11.4.3  SoftICE的消失


在这段代码中的第一个调用依然是对NtDelayExecution函数的调用，但在这里却遇到了一个小小的麻烦。当我们按F10要跳过对NtDelayExecution的调用时，SoftICE却消失了！当你查看命令提示窗口时，你会发现Defender已经退出了，可它还没有给我们打印出任何有关它的信息哪！看上去好像SoftICE的出现在某种程序上改变了Defender的行为。


在SoftICE出人意料地消失时，通过查看程序是怎样调用NtDelayExecution函数的，我们只能做出一种假设。早些时候创建的那个线程一定做了什么手脚，而且，Defender通过NtDelayExecution放弃对CPU的使用权，可能是在设法运行另一个线程。看来我们得把我们的逆向工作重点转移到这个线程上，看看它到底要做什么。