注册表监控驱动用的是内核Hook方式,在XP下跑的好好的,但在Win7下蓝屏,经过调试发现在SYSCALL的时候蓝屏,也就是把自己的函数地址替换成系统函数地址时蓝屏,没有任何头绪呀。但在安全模式下正常加载起来。望高手指点呀
回复(9) 2010-08-26 09:55 来自版块 - ABC初学者
表情
zhlongfj非常感谢,问题解决了。or eax, not 010000h跟or eax, not 0FFFEFFFFh意思是一样的吧?(2010-08-26 17:52)
wanghui219用户被禁言,该主题自动屏蔽!(2010-08-26 17:39)
wanghui219用户被禁言,该主题自动屏蔽!(2010-08-26 17:38)
zhlongfj在哪加呀,第一段是保护,第二段是取消保护吗?这两段分别加在哪呀?谢谢(2010-08-26 17:05)
wanghui219用户被禁言,该主题自动屏蔽!(2010-08-26 12:05)
wanghui219用户被禁言,该主题自动屏蔽!(2010-08-26 12:05)
zhlongfj奇怪的是XP下或者Win7的安全模式下都没问题,函数也正常Hook上。(2010-08-26 10:59)
zhlongfjRealRegQueryKey = SYSCALL(ZwQueryKey); SYSCALL(ZwQueryKey) = (PVOID)HookRegQueryKey; 调用到SYSCALL(ZwQueryKey) = (PVOID)...(2010-08-26 10:44)
wanghui219用户被禁言,该主题自动屏蔽!(2010-08-26 10:24)

返回顶部