不过killvxk说的IRQL应该是个问题。 (2007-06-06 09:10)-
我hook ntfs的dispatch的时候,发现可以在winobj中看到我的驱动hook了哪个dispatch。我想如果在内核中分配一块可执行的内存,把我的代码复制过去再hook,winobj应该是不知道是哪个驱动hook的了。 但是ExAllocatePool***这些函...全文
◆
◆
-
killvxk:NonPagedPool...这上面的代码有要求吧~不小心就蓝屏了~ 好几次都是IRQL问题~(2007-06-05 11:03)
-
zzzevazzz:记得有资料说过,Vista上PagedPool是不可执行的,NonPagedPool可以执行。(2007-06-05 10:44)
-
carwin:直接可以?我试试哈。 那天看到一篇文章说内核也有DEP,如下。我还以为不能执行呢。 我先实验一下了来哈。 /* • 内核模式 DEP 对于用户模式和内核模式,DEP 的工作原理相同。在内核模式下,不能分别为每个驱动程序启用或禁用内存区域 DEP。默认情况下,在...(2007-06-05 08:05)
-
baigan:直接应该可以,至少我的机器行(2007-06-04 13:29)
-
WQXNETQIQI:内存属性应该是不用改的 例如某流氓的代码: .text:00011150 .text:00011150 sub_11150 proc near ; CODE XREF: .text:l...(2007-06-04 13:20)
-
wowocock:直接复制不可以,需要改变内存属性.自己改页表里的NX属性吧,哈哈.(2007-06-04 12:16)
-
WQXNETQIQI:直接分配一块NonPagePool复制了代码就可以跑啦!(2007-06-03 17:51)
-
xikug:内核中就用ExAllocatePoolxx分配就可以了(2007-06-03 16:58)
-
carwin:自己顶一下了。 会还是不会的牛人都顶一顶噻。。。(2007-06-03 14:07)
