用户层 --> 内核层？？？讨论50分

wowocock

VIP专家组

加关注写私信

20楼^#

发布于：2005-04-27 10:16

顶，我发现在DriverEntry中出现PAGE_FAULT_IN_NONPAGED_AREA的错误，这是为什么啊？是不是在ring0中不能访问ring3的内存地址啊？

你要确保在同一个CONTEXT下

花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠

回复喜欢

riceworm 驱动小牛注册日期2004-10-27 最后登录2008-10-22 粉丝0 关注0 积分5分威望7点贡献值0点好评度6点原创分0分专家分0分加关注写私信	21楼^# 发布于：2005-04-27 13:29 wowocock老大您对在驱动层hook应用层的api（ntdll.dll中关于时间的相关函数）有何高见.
	回复(0) 喜欢(0)

riceworm 驱动小牛注册日期2004-10-27 最后登录2008-10-22 粉丝0 关注0 积分5分威望7点贡献值0点好评度6点原创分0分专家分0分加关注写私信	22楼^# 发布于：2005-04-27 16:43 ？？？
	回复(0) 喜欢(0)

wowocock

VIP专家组

加关注写私信

23楼^#

发布于：2005-04-27 17:21

wowocock老大
您对在驱动层hook应用层的api（ntdll.dll中关于时间的相关函数）有何高见.

还是采用常规的DLL HOOK的方法比较好,虽然也可以在NT核心下象9X那样在RING0挂接API,不过不保险.....

花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠

回复喜欢

violin 驱动牛犊注册日期2003-10-02 最后登录2009-08-22 粉丝0 关注0 积分4分威望83点贡献值0点好评度41点原创分0分专家分0分加关注写私信	24楼^# 发布于：2005-04-27 17:40 [quote]因为有些函数ntdll.dll中有而NTOSKRNL.EXE却没有。看wowocock老大的ring 0 call ring 3,也许有启发 [/quote] 晕了，这到底是谁的文章，怎么我看到的出处不同呢就是因为转载往往出处不明，如今写文章都喜欢加个“原创”
	回复(0) 喜欢(0)

riceworm 驱动小牛注册日期2004-10-27 最后登录2008-10-22 粉丝0 关注0 积分5分威望7点贡献值0点好评度6点原创分0分专家分0分加关注写私信	25楼^# 发布于：2005-04-27 17:54 说说
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册