为什么卸载的时候会蓝屏呢?

楼主^#

更多发布于：2007-01-18 22:03

OS是win2003 SP1
代码如下,功能是HOOK sysenter:
#include "ntddk.h"

ULONG d_origKiFastCallEntry; // Original value of ntoskrnl!KiFastCallEntry

VOID OnUnload( IN PDRIVER_OBJECT DriverObject )
{
   DbgPrint("ROOTKIT: OnUnload called\n");
}

// Hook function
__declspec(naked) MyKiFastCallEntry()
{
   __asm {
   jmp [d_origKiFastCallEntry]
   }
}

NTSTATUS DriverEntry( IN PDRIVER_OBJECT theDriverObject, IN PUNICODE_STRING theRegistryPath )
{
   theDriverObject->DriverUnload = OnUnload;

   __asm {
   mov ecx, 0x176
   rdmsr // read the value of the IA32_SYSENTER_EIP register
   mov d_origKiFastCallEntry, eax
   mov eax, MyKiFastCallEntry // Hook function address
   wrmsr // Write to the IA32_SYSENTER_EIP register
   }

   return STATUS_SUCCESS;
}

喜欢0

killvxk

论坛版主

注册日期2005-10-03
最后登录2014-04-14
粉丝3
关注1
积分1082分
威望2003点
贡献值0点
好评度1693点
原创分2分
专家分0分

加关注写私信

沙发^#

发布于：2007-01-18 23:43

必蓝

没有战争就没有进步 X3工作组为您提供最好的军火

回复喜欢

rayyang2000

管理员

注册日期2001-03-23
最后登录2012-09-13
粉丝3
关注0
积分1036分
威望925点
贡献值3点
好评度823点
原创分0分
专家分0分

加关注写私信

板凳^#

发布于：2007-01-19 06:01

没有恢复

天天coding-debugging中----超稀饭memory dump file ======================================================== [b]Windows Device Driver Development and Consulting Service[/b] [color=blue][url]http://www.ybwork.com[/url][/color] ========================================================

回复喜欢

zjxiong7019 驱动牛犊注册日期2006-11-11 最后登录2007-09-28 粉丝0 关注0 积分560分威望60点贡献值0点好评度59点原创分0分专家分0分加关注写私信	地板^# 发布于：2007-01-19 12:11 那应该怎么恢复呢?
	回复(0) 喜欢(0)

rayyang2000

管理员

注册日期2001-03-23
最后登录2012-09-13
粉丝3
关注0
积分1036分
威望925点
贡献值3点
好评度823点
原创分0分
专家分0分

加关注写私信

地下室^#

发布于：2007-01-22 06:31

把你DriverEntry里面做的东西，反过来做一次

天天coding-debugging中----超稀饭memory dump file ======================================================== [b]Windows Device Driver Development and Consulting Service[/b] [color=blue][url]http://www.ybwork.com[/url][/color] ========================================================

回复喜欢

您需要登录后才可以回帖，登录或者注册

为什么卸载的时候会蓝屏呢?

最新喜欢：