位的差异，而且每次出异常时被修改的位置是不同的，这个诡异的问题纠结了我们团队整整几天。

为吸引人气，在群创建初期，提供无偿分析dump服务（非工作时间）。

引用群内介绍“分享Windbg调试技术，dump分析技术，Windbg插件开发，以及各种软件排错技术。”

群QQ：169225649

...

分析了一下，中国银行的控件写的实在太不专业的。

我们的XX Hook了SSDT中的NtOpenProcess,跳到88e06b40，

HProtect+0x1ab40:
88e06b40 e91ba6572f      jmp     Protector+0x1160 (b8381160)
88e06b45 e96ccf0200      jmp     HProtect+0x47ab6 (88e33ab6)  //这行是永远不应该执行到的。

当使用CreateToolhelp32Snapshot枚举进程时有可能导致程序崩溃，出错栈信息如下：

ntdll!RtlpChangeQueryDebugBufferTarget+0xf
ntdll!RtlDestroyQueryDebugBuffer+0x18
kernel32!ThpAllocateSnapshotSection+0x15b
kernel32!CreateToolhelp32Snapshot+0x49

一.先讲内存泄露

在MFC程序中，如果程序是调试模式经常会看到如下信息提示有内存泄露。

testdlg.cpp(108) : {1423} normal block at 0x003BF030, 100 bytes long。

这行表示的含义是，第1423次申请的内存没有释放，它还指出了申请的内存的起始地址与大小，它还告诉你是哪一行申请的内存。

在程序开头插入代码_CrtSetBreakAlloc(1423)，重新编译运行，当程序执行到第1423次申请内存时就会自动中断下来，这时就可以看到程序调用栈了。