|
阅读:1578回复:6
关于KeServiceDescriptorTableShadow问题,请指点,谢谢
lkd> u
nt!KeAddSystemServiceTable+0x18: 805bd031 753f jne nt!KeAddSystemServiceTable+0x6b (805bd072) 805bd033 8d8840ab5580 lea ecx,nt!KeServiceDescriptorTableShadow (8055ab40)[eax] 805bd039 833900 cmp dword ptr [ecx],0 805bd03c 7534 jne nt!KeAddSystemServiceTable+0x6b (805bd072) 805bd03e 837d1801 cmp dword ptr [ebp+18h],1 805bd042 8b5508 mov edx,dword ptr [ebp+8] 805bd045 56 push esi 805bd046 8b7510 mov esi,dword ptr [ebp+10h] lkd> dd 8055ab40 8055ab40 804e3d20 00000000 0000011c 804d9f48 8055ab50 bf997600 00000000 0000029b bf998310 8055ab60 00000000 00000000 00000000 00000000 8055ab70 00000000 00000000 00000000 00000000 8055ab80 804e3d20 00000000 0000011c 804d9f48 8055ab90 00000000 00000000 00000000 00000000 8055aba0 00000000 00000000 00000000 00000000 8055abb0 00000000 00000000 00000000 00000000 lkd> dd bf997600 bf997600 bf934ffe bf946a92 bf8bf295 bf93e718 bf997610 bf9480a9 bf935262 bf935307 bf839cb5 bf997620 bf9479d0 bf933a9d bf947fc8 bf90e7e0 bf997630 bf88e5fe bf80ba4f bf947e9a bf949694 bf997640 bf88d61c bf8a2669 bf947f78 bf9497c7 bf997650 bf81c2fc bf858a31 bf8daf38 bf8e6821 bf997660 bf90fa14 bf80e2f2 bf8fad2a bf94948e bf997670 bf94a38b bf8102e8 bf80c235 bf8c5a6d lkd> u bf934ffe bf934ffe ?? ??? ^ Memory access error in 'u bf934ffe' ______________________________________________ 看上面的记录,bf997600处应该就是KeServiceDescriptorTableShadow里面的服务函数了吧~ 但为什么用 "u"命令查看代码时却无法查看呢~ 是我找错地方了么?  |
|
|
沙发#
发布于:2007-03-29 19:06
知道了,谢谢~
 |
|
|
板凳#
发布于:2007-03-29 18:50
Memory Description LXXX
忘记了 |
|
|
|
地板#
发布于:2007-03-29 18:49
你可以看看regmon的代码,他们思考问题比较全面~
|
|
|
|
地下室#
发布于:2007-03-29 18:23
呵,原来这样。
总见提到MDL,MDL到底是什么啊? 这种缩略语,资料都没得查,Google了一下儿MDL,哈,千奇百怪的什么都搜出来了。  |
|
|
5楼#
发布于:2007-03-29 11:08
GUI线程上下文时Shadow才确保page in的~
其实我们可以自己page in来~ SSDT同样需要在具体线程上下文才确保page in~ 铿铿哈嘿。快使用MDL~ |
|
|
|
6楼#
发布于:2007-03-29 09:14
不是里面的每个函数都有效的,有些是无效的.
|
|
|
