驱动程序开发网技术社区

zdhe：首先谢谢你还记得此事。我有另外一个贴子。值50分，你去看一看，能给些建议最好，没有头绪就随便写几个字吧。 http://www.driverdevelop.com/forum/html_13674.html?1022072880 具体int2e在xp上的实现，大概...(2002-05-22 21:14)

pjf：在2000下服务返回附近亦有sysexit，只是因ntdll中用了int2e，所以从没运行到sysexit。由此我觉得XP内核应该基本没变，采用什么形式的syscall应由ntdll使用的方式决定。所以可能XP上一样可用int2e（对没sysenter的老机器是当然的，对已在用s...(2002-05-22 18:26)

zdhe：是不是写错啦，call了NTDLL.DLL里EXPORT出来的函数－－－－－－－－－－－－－－－－－－－－－－－ call了NTDLL.DLL里EXPORT出来的函数的对应的SERVICE入口. 在2K下,和你写的 NtCreateFile=(NTCREATEFILE...(2002-05-13 14:03)

pjf：是一CALL NTDLL.DLL里EXPORT出来的SERVICE,PROCESS就不行了 ----------------------------------------------------------- 是不是写错啦，call了NTDLL.DLL里EXPORT出来的函...(2002-05-13 13:45)

zdhe：别这么说. 不是没有办法(从PTE入手就可以),只是想找一个好的解决方法而已. 这问题确实就是有些强人所难. 我从MS的NEWS里得出一个结论, 现在的框架处理有问题,我不能也没有必要在MJ_WRITE里处理处理这种事情. 我放在 http://61.193....(2002-05-13 11:43)

pjf：了解，不好意思拉。(2002-05-13 11:29)

zdhe：老兄非要我贴SOURCE吗, 你提到的所有的事情我都已经做过. 如果有时间的话,真正动手试试如何? 你想要什么版本的XP? 远东所有的版本我都有,需要的话我给你放在网上. 问题不是我找不到SERVICE的地址. 是一CALL NTDLL.DLL里EXPORT出来的S...(2002-05-13 11:15)

pjf：开始我没理解错呀，我的意思是转移到ZwProtectVirtualMemory服务例程之前或许也要SWITCH一下才行。 -------------------------------------------------- 我找便了HAL.DLL, NTOKKERNL.E...(2002-05-13 11:05)

zdhe：可能我的写法不好吧, 老兄误解了我的说明. for ZwReadVritualMemory, ZwWriteVirtualMemory, use KeAttachProcess seems work well in PASSIVE LEVEL. 的意思是因为我SW...(2002-05-13 00:10)

pjf：不管系统调用用何种方式从Ring3进入Ring0，处理程序总会从服务表与参数表（若此二表未变）获取信息后调用服务，调服务时仍然是Ring0程序转移到Ring0程序，所以服务表中存在的服务似乎就应能在驱动中成功调用（因为总可以获取服务地址，只要明白处理程序还做了什么预处理等等）。首...(2002-05-12 22:17)

zdhe的个人空间

zdhe