首页>编程与逆向>内核编程>请教:有没有人HOOK过KiDispatchExceptio...
回复
« 返回列表
k7zjmost
k7zjmost
驱动牛犊
驱动牛犊
  • 注册日期2007-06-18
  • 最后登录2009-07-02
  • 粉丝0
  • 关注0
  • 积分70分
  • 威望8点
  • 贡献值0点
  • 好评度7点
  • 原创分0分
  • 专家分0分
写私信
阅读:4858回复:8

请教:有没有人HOOK过KiDispatchException

楼主#
更多 发布于:2008-04-01 15:02
      最近想做个捕获内核异常的东西。采用的方法是inline-hook KiDispatchException这个函数,但是每次往hook函数里面添加功能代码的时候就会导致蓝屏,而只是跳转指令的话就不会蓝屏。
原因我猜是由于KiDispatchException函数调用的过于频繁,所以在处理自己的功能代码的时候可能会导致其自身调用,所以导致出错。
      在这里想请问大家关于这方面的心得或者是提供另外的一种方法来捕获内核的异常。
      十分感谢!
喜欢0
回复
killvxk
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
写私信
沙发#
发布于:2008-04-04 01:13
你的kidispatchexception里要保存寄存器,保存寄存器~~
没有战争就没有进步 X3工作组 为您提供最好的军火
回复(0) 喜欢(0)
k7zjmost
k7zjmost
驱动牛犊
驱动牛犊
  • 注册日期2007-06-18
  • 最后登录2009-07-02
  • 粉丝0
  • 关注0
  • 积分70分
  • 威望8点
  • 贡献值0点
  • 好评度7点
  • 原创分0分
  • 专家分0分
写私信
板凳#
发布于:2008-04-08 11:10
引用第1楼killvxk于2008-04-04 01:13发表的  :
你的kidispatchexception里要保存寄存器,保存寄存器~~


pushfd..pushad过了。。
还是有问题。。。
回复(0) 喜欢(0)
k7zjmost
k7zjmost
驱动牛犊
驱动牛犊
  • 注册日期2007-06-18
  • 最后登录2009-07-02
  • 粉丝0
  • 关注0
  • 积分70分
  • 威望8点
  • 贡献值0点
  • 好评度7点
  • 原创分0分
  • 专家分0分
写私信
地板#
发布于:2008-04-08 11:11
引用第1楼killvxk于2008-04-04 01:13发表的  :
你的kidispatchexception里要保存寄存器,保存寄存器~~


pushfd..pushad过了。。
还是有问题。。。
回复(0) 喜欢(0)
wowocock
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
写私信
地下室#
发布于:2008-04-08 12:20
全套代码贴出来.
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
回复(0) 喜欢(0)
lan2
lan2
驱动牛犊
驱动牛犊
  • 注册日期2002-04-20
  • 最后登录2011-07-01
  • 粉丝0
  • 关注0
  • 积分82分
  • 威望29点
  • 贡献值0点
  • 好评度9点
  • 原创分0分
  • 专家分0分
写私信
5楼#
发布于:2008-04-09 22:17
有个dump可以看看。
回复(0) 喜欢(0)
qydgood
qydgood
驱动牛犊
驱动牛犊
  • 注册日期2004-12-06
  • 最后登录2011-03-28
  • 粉丝1
  • 关注0
  • 积分106分
  • 威望30点
  • 贡献值0点
  • 好评度28点
  • 原创分0分
  • 专家分0分
写私信
6楼#
发布于:2008-04-29 03:03
提供WINDOWS启动时的图形库及键盘接口.

提供内核层超稳定的HOOK库,可以拦任何函数,
  如NTOSKRNL.EXE,BOOTVID.DLL,KDCOM.DLL,HAL.DLL等所有的函数。

          连系EMAIL : qydok@126.com



----
回复(0) 喜欢(0)
我最老实
我最老实
驱动小牛
驱动小牛
  • 注册日期2005-09-11
  • 最后登录2010-01-27
  • 粉丝0
  • 关注0
  • 积分10分
  • 威望253点
  • 贡献值0点
  • 好评度189点
  • 原创分0分
  • 专家分0分
写私信
7楼#
发布于:2008-05-09 13:59
引用第6楼qydgood于2008-04-29 03:03发表的  :
提供WINDOWS启动时的图形库及键盘接口.

提供内核层超稳定的HOOK库,可以拦任何函数,
  如NTOSKRNL.EXE,BOOTVID.DLL,KDCOM.DLL,HAL.DLL等所有的函数。

.......


在x64下面也超稳定?
养牛专业户
回复(0) 喜欢(0)
killvxk
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
写私信
8楼#
发布于:2008-05-15 17:37
这个库能过signcheck么?
x64 Vista上测试过了没有?
没有战争就没有进步 X3工作组 为您提供最好的军火
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部