当单步执行到 .text:000xxxF8 mov eax, [esp+60h-6Ch] 指令的时候 ESP=805E432Ch 以为其中入栈了一个 eax 所以 ESP=805E432Ch,执行完 .text:000xxxF8 mov eax, [esp+60h-6Ch] 条指令的时候 eax = [ESP+60h-6Ch]=[ESP-Ch]=[805E432Ch-Ch]=[805E4310h]如果不调试的情况下 读的是同一个地址的值，所以两个值比较应该是相同的 也就是 .text:000xxxFD cmp eax, ebx 这条指令的比较结果应该是相同的。这个指令 .text:000xxxFF jz short loc_1240B 执行后直接跳转到。
    

如果是被调试器调试的情况下 .text:000xxxFF jz short loc_1240B 不会跳转。 如果不跳转时下面的代码 会覆盖掉系统的当前 ETHREAD 指针。接下来在调用很多系统函数都会导致系统崩溃，并且是崩溃到系统模块里面，这样给你定位错误带来误导。哈哈
    

.text:000xxx68 push 1 ; Alignment
    

.text:000xxx6A push 40h ; Length
    

.text:000xxx6C push CurrentEProcessObject ; Address
    

.text:000xxx72 call ds:ProbeForRead
    

这里是故意做个异常来实现跳转。如果你在 .text:000xxx72 call ds:ProbeForRead 指令上单步执行的时候调试器会跑飞了，也就是说从调试器退出了，没有继续跟踪下去。
    

第三部分
    

接下来说我们的 PspCidTable 我们找到了 PspCidTable 变量后， PspCidTable [这个 HANDLE_TABLE 的句柄表中，保存着所有进程和线程对象的指针。
    

PID（进程ID）和 ThreadID（线程ID）就是在这个句柄表中的索引。这个 HANDLE_TABLE 不属于任何进程，也没有链在 HANDLE_TABLE 链上。全局变量PspCidTable 中是指向这个 HANDLE_TABLE 的指针。这个 HANDLE_TABLE 还有一点和别的 HANDLE_TABLE 都不同，就是它的 HANDLE_TABLE_ENTRY 中的第一个32bit 放着的是对象体指针（当然需要转换）而不是对象头指针（对象指针就是对象体指针）。] (特别注明 在[]的话不是俺写的是在网上抄来的这里特别感谢 “JIURL玩玩Win2k进程线程篇 HANDLE_TABLE” 文章的作者：JIURL )我们之要想到办法遍历这个 PspCidTable 句柄表就可以遍历到系统的所有进程。icesword 为了遍历这个表他使用了系统为公开的 ntoskrnl.exe的导出函数 ExEnumHandleTable 。
    

icesword 定位到 ntoskrnl.exe 导出的 ExEnumHandleTable函数。
    

这个函数是未公开的函数。
    

这个函数的函数原形可能是 VOID STDCALL ExEnumHandleTable (PULONG HandleTable, PVOID Callback, PVOID Param, PHANDLE Handle OPTIONAL);
    

其中的参数 PULONG HandleTable 就可以用 PspCidTable 做参数.
    

PVOID Callback 的类型为 bool (*EXENUMHANDLETABLECALLBACK)(HANDLE_TALBE_ENTRY*,DWORD PID,PVOID Param) 函数指针。
    

PVOID Param 参数就是传送给回调函数的参数。
    

PHANDLE Handle OPTIONAL 这个参数俺还没搞懂什么意思。在说俺也用不到他，所以也不管他了随他去吧。
    

当调用 ExEnumHandleTable 函数的时候 函数在每次枚举到表中的一个句柄时都会调用一次回调函数。
    

当调用的 Callback 回调函数返回值为0时继续枚举句柄表，如果返回1时则停止枚举。
(e129)