TraceView bug

2023-12-23 18:59:26

sha256

84BF3C0C2327BD843CD572C20F80C56B6E28D21C952CB1285587989B32458BF9

exe

在使用TraceView的filter的时候,我想discard掉特定的pid的消息,但是总是不生效

于是我就用IDA逆了一下,发现在EventListDlg::RefilterEventInfos函数中会使用过滤器对消息进行过滤

该函数会调用 FilterRule::GetActionForMessage

而这个函数调用FilterRule::SubRule::MatchesMessage来判断当前消息是否匹配到过滤规则

最后使用 FilterRule::SubRule::PerformOperationOnLongField函数来对PID进行比较

但是它使用的24h(DWORD)字段中并没有包含我们预设的PID

那我们就只能使用调试器在39DC8偏移进行修改了

再精确一点,可以在3A3AA偏移下断点,修改rcx+24h dword为我们的目标pid即可

文章来源:https://blog.csdn.net/ma_de_hao_mei_le/article/details/135167511
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。