注册表监控驱动Win7下蓝屏

楼主^#

更多发布于：2010-08-26 09:55

注册表监控驱动用的是内核Hook方式，在XP下跑的好好的，但在Win7下蓝屏，经过调试发现在SYSCALL的时候蓝屏，也就是把自己的函数地址替换成系统函数地址时蓝屏，没有任何头绪呀。但在安全模式下正常加载起来。望高手指点呀

喜欢0

wanghui219 禁止发言注册日期2007-08-28 最后登录2019-07-29 粉丝4 关注3 积分101166分威望505351点贡献值0点好评度137点原创分0分专家分4分加关注写私信	沙发^# 发布于：2010-08-26 10:24 用户被禁言,该主题自动屏蔽!
	回复(0) 喜欢(0)

zhlongfj

驱动牛犊

注册日期2009-04-24
最后登录2010-11-04
粉丝0
关注0
积分32分
威望241点
贡献值0点
好评度0点
原创分0分
专家分0分

加关注写私信

板凳^#

发布于：2010-08-26 10:44

RealRegQueryKey = SYSCALL(ZwQueryKey);
SYSCALL(ZwQueryKey) = (PVOID)HookRegQueryKey;

调用到SYSCALL(ZwQueryKey) = (PVOID)HookRegQueryKey;蓝屏

SYSCALL宏定义如下：

#if defined (_ALPHA_)
#define SYSCALL(_function) ServiceTable->ServiceTableBaseAddress[(*(PULONG)_function)&0x0000ffff]
#else
#define SYSCALL(_function) ServiceTable->ServiceTableBaseAddress[*(PULONG)((PUCHAR)_function+1)]
#endif

回复喜欢

zhlongfj 驱动牛犊注册日期2009-04-24 最后登录2010-11-04 粉丝0 关注0 积分32分威望241点贡献值0点好评度0点原创分0分专家分0分加关注写私信	地板^# 发布于：2010-08-26 10:59 奇怪的是XP下或者Win7的安全模式下都没问题，函数也正常Hook上。
	回复(0) 喜欢(0)

wanghui219 禁止发言注册日期2007-08-28 最后登录2019-07-29 粉丝4 关注3 积分101166分威望505351点贡献值0点好评度137点原创分0分专家分4分加关注写私信	地下室^# 发布于：2010-08-26 12:05 用户被禁言,该主题自动屏蔽!
	回复(0) 喜欢(0)

wanghui219 禁止发言注册日期2007-08-28 最后登录2019-07-29 粉丝4 关注3 积分101166分威望505351点贡献值0点好评度137点原创分0分专家分4分加关注写私信	5楼^# 发布于：2010-08-26 12:05 用户被禁言,该主题自动屏蔽!
	回复(0) 喜欢(0)

zhlongfj 驱动牛犊注册日期2009-04-24 最后登录2010-11-04 粉丝0 关注0 积分32分威望241点贡献值0点好评度0点原创分0分专家分0分加关注写私信	6楼^# 发布于：2010-08-26 17:05 在哪加呀，第一段是保护，第二段是取消保护吗？这两段分别加在哪呀？谢谢
	回复(0) 喜欢(0)

wanghui219 禁止发言注册日期2007-08-28 最后登录2019-07-29 粉丝4 关注3 积分101166分威望505351点贡献值0点好评度137点原创分0分专家分4分加关注写私信	7楼^# 发布于：2010-08-26 17:38 用户被禁言,该主题自动屏蔽!
	回复(0) 喜欢(0)

wanghui219 禁止发言注册日期2007-08-28 最后登录2019-07-29 粉丝4 关注3 积分101166分威望505351点贡献值0点好评度137点原创分0分专家分4分加关注写私信	8楼^# 发布于：2010-08-26 17:39 用户被禁言,该主题自动屏蔽!
	回复(0) 喜欢(0)

zhlongfj 驱动牛犊注册日期2009-04-24 最后登录2010-11-04 粉丝0 关注0 积分32分威望241点贡献值0点好评度0点原创分0分专家分0分加关注写私信	9楼^# 发布于：2010-08-26 17:52 非常感谢，问题解决了。or eax, not 010000h跟or eax, not 0FFFEFFFFh意思是一样的吧？
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册

注册表监控驱动Win7下蓝屏

最新喜欢：