|
阅读:1668回复:9
召唤WOWOWOWOWCOCK。。。
不好意思,又要麻烦你了,哈哈
源码已经发到你的Email了,帮我看看吧,搞了我郁闷了一天了 sys和pdb文件和exe都编译好的,你直接Windbg调试就可以了。神奇的Windows!!!火大 |
|
|
沙发#
发布于:2008-08-07 08:53
 |
|
|
板凳#
发布于:2008-08-07 17:38
2K下PEB偏移不对,BTW代码里问题不少,不知道你竟然能跑起来,我这里蓝了N次......
|
|
|
|
地板#
发布于:2008-08-07 17:56
啊?我看看PEB先 2k的peb偏移不是
0x1B0???帮我看看吧 其他问题也教我下,拜你为师 |
|
|
地下室#
发布于:2008-08-08 16:16
我甚至在SysmonCheckAcl调用下 KeDelayExecutionThread(KernelMode, TRUE, &interval); 都会让Explorer崩溃 |
|
|
5楼#
发布于:2008-08-08 16:25
do not hook NtMapViewOfSection
|
|
|
|
6楼#
发布于:2008-08-08 16:29
没有hook这些啊
SSDT_HOOK_ITEM InitHookTable[] = { {"xNtCreateSection", ID_NtCreateSection, HookNtCreateSection, 0, 0}, {"xNtMapViewOfSection", ID_NtMapViewOfSection, HookNtMapViewOfSection, 0, 0}, {"NtCreateThread", ID_NtCreateThread, HookNtCreateThread, 0, 0}, {"xNtCreateFile", ID_NtCreateFile, HookNtCreateFile, 0, 0}, {"xNtWriteVirtualMemory", ID_NtWriteVirtualMemory, HookNtWriteVirtualMemory, 0, 0} 加了X的都是不hook的 实际上只Hook了NtCreateThread一个函数啊  我郁闷啊,还没有搞清楚什么原因导致的 |
|
|
7楼#
发布于:2008-08-08 16:37
我在2K SP4 下测试了,没问题,看来你电脑有问题了,格式化,重装吧,嘿嘿......
|
|
|
|
8楼#
发布于:2008-08-08 18:05
放上测试bin有没有好心人帮我分析下原因啊?
【测试流程】 运行Application.exe 运行cmd.exe 【程序流程】 目前测试只InlineHook了NtCreateThread 【问题描述】 现在的问题是代码在XP和2003下测试正常,2k-sp4下导致explorer.exe异常重启 |
|
|
|
9楼#
发布于:2008-08-10 17:39
呵呵 搞定了 郁闷啊
VOID FreeApcMsg( IN PAPC_MSG_CONTEXT ApcMsg ) { if (MmIsAddressValid(ApcMsg)) { //注意不要重复释放 KdPrint(("Free MSG_CONTEXT:%08x %08x %08x\n", ApcMsg, ApcMsg->Mdl, ApcMsg->MapAddress)); if (ApcMsg->MapAddress && ApcMsg->Mdl && ApcMsg->Process) { KeAttachProcess(ApcMsg->Process); MmUnmapLockedPages(ApcMsg->MapAddress, ApcMsg->Mdl); MmUnlockPages(ApcMsg->Mdl); KeDetachProcess(); IoFreeMdl(ApcMsg->Mdl); memset(ApcMsg, 0, sizeof(APC_MSG_CONTEXT)); ExFreePool(ApcMsg); } else { KdPrint(("Error Free MSG_CONTEXT:%08x\n", ApcMsg)); } } } MmUnmapLockedPages必须在上下文中执行,靠 |
|