1、OD 加载exe --> 运行到用户代码，断下之后 --> 堆栈窗口 ESP 右击 数据窗口中跟随 --> 将数据窗口的下拉框拉到最下面

　　(或者直接看堆栈窗口)

　　如下图：

　　ZC: 此图效果为 XPsp3中的效果，有如下信息：

　　　　(1)、此时的 ESP值为 0012FFC4，其值 正好就是 调用kernel32.7C817067 (也就是即将调用 ExitThread)

　　　　(2)、程序正常结束后，就会执行 ExitThread

　　　　(3)、7C817044 这个函数叫什么名字？(看了 OD中kernel32.dll的加载地址为 7C800000)用VC6的Depends看了一下，貌似是一个没有名字的函数(未公开导出？)，如下图：

　　　　　　ZC: 只知道它 位于 RegisterWaitForInputIdle 的下面。

2、

3、